Według ogólnej reguły, potwierdzonej w ramach orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, przepisy o ochronie danych osobowych dotyczą również funkcjonowania kościołów i związków wyznaniowych.
TSUE podkreślił to w znanej sprawie Lindqvist, wskazując, że wyłączenia odnoszące się do starej dyrektywy 95/46 nie dotyczą już instytucji tego rodzaju[1]. Specyficzne zasady stosowania przepisów o ochronie danych w przypadku kościołów i związków wyznaniowych mogą być natomiast ustanawiane w prawie krajowym.
Sprawdź jak wdrożyć RODO w twojej organizacji
RODO, w kontekście przetwarzania danych osobowych przez szeroko rozumiane związki lub organizacje wyznaniowe, ustanawia dwie reguły postępowania:
1. Jeżeli w momencie wejścia w życie RODO w danym państwie członkowskim kościoły, związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony danych osobowych, to takie zasady mogą pozostać w mocy, o ile zostaną dostosowane do przepisów RODO.
2. Kościoły i związki wyznaniowe, które stosują wymienione szczegółowe zasady, są nadzorowane przez niezależny organ nadzorczy, który może być organem oddzielnym od organu ustanowionego na mocy przepisów RODO.
Warunkiem stosowania wyłączenia jest więc istnienie wewnętrznych regulacji, dotyczących ochrony danych w ramach danego wyznania lub kościoła, które jednak będą pozostawały w zgodzie z przepisami RODO. Takie wewnętrzne regulacje mogą podlegać kontroli ze strony organu nadzorczego, jakim jest w Polsce Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Na tej podstawie 15 kościołów i związków wyznaniowych w Polsce złożyło notyfikację u Prezesa UODO, by móc stosować ustanowione w ich strukturach wewnętrznych uregulowania [2]. Dzięki temu instytucje te mogą posiłkować się wewnętrznymi regulacjami przy przetwarzaniu danych osobowych. Każdy z tych związków wyznaniowych, które zgłosiły stosowanie szczególnych regulacji dotyczących ochrony danych, musiał również powołać organ nadzorczy, z którym współpracuje Prezes UODO.
Warto również zaznaczyć, że wspomniane wewnętrzne regulacje obejmują kwestie takie, jak zgłaszanie naruszeń czy zasady postępowania z danymi osobowymi. Mogą być one przedmiotem analizy przez organ nadzorczy.
W przypadku związków wyznaniowych, które nie stosują szczegółowych regulacji dotyczących ochrony danych zgodnie z art. 91 RODO, przepisy dotyczące ochrony danych stosowane są w pełnym zakresie. Jedynym wyjątkiem jest możliwość przetwarzania danych dotyczących szczególnych kategorii, o których mowa w art. 9 ust. 2 lit. d, dotyczących członków takich wspólnot.
W odniesieniu do Kościoła Katolickiego autonomiczność wynikająca z art. 91 RODO została potwierdzona również przez orzeczenia sądów administracyjnych, jak choćby wyrok Naczelnego Sądu Administracyjnego z 18 listopada 2022 r. (sygnatura III OSK 2461/21). Jednakże PUODO nie opublikował decyzji dotyczących innych związków wyznaniowych, które nie przyjęły uregulowań z art. 91 RODO, ani nie podważał wewnętrznych rozwiązań, które były w nich zastosowane. Problem stosowania RODO w odniesieniu do związków wyznaniowych stanowił natomiast temat analiz organów nadzorczych w innych państwach niż Polska.
Kościół Norwegii został upomniany przez tamtejszy organ ds. ochrony danych za pozyskiwanie danych bez podstawy prawnej. Kościół ten rejestrował noworodki jako „osoby stowarzyszone” w rejestrze członków, działając na podstawie przepisów, które przestały obowiązywać w 2018 roku (zastąpione nowymi przepisami w 2021 roku). Pozyskiwanie danych w sposób automatyczny, bez podstawy prawnej, zostało uznane przez norweski organ za naruszenie przepisów o ochronie danych, a dodatkowo Kościół nie dostarczył noworodkom informacji dotyczących przetwarzania ich danych. Pomimo tych nieprawidłowości, choć sprawa dotyczyła przetwarzania danych osobowych związanych z szczególnymi kategoriami, nie nałożono na Kościół żadnej kary za takie działanie.
Inne zagadnienie zostało zbadane w Niemczech przez organ ds. ochrony danych kraju związkowego Berlin (Berliner Beauftragten für Datenschutz und Informationsfreiheit). Tematem było przetwarzanie danych dotyczących przynależności dzieci do związku wyznaniowego. Kościół poprosił rodziców dzieci o udzielenie informacji, czy są one członkami wspólnoty religijnej. Po dalszej korespondencji, rodzice złożyli skargę do organu ds. ochrony danych. Ten jednak stwierdził, że nie ma kompetencji do oceniania działalności kościoła-religii, o ile stosowane są wewnętrzne rozwiązania wymagane przez art. 91 ust. 2 RODO. To stanowisko zostało potwierdzone przez sąd administracyjny w Berlinie.
Szersza analiza i ciekawe wnioski dotyczące stosowania przepisów miały miejsce w Austrii. Organ ds. ochrony danych tego kraju – Datenschutzbehörde (DSB) – rozpatrywał skargę związaną z wykluczeniem osoby pełniącej rolę duchownego ze wspólnoty religijnej (decyzja nie precyzowała charakteru wspólnoty). Osoba ta została wykluczona z grupy w związku z naruszeniem jej zasad, stwierdzonym przez wewnętrzny komitet. Osoba, której dane dotyczyły, złożyła skargę po publicznym ogłoszeniu jej wykluczenia (na spotkaniu/nabożeństwie) i zażądała usunięcia części jej danych przez wspólnotę. Argumentowała między innymi, że ze względu na wiek w momencie przystąpienia do wspólnoty (13 lat), nie była w stanie w pełni ocenić skutków tej decyzji dla swojej prywatności. DSB ocenił, zgodnie z wcześniejszymi stanowiskami, że wewnętrzne regulacje wspólnoty nie spełniają wymagań art. 91 RODO, co oznacza, że ta nie może korzystać z przewidzianego w nim wyłączenia. Niemniej jednak, organ stwierdził, że nie ma uprawnień do ingerowania w wewnętrzne kwestie wspólnoty religijnej i z tego powodu odmówił dalszego rozpatrywania sprawy. Decyzja ta rozszerza wyjątki od stosowania RODO, jak to określa art. 2, i można to interpretować jako wykładnię „contra legem”. Z drugiej strony jest ona zgodna z zasadą nieingerencji państwa w wewnętrzne sprawy wspólnot religijnych, co stanowi zasadę austriackiej Karty Praw Podstawowych. W rezultacie, pomimo braku wyłączenia z art. 91 RODO, DSB uznał, że nie posiada kompetencji do zbadania tej sprawy.
Jak widać, kwestia stosowania RODO w odniesieniu do związków wyznaniowych, pomimo uregulowań w samym RODO, wciąż może budzić znaczące wątpliwości.
[1] TSUE C-101 Postępowanie Karne p. Bodil Lindqvist, wyrok z 6 listopada 2003 r. pkt 37-48.
[2] Grupa ta obejmuje: Kościół katolicki, Polski Autokefaliczny Kościół Prawosławny, Kościół Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej, Kościół Ewangelicko-Augsburski, Kościół Ewangelicko-Reformowany w RP, Kościół Boży w Polsce z siedzibą w Krakowie, Społeczność Chrześcijańską Miejsce Odnowienia z siedzibą w Lublinie, Wspólnotę Chrześcijańską „Wrocław dla Jezusa” z siedzibą we Wrocławiu, Kościół Pentekostalny w Rzeczpospolitej z siedzibą w Żorach, Zbór Ewangelicko-Baptystyczny z siedzibą w Katowicach, Misję Pokoleń z siedzibą w Krakowie, Ewangeliczny Kościół Metodystyczny z siedzibą w Krakowie, Powszechny Kościół Ludu Bożego z siedzibą w Jarocinie, Kościół „Chrystus dla Wszystkich” w Rzeczypospolitej Polskiej z siedzibą w Szczecinie, Kościół Chrześcijan Baptystów w Rzeczypospolitej Polskiej.