Z Michałem Serzyckim, Generalnym Inspektorem Ochrony Danych Osobowych, rozmawia Michał Bondyra
Przeciętnemu Kowalskiemu dane osobowe kojarzą się z podaniem imienia i nazwiska, adresu zamieszkania, numeru telefonu czy maila, jednak to pojęcie obejmuje znac
znie szerszy aspekt informacji o konkretnym człowieku...
– Zgadza się. Kowalskiemu dane osobowe kojarzą się z danymi teleadresowymi, natomiast w dzisiejszych czasach, by nie zawężać tego pojęcia, należałoby mówić nie tyle o danych, co o informacji osobowej. Ta ostatnia dotyczy nie tylko wymienionych przez pana: imienia, nazwiska czy adresu, ale i numerów PESEL i NIP, a także - w zależności od sytuacji - wielu innych informacji związanych z internetem, takich jak numer IP komputera czy nawet pliki cookies.
Artykuł 27 ustawy o ochronie danych osobowych mówi też o danych szczególnie chronionych, wśród których możemy wyróżnić informacje o poglądach politycznych, pochodzeniu rasowym, wyznaniu czy preferencjach seksualnych.
W jaki sposób i przed czym nasze dane osobowe powinny być chronione?
– Żyjemy w czasach, w których liczy się przede wszystkim dostęp do informacji, stąd dane osobowe określające nas i nasze życie są towarem bardzo wartościowym na rynku. Wypełniając różnego rodzaju, zdawać by się mogło, niewinne ankiety, podając w nich swoje preferencje i dane, podajemy na tacy nasz bardzo dokładny profil, który wykorzystują potem firmy marketingowe, kierując do nas reklamę konkretnego produktu.
Nieuwaga lub nienależyte obchodzenie się z danymi osobowymi może mieć też znacznie bardziej poważne konsekwencje związane choćby z utratą tożsamości. Niedawno zdarzyło się, że osoba wykorzystująca dane osobowe innego człowieka popełniła przestępstwo. Został skazany niewinny człowiek, który nie miał nawet świadomości, że takie przestępstwo miało miejsce. Przed przykrymi konsekwencjami uchroniło go to, że w czasie, w którym popełniono przestępstwo, przebywał za zagranicą, dzięki czemu mógł dowieść swojej niewinności.
Nawiązując do opisanego przez Pana przypadku, jak ocenia Pan parasol chroniący dane Polaków? Pytam o aspekt teoretyczny, ale co ważniejsze: i praktyczny?
– Ponieważ ustawa o ochronie danych osobowych została przyjęta dzięki implementacji dyrektywy europejskiej traktującej o ochronie danych osobowych, nasze prawodawstwo nie odbiega w żaden sposób od prawodawstwa Unii Europejskiej w tym zakresie. Choć poziom prawnej ochrony danych osobowych jest taki sam jak w pozostałych krajach członkowskich Unii, to od początku kadencji staramy się edukować Polaków w tym zakresie, budować ich świadomość, by ustawa nie była martwym przepisem, lecz została głęboko zakorzeniona w świadomości społecznej Polaków, bo przecież stosujemy tylko te przepisy, które znamy.
Jak Pan sądzi, czy bezpieczniejsze jest gromadzenie i archiwizacja danych osobowych w sposób tradycyjny, a więc papierowy, czy jednak elektroniczny, za pomocą systemów informatycznych?
– Oba mają swoje plusy i minusy. Bardziej rozwojowe i łatwiejsze dla administratora jest gromadzenie danych w sposób elektroniczny, jednak wyciek danych w tym przypadku ma znacznie poważniejsze konsekwencje. Zarówno w jednym, jak i drugim systemie zawsze ważne jest natomiast to, aby osoby biorące bezpośrednio udział w procesie przetwarzania danych osobowych były należycie przeszkolone i zdawały sobie sprawę z realnych zagrożeń, bo często okazuje się, że zabezpieczenia są na bardzo dobrym poziomie, a z racji braku wiedzy, odpowiedzialności czy z chęci zysku zawodzi właśnie człowiek.
Niedawno podpisana została, opracowana przez GIODO i Episkopat, instrukcja „Ochrona danych osobowych w działalności Kościoła Katolickiego w Polsce”. Faktem jest, że Kościół jako instytucja skupiająca około 90 proc. naszego społeczeństwa gromadzi tych danych bardzo wiele. Czy ww. instrukcja oznacza to, że dotąd dane nie były chronione w odpowiednim stopniu?
– Tak nie jest. Nie oznacza to, że dane te były dotąd chronione na nie odpowiednim poziomie. Wynika to po pierwsze z budowania świadomości i edukacji w tym zakresie, a ponadto z realizacji zaleceń Unii Europejskiej. Podobne porozumienia i instrukcje jak z Kościołem Katolickim podpisaliśmy wcześniej z sektorem marketingu bezpośredniego, bankowym i nieruchomości. Ponieważ, jak słusznie pan zauważył, większość Polaków jest członkami Kościoła Katolickiego, posiada on bardzo wiele danych, które należy dobrze zabezpieczyć i w odpowiedni sposób przetwarzać. Temu ma służyć ta instrukcja.
Kościół działa na zasadach Kodeksu prawa kanonicznego. Jak postanowienia tego kodeksu w sprawie danych osobowych mają się do ochrony ustawodawczej w Polsce?
– Ochronie danych osobowych jest poświęconych bardzo wiele kanonów prawa kanonicznego. Są one tożsame z ustawą, dlatego staraliśmy się do nich odwoływać pokazując, że również to prawo nakazuje należyte i godne postępowanie z danymi osobowymi. A instrukcja jest takim kompendium wiedzy gromadzącym wszystkie przepisy w tym zakresie, ułatwiające dostęp do praw i obowiązków związanych z gromadzeniem, przetwarzaniem i przechowywaniem danych osobowych.
Czy zatem kurie, parafie, ale i instytucje kościelne takie jak choćby Caritas, Pana zdaniem, w należyty sposób chronią dane swoich wiernych?
– Od lipca 2006 roku mieliśmy 3 skargi i 26 pytań dotyczących tego tematu. Patrząc więc z tej perspektywy, to nie jest problem spędzający nam sen z powiek. Trzeba mieć jednak świadomość tego, że władza generalnego inspektora w stosunku do danych zgromadzonych przez Kościół Katolicki jest w znacznym stopniu ograniczona, bo nie możemy kontrolować tych zbiorów, nie możemy wydawać też decyzji nakazujących pewne zachowania, stąd też nie mamy pełnej wiedzy na ten temat.
A na jakim etapie może występować lub występuje największe niebezpieczeństwo wycieku poufnych danych personalnych ze zbiorów kościelnych?
– Przede wszystkim trzeba zadbać o należyte zabezpieczenie danych osobowych w zbiorach przetwarzanych przez parafie. Zwracaliśmy uwagę, że czasem naprawdę nie trzeba zbyt wiele czasu i pieniędzy, aby zrobić to w sposób odpowiedni; wystarczy na przykład przenieść szafę z danymi z przejścia czy korytarza do mniej dostępnego dla wszystkich miejsca.
W przypadku przetwarzania danych w sposób elektroniczny, szczególnie, gdy w tym samym miejscu jest dostęp do internetu, zabezpieczenia powinny być na najwyższym poziomie.
Uczulaliśmy też na to, że dane osobowe zbierane są zawsze w jakimś konkretnym celu i skoro na przykład są one potrzebne do sakramentu małżeństwa, to nie mogą być one przekazywane przez księdza właścicielom salonu sukien ślubnych czy pobliskim fotografom, bo jest to niezgodne z prawem. A takie sygnały do nas docierały.
Skoro o przykładach mowa: czy parafie mogą zbierać dane o osobach niewierzących, nienależących do wspólnoty Kościoła, ale zamieszkujących na ich terenie?
– Zgodnie z ustawą o ochronie danych osobowych, Kościół Katolicki ma prawo przetwarzać dane osobowe swoich wiernych. Może też pozyskiwać i gromadzić dane osób niewierzących, zamieszkujących dana parafię, o ile uzyska na to ich zgodę i poinformuje je o celu takiego przetwarzania.
Proszę powiedzieć na koniec, czego mogą spodziewać się po tej instrukcji z jednej strony wierni, których dane i ich ochrona są jej przedmiotem, a z drugiej pracujący nad tymi danymi biskupi czy proboszczowie?
– Mam nadzieję, że spowoduje ona wzrost dbałości o ochronę danych osobowych zarówno zajmujących się nimi księży, jak i udostępniających je wiernych, a przetwarzanie tych danych będzie się odbywało zgodnie z zasadami zawartymi w tejże instrukcji, zasadami stanowiącymi zresztą odzwierciedlenie porządku prawnego obowiązującego na terenie naszego kraju.