Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim

9 

 

1) będzie przetwarzał dane wyłącznie w zakresie i celu określonym w umowie; 

2)  zapewni,  by  osoby  upoważnione  do  przetwarzania  danych  zobowiązały  się  do 

zachowania tajemnicy; 

3) podejmie środki wymagane w celu zabezpieczenia danych; 

4) będzie pomagał  administratorowi wypełniać obowiązki w zakresie informowania 

osób,  których  dane  dotyczą,  realizowania  ich  uprawnień  oraz  obowiązki  dotyczące 

zawiadamiania o naruszeniach; 

5)  po  zakończeniu  świadczenia  usług  związanych  z  przetwarzaniem  zależnie  od 

decyzji administratora usunie lub zwróci mu wszelkie dane osobowe oraz usunie wszelkie ich 

istniejące kopie; 

6)  udostępni  administratorowi  wszelkie  informacje  niezbędne  do  wykazania 

spełnienia  obowiązków  określonych  w  niniejszym  artykule  oraz  umożliwi  administratorowi 

lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów. 

3.  Podmiot  przetwarzający  nie  może  korzystać  z  usług  innego  podmiotu 

przetwarzającego bez uprzedniej pisemnej zgody administratora.  

4.  Powierzenie  przetwarzania  danych  podmiotowi  nie  należącemu  do  porządku 

kanonicznego  musi  zostać  dokonane  na  podstawie  umowy  zawartej  zgodnie  z  kan.  1290 

Kodeksu  Prawa  Kanonicznego  i  kan.  1034  Kodeksu  Kanonów  Kościołów  Wschodnich, 

z zastrzeżeniem,  że  także  na  podmiocie,  któremu  zostają  powierzone  dane  spoczywa 

obowiązek zachowania przepisów niniejszego dekretu. 

 

Art. 20 – Przetwarzanie z upoważnienia. Obowiązek zachowania tajemnicy 

1. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora 

lub  podmiotu  przetwarzającego  i  mająca  dostęp  do  danych  osobowych  przetwarzają  je 

wyłącznie na polecenie administratora, chyba że wymaga tego prawo. 

2.  Administrator  oraz  każda  inna  osoba  posiadająca  stały  dostęp  do  danych 

gromadzonych  przez  podmioty  kościelne  lub  przez  nie  prawnie  nabytych,  jest  zobowiązana 

do  zachowania  tajemnicy  dotyczącej  wszystkich  przetwarzanych  danych  osobowych. 

Obowiązek  zachowania  tajemnicy  pozostaje  nienaruszony  także  po  zakończeniu  pełnienia 

funkcji.   

 

Art. 21 - Rejestrowanie czynności przetwarzania 

1. Każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za 

które odpowiada. W rejestrze tym zamieszcza się następujące informacje: 

1)  imię  i  nazwisko  lub  nazwę  oraz  dane  kontaktowe  administratora  oraz 

współadministratorów, a także gdy ma to zastosowanie – inspektora ochrony danych; 

2) cele przetwarzania; 

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; 

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; 

5)  gdy  ma  to  zastosowanie,  informacje  o  przekazywaniu  danych  do  publicznej 

kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej; 

6)  jeżeli  jest  to  możliwe,  planowane  terminy  usunięcia  poszczególnych  kategorii 

danych; 

7)  jeżeli  jest  to  możliwe,  ogólny  opis  technicznych  i  organizacyjnych  środków 

bezpieczeństwa. 

2.  Każdy  podmiot  przetwarzający  prowadzi  rejestr  wszystkich  kategorii  czynności 

przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje: 

1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub 

podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot 

przetwarzający, a gdy ma to zastosowanie – inspektora ochrony danych; 

10 

 

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; 

3)  gdy  ma  to  zastosowanie  –  przekazania  danych  osobowych  do  publicznej 

kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej; 

4)  jeżeli  jest  to  możliwe,  ogólny  opis  technicznych  i  organizacyjnych  środków 

bezpieczeństwa. 

3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym elektroniczną. 

4.  Administrator  lub  podmiot  przetwarzający  udostępniają  rejestr  na  żądanie 

Kościelnego Inspektora Ochrony Danych. 

 

Art. 22 – Bezpieczeństwo przetwarzania 

1.  Uwzględniając  stan  wiedzy  technicznej,  koszt  wdrażania  oraz  charakter,  zakres, 

kontekst  i  cele  przetwarzania  oraz  ryzyko  naruszenia  praw  lub  wolności  osób  fizycznych 

o różnym  prawdopodobieństwie  wystąpienia  i  wadze  zagrożenia,  administrator  i  podmiot 

przetwarzający  wdrażają  odpowiednie  środki  techniczne  i  organizacyjne,  aby  zapewnić 

stopień bezpieczeństwa odpowiadający temu ryzyku. 

2.  Oceniając,  czy  stopień  bezpieczeństwa  jest  odpowiedni,  uwzględnia  się  ryzyko 

wiążące  się  z  przetwarzaniem,  w  szczególności  wynikające  z  przypadkowego  lub 

niezgodnego  z  prawem  zniszczenia,  utraty,  modyfikacji,  nieuprawnionego  ujawnienia  lub 

nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny 

sposób przetwarzanych. 

3. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, 

by  każda  osoba  fizyczna  działająca  z  upoważnienia  administratora  lub  podmiotu 

przetwarzającego,  która  ma  dostęp  do  danych  osobowych,  przetwarzała  je  wyłącznie  na 

polecenie administratora, chyba że wymaga tego od niej prawo. 

 

Art. 23 – Warunki przechowywania zbiorów danych 

1. Zbiory danych powinny być przechowywane w pomieszczeniu przeznaczonym do 

tego  celu,  bezpiecznym,  należącym  lub  dostępnym  wyłącznie  dla  administratora,  podmiotu 

przetwarzającego oraz osób przetwarzających na podstawie upoważnienia.  

2.  W  przypadku  braku  pomieszczenia  o  takich  właściwościach,  powinny  być  one 

przechowywane w szafie umieszczonej w lokalu należącym do administratora lub podmiotu 

przetwarzającego  na  zlecenie  administratora  lub  dostępnym  wyłącznie  im  i  osobom  przez 

nich upoważnionym, z wystarczającą gwarancją ich bezpieczeństwa i nienaruszalności. 

 

Art. 24 – Przechowywanie danych w archiwach 

1. Szczególną uwagę należy zwrócić na zapewnienie nienaruszalności archiwów i ich 

zarządzanie. 

2.  Archiwum  powinno  być  wyposażone  w  system  zamknięcia,  który  gwarantuje 

wystarczającą ochronę przed kradzieżą i włamaniem.  

3.  Klucze  do  archiwum  winny  być  starannie  przechowywane  przez  administratora 

danych lub osobę przez niego upoważnioną. Staranność powinna być dochowana także przy 

autoryzacji dostępu udzielanego osobom postronnym. 

 

Art. 25 – Przechowywanie danych w archiwach cyfrowych 

1.  Dane  zawarte  w  archiwach  cyfrowych  winny  być  zarządzane  za  pomocą 

licencjonowanego  oprogramowania,  pozwalającego  na  kontrolę  dostępu  przy  pomocy 

systemu identyfikatorów i haseł dostępu. 

2.  Administrator  winien  zapewnić  bezpieczeństwo  danych  poprzez  okresowo 

dokonywany  ich  zapis  i  przeniesienie  na  inne  nośniki,  zabezpieczone  przed  dostępem  osób 

postronnych.