9
1) będzie przetwarzał dane wyłącznie w zakresie i celu określonym w umowie;
2) zapewni, by osoby upoważnione do przetwarzania danych zobowiązały się do
zachowania tajemnicy;
3) podejmie środki wymagane w celu zabezpieczenia danych;
4) będzie pomagał administratorowi wypełniać obowiązki w zakresie informowania
osób, których dane dotyczą, realizowania ich uprawnień oraz obowiązki dotyczące
zawiadamiania o naruszeniach;
5) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od
decyzji administratora usunie lub zwróci mu wszelkie dane osobowe oraz usunie wszelkie ich
istniejące kopie;
6) udostępni administratorowi wszelkie informacje niezbędne do wykazania
spełnienia obowiązków określonych w niniejszym artykule oraz umożliwi administratorowi
lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.
3. Podmiot przetwarzający nie może korzystać z usług innego podmiotu
przetwarzającego bez uprzedniej pisemnej zgody administratora.
4. Powierzenie przetwarzania danych podmiotowi nie należącemu do porządku
kanonicznego musi zostać dokonane na podstawie umowy zawartej zgodnie z kan. 1290
Kodeksu Prawa Kanonicznego i kan. 1034 Kodeksu Kanonów Kościołów Wschodnich,
z zastrzeżeniem, że także na podmiocie, któremu zostają powierzone dane spoczywa
obowiązek zachowania przepisów niniejszego dekretu.
Art. 20 – Przetwarzanie z upoważnienia. Obowiązek zachowania tajemnicy
1. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora
lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je
wyłącznie na polecenie administratora, chyba że wymaga tego prawo.
2. Administrator oraz każda inna osoba posiadająca stały dostęp do danych
gromadzonych przez podmioty kościelne lub przez nie prawnie nabytych, jest zobowiązana
do zachowania tajemnicy dotyczącej wszystkich przetwarzanych danych osobowych.
Obowiązek zachowania tajemnicy pozostaje nienaruszony także po zakończeniu pełnienia
funkcji.
Art. 21 - Rejestrowanie czynności przetwarzania
1. Każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za
które odpowiada. W rejestrze tym zamieszcza się następujące informacje:
1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz
współadministratorów, a także gdy ma to zastosowanie – inspektora ochrony danych;
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
5) gdy ma to zastosowanie, informacje o przekazywaniu danych do publicznej
kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej;
6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii
danych;
7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków
bezpieczeństwa.
2. Każdy podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności
przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub
podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot
przetwarzający, a gdy ma to zastosowanie – inspektora ochrony danych;
10
2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
3) gdy ma to zastosowanie – przekazania danych osobowych do publicznej
kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej;
4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków
bezpieczeństwa.
3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym elektroniczną.
4. Administrator lub podmiot przetwarzający udostępniają rejestr na żądanie
Kościelnego Inspektora Ochrony Danych.
Art. 22 – Bezpieczeństwo przetwarzania
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres,
kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych
o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot
przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić
stopień bezpieczeństwa odpowiadający temu ryzyku.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się ryzyko
wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub
niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny
sposób przetwarzanych.
3. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia,
by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu
przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na
polecenie administratora, chyba że wymaga tego od niej prawo.
Art. 23 – Warunki przechowywania zbiorów danych
1. Zbiory danych powinny być przechowywane w pomieszczeniu przeznaczonym do
tego celu, bezpiecznym, należącym lub dostępnym wyłącznie dla administratora, podmiotu
przetwarzającego oraz osób przetwarzających na podstawie upoważnienia.
2. W przypadku braku pomieszczenia o takich właściwościach, powinny być one
przechowywane w szafie umieszczonej w lokalu należącym do administratora lub podmiotu
przetwarzającego na zlecenie administratora lub dostępnym wyłącznie im i osobom przez
nich upoważnionym, z wystarczającą gwarancją ich bezpieczeństwa i nienaruszalności.
Art. 24 – Przechowywanie danych w archiwach
1. Szczególną uwagę należy zwrócić na zapewnienie nienaruszalności archiwów i ich
zarządzanie.
2. Archiwum powinno być wyposażone w system zamknięcia, który gwarantuje
wystarczającą ochronę przed kradzieżą i włamaniem.
3. Klucze do archiwum winny być starannie przechowywane przez administratora
danych lub osobę przez niego upoważnioną. Staranność powinna być dochowana także przy
autoryzacji dostępu udzielanego osobom postronnym.
Art. 25 – Przechowywanie danych w archiwach cyfrowych
1. Dane zawarte w archiwach cyfrowych winny być zarządzane za pomocą
licencjonowanego oprogramowania, pozwalającego na kontrolę dostępu przy pomocy
systemu identyfikatorów i haseł dostępu.
2. Administrator winien zapewnić bezpieczeństwo danych poprzez okresowo
dokonywany ich zapis i przeniesienie na inne nośniki, zabezpieczone przed dostępem osób
postronnych.