Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim

3 

 

dane  osobowe  w  ramach  konkretnego  postępowania  zgodnie  z  prawem,  nie  są  jednak 

uznawane za odbiorców; 

7)  „zgoda”  osoby,  której  dane  dotyczą  oznacza  dobrowolne,  konkretne,  świadome 

i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub 

wyraźnego  działania  potwierdzającego,  przyzwala  na  przetwarzanie  dotyczących  jej  danych 

osobowych;   

8)  „naruszenie  ochrony  danych  osobowych”  oznacza  naruszenie  bezpieczeństwa 

prowadzące  do  przypadkowego  lub  niezgodnego  z  prawem  zniszczenia,  utracenia, 

zmodyfikowania,  nieuprawnionego  ujawnienia  lub  nieuprawnionego  dostępu  do  danych 

osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; 

9)  „dane  wrażliwe”  oznaczają  dane  ujawniające  pochodzenie  rasowe  lub  etniczne, 

poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków 

zawodowych oraz dane genetyczne, dane biometryczne a także dane dotyczące zdrowia lub 

seksualności osoby fizycznej; 

10)  „dane  genetyczne”  oznaczają  dane  osobowe  dotyczące  odziedziczonych  lub 

nabytych  cech  genetycznych  osoby  fizycznej,  które  ujawniają  niepowtarzalne  informacje 

o fizjologii  lub  zdrowiu  tej  osoby  i  które  wynikają  w  szczególności  z  analizy  próbki 

biologicznej pochodzącej od tej osoby fizycznej; 

11)  „dane  biometryczne”  oznaczają  dane  osobowe,  które  wynikają  ze  specjalnego 

przetwarzania  technicznego,  dotyczą  cech  fizycznych,  fizjologicznych  lub  behawioralnych 

osoby  fizycznej  oraz  umożliwiają  lub  potwierdzają  jednoznaczną  identyfikację  tej  osoby, 

takie jak np. wizerunek twarzy lub dane daktyloskopijne; 

12)  „dane  dotyczące  zdrowia”  oznaczają  dane  osobowe  o  zdrowiu  fizycznym  lub 

psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające 

informacje o stanie jej zdrowia. 

 

 

Rozdział II 

Zasady przetwarzania danych 

 

Art. 6 – Standardy przetwarzania danych 

1. Dane osobowe powinny być: 

1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której 

dane dotyczą; 

2)  zbierane  w  konkretnych,  wyraźnych  i  prawnie  uzasadnionych  celach 

i nieprzetwarzane  dalej  w  sposób  niezgodny  z  tymi  celami;  dalsze  przetwarzanie  do  celów 

archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest 

uznawane za niezgodne z pierwotnymi celami; 

3) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których 

są przetwarzane; 

4)  prawidłowe  i  w  razie  potrzeby  uaktualniane;  należy  podjąć  wszelkie  rozsądne 

działania,  aby  dane  osobowe,  które  są  nieprawidłowe  w  świetle  celów  ich  przetwarzania, 

zostały niezwłocznie usunięte lub sprostowane; 

5)  przechowywane  w  formie  umożliwiającej  identyfikację  osoby,  której  dane 

dotyczą,  przez  okres  nie  dłuższy,  niż  jest  to  niezbędne  do  celów,  w  których  dane  te  są 

przetwarzane;  dane  osobowe  można  przechowywać  przez  okres  dłuższy,  o  ile  będą  one 

przetwarzane  wyłącznie  do  celów  archiwalnych,  do  celów  badań  naukowych  lub 

historycznych  albo  do  celów  statystycznych,  z  zastrzeżeniem  że  wdrożone  zostaną 

odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których 

dane dotyczą; 

4 

 

6)  przetwarzane  w  sposób  zapewniający  odpowiednie  bezpieczeństwo  danych 

osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem 

oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków 

technicznych lub organizacyjnych. 

2.  Za  przestrzeganie  określonych  powyżej  zasad  odpowiedzialny  jest  administrator, 

który  powinien  być  w  stanie  wykazać  ich  przestrzeganie.  Na  administratorze  spoczywa 

obowiązek  czuwania  nad  prawidłowym  zachowaniem  przedmiotowych  norm  kanonicznych 

oraz koordynacji działalności ewentualnych współpracowników. 

 

Art. 7 – Dopuszczalność przetwarzania danych 

1.  W  działalności  publicznych  kościelnych  osób  prawnych  przetwarzanie  danych 

osobowych jest dopuszczalne, jeżeli: 

1)  osoba,  której  dane  dotyczą  wyraziła  zgodę  na  przetwarzanie  swoich  danych 

osobowych w jednym lub większej liczbie określonych celów; 

2)  przetwarzanie  jest  niezbędne  do  wykonania  umowy,  której  stroną  jest  osoba, 

której  dane  dotyczą,  lub  do  podjęcia  działań  na  żądanie  osoby,  której  dane  dotyczą,  przed 

zawarciem umowy; 

3) przetwarzanie jest niezbędne do wypełnienia  obowiązku prawnego ciążącego na 

administratorze, zgodnie z przepisami prawa kanonicznego lub prawa świeckiego; 

4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane 

dotyczą, lub innej osoby fizycznej; 

5)  przetwarzanie  jest  niezbędne  do  wykonania  zadania  realizowanego  w  interesie 

publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 

6)  przetwarzanie  jest  niezbędne  do  celów  wynikających  z  prawnie  uzasadnionych 

interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, 

w  których  nadrzędny  charakter  wobec  tych  interesów  mają  interesy  lub  podstawowe  prawa 

i wolności  osoby,  której  dane  dotyczą,  wymagające  ochrony  danych  osobowych, 

w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. 

2. Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie w stosunku do osób 

ochrzczonych  w  Kościele  katolickim  i  tych,  którzy  po  chrzcie  zostali  do  niego  przyjęci 

(członków  Kościoła),  łącznie  z  tymi,  którzy  złożyli  formalne  oświadczenie  woli 

o wystąpieniu  z  Kościoła  katolickiego,  zgodnie  z  wewnętrznymi  przepisami  Kościoła 

(„byłych  członków  Kościoła”)  oraz  osób  utrzymujących  z  nim  stałe  kontakty  w  związku  z 

realizacją  celów  Kościoła  w  ramach  uprawnionej  działalności  prowadzonej  z  zachowaniem 

odpowiednich  zabezpieczeń.  Dane  te  nie  są  ujawniane  poza  Kościołem  bez  zgody  osób, 

których dane dotyczą.  

 

Art. 8 – Informowanie o przetwarzaniu danych w przypadku zbierania danych od 

osoby, której dane dotyczą 

1. W przypadku zbierania danych od osoby, której dane dotyczą, administrator danych 

informuje  tę  osobę  o  przetwarzaniu,  podając  informacje  identyfikujące  administratora 

i pozwalające  się  z  nim  skontaktować,  bądź  dane  kontaktowe  inspektora  ochrony  danych, 

wskazując  cel  przetwarzania  danych,  podstawę  prawną  przetwarzania,  informacje 

o odbiorcach  oraz  zamiarze  przekazania  danych  do  publicznej  kościelnej  osoby  prawnej 

mającej  siedzibę  poza  terytorium  Rzeczypospolitej  Polskiej.  Ponadto  administrator  podaje 

informacje o okresie przetwarzania danych, informacje o prawie do żądania od administratora 

dostępu  do  danych  osobowych,  prawie  domagania  się  ich  sprostowania,  usunięcia  lub 

ograniczenia  przetwarzania  zgodnie  z  niniejszym  Dekretem,  oraz  informacje  o  prawie 

wniesienia skargi do Kościelnego Inspektora Ochrony Danych;