3
dane osobowe w ramach konkretnego postępowania zgodnie z prawem, nie są jednak
uznawane za odbiorców;
7) „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome
i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub
wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych
osobowych;
8) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa
prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia,
zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych
osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
9) „dane wrażliwe” oznaczają dane ujawniające pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków
zawodowych oraz dane genetyczne, dane biometryczne a także dane dotyczące zdrowia lub
seksualności osoby fizycznej;
10) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub
nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje
o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki
biologicznej pochodzącej od tej osoby fizycznej;
11) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego
przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych
osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby,
takie jak np. wizerunek twarzy lub dane daktyloskopijne;
12) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub
psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające
informacje o stanie jej zdrowia.
Rozdział II
Zasady przetwarzania danych
Art. 6 – Standardy przetwarzania danych
1. Dane osobowe powinny być:
1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której
dane dotyczą;
2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach
i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów
archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest
uznawane za niezgodne z pierwotnymi celami;
3) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których
są przetwarzane;
4) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne
działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania,
zostały niezwłocznie usunięte lub sprostowane;
5) przechowywane w formie umożliwiającej identyfikację osoby, której dane
dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są
przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one
przetwarzane wyłącznie do celów archiwalnych, do celów badań naukowych lub
historycznych albo do celów statystycznych, z zastrzeżeniem że wdrożone zostaną
odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których
dane dotyczą;
4
6) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych
osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem
oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków
technicznych lub organizacyjnych.
2. Za przestrzeganie określonych powyżej zasad odpowiedzialny jest administrator,
który powinien być w stanie wykazać ich przestrzeganie. Na administratorze spoczywa
obowiązek czuwania nad prawidłowym zachowaniem przedmiotowych norm kanonicznych
oraz koordynacji działalności ewentualnych współpracowników.
Art. 7 – Dopuszczalność przetwarzania danych
1. W działalności publicznych kościelnych osób prawnych przetwarzanie danych
osobowych jest dopuszczalne, jeżeli:
1) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych
osobowych w jednym lub większej liczbie określonych celów;
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba,
której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed
zawarciem umowy;
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
administratorze, zgodnie z przepisami prawa kanonicznego lub prawa świeckiego;
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą, lub innej osoby fizycznej;
5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie
publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji,
w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa
i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
2. Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie w stosunku do osób
ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci
(członków Kościoła), łącznie z tymi, którzy złożyli formalne oświadczenie woli
o wystąpieniu z Kościoła katolickiego, zgodnie z wewnętrznymi przepisami Kościoła
(„byłych członków Kościoła”) oraz osób utrzymujących z nim stałe kontakty w związku z
realizacją celów Kościoła w ramach uprawnionej działalności prowadzonej z zachowaniem
odpowiednich zabezpieczeń. Dane te nie są ujawniane poza Kościołem bez zgody osób,
których dane dotyczą.
Art. 8 – Informowanie o przetwarzaniu danych w przypadku zbierania danych od
osoby, której dane dotyczą
1. W przypadku zbierania danych od osoby, której dane dotyczą, administrator danych
informuje tę osobę o przetwarzaniu, podając informacje identyfikujące administratora
i pozwalające się z nim skontaktować, bądź dane kontaktowe inspektora ochrony danych,
wskazując cel przetwarzania danych, podstawę prawną przetwarzania, informacje
o odbiorcach oraz zamiarze przekazania danych do publicznej kościelnej osoby prawnej
mającej siedzibę poza terytorium Rzeczypospolitej Polskiej. Ponadto administrator podaje
informacje o okresie przetwarzania danych, informacje o prawie do żądania od administratora
dostępu do danych osobowych, prawie domagania się ich sprostowania, usunięcia lub
ograniczenia przetwarzania zgodnie z niniejszym Dekretem, oraz informacje o prawie
wniesienia skargi do Kościelnego Inspektora Ochrony Danych;