28 stycznia obchodzimy europejski Dzień Ochrony Danych Osobowych, a z tą tematyką duży kłopot ma ostatnio polski Kościół katolicki. Hierarchowie kościelni i specjaliści prawa kanonicznego obruszają się na to, że GIODO ma kontrolować księgi parafialne. Zasłaniają się konkordatem i autonomią Kościoła w rządzeniu się swoimi sprawami. Uważają, że Kościół już od setek lat prowadzi księgi parafialne, robi to dobrze i w sposób bezpieczny, tak więc nie ma potrzeby, aby organ państwowy się w to mieszał. Purpuraci nie uwzględniają jednak tego, jak ogromny postęp technologiczny nastąpił w ciągu kilkunastu ostatnich lat i tego, że coraz więcej ksiąg parafialnych ma formę elektroniczną, gdyż jest to o wiele wygodniejsze rozwiązanie dla proboszczów. Na rynku jest dostępny odpowiedni software (np. ten), który nieustannie jest rozwijany i udoskonalany. Ostatnio natrafiłem nawet na wersję mobilną na iPada takiego oprogramowania! Czy księża ruszający na kolędę z iPadem pod pachą, który zawiera wrażliwe dane osobowe setek parafian (i nie tylko parafian) mają odpowiednie kwalifikacje aby w sposób bezpieczny obchodzić się z tymi zbiorami danych? Czy osoby bez wykształcenia informatycznego wiedzą jak zabezpieczyć te dane? Czy GIODO nie powinien mieć możliwości kontroli i interwencji w przypadku stwierdzenia naruszeń? Bez wątpienia aplikacja mFara dostępna na iPada to bardzo użyteczny produkt, który znakomicie ułatwia pracę księży pracujących „w terenie". Zawiera on karty osób, karty rodzin, informację o złożonych ofiarach. Jest to tylko część modułów dostępnych w pełnej wersji przeznaczonej na PC-ty, ale część najważniejsza. Natychmiast można sprawdzić nazwisko, adres, datę urodzenia, stan zdrowia, dane członków rodziny i wiele innych informacji o osobach mieszkających na terenie parafii. Program pozwala na szybkie wyszukiwanie i filtrowanie informacji (polecam przetestowanie bezpłatnej wersji próbnej dostępnej w App Store). Informacje dostępne są od razu i można je natychmiast aktualizować.
W obecnej wersji oprogramowania cała ta baza danych osobowych zgrywana jest z komputera do pamięci iPada „po kabelku". Jeśli ksiądz, np. wizytując parafian po kolędzie, wprowadzi na iPadzie jakieś nowe dane (np. informacje o stanie zdrowia parafianina) będzie musiał już na plebanii z pomocą kabla zgrać te nowe dane do komputera. Producent nie przewidział internetowego łączenia się iPada z komputerem czy też z jakimś serwerem baz danych rezydującym „w chmurze obliczeniowej". Jest to zgodne z zaleceniami dokumentu z 2009 roku pt. " Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce" będącego wspólnym dziełem GIODO oraz Episkopatu. W dokumencie tym znalazła się mianowicie informacja, że wielu zagrożeń można uniknąć jeśli urządzenia informatyczne, na których przechowuje się dane osobowe parafian nie są podłączone do internetu. Jest to jednakże tylko luźne zalecenie, a nie sztywny zakaz. Poza tym nawet jeśli sama aplikacja mFara nie przesyła danych przez Internet, to iPad jako urządzenie jest najczęściej do Internetu podłączony. Możliwość użycia tego typu oprogramowania w architekturze klient-serwer jest bardzo kusząca, gdyż takie rozwiązanie ma wiele zalet (wielu księży może aktualizować dane w tym samym czasie, można pozbyć się kabelków, łatwiejsze zarządzanie kopiami zapasowymi). Myślę, że jest tylko kwestią czasu kiedy synchronizacja poprzez internet pojawi się w kolejnych wersjach oprogramowania. Taki jest obecnie obserwowany trend w świecie software’u — wszyscy przenoszą się do chmury, gdyż użytkownicy kochają tego typu rozwiązania ze względu na wygodę i szybkość działania. Jednakże moim zdaniem im później programy dla parafii staną się w pełni mobilne i im później zaczną pracować on-line w architekturze serwer-klient, tym lepiej! W przeciwieństwie do korporacji gdzie zatrudnieni są liczni specjaliści IT, w parafiach brak jest ludzi znających się na zabezpieczaniu baz danych i systemów IT. Stwarza to duże zagrożenie wycieku wrażliwych danych osobowych i dostania się ich w niepowołane ręce. Obecnie ksiądz wyruszający w teren z iPadem pod pachą, z pełną bazą danych aplikacji mFara powinien zadbać o ich bezpieczeństwo na 3 sposoby:
W korporacji można wymusić stosowanie silnych haseł przez użytkowników. W przypadku używania tego urządzenia i oprogramowania przez księdza (którego nie kontroluje żaden dział IT) jest to zabezpieczenie, które można łatwo wyłączyć. Może się okazać, że konieczność logowania się do systemu co parę minut będzie na tyle irytująca, że proboszcz to zabezpieczenie całkiem usunie. Oczywiście, byłoby to proszeniem się o kłopoty. Jeśli w przyszłości dojdzie do tego synchronizacja danych przez internet zagrożenie wzrośnie do kwadratu, gdyż umiejętności hackerów wciąż rosną, a tego typu dane osobowe były by dla nich łakomym kąskiem. Jeśli zajrzymy do aplikacji to znajdziemy tam możliwość wprowadzania m.in. następujących danych (piszę tu o uproszczonej wersji na iPada — w pełnej wersji na komputer jest tych rubryczek jeszcze więcej):
Nie sądzę, że wszyscy księża wypełniają wszystkie te rubryki, ale niektórzy zapewne z nich korzystają (choć nie mam pojęcia po co im seria i numer dowodu osobistego). W przypadku dostania się tych danych w ręce przestępców, mogą oni zrobić z nich „świetny" użytek podejmując próbę uzyskania z ich pomocą pożyczek lub kredytów. Weźmy także pod uwagę, że księża mogą notować sobie (w rubryce 'Uwagi') informacje o stanie zdrowia, sytuacji finansowej, preferencjach seksualnych, karalności czy problemach rodzinnych. Nikt nie chciałby upublicznienia tego typu informacji o sobie, a to może być podstawą szantażów i wymuszeń. Jestem pewien, że producent oprogramowania uczula księży na punkcie konieczności dbania o bezpieczeństwo danych. Być może księża przechodzą szkolenia w tym zakresie. Jednakże, jak to w życiu bywa większość księży będzie dbała o bezpieczeństwo danych osobowych parafian, ale trafią się też czarne owce, które ten problem zbagatelizują. Tacy księża narażą swych parafian (i nie tylko — o tym za chwilę) na duże kłopoty. Kościół ma duże kompetencje w zakresie sprawowania posługi kapłańskiej i dbania o życie duchowe parafian. Jednakże jego kompetencje z zakresu współczesnego prawa ochrony danych osobowych i ochrony przed cyberprzestępczością są nieporównywalnie mniejsze. Z tego powodu uważam, że GIODO musi mieć uprawnienia do przeprowadzania kontroli i wydawania decyzji administracyjnych w parafiach dla dobra obywateli. Niestety, z powodu zapisów w Ustawie o ochronie danych osobowych uprawnienia GIODO do kontroli parafii są bardzo mocno ograniczone. Ustawa mająca na celu zmianę tego stanu rzeczy utknęła w Sejmie. Zbieranie danych o osobach nienależących do KościołaDlaczego pisałem, że nieumiejętne posługiwanie się przez księży programem Fara jest niebezpieczne zarówno dla parafian jak i „nieparafian"? Otóż w próbnej wersji na iPada znajduje się testowa baza danych 155 osób. Gdy skorzystałem z funkcji 'Filtr" ze zdziwieniem dowiedziałem się, że oprócz katolików w bazie znajdziemy dane:
Zrzut ekranu z aplikacji mFara Podkreślam, że jest to testowa baza fikcyjnych osób. Jednakże to, że tego typu przykładowe dane tam się znalazły jest bardzo symptomatyczne. Sugeruje to mianowicie, iż proboszczowie rzeczywiście przechowują dane osobowe ludzi, którzy nie należą do Kościoła katolickiego, a znaleźli się w takiej bazie danych tylko dlatego, że zamieszkują na terenie danej parafii. Jak te dane są zbierane? Część to zapewne dane osób, które kiedyś do Kościoła należały ale już z niego wystąpiły. Dodatkowo, rozmowy przeprowadzane podczas corocznej kolędy mogą być bogatym źródłem informacji o sąsiadach, którym nie po drodze do świątyni rzymskokatolickiej ... Czy zbieranie tego typu danych jest legalne? Wspomniany wyżej dokument Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce nie pozostawia wątpliwości:
Czy Kościół ma prawo zbierać i gromadzić dane osób niewierzących zamieszkujących daną parafię?
Dodatkowo, jeśli proboszcz przetwarza w księgach parafialnych dane osobowe osób innego niż katolickie wyznania (lub osób bezwyznaniowych) z automatu podpada pod inny przepis Ustawy o ODO — ma obowiązek zgłoszenia swego zbioru danych osobowych do GIODO (art. 42 i 43 ustawy). Czy w tej sytuacji hierarchowie katoliccy są w stanie poręczyć, że w 10 tysiącach polskich parafii, żaden ksiądz nie zbiera danych osobowych nienależących do Kościoła? Czy naprawdę uważają, że kognicja GIODO do kontroli parafii jest zbędna? Z powyższych informacji płynie jeden praktyczny wniosek dla osób, które wystąpiły z Kościoła oraz innowierców podejrzewających, że w księgach parafialnych mogą być przetwarzane ich dane osobowe. Osoby te powinny w pełni wykorzystać swe uprawnienia wymienione w artykule 32 Ustawy o ODO, a mianowicie zwrócić się do proboszczów parafii zamieszkania i parafii chrztu z pisemnym żądaniem:
Proboszcz ma 30 dni na odpowiedź, a jeśli tego nie zrobi możemy złożyć na niego skargę w GIODO. W świetle ostatnich wypowiedzi GIODO podejmie on interwencję, jeśli wykażemy, że faktycznie nie jesteśmy członkami Kościoła. Następnie, a nawet jednocześnie z pierwszym pismem, powinniśmy żądać natychmiastowego usunięcia z ksiąg parafialnych wszelkich danych osobowych niezwiązanych z sakramentami (patrz przykładowa lista powyżej). Takie mamy prawa na mocy Ustawy i powinniśmy z nich korzystać. Dodatkowo, wpłynie to na zwiększenie świadomości kleru katolickiego odnośnie przepisów ochrony danych osobowych. Wszystkiego najlepszego z okazji Dnia Ochrony Danych Osobowych! | ||
Oryginał.. (http://www.racjonalista.pl/kk.php/s,9556) (Ostatnia zmiana: 29-01-2014) |