EIS v skratke
Jeden z veľkých projektov ECAV na Slovensku, ktorý cirkev začala realizovať s cieľom uľahčenia práce a pomoci cirkevným zborom a farárom, je EIS – Elektronický informačný systém ECAV. Na jeho vývoji sa podieľalo množstvo ľudí, farárov, zástupcov všetkých úrovní cirkevnej správy, ako aj externých odborníkov. Projekt napredoval, vývoj trval niekoľko rokov v niekoľkých fázach, až prišla fáza implementácie priamo do cirkevných zborov. Po výmene vedenia ECAV sa však projekt pozastavil a až po niekoľkých mesiacoch (či skôr rokoch) sa znova naštartoval. Za každý seniorát sa určili zodpovední farári a začali sa seniorálne školenia. Cirkevné zbory a farári dostali k dispozícii skúšobnú verziu, kde sa mohli prihlásiť a systém testovať. Iba nedávno, 21. septembra 2021, bola spustená ostrá prevádzka EIS.
Záväzné používanie
Synoda na svojom zasadnutí prijala zákon č. 6/2020 o Elektronickom informačnom systéme ECAV na Slovensku, ktorého účelom je úprava podmienok prevádzky, údržby, riadenia a zabezpečenia EIS. V zákone sa uvádza aj záväznosť používania systému v § 3 v bode (1): „Zamestnanci ECAV na Slovensku sú povinní používať EIS ECAV“ a v bode (4): „Všetky COJ ECAV na Slovensku sú povinné využívať EIS ECAV.“
Zo zákona teda vyplýva, že zamestnanci, farári, sú povinní používať systém, či s ním súhlasia, alebo nesúhlasia, či majú, alebo nemajú technické zabezpečenie (počítač, internet…). Ak to nemajú, musí im to podľa § 5 bodu d) toho istého zákona zabezpečiť cirkevný zbor: „Koncové zariadenia v jednotlivých COJ, školenia koncových užívateľov (mimo zamestnancov ECAV na Slovensku) si zabezpečujú dané COJ.“ V dnešnej dobe sa síce už počítač a internet pokladajú za samozrejmosť, a možno sa to bude zdať smiešne, ale nie je to úplne tak. Vznikajú tým ďalšie investičné či prevádzkové náklady cirkevných zborov, ktoré musia hradiť zo svojho rozpočtu. Veľa farárov používa aj vlastné zariadenie, ktoré nie je majetkom COJ.
Cirkevný zbor je podľa Ústavy ECAV na Slovensku samostatná cirkevná organizačná jednotka so svojou právnou subjektivitou. Pred všetkými inštitúciami vystupuje ako samostatný subjekt, ktorý má právo o sebe rozhodovať. Na základe čoho teda cirkev požaduje od COJ ako samostatného subjektu s právnou subjektivitou povinnosť používania EIS?
Zabezpečenie a ochrana osobných údajov
Elektronický informačný systém spracováva osobné údaje členov aj nečlenov cirkevných zborov. Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov v článku č. 4 ods. 7 nariadenia definuje: „… prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.“
Z toho vyplýva, že prevádzkovateľom z pohľadu zákonov je cirkevný zbor ako samostatná COJ s právnou subjektivitou. ECAV na Slovensku vystupuje ako sprostredkovateľ, ktorý poskytuje systém podľa čl. 28 toho istého nariadenia, rovnako aj podľa § 34 zákona č. 18/2018 Z. z. o ochrane osobných údajov. Cirkevné zbory zbierajú osobné údaje na základe podpísanej dohody s jednotlivými členmi a nečlenmi.
Tu je na mieste otázka, na základe čoho cirkev bude pristupovať k týmto údajom? Kde budú tieto údaje uložené a tiež na základe čoho môže ECAV uchovávať a spracovávať tieto údaje?
Ako je ošetrený vzťah ochrany osobných údajov medzi cirkevným zborom a ECAV na Slovensku? Žiadne cirkevnoprávne predpisy neupravujú rozsah zbieraných údajov a ani ich uchovávanie, preto sa cirkevný zbor na základe svojej subjektivity môže rozhodnúť sám o rozsahu zbierania, uchovania a ich poskytnutia. Cirkevné zbory musia získať súhlas so spracovaním osobných údajov od všetkých členov a nečlenov, aj od tých, ktorí už sú zapísaní v evidenčných listoch, matrikách a všetkých databázach. Nie je možné prepisovať evidenčné listy a matriky do EIS bez súhlasu so spracovaním osobných údajov dotknutých.
Zodpovednosť na pleciach cirkevného zboru
Ďalšou otázkou je, kto môže pristupovať k údajom uloženým na serveri mimo cirkevného zboru. V cirkevnom zákone č. 6/2021 je v § 6 uvedené: „Databáza osobných údajov je prístupná len oprávneným osobám. Evidencie členov COJ má v zásade len daná COJ, ktorá zabezpečuje legislatívnu ochranu v spolupráci s ECAV na Slovensku.“ Kto však sú oprávnené osoby, kde je zoznam oprávnených osôb? K evidencii členov má teda v „zásade“ prístup len daný cirkevný zbor prostredníctvom poverených osôb, ktorý zabezpečuje legislatívnu ochranu.
Z vyššie uvedeného textu však zároveň vyplýva, že údaje budú uložené v centrále ECAV, kde bude rovnako možný prístup k databázam – minimálne z pozície správcu, resp. poverených osôb. Z legislatívy však vyplýva, že ak dôjde k úniku informácií, pred zákonom bude zodpovedný cirkevný zbor! Ten znáša všetky postihy vyplývajúce zo zákona! Týmto spôsobom cirkev ako prevádzkovateľ hardvéru a softvéru nebude skoro za nič zodpovedná. A teda na mieste je ďalšia otázka: Aké má cirkev práva, povinnosti a zodpovednosť za údaje uložené na serveroch jednotlivými cirkevnými zbormi? Je to vyvážený – alebo úplne jednostranne nastavený systém?!
Náklady navyše pre COJ
EIS, tak ako ho prezentuje vedenie cirkvi, má uľahčiť prácu a pomôcť farárom a cirkevným zborom. Momentálne však už tradične netransparentný, odborne nepripravený a slabo odkomunikovaný postup pri zavádzaní vyvoláva zbytočné pochybnosti a zároveň zbytočne spomaľuje jeho zavedenie. Celý projekt sa tak míňa svojmu pôvodnému účelu. Navyše samotným cirkevným zborom vytvára ďalšie náklady a povinnosti.
Okrem zabezpečenia proti úniku či zneužitiu údajov, softvérového zabezpečenia (napr. antivírusový program), technického zabezpečenia (počítač, notebook) je cirkevný zbor povinný vytvoriť si aj svoj vlastný GDPR projekt, čo je nemalá položka v rozpočte. Každý cirkevný zbor zároveň musí definovať zodpovednú osobu, ktorá bude zodpovedná za ochranu osobných údajov, sledovanie aktuálnej, meniacej sa legislatívy a jej zapracovávanie do projektu. V komerčnej sfére si firmy najímajú ľudí alebo spoločnosti, ktorým sa za túto agendu platí mesačná renta. GDPR projekt, ktorý si dá urobiť cirkevný zbor, stojí niekoľko sto eur, ale ak ho nebude pravidelne podľa potrieb legislatívy upravovať a zapracovávať všetky legislatívne zmeny, nebude mať žiadny reálny význam.
Postihy
V zákone č. 6/2021 sú uvedené povinnosti farárov a COJ, ale nie sú uvedené postihy, ktoré vyplývajú z nedodržania tohto cirkevného zákona. Nie je ošetrená situácia, keď farár má povinnosť používať EIS, ale cirkevný zbor to odmietne. Ak nemá cirkevný zbor vytvorený svoj vlastný GDPR projekt, nedostane farár prístup do EIS. Rovnako nie je nikde legislatívne stanovené, aké informácie je potrebné zbierať, ani v akom rozsahu. Nie je jednoznačne definované, kto a z akej úrovne bude k akým informáciám môcť pristupovať. Nie je definovaný vzťah medzi cirkevným zborom a ECAV ako prevádzkovateľom systému.
Záver
Cirkev zavedením EIS na seba zobrala určité povinnosti, zodpovednosť a záväzky, ktoré je potrebné dodržiavať. Avšak všetko sa len prikazuje a určujú sa povinnosti – bez diskusie, adekvátneho vysvetlenia, dostatočného informovania či praktickej pomoci pri zavádzaní zmien, ktoré nie sú pre všetkých jednoduché. Takýto prístup, ktorý je možné charakterizovať ako zbavovanie sa zodpovednosti, svojou slabou odbornou prípravou, neinformovanosťou, nedotiahnutím potrebných vecí v legislatívnej rovine spôsobuje, že aj dobre myslené projekty, ktoré boli vytvárané pre uľahčovanie procesov a pomoc COJ, spôsobujú len odpor a averziu voči zmenám, čo môže v konečnom dôsledku viesť aj k spochybneniu celého projektu. Základom vzťahov medzi ľuďmi a inštitúciami je dôvera, ktorá sa však nedá vybudovať príkazmi!
Ivan Debnár
bývalý člen komisie na realizáciu projektu EIS
ilustračné foto: unsplash.com
Spätné odkazy