Dekret ogólny
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim
wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie,
na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r.
Chrześcijaństwo wniosło do kultury europejskiej przekonanie o nienaruszalnej godności osoby ludzkiej. Zakorzenione ono jest w fakcie stworzenia człowieka na „obraz i podobieństwo” Boga. Godność jest przymiotem ludzkiej natury rozumnej i wolnej. Uznanie godności człowieka wymaga odpowiedniej ochrony danych osobowych.
Biorąc pod uwagę zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, a zwłaszcza mając na uwadze:
-
kan. 220 Kodeksu Prawa Kanonicznego oraz kan. 23 Kodeksu Kanonów Kościołów Wschodnich, gwarantujące prawo do dobrego imienia i prawo do ochrony intymności,
-
kan. 482-491 i kan. 535 Kodeksu Prawa Kanonicznego oraz kan. 252-261 i kan. 296 Kodeksu Kanonów Kościołów Wschodnich, zobowiązujące każdą parafię do prowadzenia ksiąg parafialnych, zgodnie z przepisami Konferencji Biskupów i biskupa diecezjalnego oraz zobowiązujące proboszcza do ich właściwego sporządzania i przechowywania oraz dotyczące obowiązku posiadania archiwum przez kurie diecezjalne i parafie, i zasad ich prowadzenia,
-
kan. 1067 i 1069 Kodeksu Prawa Kanonicznego oraz kan. 784 i 786 Kodeksu Kanonów Kościołów Wschodnich, dotyczące kanonicznego przygotowania do małżeństwa, a w szczególności przekazywania informacji o okolicznościach mających znaczenie dla możliwości jego zawarcia,
-
Motu proprio La cura vigilantissima z dnia 21 marca 2005 r. (AAS 97(2005), s. 353-376),
-
Przepisy Konferencji Episkopatu Polski o prowadzeniu ksiąg parafialnych: ochrzczonych, bierzmowanych, małżeństw i zmarłych, oraz księgi stanu dusz z dnia 26 października 1947 r.,
-
Instrukcję opracowaną przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski z dnia 23 września 2009 r. „Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce”,
-
Dekret Ogólny Konferencji Episkopatu Polski w sprawie wystąpień z Kościoła oraz powrotu do wspólnoty Kościoła z dnia 7 października 2015 r. oraz inne regulacje prawa partykularnego, przypominając powszechnie uznaną zasadę autonomii państwa i Kościoła, mając na względzie konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym, działając w celu uszczegółowienia przepisów Kodeksu Prawa Kanonicznego i uaktualnienia przepisów prawa partykularnego, postanawia się, co następuje:
Rozdział I Zagadnienia ogólne
Art. 1 – Przedmiot regulacji
Niniejszy dekret określa szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim w Polsce.
Art. 2 – Odesłanie do innych przepisów prawa kanonicznego
Zasady redagowania, zarządzania oraz nadzoru nad zbiorami danych, a także wykorzystywania danych, są określone przez przepisy powszechnego oraz partykularnego prawa kanonicznego, uzupełniane w razie potrzeby przez przepisy wydane przez Konferencję Episkopatu Polski.
Art. 3 – Zakres przedmiotowy
Niniejszy dekret ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Art. 4 – Zakres podmiotowy
Niniejszy dekret stosuje się do publicznych kościelnych osób prawnych.
Art. 5 – Słowniczek pojęć
Na potrzeby niniejszego dekretu:
-
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
-
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
-
„zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie; w działalności Kościoła zbiorami danych są w szczególności: księgi parafialne zawierające rejestr ochrzczonych, bierzmowanych, Pierwszej Komunii świętej, zawartych małżeństw, zgonów, jak również rejestr parafian, alumnów seminariów duchownych, nowicjuszy i członków instytutów życia konsekrowanego i stowarzyszeń życia apostolskiego;
-
„administrator” oznacza osobę prawną lub inną jednostkę organizacyjną, która ustala cele i sposoby przetwarzania danych osobowych;
-
„podmiot przetwarzający” oznacza osobę fizyczną lub prawną, bądź jednostkę organizacyjną, która przetwarza dane osobowe w imieniu administratora;
-
„odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, bądź jednostkę organizacyjną, której ujawnia się dane osobowe. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem, nie są jednak uznawane za odbiorców;
-
„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
-
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
-
„dane wrażliwe” oznaczają dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne a także dane dotyczące zdrowia lub seksualności osoby fizycznej;
-
„dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
-
„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak np. wizerunek twarzy lub dane daktyloskopijne;
-
„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.
Rozdział II
Zasady przetwarzania danych
Art. 6 – Standardy przetwarzania danych
-
Dane osobowe powinny być:
-
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
-
zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;
-
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
-
prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
-
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, do celów badań naukowych lub historycznych albo do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;
-
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
-
-
Za przestrzeganie określonych powyżej zasad odpowiedzialny jest administrator, który powinien być w stanie wykazać ich przestrzeganie. Na administratorze spoczywa obowiązek czuwania nad prawidłowym zachowaniem przedmiotowych norm kanonicznych oraz koordynacji działalności ewentualnych współpracowników.
Art. 7 – Dopuszczalność przetwarzania danych
-
W działalności publicznych kościelnych osób prawnych przetwarzanie danych osobowych jest dopuszczalne, jeżeli:
-
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
-
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
-
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, zgodnie z przepisami prawa kanonicznego lub prawa świeckiego;
-
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
-
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
-
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
-
-
Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie w stosunku do osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci (członków Kościoła), łącznie z tymi, którzy złożyli formalne oświadczenie woli o wystąpieniu z Kościoła katolickiego, zgodnie z wewnętrznymi przepisami Kościoła („byłych członków Kościoła”) oraz osób utrzymujących z nim stałe kontakty w związku z realizacją celów Kościoła w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń. Dane te nie są ujawniane poza Kościołem bez zgody osób, których dane dotyczą.
Art. 8 – Informowanie o przetwarzaniu danych w przypadku zbierania danych od osoby, której dane dotyczą
-
W przypadku zbierania danych od osoby, której dane dotyczą, administrator danych informuje tę osobę o przetwarzaniu, podając informacje identyfikujące administratora i pozwalające się z nim skontaktować, bądź dane kontaktowe inspektora ochrony danych, wskazując cel przetwarzania danych, podstawę prawną przetwarzania, informacje o odbiorcach oraz zamiarze przekazania danych do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej. Ponadto administrator podaje informacje o okresie przetwarzania danych, informacje o prawie do żądania od administratora dostępu do danych osobowych, prawie domagania się ich sprostowania, usunięcia lub ograniczenia przetwarzania zgodnie z niniejszym Dekretem, oraz informacje o prawie wniesienia skargi do Kościelnego Inspektora Ochrony Danych;
-
Przepis ust. 1 nie ma zastosowania w przypadku, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami.
Art. 9 – Informowanie przy zbieraniu danych z innych źródeł
-
Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, informacje wskazane w art. 8 ust. 1 oraz informacje o źródle pochodzenia danych. Przekazanie informacji powinno nastąpić w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze okoliczności przetwarzania danych osobowych.
-
Przepis ust. 1 nie ma zastosowania, gdy – i w zakresie, w jakim:
-
osoba, której dane dotyczą, dysponuje już tymi informacjami;
-
udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
-
pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
-
dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie, w tym obowiązkiem zachowania tajemnicy spowiedzi, zgodnie z kan. 983 § 1 Kodeksu Prawa Kanonicznego i kan. 773 § 1 Kodeksu Kanonów Kościołów Wschodnich, tajemnicy, o której mowa w kan. 983 § 2 Kodeksu Prawa Kanonicznego i kan. 773 § 2 Kodeksu Kanonów Kościołów Wschodnich oraz tajemnicy duszpasterskiej.
-
Art. 10 – Publikacja periodyków urzędowych
-
Roczniki (informatory, schematyzmy, itp.) jako użyteczne narzędzia do wykonywania zadań instytucjonalnych kościelnych publicznych osób prawnych, wydawane są pod ich własną redakcją i zawierają dane niezbędne do określenia organów, urzędów, struktur, osób uprawnionych do ich reprezentacji i personelu pomocniczego.
-
Periodyki informacyjne przeznaczone do użytku wewnętrznego, opisujące najważniejsze wydarzenia z życia i działalności redagujących je podmiotów kościelnych, mogą zawierać dane dotyczące osób uczestniczących w uroczystościach i wydarzeniach oraz dane dotyczące osób, które złożyły darowiznę, o ile w poszczególnych przypadkach zainteresowani nie wnosili o ich nieujawnianie.
-
Zasady zawarte w ust. 1 i 2 stosuje się odpowiednio do publikacji cyfrowych i stron internetowych.
Rozdział III
Prawa osoby, której dane dotyczą
Art. 11 – Prawo do informacji o przetwarzaniu danych
-
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są jej dane osobowe, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do otrzymania następujących informacji:
-
cele przetwarzania;
-
kategorie odnośnych danych osobowych;
-
informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
-
w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
-
informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, zgodnie z niniejszym Dekretem;
-
informacje o prawie wniesienia skargi do Kościelnego Inspektora Ochrony Danych;
-
jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – informacje o ich źródle.
-
-
Jeżeli dane osobowe są przekazywane do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, związanych z przekazaniem.
-
Administrator, ma obowiązek, na żądanie osoby, której dane dotyczą, dostarczyć jej kopię danych podlegających przetwarzaniu.
-
Każdy ma prawo do żądania i otrzymania, osobiście lub za pośrednictwem prawnie ustanowionego pełnomocnika, certyfikatów, wyciągów, świadectw, w postaci kopii lub dokumentu autentycznego, zawierających dane jego dotyczące. Wyłączeniu podlegają dane, które jako nie pochodzące od wnioskodawcy, są objęte tajemnicą na mocy prawa lub nie można ich oddzielić od danych dotyczących osób trzecich i ze względu na poufność wymagają ochrony.
-
Za wystawienie dokumentów, o których mowa w ust. 4, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Prawo pobrania opłaty dotyczy również kolejnych kopii danych osobowych podlegających przetwarzaniu, sporządzonych na wniosek osoby, której dane dotyczą po zrealizowaniu przez administratora obowiązku określonego w ust. 3.
Art. 12 – Prawo do żądania sprostowania danych
-
Osoba, której dane dotyczą, ma prawo żądać od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, jeżeli dane są nieprawidłowe.
-
Wniosek o sprostowanie danych powinien zostać przedstawiony w formie pisemnej administratorowi, osobiście lub za pośrednictwem prawnie ustanowionego pełnomocnika, z załączeniem właściwych dokumentów, w razie potrzeby także cywilnych.
-
Jeżeli administrator odmówi przyjęcia wniosku o sprostowanie danych, powinien pisemnie powiadomić o odmowie wnioskodawcę, który będzie mógł złożyć ponownie wniosek do ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.
-
Sprostowanie danych dotyczących aktów i faktów dotyczących stanu kanonicznego osoby może zostać dokonane jedynie za zezwoleniem ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.
Art. 13 – Prawo do żądania dokonania adnotacji i uzupełnienia danych
-
Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo w uzasadnionym zakresie żądać umieszczenia w zbiorze danych adnotacji lub uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
-
Wniosek o dokonanie adnotacji lub uzupełnienie danych powinien spełniać warunki określone w art. 12 ust. 2.
-
Adnotacja dokonana na marginesie dokumentu stanowi jego część integralną. Jej treść winna być umieszczona w każdym wyciągu lub kopii aktu
-
Administrator powiadamia pisemnie wnioskodawcę o dokonanej adnotacji.
-
W przypadku odrzucenia wniosku, zostaje on odnotowany i przechowywany w aneksie do właściwego zbioru. Administrator powiadamia na piśmie o odrzuceniu wniosku zainteresowanego, który może ponownie złożyć wniosek do ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.
Art. 14 – Prawo do żądania usunięcia danych
-
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
-
dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
-
osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
-
dane osobowe były przetwarzane niezgodnie z prawem.
-
-
Jeżeli administrator upublicznił dane osobowe, a ma obowiązek ich usunięcia, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych lub ich replikacje.
-
Zasady, o których mowa w ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
-
do korzystania z prawa do swobody wypowiedzi i wolności informacji;
-
do wywiązania się z obowiązku prawnego wymagającego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
-
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
-
do ustalenia, dochodzenia lub obrony roszczeń.
-
-
Prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby. Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.
Art. 15 – Prawo do żądania ograniczenia przetwarzania
-
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania danych w następujących przypadkach, gdy:
-
osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
-
przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
-
administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
-
-
Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
-
Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.
Art. 16 – Obowiązek powiadomienia
Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
Rozdział IV
Administrator i podmiot przetwarzający
Art. 17 – Obowiązki administratora
-
Administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Administrator jest zobowiązany do przestrzegania przepisów kanonicznych dotyczących starannego przechowywania, dozwolonego użytku i właściwego zarządzania danymi osobowymi.
-
Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
-
Zarówno na etapie projektowania, jak też w trakcie procesów przetwarzania administrator powinien zastosować odpowiednie środki techniczne i organizacyjne, służące ochronie danych a także pozwalające, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia celu przetwarzania.
Art. 18 – Współadministratorzy
-
Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swoich obowiązków i odpowiedzialności.
-
Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.
-
Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wobec każdego z współadministratorów.
Art. 19 – Powierzenie przetwarzania i obowiązki podmiotu przetwarzającego
-
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora przez podmiot przetwarzający, podmiot ten powinien zapewniać wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego dekretu i gwarantowało ochronę praw osób, których dane dotyczą.
-
Przetwarzanie danych przez podmiot przetwarzający powinno opierać się na umowie lub innym zobowiązaniu prawnym ustalającym zakres odpowiedzialności i procedury, gwarantującym, że podmiot przetwarzający:
-
będzie przetwarzał dane wyłącznie w zakresie i celu określonym w umowie;
-
zapewni, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy;
-
podejmie środki wymagane w celu zabezpieczenia danych;
-
będzie pomagał administratorowi wypełniać obowiązki w zakresie informowania osób, których dane dotyczą, realizowania ich uprawnień oraz obowiązki dotyczące zawiadamiania o naruszeniach;
-
po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunie lub zwróci mu wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie;
-
udostępni administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwi administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.
-
-
Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody administratora.
-
Powierzenie przetwarzania danych podmiotowi nie należącemu do porządku kanonicznego musi zostać dokonane na podstawie umowy zawartej zgodnie z kan. 1290 Kodeksu Prawa Kanonicznego i kan. 1034 Kodeksu Kanonów Kościołów Wschodnich, z zastrzeżeniem, że także na podmiocie, któremu zostają powierzone dane spoczywa obowiązek zachowania przepisów niniejszego dekretu.
Art. 20 – Przetwarzanie z upoważnienia. Obowiązek zachowania tajemnicy
-
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo.
-
Administrator oraz każda inna osoba posiadająca stały dostęp do danych gromadzonych przez podmioty kościelne lub przez nie prawnie nabytych, jest zobowiązana do zachowania tajemnicy dotyczącej wszystkich przetwarzanych danych osobowych. Obowiązek zachowania tajemnicy pozostaje nienaruszony także po zakończeniu pełnienia funkcji.
Art. 21 – Rejestrowanie czynności przetwarzania
-
Każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym zamieszcza się następujące informacje:
-
imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz współadministratorów, a także gdy ma to zastosowanie – inspektora ochrony danych;
-
cele przetwarzania;
-
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
-
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
-
gdy ma to zastosowanie, informacje o przekazywaniu danych do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej;
-
jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
-
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
-
-
Każdy podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
-
imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – inspektora ochrony danych;
-
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
-
gdy ma to zastosowanie – przekazania danych osobowych do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej;
-
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
-
-
Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym elektroniczną.
-
Administrator lub podmiot przetwarzający udostępniają rejestr na żądanie Kościelnego Inspektora Ochrony Danych.
Art. 22 – Bezpieczeństwo przetwarzania
-
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
-
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
-
Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo.
Art. 23 – Warunki przechowywania zbiorów danych
-
-
Zbiory danych powinny być przechowywane w pomieszczeniu przeznaczonym do tego celu, bezpiecznym, należącym lub dostępnym wyłącznie dla administratora, podmiotu przetwarzającego oraz osób przetwarzających na podstawie upoważnienia.
-
W przypadku braku pomieszczenia o takich właściwościach, powinny być one przechowywane w szafie umieszczonej w lokalu należącym do administratora lub podmiotu przetwarzającego na zlecenie administratora lub dostępnym wyłącznie im i osobom przez nich upoważnionym, z wystarczającą gwarancją ich bezpieczeństwa i nienaruszalności.
-
Art. 24 – Przechowywanie danych w archiwach
-
Szczególną uwagę należy zwrócić na zapewnienie nienaruszalności archiwów i ich zarządzanie.
-
Archiwum powinno być wyposażone w system zamknięcia, który gwarantuje wystarczającą ochronę przed kradzieżą i włamaniem.
-
Klucze do archiwum winny być starannie przechowywane przez administratora danych lub osobę przez niego upoważnioną. Staranność powinna być dochowana także przy autoryzacji dostępu udzielanego osobom postronnym.
Art. 25 – Przechowywanie danych w archiwach cyfrowych
-
Dane zawarte w archiwach cyfrowych winny być zarządzane za pomocą licencjonowanego oprogramowania, pozwalającego na kontrolę dostępu przy pomocy systemu identyfikatorów i haseł dostępu.
-
Administrator winien zapewnić bezpieczeństwo danych poprzez okresowo dokonywany ich zapis i przeniesienie na inne nośniki, zabezpieczone przed dostępem osób postronnych.
-
Urządzenia i nośniki zawierające dane winny być przechowywane w pomieszczeniach zamkniętych i zabezpieczonych przed dostępem osób nieuprawnionych.
Art. 26 – Tajne archiwum
Tajne archiwum, ustanowione na podstawie ogólnych przepisów kanonicznych winno być strzeżone z uwzględnieniem jego szczególnego charakteru, zgodnie z przepisami kan. 489-490 Kodeksu Prawa Kanonicznego i kan. 259-260 Kodeksu Kanonów Kościołów Wschodnich oraz odpowiednimi przepisami partykularnymi, w tym obowiązującymi w instytutach życia konsekrowanego i stowarzyszeniach życia apostolskiego.
Art. 27 – Zgłaszanie naruszenia ochrony danych osobowych Kościelnemu Inspektorowi Ochrony Danych
-
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Kościelnemu Inspektorowi Ochrony Danych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
-
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
-
Zgłoszenie, o którym mowa w ust. 1, powinno co najmniej:
-
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
-
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
-
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
-
opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
-
-
Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można ich udzielać sukcesywnie bez zbędnej zwłoki.
-
Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta powinna pozwolić Kościelnemu Inspektorowi Ochrony Danych na weryfikowanie przestrzegania niniejszego artykułu.
Art. 28 – Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
-
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
-
Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 27 ust. 3 pkt 2-4.
-
Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
-
administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
-
administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
-
wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
-
-
Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, Kościelny Inspektor Ochrony Danych – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.
Art. 29 – Zgłoszenie naruszenia innym podmiotom
Niezależnie od spełnienia obowiązków określonych w art. 27-28, administrator winien zgłosić bezzwłocznie właściwej władzy kościelnej, a w razie potrzeby także organom ścigania, każde wtargnięcie do archiwum, lub do pomieszczenia, w którym przechowywane są zbiory danych, którego skutkiem była utrata lub zniszczenie rejestrów, akt, dokumentów urzędowych, indeksów i katalogów zawierających dane osobowe.
Art. 30 – Powołanie inspektora ochrony danych
-
Kościelna publiczna osoba prawna może wyznaczyć inspektora ochrony danych. W przypadku, gdy przetwarzanie danych odbywa się na dużą skalę, kościelna publiczna osoba prawna powinna wyznaczyć inspektora ochrony danych.
-
Kilka kościelnych publicznych osób prawnych może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
-
Inspektor ochrony danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyki w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 32.
-
Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.
-
Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich Kościelnego Inspektora Ochrony Danych.
Art. 31 – Status inspektora ochrony danych
-
Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
-
Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
-
Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji, które uniemożliwiałyby mu wykonywanie jego zadań. Nie powinien on być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega administratorowi lub podmiotowi przetwarzającemu.
-
Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego dekretu.
-
Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z przepisami prawa kanonicznego lub świeckiego.
-
Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Art. 32 – Zadania inspektora ochrony danych
Do zadań inspektora ochrony danych należy:
-
informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach w zakresie ochrony danych i doradzanie im w tej sprawie;
-
monitorowanie przestrzegania niniejszego dekretu oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
-
współpraca z Kościelnym Inspektorem Ochrony Danych;
-
pełnienie funkcji punktu kontaktowego dla Kościelnego Inspektora Ochrony Danych w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Art. 33 – Współpraca z organem nadzorczym
Administrator, podmiot przetwarzający i inspektor ochrony danych – jeśli został on wyznaczony – współpracują z Kościelnym Inspektorem Ochrony Danych w ramach wykonywania przez niego zadań.
Art. 34 – Przekazywanie danych i sporządzanie wypisów
-
Przekazanie danych do innego kościelnego zbioru danych może nastąpić na wniosek osoby, której dane dotyczą lub na wniosek administratora zbioru danych, w którym mają zostać użyte wnioskowane dane. Może to nastąpić poprzez dostarczenie bezpośrednie lub za pośrednictwem poczty lub – z zachowaniem ostrożności – drogą elektroniczną.
-
Przekazywanie danych osobowych przez kościelne publiczne osoby prawne innym podmiotom może nastąpić w przypadku, gdy:
-
jest to niezbędne dla wykonania zadań określonych w przepisach prawa;
-
osoba, której dane dotyczą została o tym poinformowana i uprzednio wyraziła zgodę na przekazanie danych w formie pisemnej;
-
przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której dane dotyczą lub w interesie której dane miałyby zostać przekazane;
-
przekazanie jest niezbędne ze względu na ważne względy interesu publicznego.
-
-
Dokonanie wypisu i przekazanie danych zawartych w zbiorze poza przypadkami przewidzianymi w ust. 1 i 2 oraz w art. 11 ust. 4, jest ponadto dopuszczalne:
-
dla celów badawczych, z zachowaniem kryteriów metodologicznych i deontologicznych odnoszących się do badań historycznych, a w szczególności wskazanych w regulacjach dotyczących archiwów kościelnych;
-
dla celów statystycznych, po uprzednim usunięciu danych identyfikujących osoby.
Rozdział V
-
Kościelny Inspektor Ochrony Danych
Art. 35 – Niezależność Kościelnego Inspektora Ochrony Danych
-
Kościelny Inspektor Ochrony Danych jest niezależnym organem monitorującym i zapewniającym przestrzeganie przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur. Kościelny Inspektor Ochrony Danych w zakresie wykonywania swoich zadań nadzorczych nie podlega poleceniom innych podmiotów.
-
Funkcja Kościelnego Inspektora Ochrony Danych jest urzędem w rozumieniu kan. 145 Kodeksu Prawa Kanonicznego.
-
Osoba pełniąca funkcję Kościelnego Inspektora Ochrony Danych ma obowiązek powstrzymać się od wszelkich zajęć i działań, niedających się pogodzić z pełnioną funkcją.
-
Konferencja Episkopatu Polski zapewnia warunki i środki niezbędne do skutecznego wypełniania zadań przez Kościelnego Inspektora Ochrony Danych.
Art. 36 – Wybór Kościelnego Inspektora Ochrony Danych
-
Kościelny Inspektor Ochrony Danych jest wybierany przez Zebranie Plenarne Konferencji Episkopatu Polski na czteroletnią kadencję. Ta sama osoba może być wybierana na kolejne kadencje.
-
Osoba pełniąca funkcję Kościelnego Inspektora Ochrony Danych powinna posiadać odpowiednią wiedzę, doświadczenie i umiejętności w zakresie ochrony danych osobowych, niezbędne do prawidłowego wypełniania swoich zadań.
-
Kościelny Inspektor Ochrony Danych może zostać odwołany z pełnionej funkcji tylko w przypadku, gdy dopuścił się poważnego uchybienia swoich obowiązków albo przestał spełniać wymogi niezbędne do pełnienia urzędu.
-
Kościelny Inspektor Ochrony Danych może złożyć rezygnację z pełnionego urzędu. Winna być ona złożona na piśmie i osiąga skutek z chwilą jej notyfikowania Przewodniczącemu Konferencji Episkopatu Polski.
Art. 37 – Zadania Kościelnego Inspektora Ochrony Danych
-
Do zadań Kościelnego Inspektora Ochrony Danych należy:
-
monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur;
-
upowszechnianie wiedzy o ochronie danych osobowych w Kościele;
-
doradzanie administratorom danych i podmiotom przetwarzającym w Kościele w zakresie ochrony danych osobowych;
-
udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych;
-
rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych;
-
podejmowanie decyzji dotyczących dopuszczalności przekazywania danych do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej, jeśli istnieją uzasadnione wątpliwości odnośnie do ochrony tych danych;
-
współpraca z krajowym organem nadzorczym, w tym dzielenie się informacjami oraz świadczenie wzajemnej pomocy w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych;
-
monitorowanie zmian w działalności Kościoła mających wpływ na ochronę danych osobowych, w szczególności stosowania technologii informacyjnych i komunikacyjnych;
-
przedkładanie Konferencji Episkopatu Polski propozycji regulacji prawnych bądź zmian regulacji dotyczących ochrony danych osobowych.
-
-
Kościelny Inspektor Ochrony Danych nie jest uprawniony do monitorowania i ingerencji w przekazywanie danych do Stolicy Apostolskiej.
-
Kościelny Inspektor Ochrony Danych nie może monitorować ani ingerować w przetwarzanie danych dokonywane przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości.
Art. 38 – Uprawnienia Kościelnego Inspektora Ochrony Danych
W celu realizacji zadań Kościelny Inspektor Ochrony Danych jest uprawniony do:
-
żądania od podmiotów przetwarzających dane osobowe w Kościele udzielenia informacji związanych z przetwarzaniem i ochroną danych;
-
przeprowadzenia kontroli działalności podmiotów przetwarzających dane osobowe w Kościele;
-
nakazania przywrócenia stanu zgodnego z prawem w przypadku stwierdzenia nieprawidłowości przy przetwarzaniu danych;
-
nakazania administratorowi poinformowania osoby, której dane dotyczą o naruszeniu ochrony danych;
-
podjęcia innych środków, niezbędnych do zapewnienia skutecznej ochrony danych osobowych w Kościele.
Art. 39 – Sprawozdanie z działalności Kościelnego Inspektora Ochrony Danych
Kościelny Inspektor Ochrony Danych sporządza roczne sprawozdanie ze swojej działalności, które jest przekazywane Konferencji Episkopatu Polski oraz publikowane w Aktach Konferencji Episkopatu Polski.
Art. 40 – Nadzór
-
-
Niezależnie od monitorowania i zapewniania przez Kościelnego Inspektora Ochrony Danych przestrzegania przepisów w zakresie ochrony danych osobowych w rozumieniu art. 35 ust. 1 niniejszego Dekretu, do biskupa diecezjalnego w ramach zwyczajnych działań kontrolnych (np. podczas wizytacji kanonicznych) należy także nadzór nad prawidłowym przestrzeganiem przepisów dotyczących pozyskiwania, przechowywania i przetwarzania danych osobowych.
-
W instytutach życia konsekrowanego i stowarzyszeniach życia apostolskiego nadzór, o którym mowa w ustępie poprzedzającym, sprawuje wyższy przełożony.
-
Rozdział VI
Procedura odwoławcza i odpowiedzialność za naruszenie przepisów niniejszego Dekretu ogólnego
Art. 41 – Procedura odwoławcza
Jeśli osoba, której dane dotyczą, uzna, że przetwarzanie danych nie jest zgodne z przepisami niniejszego Dekretu, może złożyć skargę do Kościelnego Inspektora Ochrony Danych, a następnie do właściwej dykasterii Stolicy Apostolskiej, zgodnie z przepisami Kodeksu Prawa Kanonicznego.
Art. 42 – Sankcje
-
Kto powoduje szkody materialne lub moralne poprzez nieuprawnione pozyskanie, przechowywanie i wykorzystywanie danych osobowych jest zobowiązany do naprawienia szkody zgodnie z kan. 128 Kodeksu Prawa Kanonicznego oraz kan. 935 Kodeksu Kanonów Kościołów Wschodnich.
-
Karze przewidzianej przez kan. 1389 Kodeksu Prawa Kanonicznego oraz kan. 1464 Kodeksu Kanonów Kościołów Wschodnich podlega ten, kto naruszając niniejsze przepisy:
-
nadużywa władzy kościelnej lub urzędu;
-
dokona lub zaniecha bezprawnie z powodu zawinionego zaniedbania aktu władzy kościelnej lub aktu urzędowego powodując szkodę dla innej osoby.
-
-
Karą przewidzianą w kan. 1390 § 2 Kodeksu Prawa Kanonicznego oraz kan. 1452 Kodeksu Kanonów Kościołów Wschodnich może zostać ukarany ten, kto nie zachowując niniejszych przepisów narusza czyjeś dobre imię.
-
Jeżeli przestępstwo polega na naruszeniu obowiązku służbowego kara podlega zaostrzeniu i może także polegać na odwołaniu lub na pozbawieniu urzędu zgodnie z kan. 193
§ 1 i 3; 196 § 1; 1336 § 1, n. 2° i 1389 Kodeksu Prawa Kanonicznego oraz kan. 975 § 1 i 2; 978; 1464 Kodeksu Kanonów Kościołów Wschodnich.
Rozdział VII Przepisy końcowe
Art. 43 – Zasada swobody komunikacji
Kościół katolicki w Polsce, jego osoby prawne i fizyczne korzystają ze swobody utrzymywania stosunków i komunikowania się ze Stolicą Apostolską, z Konferencjami Biskupów, z Kościołami partykularnymi, a także między sobą i z innymi wspólnotami, instytucjami, organizacjami i osobami w kraju i za granicą. Żaden artykuł tego Dekretu nie może być interpretowany w sposób, który w istotnym stopniu ograniczałby tę swobodę.
Art. 44 – Wejście w życie
-
Niniejszy Dekret wchodzi w życie po uzyskaniu recognitio Stolicy Apostolskiej z chwilą promulgacji, zgodnie z kan. 455 § 2 i 3 w związku z kan. 8 § 2 Kodeksu Prawa Kanonicznego.
-
Promulgacja niniejszego Dekretu następuje poprzez zamieszczenie go na oficjalnej stronie internetowej Konferencji Episkopatu Polski.
+ Stanisław Gądecki
Arcybiskup Metropolita Poznański
Przewodniczący KEP
+ Artur G. Miziński
Sekretarz Generalny KEP
Okólnik z dnia 17.07.2024 r.
dotyczący przetwarzania danych osobowych
w związku z tzw. ustawą Kamilka
(C.1.07.2024)
W związku z wejściem w życie ustawy z dnia 28 lipca 2023 r. o zmianie ustawy –
Kodeks rodzinny i opiekuńczy oraz niektórych innych ustaw (Dz. U. poz. 1606) zwanej
„ustawą Kamilka”, która wprowadziła zmiany m.in. do ustawy z dnia 13 maja 2016 r. o
przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małolet-
nich (t.j. Dz. U. z 2024 r. poz. 560), administratorzy powinni pamiętać o wdrożeniu
nowych obowiązków zgodnie z prawem kanonicznym oraz prawem powszechnie ob-
owiązującym regulującym przetwarzanie danych osobowych.
KIOD realizując zadania własne, o których w art. 37 ust. 1 pkt 1 i 3 Dekretu KEP z
2018 r. regulującego ochronę danych, wskazuje w tym kontekście na następujące za-
gadnienia:
1. Uzyskanie informacji o osobie. Uzyskanie informacji o osobie z Rejestru
Sprawców Przestępstw na Tle Seksualnym (dalej: Rejestr) powinno być doko-
nywane przez osoby reprezentujące podmioty do tego zobowiązane na podsta-
wie ustawy, czyli, przykładowo, proboszcza w przypadku parafii.
2. Upoważnienie do przetwarzania danych. Jeżeli uzyskiwać informacje z Re-
jestru ma inna osoba niż przedstawiciel podmiotu zobowiązanego, należy
udzielić jej upoważnienia do przetwarzania danych ze wskazaniem, że chodzi
o dane pozyskiwane z przedmiotowego rejestru lub ogólnie (w przypadku prawa
krajowego) danych określonych w art. 10 RODO, czyli danych osobowych do-
tyczących wyroków skazujących i naruszeń prawa.
Takie upoważnienie muszą otrzymać także osoby przyjmujące informacje z
Krajowego Rejestru Karnego (dalej: KRK) od osób zobowiązanych do ich przed-
łożenia, np. kadrowa.
3. Szkolenie. Trzeba przeszkolić osoby upoważnione, o których w pkt 2 i inne
osoby przetwarzające przedmiotowe dane osobowe, z uwzględnieniem zasad
przetwarzania, mając na uwadze znaczenie tych danych dla praw i wolności
osób, których dane dotyczą.
4. Zakres zaświadczenia o niekaralności. Należy przyjmować zaświadczenia o
niekaralności z KRK tylko w takim zakresie, w jakim wymaga tego ustawa, czyli
dotyczyć ma ono przestępstw określonych w rozdziale XIX i XXV Kodeksu kar-
nego, w art. 189a i art. 207 Kodeksu karnego oraz w ustawie z dnia 29 lipca
2005 r. o przeciwdziałaniu narkomanii (Dz. U. z 2023 r. poz. 1939) lub w zakre-
sie czynów zabronionych określonych w przepisach prawa obcego odpowiada-
jących tym przestępstwom.
2/3
5. Obowiązek informacyjny. Należy dopełnić obowiązek informacyjny wobec
osób, o których uzyskuje się informacje z Rejestru, i które przedkładają infor-
macje z KRK lub rejestru karnego innego państwa.
Podstawą prawną przetwarzania tych danych jest obowiązek prawny admini-
stratora (art. 6 ust. 1 lit. c RODO oraz art. 7 ust. 1 pkt 3 Dekretu KEP z 2018 r.).
Ten obowiązek wyrażony jest w szczególności w art. 21 ustawy z dnia 13 maja
2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym (Dz.
U. z 2024 r. poz. 560). Z kolei podmioty, którym mogą być ujawnione przedmio-
towe dane to podmioty wskazane, przykładowo i odpowiednio, w art. 22x i art.
22y tejże ustawy.
6. Rejestr czynności przetwarzania. Administrator musi uzupełnić Rejestr czyn-
ności przetwarzania, za które odpowiada. Wypełnienie tego obowiązku może
mieć dwa warianty:
a) jeżeli na administratorze przed wejściem w życie tytułowej ustawy spoczy-
wał obowiązek sprawdzenia personelu poprzez uzyskiwanie informacji z Re-
jestru, to taki administrator powinien już mieć w rejestrze czynności przetwa-
rzania osobną pozycję poświęconą tej czynności przetwarzania, nazwaną
np. „sprawdzanie personelu w celu ochrony małoletnich” lub „sprawdzanie
personelu zgodnie z ustawą o przeciwdziałaniu zagrożeniom przestępczo-
ścią na tle seksualnym i ochronie małoletnich”. Obecnie taki administrator
powinien uzupełnić tę pozycję o wymienienie nowych kategorii danych, które
przetwarza, np. z zaświadczenia o niekaralności czy z oświadczenia o pań-
stwie lub państwach, w których dana osoba zamieszkiwała w ciągu ostatnich
20 lat, innych niż Rzeczpospolita, a także o planowane terminy usunięcia
poszczególnych kategorii danych, a być może też w zakresie opisu tech-
nicznych i organizacyjnych środków bezpieczeństwa;
b) w przypadku, gdy do tej pory administrator nie był objęty obowiązkami w
zakresie pozyskiwania przedmiotowych informacji, to musi on wprowadzić
nową pozycję do rejestru obejmującą przetwarzanie danych z Rejestru, KRK
lub rejestru karnego innego państwa czy oświadczeń dotyczących zamiesz-
kania.
7. Analiza ryzyka. Administrator powinien uzupełnić istniejącą analizę ryzyka o
operację przetwarzania związaną z przetwarzanymi informacjami w zakresie
swoich nowych obowiązków. Powinien on uwzględnić szczególnie zbieranie
tych danych i ich przechowywanie. Można to zrobić w ten sposób, że, przykła-
dowo, zbada to, czy nowe miejsca przechowywania danych zebranych w formie
papierowej zapewniają odpowiedni poziom bezpieczeństwa, a w przypadku
formy elektronicznej przetwarzania tych informacji dokona analizy tego, czy
formy zabezpieczeń organizacyjnych i technicznych są odpowiednie, np. został
dopuszczony do przetwarzania danych wyłącznie adres służbowej poczty e-
mail.
8. Ocena skutków. Na podstawie art. 35 RODO administrator jest zobowiązany
do wykonania oceny skutków wówczas, gdy spełnione zostaną przesłanki okre-
ślone w tym artykule. W zależności od okoliczności przetwarzania można oce-
nić, że przetwarzanie informacji z Rejestru i zaświadczeń o niekaralności z KRK
ze względu na swój charakter, zakres, kontekst oraz cele z dużym prawdopo-
dobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności
3/3
osób fizycznych. Jednak to, czy ocena skutków będzie obowiązkowa dla admi-
nistratora, zależeć będzie głównie od skali przetwarzanych danych, a czasem
od innych okoliczności. W związku z tym administrator jeszcze przed rozpoczę-
ciem przetwarzania musi ocenić to, czy została wypełniona w jego wypadku
m.in. przesłanka „dużej skali” przetwarzanych danych i zastanowić się nad ko-
niecznością dokonania oceny skutków. Nota bene w aktualnym wykazie rodza-
jów operacji przetwarzania podlegających wymogowi dokonania oceny skutków
dla ochrony danych wydanym przez PUODO w 2019 r. ten rodzaj operacji prze-
twarzania nie został wprost umieszczony. Należy śledzić komunikaty urzędu
nadzorczego w tym zakresie.