7
4. Administrator powiadamia pisemnie wnioskodawcę o dokonanej adnotacji.
5. W przypadku odrzucenia wniosku, zostaje on odnotowany i przechowywany
w aneksie do właściwego zbioru. Administrator powiadamia na piśmie o odrzuceniu wniosku
zainteresowanego, który może ponownie złożyć wniosek do ordynariusza miejsca lub
wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia
apostolskiego.
Art. 14 – Prawo do żądania usunięcia danych
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego
usunięcia danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane
osobowe, jeżeli zachodzi jedna z następujących okoliczności:
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub
w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie
danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
2. Jeżeli administrator upublicznił dane osobowe, a ma obowiązek ich usunięcia, to –
biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania,
w tym środki techniczne, by poinformować administratorów przetwarzających te dane
osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do
tych danych, kopie tych danych lub ich replikacje.
3. Zasady, o których mowa w ust. 1 i 2 nie mają zastosowania, w zakresie w jakim
przetwarzanie jest niezbędne:
1) do korzystania z prawa do swobody wypowiedzi i wolności informacji;
2) do wywiązania się z obowiązku prawnego wymagającego przetwarzania lub do
wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy
publicznej powierzonej administratorowi;
3) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub
historycznych albo do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym
mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
4) do ustalenia, dochodzenia lub obrony roszczeń.
4. Prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą
udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby.
Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do
niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub
wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia
apostolskiego.
Art. 15 – Prawo do żądania ograniczenia przetwarzania
1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia
przetwarzania danych w następujących przypadkach, gdy:
1) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na
okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia
się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
3) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale
są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można
przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą,
8
lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby
fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę,
której dane dotyczą, która żądała ograniczenia na mocy ust. 1.
Art. 16 - Obowiązek powiadomienia
Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe,
o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, chyba że
okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator
informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą,
tego zażąda.
Rozdział IV
Administrator i podmiot przetwarzający
Art. 17 – Obowiązki administratora
1. Administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne
w celu ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz
ryzyko naruszenia praw lub wolności osób fizycznych. Administrator jest zobowiązany do
przestrzegania przepisów kanonicznych dotyczących starannego przechowywania,
dozwolonego użytku i właściwego zarządzania danymi osobowymi.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki,
o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk
ochrony danych.
3. Zarówno na etapie projektowania, jak też w trakcie procesów przetwarzania
administrator powinien zastosować odpowiednie środki techniczne i organizacyjne, służące
ochronie danych a także pozwalające, aby domyślnie przetwarzane były wyłącznie te dane
osobowe, które są niezbędne dla osiągnięcia celu przetwarzania.
Art. 18 – Współadministratorzy
1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby
przetwarzania, są oni współadministratorami. W drodze uzgodnień współadministratorzy
w przejrzysty
sposób
określają
odpowiednie
zakresy
swoich
obowiązków
i odpowiedzialności.
2. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie
zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami,
których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których
dane dotyczą.
3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą,
może wykonywać przysługujące jej prawa wobec każdego z współadministratorów.
Art. 19 – Powierzenie przetwarzania i obowiązki podmiotu przetwarzającego
1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora przez podmiot
przetwarzający, podmiot ten powinien zapewniać wystarczające gwarancje wdrożenia
odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi
niniejszego dekretu i gwarantowało ochronę praw osób, których dane dotyczą.
2. Przetwarzanie danych przez podmiot przetwarzający powinno opierać się na umowie
lub innym zobowiązaniu prawnym ustalającym zakres odpowiedzialności i procedury,
gwarantującym, że podmiot przetwarzający: