kep

Dekret og贸lny w sprawie ochrony os贸b fizycznych w zwi膮zku z przetwarzaniem danych osobowych w Ko艣ciele katolickim wydany przez Konferencj臋 Episkopatu Polski, w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie,
na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w zwi膮zku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r.

AKTA KONFERENCJI EPISKOPATU POLSKI NR 30/2018

Preambu艂a

Chrze艣cija艅stwo wnios艂o do kultury europejskiej przekonanie o nienaruszalnej godno艣ci osoby ludzkiej. Zakorzenione ono jest w fakcie stworzenia cz艂owieka na 鈥瀘braz i podobie艅stwo鈥 Boga. Godno艣膰 jest przymiotem ludzkiej natury rozumnej i wolnej. Uznanie godno艣ci cz艂owieka wymaga odpowiedniej ochrony danych osobowych.

Bior膮c pod uwag臋 zasady ochrony os贸b fizycznych w zwi膮zku z przetwarzaniem ich danych osobowych stosowane dotychczas w Ko艣ciele katolickim w Polsce, a zw艂aszcza maj膮c na uwadze:

– kan. 220 Kodeksu Prawa Kanonicznego oraz kan. 23 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich, gwarantuj膮ce prawo do dobrego imienia i prawo do ochrony intymno艣ci,

– kan. 482-491 i kan. 535 Kodeksu Prawa Kanonicznego oraz kan. 252-261 i kan. 296 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich, zobowi膮zuj膮ce ka偶d膮 parafi臋 do prowadzenia ksi膮g parafialnych, zgodnie z przepisami Konferencji Biskup贸w i biskupa diecezjalnego oraz zobowi膮zuj膮ce proboszcza do ich w艂a艣ciwego sporz膮dzania i przechowywania oraz dotycz膮ce obowi膮zku posiadania archiwum przez kurie diecezjalne i parafie, i zasad ich prowadzenia,

– kan. 1067 i 1069 Kodeksu Prawa Kanonicznego oraz kan. 784 i 786 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich, dotycz膮ce kanonicznego przygotowania do ma艂偶e艅stwa, a w szczeg贸lno艣ci przekazywania informacji o okoliczno艣ciach maj膮cych znaczenie dla mo偶liwo艣ci jego zawarcia,

– Motu proprio La cura vigilantissima z dnia 21 marca 2005 r. (AAS 97(2005), s. 353-376),

– Przepisy Konferencji Episkopatu Polski o prowadzeniu ksi膮g parafialnych: ochrzczonych, bierzmowanych, ma艂偶e艅stw i zmar艂ych, oraz ksi臋gi stanu dusz z dnia 26 pa藕dziernika 1947 r.,

– Instrukcj臋 opracowan膮 przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski z dnia 23 wrze艣nia 2009 r. 鈥濷chrona danych osobowych w dzia艂alno艣ci Ko艣cio艂a katolickiego w Polsce鈥,

– Dekret Og贸lny Konferencji Episkopatu Polski w sprawie wyst膮pie艅 z Ko艣cio艂a oraz powrotu do wsp贸lnoty Ko艣cio艂a z dnia 7 pa藕dziernika 2015 r.,

– oraz inne regulacje prawa partykularnego,

przypominaj膮c powszechnie uznan膮 zasad臋 autonomii pa艅stwa i Ko艣cio艂a, maj膮c na wzgl臋dzie konieczno艣膰 pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolno艣ci religijnej, zagwarantowanego r贸wnie偶 w prawie pozytywnym, tak偶e w jego wymiarze instytucjonalnym, postanawia si臋, co nast臋puje:

Rozdzia艂 I Zagadnienia og贸lne

Art. 1 鈥 Przedmiot regulacji

dzia艂aj膮c w celu uszczeg贸艂owienia przepis贸w Kodeksu Prawa Kanonicznego i uaktualnienia przepis贸w prawa partykularnego, niniejszy dekret okre艣la szczeg贸艂owe zasady ochrony os贸b fizycznych w zwi膮zku z przetwarzaniem danych osobowych w Ko艣ciele katolickim w Polsce.

Art. 2 鈥 Odesanie do innych przepis贸w prawa kanonicznego

Zasady redagowania, zarz膮dzania oraz nadzoru nad zbiorami danych, a tak偶e wykorzystywania danych, s膮 okre艣lone przez przepisy powszechnego oraz partykularnego prawa kanonicznego, uzupe艂niane w razie potrzeby przez przepisy wydane przez Konferencj臋Episkopatu Polski.

Art. 3 鈥 Zakres przedmiotowy

Niniejszy dekret ma zastosowanie do przetwarzania danych osobowych w spos贸b ca艂kowicie lub cz臋艣ciowo zautomatyzowany oraz do przetwarzania w spos贸b inny ni偶zautomatyzowany danych osobowych stanowi膮cych cz臋艣膰 zbioru danych lub maj膮cych stanowi膰 cz臋艣膰 zbioru danych.

Art. 4 鈥 Zakres podmiotowy

Niniejszy dekret stosuje si臋 do publicznych ko艣cielnych os贸b prawnych.

Art. 5 鈥 Sowniczek poj臋膰

Na potrzeby niniejszego dekretu:

1) 鈥瀌ane osobowe鈥 oznaczaj膮 informacje o zidentyfikowanej lub mo偶liwej do zidentyfikowania osobie fizycznej (鈥瀘sobie, kt贸rej dane dotycz膮鈥); mo偶liwa do zidentyfikowania osoba fizyczna to osoba, kt贸r膮 mo偶na bezpo艣rednio lub po艣rednio zidentyfikowa膰, w szczeg贸lno艣ci na podstawie identyfikatora takiego jak imi臋 i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden b膮d藕 kilka szczeg贸lnych czynnik贸w okre艣laj膮cych fizyczn膮, fizjologiczn膮, genetyczn膮, psychiczn膮, ekonomiczn膮, kulturow膮 lub spo艂eczn膮 to偶samo艣膰 osoby fizycznej;

2) 鈥瀙rzetwarzanie鈥 oznacza operacj臋 lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w spos贸b zautomatyzowany lub niezautomatyzowany, tak膮 jak zbieranie, utrwalanie, organizowanie, porz膮dkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przegl膮danie, wykorzystywanie, ujawnianie poprzez przes艂anie, rozpowszechnianie lub innego rodzaju udost臋pnianie, dopasowywanie lub 艂膮czenie, ograniczanie, usuwanie lub niszczenie;

3) 鈥瀦bi贸r danych鈥 oznacza uporz膮dkowany zestaw danych osobowych dost臋pnych wed艂ug okre艣lonych kryteri贸w, niezale偶nie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie; w dzia艂alno艣ci Ko艣cio艂a zbiorami danych s膮 w szczeg贸lno艣ci: ksi臋gi parafialne zawieraj膮ce rejestr ochrzczonych, bierzmowanych, Pierwszej Komunii 艣wi臋tej, zawartych ma艂偶e艅stw, zgon贸w, jak r贸wnie偶rejestr parafian, alumn贸w seminari贸w duchownych, nowicjuszy i cz艂onk贸w instytut贸w 偶ycia konsekrowanego i stowarzysze艅 偶ycia apostolskiego;

4) 鈥瀉dministrator鈥 oznacza osob臋 prawn膮 lub inn膮 jednostk臋 organizacyjn膮, kt贸ra ustala cele i sposoby przetwarzania danych osobowych;

5) 鈥瀙odmiot przetwarzaj膮cy鈥 oznacza osob臋 fizyczn膮 lub prawn膮, b膮d藕 jednostk臋organizacyjn膮, kt贸ra przetwarza dane osobowe w imieniu administratora;

6) 鈥瀘dbiorca鈥 oznacza osob臋 fizyczn膮 lub prawn膮, organ publiczny, b膮d藕 jednostk臋organizacyjn膮, kt贸rej ujawnia si臋 dane osobowe. Organy publiczne, kt贸re mog膮 otrzymywa膰dane osobowe w ramach konkretnego post臋powania zgodnie z prawem, nie s膮 jednak uznawane za odbiorc贸w;

7) 鈥瀦goda鈥 osoby, kt贸rej dane dotycz膮 oznacza dobrowolne, konkretne, 艣wiadome i jednoznaczne okazanie woli, kt贸rym osoba, kt贸rej dane dotycz膮, w formie o艣wiadczenia lub wyra藕nego dzia艂ania potwierdzaj膮cego, przyzwala na przetwarzanie dotycz膮cych jej danych osobowych;

8) 鈥瀗aruszenie ochrony danych osobowych鈥 oznacza naruszenie bezpiecze艅stwa prowadz膮ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost臋pu do danych osobowych przesy艂anych, przechowywanych lub w inny spos贸b przetwarzanych;

9) 鈥瀌ane wra偶liwe鈥 oznaczaj膮 dane ujawniaj膮ce pochodzenie rasowe lub etniczne, pogl膮dy polityczne, przekonania religijne lub 艣wiatopogl膮dowe, przynale偶no艣膰 do zwi膮zk贸w zawodowych oraz dane genetyczne, dane biometryczne a tak偶e dane dotycz膮ce zdrowia lub seksualno艣ci osoby fizycznej;

10) 鈥瀌ane genetyczne鈥 oznaczaj膮 dane osobowe dotycz膮ce odziedziczonych lub nabytych cech genetycznych osoby fizycznej, kt贸re ujawniaj膮 niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i kt贸re wynikaj膮 w szczeg贸lno艣ci z analizy pr贸bki biologicznej pochodz膮cej od tej osoby fizycznej;

11) 鈥瀌ane biometryczne鈥 oznaczaj膮 dane osobowe, kt贸re wynikaj膮 ze specjalnego przetwarzania technicznego, dotycz膮 cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umo偶liwiaj膮 lub potwierdzaj膮 jednoznaczn膮 identyfikacj臋 tej osoby, takie jak np. wizerunek twarzy lub dane daktyloskopijne;

12) 鈥瀌ane dotycz膮ce zdrowia鈥 oznaczaj膮 dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej 鈥 w tym o korzystaniu z us艂ug opieki zdrowotnej 鈥 ujawniaj膮ce informacje o stanie jej zdrowia.

Rozdzia艂 II Zasady przetwarzania danych

Art. 6 鈥 Standardy przetwarzania danych

1. Dane osobowe powinny by膰:
1) przetwarzane zgodnie z prawem, rzetelnie i w spos贸b przejrzysty dla osoby, kt贸rej dane dotycz膮;
2) zbierane w konkretnych, wyra藕nych i prawnie uzasadnionych celach i nieprzetwarzane dalej w spos贸b niezgodny z tymi celami; dalsze przetwarzanie do cel贸w archiwalnych, do bada艅聽naukowych lub historycznych albo do cel贸w statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;

3) adekwatne, stosowne oraz ograniczone do tego, co niezb臋dne do cel贸w, w kt贸rych s膮 przetwarzane;

4) prawid艂owe i w razie potrzeby uaktualniane; nale偶y podj膮膰 wszelkie rozs膮dne dzia艂ania, aby dane osobowe, kt贸re s膮 nieprawid艂owe w 艣wietle cel贸w ich przetwarzania, zosta艂y niezw艂ocznie usuni臋te lub sprostowane;

5) przechowywane w formie umo偶liwiaj膮cej identyfikacj臋 osoby, kt贸rej dane dotycz膮, przez okres nie d艂u偶szy, ni偶 jest to niezb臋dne do cel贸w, w kt贸rych dane te s膮 przetwarzane; dane osobowe mo偶na przechowywa膰 przez okres d艂u偶szy, o ile b臋d膮 one przetwarzane wy艂膮cznie do cel贸w archiwalnych, do cel贸w bada艅 naukowych lub historycznych albo do cel贸w statystycznych, z zastrze偶eniem 偶e wdro偶one zostan膮 odpowiednie 艣rodki techniczne i organizacyjne w celu ochrony praw i wolno艣ci os贸b, kt贸rych dane dotycz膮;

6) przetwarzane w spos贸b zapewniaj膮cy odpowiednie bezpiecze艅stwo danych osobowych, w tym ochron臋 przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow膮 utrat膮, zniszczeniem lub uszkodzeniem, za pomoc膮 odpowiednich 艣rodk贸w technicznych lub organizacyjnych.

2. Za przestrzeganie okre艣lonych powy偶ej zasad odpowiedzialny jest administrator, kt贸ry powinien by膰 w stanie wykaza膰 ich przestrzeganie. Na administratorze spoczywa obowi膮zek czuwania nad prawid艂owym zachowaniem przedmiotowych norm kanonicznych oraz koordynacji dzia艂alno艣ci ewentualnych wsp贸艂pracownik贸w.

Art. 7 鈥 Dopuszczalno艣膰 przetwarzania danych

1. W dzia艂alno艣ci publicznych ko艣cielnych os贸b prawnych przetwarzanie danych osobowych jest dopuszczalne, je偶eli:

1) osoba, kt贸rej dane dotycz膮 wyrazi艂a zgod臋 na przetwarzanie swoich danych osobowych w jednym lub wi臋kszej liczbie okre艣lonych cel贸w;

2) przetwarzanie jest niezb臋dne do wykonania umowy, kt贸rej stron膮 jest osoba, kt贸rej dane dotycz膮, lub do podj臋cia dzia艂a艅 na 偶膮danie osoby, kt贸rej dane dotycz膮, przed zawarciem umowy;

3) przetwarzanie jest niezb臋dne do wype艂nienia obowi膮zku prawnego ci膮偶膮cego na administratorze, zgodnie z przepisami prawa kanonicznego lub prawa 艣wieckiego;

4) przetwarzanie jest niezb臋dne do ochrony 偶ywotnych interes贸w osoby, kt贸rej dane dotycz膮, lub innej osoby fizycznej;

5) przetwarzanie jest niezb臋dne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania w艂adzy publicznej powierzonej administratorowi;

6) przetwarzanie jest niezb臋dne do cel贸w wynikaj膮cych z prawnie uzasadnionych interes贸w realizowanych przez administratora lub przez stron臋 trzeci膮, z wyj膮tkiem sytuacji, w kt贸rych nadrz臋dny charakter wobec tych interes贸w maj膮 interesy lub podstawowe prawa iwolno艣ci osoby, kt贸rej dane dotycz膮, wymagaj膮ce ochrony danych osobowych, w szczeg贸lno艣ci, gdy osoba, kt贸rej dane dotycz膮, jest dzieckiem.

2. Przetwarzanie danych wra偶liwych dopuszczalne jest wy艂膮cznie w stosunku do os贸b ochrzczonych w Ko艣ciele katolickim i tych, kt贸rzy po chrzcie zostali do niego przyj臋ci (cz艂onk贸w Ko艣cio艂a), 艂膮cznie z tymi, kt贸rzy z艂o偶yli formalne o艣wiadczenie woli owyst膮pieniu z Ko艣cio艂a katolickiego, zgodnie z wewn臋trznymi przepisami Ko艣cio艂a (鈥瀊y艂ych cz艂onk贸w Ko艣cio艂a鈥) oraz os贸b utrzymuj膮cych z nim sta艂e kontakty w zwi膮zku z realizacj膮 cel贸w Ko艣cio艂a w ramach uprawnionej dzia艂alno艣ci prowadzonej z zachowaniem odpowiednich zabezpiecze艅. Dane te nie s膮 ujawniane poza Ko艣cio艂em bez zgody os贸b, kt贸rych dane dotycz膮.

Art. 8 鈥 Informowanie o przetwarzaniu danych w przypadku zbierania danych od osoby, kt贸rej dane dotycz

1. W przypadku zbierania danych od osoby, kt贸rej dane dotycz膮, administrator danych informuje t臋 osob臋 o przetwarzaniu, podaj膮c informacje identyfikuj膮ce administratora i pozwalaj膮ce si臋 z nim skontaktowa膰, b膮d藕 dane kontaktowe inspektora ochrony danych, wskazuj膮c cel przetwarzania danych, podstaw臋 prawn膮 przetwarzania, informacje o odbiorcach oraz zamiarze przekazania danych do publicznej ko艣cielnej osoby prawnej maj膮cej siedzib臋 poza terytorium Rzeczypospolitej Polskiej. Ponadto administrator podaje informacje o okresie przetwarzania danych, informacje o prawie do 偶膮dania od administratora dost臋pu do danych osobowych, prawie domagania si臋 ich sprostowania, usuni臋cia lub ograniczenia przetwarzania zgodnie z niniejszym Dekretem, oraz informacje o prawie wniesienia skargi do Ko艣cielnego Inspektora Ochrony Danych;

2. Przepis ust. 1 nie ma zastosowania w przypadku, gdy osoba, kt贸rej dane dotycz膮, dysponuje ju偶 tymi informacjami.

Art. 9 – Informowanie przy zbieraniu danych z innych r贸de

1. Je偶eli danych osobowych nie pozyskano od osoby, kt贸rej dane dotycz膮, administrator podaje osobie, kt贸rej dane dotycz膮, informacje wskazane w art. 8 ust. 1 oraz informacje o藕r贸dle pochodzenia danych. Przekazanie informacji powinno nast膮pi膰 w rozs膮dnym terminie po pozyskaniu danych osobowych 鈥 najp贸藕niej w ci膮gu miesi膮ca 鈥 maj膮c na uwadze okoliczno艣ci przetwarzania danych osobowych.

2. Przepis ust. 1 nie ma zastosowania, gdy 鈥 i w zakresie, w jakim:
1) osoba, kt贸rej dane dotycz膮, dysponuje ju偶聽tymi informacjami;

2) udzielenie takich informacji okazuje si臋聽niemo偶liwe lub wymaga艂oby niewsp贸艂miernie du偶ego wysi艂ku; o ile obowi膮zek, o kt贸rym mowa w ust. 1 niniejszego artyku艂u, mo偶e uniemo偶liwi膰聽lub powa偶nie utrudni膰聽realizacj臋聽cel贸w takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie聽艣rodki, by chroni膰聽prawa i wolno艣ci oraz prawnie uzasadnione interesy osoby, kt贸rej dane dotycz膮, w tym udost臋pnia informacje publicznie;

3) pozyskiwanie lub ujawnianie jest wyra藕nie uregulowane prawem, przewiduj膮cym odpowiednie 艣rodki chroni膮ce prawnie uzasadnione interesy osoby, kt贸rej dane dotycz膮; lub

4) dane osobowe musz膮 pozosta膰 poufne zgodnie z obowi膮zkiem zachowania tajemnicy zawodowej przewidzianym w prawie, w tym obowi膮zkiem zachowania tajemnicy spowiedzi, zgodnie z kan. 983 搂 1 Kodeksu Prawa Kanonicznego i kan. 773 搂 1 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich, tajemnicy, o kt贸rej mowa w kan. 983 搂 2 Kodeksu Prawa Kanonicznego i kan. 773 搂 2 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich oraz tajemnicy duszpasterskiej.

Art. 10 – Publikacja periodyk贸w urzdowych

1. Roczniki (informatory, schematyzmy, itp.) jako u偶yteczne narz臋dzia do wykonywania zada艅 instytucjonalnych ko艣cielnych publicznych os贸b prawnych, wydawane s膮 pod ich w艂asn膮 redakcj膮 i zawieraj膮 dane niezb臋dne do okre艣lenia organ贸w, urz臋d贸w, struktur, os贸b uprawnionych do ich reprezentacji i personelu pomocniczego.

2. Periodyki informacyjne przeznaczone do u偶ytku wewn臋trznego, opisuj膮ce najwa偶niejsze wydarzenia z 偶ycia i dzia艂alno艣ci redaguj膮cych je podmiot贸w ko艣cielnych, mog膮 zawiera膰 dane dotycz膮ce os贸b uczestnicz膮cych w uroczysto艣ciach i wydarzeniach oraz dane dotycz膮ce os贸b, kt贸re z艂o偶y艂y darowizn臋, o ile w poszczeg贸lnych przypadkach zainteresowani nie wnosili o ich nieujawnianie.

3. Zasady zawarte w ust. 1 i 2 stosuje si臋 odpowiednio do publikacji cyfrowych i stron internetowych.

Rozdzia艂 III Prawa osoby, kt贸rej dane dotycz膮

Art. 11 – Prawo do informacji o przetwarzaniu danych

1. Osoba, kt贸rej dane dotycz膮, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane s膮 jej dane osobowe, a je偶eli ma to miejsce, jest uprawniona do uzyskania dost臋pu do nich oraz do otrzymania nast臋puj膮cych informacji:

1) cele przetwarzania;

2) kategorie odno艣nych danych osobowych;

3) informacje o odbiorcach lub kategoriach odbiorc贸w, kt贸rym dane osobowe zosta艂y lub zostan膮 ujawnione;

4) w miar臋 mo偶liwo艣ci planowany okres przechowywania danych osobowych, a gdy nie jest to mo偶liwe, kryteria ustalania tego okresu;

5) informacje o prawie do 偶膮dania od administratora sprostowania, usuni臋cia lub ograniczenia przetwarzania danych osobowych, zgodnie z niniejszym Dekretem;

6) informacje o prawie wniesienia skargi do Ko艣cielnego Inspektora Ochrony Danych;

7) je偶eli dane osobowe nie zosta艂y zebrane od osoby, kt贸rej dane dotycz膮 鈥 informacje o ich 藕r贸dle.

2. Je偶eli dane osobowe s膮 przekazywane do publicznej ko艣cielnej osoby prawnej maj膮cej siedzib臋 poza terytorium Rzeczypospolitej Polskiej, osoba, kt贸rej dane dotycz膮, ma prawo zosta膰 poinformowana o odpowiednich zabezpieczeniach, zwi膮zanych z przekazaniem.

3. Administrator, ma obowi膮zek, na 偶膮danie osoby, kt贸rej dane dotycz膮, dostarczy膰 jej kopi臋 danych podlegaj膮cych przetwarzaniu.

4. Ka偶dy ma prawo do 偶膮dania i otrzymania, osobi艣cie lub za po艣rednictwem prawnie ustanowionego pe艂nomocnika, certyfikat贸w, wyci膮g贸w, 艣wiadectw, w postaci kopii lub dokumentu autentycznego, zawieraj膮cych dane jego dotycz膮ce. Wy艂膮czeniu podlegaj膮 dane, kt贸re jako nie pochodz膮ce od wnioskodawcy, s膮 obj臋te tajemnic膮 na mocy prawa lub nie mo偶na ich oddzieli膰 od danych dotycz膮cych os贸b trzecich i ze wzgl臋du na poufno艣膰wymagaj膮 ochrony.

5. Za wystawienie dokument贸w, o kt贸rych mowa w ust. 4, administrator mo偶e pobra膰op艂at臋 w rozs膮dnej wysoko艣ci wynikaj膮cej z koszt贸w administracyjnych. Prawo pobrania op艂aty dotyczy r贸wnie偶 kolejnych kopii danych osobowych podlegaj膮cych przetwarzaniu, sporz膮dzonych na wniosek osoby, kt贸rej dane dotycz膮 po zrealizowaniu przez administratora obowi膮zku okre艣lonego w ust. 3.

Art. 12 – Prawo do 偶膮dania sprostowania danych

1. Osoba, kt贸rej dane dotycz膮, ma prawo 偶膮da膰 od administratora niezw艂ocznego sprostowania dotycz膮cych jej danych osobowych, je偶eli dane s膮 nieprawid艂owe.

2. Wniosek o sprostowanie danych powinien zosta膰 przedstawiony w formie pisemnej administratorowi, osobi艣cie lub za po艣rednictwem prawnie ustanowionego pe艂nomocnika, z za艂膮czeniem w艂a艣ciwych dokument贸w, w razie potrzeby tak偶e cywilnych.

3. Je偶eli administrator odm贸wi przyj臋cia wniosku o sprostowanie danych, powinien pisemnie powiadomi膰 o odmowie wnioskodawc臋, kt贸ry b臋dzie m贸g艂 z艂o偶y膰 ponownie wniosek do ordynariusza miejsca lub wy偶szego prze艂o偶onego instytutu 偶ycia konsekrowanego lub stowarzyszenia 偶ycia apostolskiego.

4. Sprostowanie danych dotycz膮cych akt贸w i fakt贸w dotycz膮cych stanu kanonicznego osoby mo偶e zosta膰 dokonane jedynie za zezwoleniem ordynariusza miejsca lub wy偶szego prze艂o偶onego instytutu 偶ycia konsekrowanego lub stowarzyszenia 偶ycia apostolskiego.

Art. 13 鈥 Prawo do 偶膮dania dokonania adnotacji i uzupenienia danych

1. Z uwzgl臋dnieniem cel贸w przetwarzania, osoba, kt贸rej dane dotycz膮, ma prawo w uzasadnionym zakresie 偶膮da膰 umieszczenia w zbiorze danych adnotacji lub uzupe艂nienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego o艣wiadczenia.

2. Wniosek o dokonanie adnotacji lub uzupe艂nienie danych powinien spe艂nia膰 warunki okre艣lone w art. 12 ust. 2.

3. Adnotacja dokonana na marginesie dokumentu stanowi jego cz臋艣膰 integraln膮. Jej tre艣膰 winna by膰 umieszczona w ka偶dym wyci膮gu lub kopii aktu.

4. Administrator powiadamia pisemnie wnioskodawc臋 o dokonanej adnotacji.

5. W przypadku odrzucenia wniosku, zostaje on odnotowany i przechowywany w aneksie do w艂a艣ciwego zbioru. Administrator powiadamia na pi艣mie o odrzuceniu wniosku zainteresowanego, kt贸ry mo偶e ponownie z艂o偶y膰 wniosek do ordynariusza miejsca lub wy偶szego prze艂o偶onego instytutu 偶ycia konsekrowanego lub stowarzyszenia 偶ycia apostolskiego.

Art. 14 鈥 Prawo do 偶膮dania usunicia danych

1. Osoba, kt贸rej dane dotycz膮, ma prawo 偶膮dania od administratora niezw艂ocznego usuni臋cia danych osobowych, a administrator ma obowi膮zek bez zb臋dnej zw艂oki usun膮膰 dane osobowe, je偶eli zachodzi jedna z nast臋puj膮cych okoliczno艣ci:

1) dane osobowe nie s膮 ju偶 niezb臋dne do cel贸w, w kt贸rych zosta艂y zebrane lub w inny spos贸b przetwarzane;

2) osoba, kt贸rej dane dotycz膮, cofn臋艂a zgod臋, na kt贸rej opiera si臋 przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;

3) dane osobowe by艂y przetwarzane niezgodnie z prawem.

2. Je偶eli administrator upubliczni艂 dane osobowe, a ma obowi膮zek ich usuni臋cia, to 鈥 bior膮c pod uwag臋 dost臋pn膮 technologi臋 i koszt realizacji 鈥 podejmuje rozs膮dne dzia艂ania, wtym 艣rodki techniczne, by poinformowa膰 administrator贸w przetwarzaj膮cych te dane osobowe, 偶e osoba, kt贸rej dane dotycz膮, 偶膮da, by administratorzy ci usun臋li wszelkie 艂膮cza do tych danych, kopie tych danych lub ich replikacje.

3. Zasady, o kt贸rych mowa w ust. 1 i 2 nie maj膮 zastosowania, w zakresie w jakim przetwarzanie jest niezb臋dne:

1) do korzystania z prawa do swobody wypowiedzi i wolno艣ci informacji;

2) do wywi膮zania si臋 z obowi膮zku prawnego wymagaj膮cego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania w艂adzy publicznej powierzonej administratorowi;

3) do cel贸w archiwalnych w interesie publicznym, do cel贸w bada艅 naukowych lub historycznych albo do cel贸w statystycznych, o ile prawdopodobne jest, 偶e prawo, o kt贸rym mowa w ust. 1, uniemo偶liwi lub powa偶nie utrudni realizacj臋 cel贸w takiego przetwarzania;

4) do ustalenia, dochodzenia lub obrony roszcze艅.

4. Prawo do 偶膮dania usuni臋cia danych nie przys艂uguje w przypadku, gdy dane dotycz膮 udzielonych sakrament贸w b膮d藕 w inny spos贸b odnosz膮 si臋 do kanonicznego statusu osoby. Tego typu wniosek powinien zosta膰 odnotowany w zbiorze i zobowi膮zuje administratora do niewykorzystywania danych obj臋tych wnioskiem bez zgody ordynariusza miejsca lub wy偶szego prze艂o偶onego instytutu 偶ycia konsekrowanego lub stowarzyszenia 偶ycia apostolskiego.

Art. 15 鈥 Prawo do 偶膮dania ograniczenia przetwarzania

1. Osoba, kt贸rej dane dotycz膮, ma prawo 偶膮dania od administratora ograniczenia przetwarzania danych w nast臋puj膮cych przypadkach, gdy:

1) osoba, kt贸rej dane dotycz膮, kwestionuje prawid艂owo艣膰 danych osobowych 鈥 na okres pozwalaj膮cy administratorowi sprawdzi膰 prawid艂owo艣膰 tych danych;

2) przetwarzanie jest niezgodne z prawem, a osoba, kt贸rej dane dotycz膮, sprzeciwia si臋 usuni臋ciu danych osobowych, 偶膮daj膮c w zamian ograniczenia ich wykorzystywania;

3) administrator nie potrzebuje ju偶 danych osobowych do cel贸w przetwarzania, ale s膮 one potrzebne osobie, kt贸rej dane dotycz膮, do ustalenia, dochodzenia lub obrony roszcze艅.

2. Je偶eli na mocy ust. 1 przetwarzanie zosta艂o ograniczone, takie dane osobowe mo偶na przetwarza膰, z wyj膮tkiem przechowywania, wy艂膮cznie za zgod膮 osoby, kt贸rej dane dotycz膮, lub w celu ustalenia, dochodzenia lub obrony roszcze艅, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na wa偶ne wzgl臋dy interesu publicznego.

3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osob臋, kt贸rej dane dotycz膮, kt贸ra 偶膮da艂a ograniczenia na mocy ust. 1.

Art. 16 – Obowizek powiadomienia

Administrator informuje ka偶dego odbiorc臋, kt贸remu ujawniono dane osobowe, o sprostowaniu lub usuni臋ciu danych osobowych lub ograniczeniu przetwarzania, chyba 偶e oka偶e si臋 to niemo偶liwe lub b臋dzie wymaga膰 niewsp贸艂miernie du偶ego wysi艂ku. Administrator informuje osob臋, kt贸rej dane dotycz膮, o tych odbiorcach, je偶eli osoba, kt贸rej dane dotycz膮, tego za偶膮da.

Rozdzia艂 IV Administrator i podmiot przetwarzajcy

Art. 17 鈥 Obowizki administratora

1. Administrator powinien wdro偶y膰 odpowiednie 艣rodki techniczne i organizacyjne w celu ochrony danych, uwzgl臋dniaj膮c charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych. Administrator jest zobowi膮zany do przestrzegania przepis贸w kanonicznych dotycz膮cych starannego przechowywania, dozwolonego u偶ytku i w艂a艣ciwego zarz膮dzania danymi osobowymi.

2. Je偶eli jest to proporcjonalne w stosunku do czynno艣ci przetwarzania, 艣rodki, o kt贸rych mowa w ust. 1, obejmuj膮 wdro偶enie przez administratora odpowiednich polityk ochrony danych.

3. Zar贸wno na etapie projektowania, jak te偶 w trakcie proces贸w przetwarzania administrator powinien zastosowa膰 odpowiednie 艣rodki techniczne i organizacyjne, s艂u偶膮ce ochronie danych a tak偶e pozwalaj膮ce, aby domy艣lnie przetwarzane by艂y wy艂膮cznie te dane osobowe, kt贸re s膮 niezb臋dne dla osi膮gni臋cia celu przetwarzania.

Art. 18 鈥 Wsp贸administratorzy

1. Je偶eli co najmniej dw贸ch administrator贸w wsp贸lnie ustala cele i sposoby przetwarzania, s膮 oni wsp贸艂administratorami. W drodze uzgodnie艅 wsp贸艂administratorzy w przejrzysty spos贸b okre艣laj膮 odpowiednie zakresy swoich obowi膮zk贸w i odpowiedzialno艣ci.

2. Uzgodnienia, o kt贸rych mowa w ust. 1, nale偶ycie odzwierciedlaj膮 odpowiednie zakresy obowi膮zk贸w wsp贸艂administrator贸w oraz relacje pomi臋dzy nimi a podmiotami, kt贸rych dane dotycz膮. Zasadnicza tre艣膰 uzgodnie艅 jest udost臋pniana podmiotom, kt贸rych dane dotycz膮.

3. Niezale偶nie od uzgodnie艅, o kt贸rych mowa w ust. 1, osoba, kt贸rej dane dotycz膮, mo偶e wykonywa膰 przys艂uguj膮ce jej prawa wobec ka偶dego z wsp贸艂administrator贸w.

Art. 19 鈥 Powierzenie przetwarzania i obowizki podmiotu przetwarzajcego

1. Je偶eli przetwarzanie ma by膰 dokonywane w imieniu administratora przez podmiot przetwarzaj膮cy, podmiot ten powinien zapewnia膰 wystarczaj膮ce gwarancje wdro偶enia odpowiednich 艣rodk贸w technicznych i organizacyjnych, by przetwarzanie spe艂nia艂o wymogi niniejszego dekretu i gwarantowa艂o ochron臋 praw os贸b, kt贸rych dane dotycz膮.

2. Przetwarzanie danych przez podmiot przetwarzaj膮cy powinno opiera膰 si臋 na umowie lub innym zobowi膮zaniu prawnym ustalaj膮cym zakres odpowiedzialno艣ci i procedury, gwarantuj膮cym, 偶e podmiot przetwarzaj膮cy:

1) b臋dzie przetwarza艂 dane wy艂膮cznie w zakresie i celu okre艣lonym w umowie;

2) zapewni, by osoby upowa偶nione do przetwarzania danych zobowi膮za艂y si臋 do zachowania tajemnicy;

3) podejmie 艣rodki wymagane w celu zabezpieczenia danych;

4) b臋dzie pomaga艂 administratorowi wype艂nia膰 obowi膮zki w zakresie informowania os贸b, kt贸rych dane dotycz膮, realizowania ich uprawnie艅 oraz obowi膮zki dotycz膮ce zawiadamiania o naruszeniach;

5) po zako艅czeniu 艣wiadczenia us艂ug zwi膮zanych z przetwarzaniem zale偶nie od decyzji administratora usunie lub zwr贸ci mu wszelkie dane osobowe oraz usunie wszelkie ich istniej膮ce kopie;

6) udost臋pni administratorowi wszelkie informacje niezb臋dne do wykazania spe艂nienia obowi膮zk贸w okre艣lonych w niniejszym artykule oraz umo偶liwi administratorowi lub audytorowi upowa偶nionemu przez administratora przeprowadzanie audyt贸w.

3. Podmiot przetwarzaj膮cy nie mo偶e korzysta膰 z us艂ug innego podmiotu przetwarzaj膮cego bez uprzedniej pisemnej zgody administratora.

4. Powierzenie przetwarzania danych podmiotowi nie nale偶膮cemu do porz膮dku kanonicznego musi zosta膰 dokonane na podstawie umowy zawartej zgodnie z kan. 1290 Kodeksu Prawa Kanonicznego i kan. 1034 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich, zzastrze偶eniem, 偶e tak偶e na podmiocie, kt贸remu zostaj膮 powierzone dane spoczywa obowi膮zek zachowania przepis贸w niniejszego dekretu.

Art. 20 鈥 Przetwarzanie z upowanienia. Obowizek zachowania tajemnicy

1. Podmiot przetwarzaj膮cy oraz ka偶da osoba dzia艂aj膮ca z upowa偶nienia administratora lub podmiotu przetwarzaj膮cego i maj膮ca dost臋p do danych osobowych przetwarzaj膮 je wy艂膮cznie na polecenie administratora, chyba 偶e wymaga tego prawo.

2. Administrator oraz ka偶da inna osoba posiadaj膮ca sta艂y dost臋p do danych gromadzonych przez podmioty ko艣cielne lub przez nie prawnie nabytych, jest zobowi膮zana do zachowania tajemnicy dotycz膮cej wszystkich przetwarzanych danych osobowych. Obowi膮zek zachowania tajemnicy pozostaje nienaruszony tak偶e po zako艅czeniu pe艂nienia funkcji.

Art. 21 – Rejestrowanie czynnoci przetwarzania

1. Ka偶dy administrator prowadzi rejestr czynno艣ci przetwarzania danych osobowych, za kt贸re odpowiada. W rejestrze tym zamieszcza si臋 nast臋puj膮ce informacje:

1) imi臋 i nazwisko lub nazw臋 oraz dane kontaktowe administratora oraz wsp贸艂administrator贸w, a tak偶e gdy ma to zastosowanie 鈥 inspektora ochrony danych;

2) cele przetwarzania;
3) opis kategorii os贸b, kt贸rych dane dotycz膮, oraz kategorii danych osobowych;
4) kategorie odbiorc贸w, kt贸rym dane osobowe zosta艂y lub zostan膮 ujawnione;
5) gdy ma to zastosowanie, informacje o przekazywaniu danych do publicznej ko艣cielnej osoby prawnej maj膮cej siedzib臋 poza terytorium Rzeczypospolitej Polskiej;
6) je偶eli jest to mo偶liwe, planowane terminy usuni臋cia poszczeg贸lnych kategorii danych;
7) je偶eli jest to mo偶liwe, og贸lny opis technicznych i organizacyjnych 艣rodk贸w bezpiecze艅stwa.

2. Ka偶dy podmiot przetwarzaj膮cy prowadzi rejestr wszystkich kategorii czynno艣ci przetwarzania dokonywanych w imieniu administratora, zawieraj膮cy nast臋puj膮ce informacje: 1) imi臋 i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzaj膮cego lub podmiot贸w przetwarzaj膮cych oraz ka偶dego administratora, w imieniu kt贸rego dzia艂a podmiot przetwarzaj膮cy, a gdy ma to zastosowanie 鈥 inspektora ochrony danych;
2) kategorie przetwarza艅 dokonywanych w imieniu ka偶dego z administrator贸w;

3) gdy ma to zastosowanie 鈥 przekazania danych osobowych do publicznej ko艣cielnej osoby prawnej maj膮cej siedzib臋 poza terytorium Rzeczypospolitej Polskiej;

4) je偶eli jest to mo偶liwe, og贸lny opis technicznych i organizacyjnych 艣rodk贸w bezpiecze艅stwa.

3. Rejestry, o kt贸rych mowa w ust. 1 i 2, maj膮 form臋 pisemn膮, w tym elektroniczn膮.

4. Administrator lub podmiot przetwarzaj膮cy udost臋pniaj膮 rejestr na 偶膮danie Ko艣cielnego Inspektora Ochrony Danych.

Art. 22 鈥 Bezpieczestwo przetwarzania

1. Uwzgl臋dniaj膮c stan wiedzy technicznej, koszt wdra偶ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych o r贸偶nym prawdopodobie艅stwie wyst膮pienia i wadze zagro偶enia, administrator i podmiot przetwarzaj膮cy wdra偶aj膮 odpowiednie 艣rodki techniczne i organizacyjne, aby zapewni膰stopie艅 bezpiecze艅stwa odpowiadaj膮cy temu ryzyku.

2. Oceniaj膮c, czy stopie艅 bezpiecze艅stwa jest odpowiedni, uwzgl臋dnia si臋 ryzyko wi膮偶膮ce si臋 z przetwarzaniem, w szczeg贸lno艣ci wynikaj膮ce z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost臋pu do danych osobowych przesy艂anych, przechowywanych lub w inny spos贸b przetwarzanych.

3. Administrator oraz podmiot przetwarzaj膮cy podejmuj膮 dzia艂ania w celu zapewnienia, by ka偶da osoba fizyczna dzia艂aj膮ca z upowa偶nienia administratora lub podmiotu przetwarzaj膮cego, kt贸ra ma dost臋p do danych osobowych, przetwarza艂a je wy艂膮cznie na polecenie administratora, chyba 偶e wymaga tego od niej prawo.

Art. 23 鈥 Warunki przechowywania zbior贸w danych

1. Zbiory danych powinny by膰 przechowywane w pomieszczeniu przeznaczonym do tego celu, bezpiecznym, nale偶膮cym lub dost臋pnym wy艂膮cznie dla administratora, podmiotu przetwarzaj膮cego oraz os贸b przetwarzaj膮cych na podstawie upowa偶nienia.

2. W przypadku braku pomieszczenia o takich w艂a艣ciwo艣ciach, powinny by膰 one przechowywane w szafie umieszczonej w lokalu nale偶膮cym do administratora lub podmiotu przetwarzaj膮cego na zlecenie administratora lub dost臋pnym wy艂膮cznie im i osobom przez nich upowa偶nionym, z wystarczaj膮c膮 gwarancj膮 ich bezpiecze艅stwa i nienaruszalno艣ci.

Art. 24 鈥 Przechowywanie danych w archiwach

1. Szczeg贸ln膮 uwag臋 nale偶y zwr贸ci膰 na zapewnienie nienaruszalno艣ci archiw贸w i ich zarz膮dzanie.

2. Archiwum powinno by膰 wyposa偶one w system zamkni臋cia, kt贸ry gwarantuje wystarczaj膮c膮 ochron臋 przed kradzie偶膮 i w艂amaniem.

3. Klucze do archiwum winny by膰 starannie przechowywane przez administratora danych lub osob臋 przez niego upowa偶nion膮. Staranno艣膰 powinna by膰 dochowana tak偶e przy autoryzacji dost臋pu udzielanego osobom postronnym.

Art. 25 鈥 Przechowywanie danych w archiwach cyfrowych

1. Dane zawarte w archiwach cyfrowych winny by膰 zarz膮dzane za pomoc膮licencjonowanego oprogramowania, pozwalaj膮cego na kontrol臋 dost臋pu przy pomocy systemu identyfikator贸w i hase艂 dost臋pu.

2. Administrator winien zapewni膰 bezpiecze艅stwo danych poprzez okresowo dokonywany ich zapis i przeniesienie na inne no艣niki, zabezpieczone przed dost臋pem os贸b postronnych.

3. Urz膮dzenia i no艣niki zawieraj膮ce dane winny by膰 przechowywane w pomieszczeniach zamkni臋tych i zabezpieczonych przed dost臋pem os贸b nieuprawnionych.

Art. 26 鈥 Tajne archiwum

Tajne archiwum, ustanowione na podstawie og贸lnych przepis贸w kanonicznych winno by膰聽strze偶one z uwzgl臋dnieniem jego szczeg贸lnego charakteru, zgodnie z przepisami kan. 489-490 Kodeksu Prawa Kanonicznego i kan. 259-260 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich oraz odpowiednimi przepisami partykularnymi, w tym obowi膮zuj膮cymi w instytutach聽偶ycia konsekrowanego i stowarzyszeniach聽偶ycia apostolskiego.

Art. 27 鈥 Zgaszanie naruszenia ochrony danych osobowych Kocielnemu Inspektorowi Ochrony Danych

1. W przypadku naruszenia ochrony danych osobowych, administrator bez zb臋dnej zw艂oki 鈥 w miar臋 mo偶liwo艣ci, nie p贸藕niej ni偶 w terminie 72 godzin po stwierdzeniu naruszenia 鈥 zg艂asza je Ko艣cielnemu Inspektorowi Ochrony Danych, chyba 偶e jest ma艂o prawdopodobne, by naruszenie to skutkowa艂o ryzykiem naruszenia praw lub wolno艣ci os贸b fizycznych. Do zg艂oszenia przekazanego po up艂ywie 72 godzin do艂膮cza si臋 wyja艣nienie przyczyn op贸藕nienia.

2. Podmiot przetwarzaj膮cy po stwierdzeniu naruszenia ochrony danych osobowych bez zb臋dnej zw艂oki zg艂asza je administratorowi.

3. Zg艂oszenie, o kt贸rym mowa w ust. 1, powinno co najmniej:
1) opisywa膰聽charakter naruszenia ochrony danych osobowych, w tym w miar臋 mo偶liwo艣ci wskazywa膰聽kategorie i przybli偶on膮聽liczb臋聽os贸b, kt贸rych dane dotycz膮, oraz kategorie i przybli偶on膮聽liczb臋聽wpis贸w danych osobowych, kt贸rych dotyczy naruszenie;

2) zawiera膰 imi臋 i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od kt贸rego mo偶na uzyska膰 wi臋cej informacji;

3) opisywa膰 mo偶liwe konsekwencje naruszenia ochrony danych osobowych;

4) opisywa膰 艣rodki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach 艣rodki w celu zminimalizowania jego ewentualnych negatywnych skutk贸w.

4. Je偶eli 鈥 i w zakresie, w jakim 鈥 informacji nie da si臋 udzieli膰 w tym samym czasie, mo偶na ich udziela膰 sukcesywnie bez zb臋dnej zw艂oki.

5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczno艣ci naruszenia ochrony danych osobowych, jego skutki oraz podj臋te dzia艂ania zaradcze. Dokumentacja ta powinna pozwoli膰 Ko艣cielnemu Inspektorowi Ochrony Danych na weryfikowanie przestrzegania niniejszego artyku艂u.

Art. 28 – Zawiadamianie osoby, kt贸rej dane dotycz, o naruszeniu ochrony danych osobowych

1. Je偶eli naruszenie ochrony danych osobowych mo偶e powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych, administrator bez zb臋dnej zw艂oki zawiadamia osob臋, kt贸rej dane dotycz膮, o takim naruszeniu.

2. Zawiadomienie, o kt贸rym mowa w ust. 1 niniejszego artyku艂u, jasnym i prostym j臋zykiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i 艣rodki, o kt贸rych mowa w art. 27 ust. 3 pkt 2-4.

3. Zawiadomienie, o kt贸rym mowa w ust. 1, nie jest wymagane, w nast臋puj膮cych przypadkach:

1) administrator wdro偶y艂 odpowiednie techniczne i organizacyjne 艣rodki ochrony i 艣rodki te zosta艂y zastosowane do danych osobowych, kt贸rych dotyczy naruszenie, w szczeg贸lno艣ci 艣rodki takie jak szyfrowanie, uniemo偶liwiaj膮ce odczyt osobom nieuprawnionym do dost臋pu do tych danych osobowych;

2) administrator zastosowa艂 nast臋pnie 艣rodki eliminuj膮ce prawdopodobie艅stwo wysokiego ryzyka naruszenia praw lub wolno艣ci osoby, kt贸rej dane dotycz膮, o kt贸rym mowa w ust. 1;

3) wymaga艂oby ono niewsp贸艂miernie du偶ego wysi艂ku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny 艣rodek, za pomoc膮 kt贸rego osoby, kt贸rych dane dotycz膮, zostaj膮 poinformowane w r贸wnie skuteczny spos贸b.

4. Je偶eli administrator nie zawiadomi艂 jeszcze osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych, Ko艣cielny Inspektor Ochrony Danych 鈥 bior膮c pod uwag臋prawdopodobie艅stwo, 偶e to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko 鈥 mo偶e od niego tego za偶膮da膰 lub mo偶e stwierdzi膰, 偶e spe艂niony zosta艂 jeden z warunk贸w, o kt贸rych mowa w ust. 3.

Art. 29 鈥 Zgoszenie naruszenia innym podmiotom

Niezale偶nie od spe艂nienia obowi膮zk贸w okre艣lonych w art. 27-28, administrator winien zg艂osi膰 bezzw艂ocznie w艂a艣ciwej w艂adzy ko艣cielnej, a w razie potrzeby tak偶e organom艣cigania, ka偶de wtargni臋cie do archiwum, lub do pomieszczenia, w kt贸rym przechowywane s膮 zbiory danych, kt贸rego skutkiem by艂a utrata lub zniszczenie rejestr贸w, akt, dokument贸w urz臋dowych, indeks贸w i katalog贸w zawieraj膮cych dane osobowe.

Art. 30 鈥 Powoanie inspektora ochrony danych

1. Ko艣cielna publiczna osoba prawna mo偶e wyznaczy膰 inspektora ochrony danych. W przypadku, gdy przetwarzanie danych odbywa si臋 na du偶膮 skal臋, ko艣cielna publiczna osoba prawna powinna wyznaczy膰 inspektora ochrony danych.

2. Kilka ko艣cielnych publicznych os贸b prawnych mo偶e wyznaczy膰 jednego inspektora ochrony danych, o ile mo偶na b臋dzie 艂atwo nawi膮za膰 z nim kontakt z ka偶dej jednostki organizacyjnej.

3. Inspektor ochrony danych powinien by膰 wyznaczany na podstawie kwalifikacji zawodowych, a w szczeg贸lno艣ci wiedzy fachowej na temat prawa i praktyki w dziedzinie ochrony danych oraz umiej臋tno艣ci wype艂nienia zada艅, o kt贸rych mowa w art. 32.

4. Inspektor ochrony danych mo偶e by膰 cz艂onkiem personelu administratora lub podmiotu przetwarzaj膮cego lub wykonywa膰 zadania na podstawie umowy o 艣wiadczenie us艂ug.

5. Administrator lub podmiot przetwarzaj膮cy publikuj膮 dane kontaktowe inspektora ochrony danych i zawiadamiaj膮 o nich Ko艣cielnego Inspektora Ochrony Danych.

Art. 31 鈥 Status inspektora ochrony danych

1. Administrator oraz podmiot przetwarzaj膮cy zapewniaj膮, by inspektor ochrony danych by艂 w艂a艣ciwie i niezw艂ocznie w艂膮czany we wszystkie sprawy dotycz膮ce ochrony danych osobowych.

2. Administrator oraz podmiot przetwarzaj膮cy wspieraj膮 inspektora ochrony danych w wype艂nianiu przez niego zada艅, zapewniaj膮c mu zasoby niezb臋dne do wykonania tych zada艅 oraz dost臋p do danych osobowych i operacji przetwarzania, a tak偶e zasoby niezb臋dne do utrzymania jego wiedzy fachowej.

3. Administrator oraz podmiot przetwarzaj膮cy zapewniaj膮, by inspektor ochrony danych nie otrzymywa艂 instrukcji, kt贸re uniemo偶liwia艂yby mu wykonywanie jego zada艅. Nie powinien on by膰 odwo艂ywany ani karany przez administratora ani podmiot przetwarzaj膮cy za wype艂nianie swoich zada艅. Inspektor ochrony danych bezpo艣rednio podlega administratorowi lub podmiotowi przetwarzaj膮cemu.

4. Osoby, kt贸rych dane dotycz膮, mog膮 kontaktowa膰 si臋 z inspektorem ochrony danych we wszystkich sprawach zwi膮zanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przys艂uguj膮cych im na mocy niniejszego dekretu.

5. Inspektor ochrony danych jest zobowi膮zany do zachowania tajemnicy lub poufno艣ci co do wykonywania swoich zada艅 鈥 zgodnie z przepisami prawa kanonicznego lub艣wieckiego.

6. Inspektor ochrony danych mo偶e wykonywa膰 inne zadania i obowi膮zki. Administrator lub podmiot przetwarzaj膮cy zapewniaj膮, by takie zadania i obowi膮zki nie powodowa艂y konfliktu interes贸w.

Art. 32 鈥 Zadania inspektora ochrony danych

Do zada艅 inspektora ochrony danych nale偶y:

1) informowanie administratora, podmiotu przetwarzaj膮cego oraz pracownik贸w, kt贸rzy przetwarzaj膮 dane osobowe, o spoczywaj膮cych na nich obowi膮zkach w zakresie ochrony danych i doradzanie im w tej sprawie;

2) monitorowanie przestrzegania niniejszego dekretu oraz polityk administratora lub podmiotu przetwarzaj膮cego w dziedzinie ochrony danych osobowych, w tym podzia艂obowi膮zk贸w, dzia艂ania zwi臋kszaj膮ce 艣wiadomo艣膰, szkolenia personelu uczestnicz膮cego w operacjach przetwarzania oraz powi膮zane z tym audyty;

3) wsp贸艂praca z Ko艣cielnym Inspektorem Ochrony Danych;

4) pe艂nienie funkcji punktu kontaktowego dla Ko艣cielnego Inspektora Ochrony Danych w kwestiach zwi膮zanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Art. 33 鈥 Wsp贸praca z organem nadzorczym

Administrator, podmiot przetwarzaj膮cy i inspektor ochrony danych 鈥 je艣li zosta艂 on wyznaczony 鈥 wsp贸艂pracuj膮 z Ko艣cielnym Inspektorem Ochrony Danych w ramach wykonywania przez niego zada艅.

Art. 34 鈥 Przekazywanie danych i sporzdzanie wypis贸w

1. Przekazanie danych do innego ko艣cielnego zbioru danych mo偶e nast膮pi膰 na wniosek osoby, kt贸rej dane dotycz膮 lub na wniosek administratora zbioru danych, w kt贸rym maj膮zosta膰 u偶yte wnioskowane dane. Mo偶e to nast膮pi膰 poprzez dostarczenie bezpo艣rednie lub za po艣rednictwem poczty lub 鈥 z zachowaniem ostro偶no艣ci 鈥 drog膮 elektroniczn膮.

2. Przekazywanie danych osobowych przez ko艣cielne publiczne osoby prawne innym podmiotom mo偶e nast膮pi膰 w przypadku, gdy:

1) jest to niezb臋dne dla wykonania zada艅 okre艣lonych w przepisach prawa;

2) osoba, kt贸rej dane dotycz膮 zosta艂a o tym poinformowana i uprzednio wyrazi艂a zgod臋 na przekazanie danych w formie pisemnej;

3) przekazanie jest niezb臋dne dla wykonania umowy, kt贸rej stron膮 jest osoba, kt贸rej dane dotycz膮 lub w interesie kt贸rej dane mia艂yby zosta膰 przekazane;

4) przekazanie jest niezb臋dne ze wzgl臋du na wa偶ne wzgl臋dy interesu publicznego.

3. Dokonanie wypisu i przekazanie danych zawartych w zbiorze poza przypadkami przewidzianymi w ust. 1 i 2 oraz w art. 11 ust. 4, jest ponadto dopuszczalne:
1) dla cel贸w badawczych, z zachowaniem kryteri贸w metodologicznych i deontologicznych odnosz膮cych si臋 do bada艅 historycznych, a w szczeg贸lno艣ci wskazanych w regulacjach dotycz膮cych archiw贸w ko艣cielnych;
2) dla cel贸w statystycznych, po uprzednim usuni臋ciu danych identyfikuj膮cych osoby.

Rozdzia艂 V Ko艣cielny Inspektor Ochrony Danych

Art. 35 鈥 Niezaleno艣膰 Kocielnego Inspektora Ochrony Danych

1. Ko艣cielny Inspektor Ochrony Danych jest niezale偶nym organem monitoruj膮cym i zapewniaj膮cym przestrzeganie przepis贸w o ochronie danych osobowych w ramach i zgodnie z dzia艂aniem Ko艣cio艂a katolickiego i jego struktur. Ko艣cielny Inspektor Ochrony Danych wzakresie wykonywania swoich zada艅 nadzorczych nie podlega poleceniom innych podmiot贸w.

2. Funkcja Ko艣cielnego Inspektora Ochrony Danych jest urz臋dem w rozumieniu kan. 145 Kodeksu Prawa Kanonicznego.

3. Osoba pe艂ni膮ca funkcj臋 Ko艣cielnego Inspektora Ochrony Danych ma obowi膮zek powstrzyma膰 si臋 od wszelkich zaj臋膰 i dzia艂a艅, niedaj膮cych si臋 pogodzi膰 z pe艂nion膮 funkcj膮.

4. Konferencja Episkopatu Polski zapewnia warunki i 艣rodki niezb臋dne do skutecznego wype艂niania zada艅 przez Ko艣cielnego Inspektora Ochrony Danych.

Art. 36 鈥 Wyb贸r Kocielnego Inspektora Ochrony Danych

1. Ko艣cielny Inspektor Ochrony Danych jest wybierany przez Zebranie Plenarne Konferencji Episkopatu Polski na czteroletni膮 kadencj臋. Ta sama osoba mo偶e by膰 wybierana na kolejne kadencje.

2. Osoba pe艂ni膮ca funkcj臋 Ko艣cielnego Inspektora Ochrony Danych powinna posiada膰odpowiedni膮 wiedz臋, do艣wiadczenie i umiej臋tno艣ci w zakresie ochrony danych osobowych, niezb臋dne do prawid艂owego wype艂niania swoich zada艅.

3. Ko艣cielny Inspektor Ochrony Danych mo偶e zosta膰 odwo艂any z pe艂nionej funkcji tylko w przypadku, gdy dopu艣ci艂 si臋 powa偶nego uchybienia swoich obowi膮zk贸w albo przesta艂spe艂nia膰 wymogi niezb臋dne do pe艂nienia urz臋du.

4. Ko艣cielny Inspektor Ochrony Danych mo偶e z艂o偶y膰 rezygnacj臋 z pe艂nionego urz臋du. Winna by膰 ona z艂o偶ona na pi艣mie i osi膮ga skutek z chwil膮 jej notyfikowania Przewodnicz膮cemu Konferencji Episkopatu Polski.

Art. 37 鈥 Zadania Kocielnego Inspektora Ochrony Danych

1. Do zada艅 Ko艣cielnego Inspektora Ochrony Danych nale偶y:
1) monitorowanie i zapewnianie przestrzegania przepis贸w o ochronie danych osobowych w ramach i zgodnie z dzia艂aniem Ko艣cio艂a katolickiego i jego struktur;
2) upowszechnianie wiedzy o ochronie danych osobowych w Ko艣ciele;
3) doradzanie administratorom danych i podmiotom przetwarzaj膮cym w Ko艣ciele w zakresie ochrony danych osobowych;
4) udzielanie osobie, kt贸rej dane dotycz膮 informacji dotycz膮cych uprawnie艅 przys艂uguj膮cych jej w zwi膮zku z przetwarzaniem jej danych osobowych;
5) rozpatrywanie skarg dotycz膮cych przestrzegania przepis贸w ustanowionych w Ko艣ciele w zakresie ochrony danych osobowych;
6) podejmowanie decyzji dotycz膮cych dopuszczalno艣ci przekazywania danych do publicznej ko艣cielnej osoby prawnej maj膮cej siedzib臋 poza terytorium Rzeczypospolitej Polskiej, je艣li istniej膮 uzasadnione w膮tpliwo艣ci odno艣nie do ochrony tych danych;

7) wsp贸艂praca z krajowym organem nadzorczym, w tym dzielenie si臋 informacjami oraz 艣wiadczenie wzajemnej pomocy w celu zapewnienia przestrzegania przepis贸w o ochronie danych osobowych;

8) monitorowanie zmian w dzia艂alno艣ci Ko艣cio艂a maj膮cych wp艂yw na ochron臋 danych osobowych, w szczeg贸lno艣ci stosowania technologii informacyjnych i komunikacyjnych;

9) przedk艂adanie Konferencji Episkopatu Polski propozycji regulacji prawnych b膮d藕zmian regulacji dotycz膮cych ochrony danych osobowych.

2. Ko艣cielny Inspektor Ochrony Danych nie jest uprawniony do monitorowania i ingerencji w przekazywanie danych do Stolicy Apostolskiej.

3. Ko艣cielny Inspektor Ochrony Danych nie mo偶e monitorowa膰 ani ingerowa膰w przetwarzanie danych dokonywane przez s膮dy w ramach sprawowania przez nie wymiaru sprawiedliwo艣ci.

Art. 38 鈥 Uprawnienia Kocielnego Inspektora Ochrony Danych

W celu realizacji zada艅 Ko艣cielny Inspektor Ochrony Danych jest uprawniony do:

1) 偶膮dania od podmiot贸w przetwarzaj膮cych dane osobowe w Ko艣ciele udzielenia informacji zwi膮zanych z przetwarzaniem i ochron膮 danych;

2) przeprowadzenia kontroli dzia艂alno艣ci podmiot贸w przetwarzaj膮cych dane osobowe w Ko艣ciele;

3) nakazania przywr贸cenia stanu zgodnego z prawem w przypadku stwierdzenia nieprawid艂owo艣ci przy przetwarzaniu danych;

4) nakazania administratorowi poinformowania osoby, kt贸rej dane dotycz膮 o naruszeniu ochrony danych;

5) podj臋cia innych 艣rodk贸w, niezb臋dnych do zapewnienia skutecznej ochrony danych osobowych w Ko艣ciele.

Art. 39 鈥 Sprawozdanie z dziaalnoci Kocielnego Inspektora Ochrony Danych

Ko艣cielny Inspektor Ochrony Danych sporz膮dza roczne sprawozdanie ze swojej dzia艂alno艣ci, kt贸re jest przekazywane Konferencji Episkopatu Polski oraz publikowane w Aktach Konferencji Episkopatu Polski.

Art. 40 鈥 Nadz贸r

1. Niezale偶nie od monitorowania i zapewniania przez Ko艣cielnego Inspektora Ochrony Danych przestrzegania przepis贸w w zakresie ochrony danych osobowych w rozumieniu art. 35 ust. 1 niniejszego Dekretu, do biskupa diecezjalnego w ramach zwyczajnych dzia艂a艅 kontrolnych (np. podczas wizytacji kanonicznych) nale偶y tak偶e nadz贸r nad prawid艂owym przestrzeganiem przepis贸w dotycz膮cych pozyskiwania, przechowywania i przetwarzania danych osobowych.

2. W instytutach 偶ycia konsekrowanego i stowarzyszeniach 偶ycia apostolskiego nadz贸r, o kt贸rym mowa w ust臋pie poprzedzaj膮cym, sprawuje wy偶szy prze艂o偶ony.

Rozdzia艂 VI Procedura odwo艂awcza i odpowiedzialno艣膰 za naruszenie przepis贸w niniejszego Dekretu og贸lnego

Art. 41 鈥 Procedura odwoawcza

Je艣li osoba, kt贸rej dane dotycz膮, uzna, 偶e przetwarzanie danych nie jest zgodne z przepisami niniejszego Dekretu, mo偶e z艂o偶y膰 skarg臋 do Ko艣cielnego Inspektora Ochrony Danych, a nast臋pnie do w艂a艣ciwej dykasterii Stolicy Apostolskiej, zgodnie z przepisami Kodeksu Prawa Kanonicznego.

Art. 42 鈥 Sankcje

1. Kto powoduje szkody materialne lub moralne poprzez nieuprawnione pozyskanie, przechowywanie i wykorzystywanie danych osobowych jest zobowi膮zany do naprawienia szkody zgodnie z kan. 128 Kodeksu Prawa Kanonicznego oraz kan. 935 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich.

2. Karze przewidzianej przez kan. 1389 Kodeksu Prawa Kanonicznego oraz kan. 1464 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich podlega ten, kto naruszaj膮c niniejsze przepisy:

1) nadu偶ywa w艂adzy ko艣cielnej lub urz臋du;

2) dokona lub zaniecha bezprawnie z powodu zawinionego zaniedbania aktu w艂adzy ko艣cielnej lub aktu urz臋dowego powoduj膮c szkod臋 dla innej osoby.

3. Kar膮 przewidzian膮 w kan. 1390 搂 2 Kodeksu Prawa Kanonicznego oraz kan. 1452 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich mo偶e zosta膰 ukarany ten, kto nie zachowuj膮c niniejszych przepis贸w narusza czyje艣 dobre imi臋.

4. Je偶eli przest臋pstwo polega na naruszeniu obowi膮zku s艂u偶bowego kara podlega zaostrzeniu i mo偶e tak偶e polega膰 na odwo艂aniu lub na pozbawieniu urz臋du zgodnie z kan. 193 搂 1 i 3; 196 搂 1; 1336 搂 1, n. 2掳 i 1389 Kodeksu Prawa Kanonicznego oraz kan. 975 搂 1 i 2; 978; 1464 Kodeksu Kanon贸w Ko艣cio艂贸w Wschodnich.

Rozdzia艂 VII Przepisy kocowe

Art. 43 鈥 Zasada swobody komunikacji

Ko艣ci贸艂 katolicki w Polsce, jego osoby prawne i fizyczne korzystaj膮 ze swobody utrzymywania stosunk贸w i komunikowania si臋 ze Stolic膮 Apostolsk膮, z Konferencjami Biskup贸w, z Ko艣cio艂ami partykularnymi, a tak偶e mi臋dzy sob膮 i z innymi wsp贸lnotami, instytucjami, organizacjami i osobami w kraju i za granic膮. 呕aden artyku艂 tego Dekretu nie mo偶e by膰 interpretowany w spos贸b, kt贸ry w istotnym stopniu ogranicza艂by t臋 swobod臋.

Art. 44 鈥 Wejcie w ycie

1. Niniejszy Dekret wchodzi w 偶ycie po uzyskaniu recognitio Stolicy Apostolskiej z chwil膮 promulgacji, zgodnie z kan. 455 搂 2 i 3 w zwi膮zku z kan. 8 搂 2 Kodeksu Prawa Kanonicznego.

2. Promulgacja niniejszego Dekretu nast臋puje poprzez zamieszczenie go na oficjalnej stronie internetowej Konferencji Episkopatu Polski.

+ Stanisaw Gdecki

Arcybiskup Metropolita Pozna艅ski Przewodnicz膮cy KEP

+ Artur G. Miziski

Generalny KEP