Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim

11 

 

3.  Urządzenia  i  nośniki  zawierające  dane  winny  być  przechowywane 

w pomieszczeniach zamkniętych i zabezpieczonych przed dostępem osób nieuprawnionych. 

 

Art. 26 – Tajne archiwum 

Tajne  archiwum,  ustanowione  na  podstawie  ogólnych  przepisów  kanonicznych  winno 

być  strzeżone  z  uwzględnieniem  jego  szczególnego  charakteru,  zgodnie  z  przepisami  kan. 

489-490  Kodeksu  Prawa  Kanonicznego  i  kan.  259-260  Kodeksu  Kanonów  Kościołów 

Wschodnich  oraz  odpowiednimi  przepisami  partykularnymi,  w tym  obowiązującymi 

w instytutach życia konsekrowanego i stowarzyszeniach życia apostolskiego. 

 

Art.  27  –  Zgłaszanie  naruszenia  ochrony  danych  osobowych  Kościelnemu 

Inspektorowi Ochrony Danych 

1.  W  przypadku  naruszenia  ochrony  danych  osobowych,  administrator  bez  zbędnej 

zwłoki  –  w  miarę  możliwości,  nie  później  niż  w  terminie  72  godzin  po  stwierdzeniu 

naruszenia  –  zgłasza  je  Kościelnemu  Inspektorowi  Ochrony  Danych,  chyba  że  jest  mało 

prawdopodobne, by  naruszenie to  skutkowało  ryzykiem  naruszenia praw lub  wolności  osób 

fizycznych.  Do  zgłoszenia  przekazanego  po  upływie  72  godzin  dołącza  się  wyjaśnienie 

przyczyn opóźnienia. 

2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez 

zbędnej zwłoki zgłasza je administratorowi. 

3. Zgłoszenie, o którym mowa w ust. 1, powinno co najmniej: 

1)  opisywać  charakter  naruszenia  ochrony  danych  osobowych,  w  tym  w  miarę 

możliwości  wskazywać  kategorie  i  przybliżoną  liczbę  osób,  których  dane  dotyczą,  oraz 

kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; 

2)  zawierać  imię  i  nazwisko  oraz  dane  kontaktowe  inspektora  ochrony  danych  lub 

oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; 

3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; 

4)  opisywać  środki  zastosowane  lub  proponowane  przez  administratora  w  celu 

zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki 

w celu zminimalizowania jego ewentualnych negatywnych skutków. 

4. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, 

można ich udzielać sukcesywnie bez zbędnej zwłoki. 

5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym 

okoliczności  naruszenia  ochrony  danych  osobowych,  jego  skutki  oraz  podjęte  działania 

zaradcze. Dokumentacja ta powinna pozwolić Kościelnemu Inspektorowi Ochrony Danych na 

weryfikowanie przestrzegania niniejszego artykułu. 

 

Art. 28 - Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych 

osobowych 

1.  Jeżeli  naruszenie  ochrony  danych  osobowych  może  powodować  wysokie  ryzyko 

naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia 

osobę, której dane dotyczą, o takim naruszeniu. 

2.  Zawiadomienie,  o  którym  mowa  w  ust.  1  niniejszego  artykułu,  jasnym  i  prostym 

językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej 

informacje i środki, o których mowa w art. 27 ust. 3 pkt 2-4. 

3.  Zawiadomienie,  o  którym  mowa  w  ust.  1,  nie  jest  wymagane,  w  następujących 

przypadkach: 

1)  administrator  wdrożył  odpowiednie  techniczne  i  organizacyjne  środki 

ochrony i środki  te  zostały  zastosowane  do  danych  osobowych,  których  dotyczy  naruszenie, 

12 

 

w szczególności  środki  takie  jak  szyfrowanie,  uniemożliwiające  odczyt  osobom 

nieuprawnionym do dostępu do tych danych osobowych; 

2)  administrator  zastosował  następnie  środki  eliminujące  prawdopodobieństwo 

wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa 

w ust. 1; 

3)  wymagałoby  ono  niewspółmiernie  dużego  wysiłku.  W  takim  przypadku  wydany 

zostaje  publiczny  komunikat  lub  zastosowany  zostaje  podobny  środek,  za  pomocą  którego 

osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób. 

4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu 

ochrony  danych  osobowych,  Kościelny  Inspektor  Ochrony  Danych  –  biorąc  pod  uwagę 

prawdopodobieństwo,  że  to  naruszenie  ochrony  danych  osobowych  spowoduje  wysokie 

ryzyko  –  może  od  niego  tego  zażądać  lub  może  stwierdzić,  że  spełniony  został  jeden 

z warunków, o których mowa w ust. 3. 

 

Art. 29 – Zgłoszenie naruszenia innym podmiotom 

Niezależnie od spełnienia obowiązków określonych w art. 27-28, administrator winien 

zgłosić  bezzwłocznie  właściwej  władzy  kościelnej,  a  w  razie  potrzeby  także  organom 

ścigania, każde wtargnięcie do archiwum, lub do pomieszczenia, w którym przechowywane 

są zbiory  danych, którego skutkiem była utrata lub zniszczenie rejestrów, akt,  dokumentów 

urzędowych, indeksów i katalogów zawierających dane osobowe. 

 

Art. 30 – Powołanie inspektora ochrony danych 

1.  Kościelna  publiczna  osoba  prawna  może  wyznaczyć  inspektora  ochrony  danych. 

W przypadku,  gdy  przetwarzanie  danych  odbywa  się  na  dużą  skalę,  kościelna  publiczna 

osoba prawna powinna wyznaczyć inspektora ochrony danych. 

2. Kilka kościelnych publicznych osób prawnych może wyznaczyć jednego inspektora 

ochrony  danych,  o  ile  można  będzie  łatwo  nawiązać  z  nim  kontakt  z  każdej  jednostki 

organizacyjnej. 

3.  Inspektor  ochrony  danych  powinien  być  wyznaczany  na  podstawie  kwalifikacji 

zawodowych,  a  w  szczególności  wiedzy  fachowej  na  temat  prawa  i  praktyki  w  dziedzinie 

ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 32. 

4.  Inspektor  ochrony  danych  może  być  członkiem  personelu  administratora  lub 

podmiotu  przetwarzającego  lub  wykonywać  zadania  na  podstawie  umowy  o  świadczenie 

usług. 

5.  Administrator  lub  podmiot  przetwarzający  publikują  dane  kontaktowe  inspektora 

ochrony danych i zawiadamiają o nich Kościelnego Inspektora Ochrony Danych. 

 

Art. 31 – Status inspektora ochrony danych 

1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych 

był  właściwie  i  niezwłocznie  włączany  we  wszystkie  sprawy  dotyczące  ochrony  danych 

osobowych. 

2.  Administrator  oraz  podmiot  przetwarzający  wspierają  inspektora  ochrony  danych 

w wypełnianiu  przez  niego  zadań,  zapewniając  mu  zasoby  niezbędne  do  wykonania  tych 

zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne 

do utrzymania jego wiedzy fachowej. 

3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych 

nie  otrzymywał  instrukcji,  które  uniemożliwiałyby  mu  wykonywanie  jego  zadań.  Nie 

powinien on być odwoływany ani karany przez administratora ani podmiot przetwarzający za 

wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega administratorowi 

lub podmiotowi przetwarzającemu. 

13 

 

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych 

we  wszystkich  sprawach  związanych  z  przetwarzaniem  ich  danych  osobowych  oraz 

z wykonywaniem praw przysługujących im na mocy niniejszego dekretu. 

5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności 

co  do  wykonywania  swoich  zadań  –  zgodnie  z  przepisami  prawa  kanonicznego  lub 

świeckiego. 

6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator 

lub  podmiot  przetwarzający  zapewniają,  by  takie  zadania  i  obowiązki  nie  powodowały 

konfliktu interesów. 

 

Art. 32 – Zadania inspektora ochrony danych  

Do zadań inspektora ochrony danych należy: 

1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy 

przetwarzają  dane  osobowe,  o  spoczywających  na  nich  obowiązkach  w  zakresie  ochrony 

danych i doradzanie im w tej sprawie; 

2)  monitorowanie  przestrzegania  niniejszego  dekretu  oraz  polityk  administratora  lub 

podmiotu  przetwarzającego  w  dziedzinie  ochrony  danych  osobowych,  w  tym  podział 

obowiązków,  działania  zwiększające  świadomość,  szkolenia  personelu  uczestniczącego 

w operacjach przetwarzania oraz powiązane z tym audyty; 

3) współpraca z Kościelnym Inspektorem Ochrony Danych; 

4) pełnienie funkcji punktu kontaktowego dla Kościelnego Inspektora Ochrony Danych 

w  kwestiach  związanych  z  przetwarzaniem  oraz  w  stosownych  przypadkach  prowadzenie 

konsultacji we wszelkich innych sprawach. 

 

Art. 33 – Współpraca z organem nadzorczym  

Administrator,  podmiot  przetwarzający  i  inspektor  ochrony  danych  –  jeśli  został  on 

wyznaczony  –  współpracują  z  Kościelnym  Inspektorem  Ochrony  Danych  w  ramach 

wykonywania przez niego zadań. 

 

Art. 34 – Przekazywanie danych i sporządzanie wypisów 

1. Przekazanie danych do innego kościelnego zbioru danych może nastąpić na wniosek 

osoby,  której  dane  dotyczą  lub  na  wniosek  administratora  zbioru  danych,  w  którym  mają 

zostać użyte wnioskowane dane. Może to nastąpić poprzez dostarczenie bezpośrednie lub za 

pośrednictwem poczty lub – z zachowaniem ostrożności – drogą elektroniczną.  

2.  Przekazywanie  danych  osobowych  przez  kościelne  publiczne  osoby  prawne  innym 

podmiotom może nastąpić w przypadku, gdy:  

1) jest to niezbędne dla wykonania zadań określonych w przepisach prawa; 

2)  osoba,  której  dane  dotyczą  została  o  tym  poinformowana  i  uprzednio  wyraziła 

zgodę na przekazanie danych w formie pisemnej; 

3) przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której 

dane dotyczą lub w interesie której dane miałyby zostać przekazane; 

4) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego. 

3.  Dokonanie  wypisu  i  przekazanie  danych  zawartych  w  zbiorze  poza  przypadkami 

przewidzianymi w ust. 1 i 2 oraz w art. 11 ust. 4, jest ponadto dopuszczalne: 

1)  dla  celów  badawczych,  z  zachowaniem  kryteriów  metodologicznych 

i deontologicznych odnoszących się do badań historycznych, a w szczególności wskazanych 

w regulacjach dotyczących archiwów kościelnych; 

2) dla celów statystycznych, po uprzednim usunięciu danych identyfikujących osoby. 

 

 

14 

 

Rozdział V 

Kościelny Inspektor Ochrony Danych 

 

Art. 35 – Niezależność Kościelnego Inspektora Ochrony Danych 

1.  Kościelny  Inspektor  Ochrony  Danych  jest  niezależnym  organem  monitorującym 

i zapewniającym przestrzeganie przepisów o ochronie danych osobowych w ramach i zgodnie 

z  działaniem  Kościoła  katolickiego  i  jego  struktur.  Kościelny  Inspektor  Ochrony  Danych 

w zakresie  wykonywania  swoich  zadań  nadzorczych  nie  podlega  poleceniom  innych 

podmiotów. 

2.  Funkcja  Kościelnego  Inspektora  Ochrony  Danych  jest  urzędem  w  rozumieniu 

kan. 145 Kodeksu Prawa Kanonicznego. 

3.  Osoba  pełniąca  funkcję  Kościelnego  Inspektora  Ochrony  Danych  ma  obowiązek 

powstrzymać się od wszelkich zajęć i działań, niedających się pogodzić z pełnioną funkcją.  

4. Konferencja Episkopatu Polski zapewnia warunki i środki niezbędne do skutecznego 

wypełniania zadań przez Kościelnego Inspektora Ochrony Danych. 

 

Art. 36 – Wybór Kościelnego Inspektora Ochrony Danych 

1.  Kościelny  Inspektor  Ochrony  Danych  jest  wybierany  przez  Zebranie  Plenarne 

Konferencji Episkopatu Polski na czteroletnią kadencję. Ta sama osoba może być wybierana 

na kolejne kadencje.  

2. Osoba pełniąca funkcję Kościelnego Inspektora Ochrony Danych powinna posiadać 

odpowiednią  wiedzę,  doświadczenie  i  umiejętności  w  zakresie  ochrony  danych  osobowych, 

niezbędne do prawidłowego wypełniania swoich zadań.  

3.  Kościelny  Inspektor  Ochrony  Danych  może  zostać  odwołany  z  pełnionej  funkcji 

tylko w przypadku, gdy dopuścił się poważnego uchybienia swoich obowiązków albo przestał 

spełniać wymogi niezbędne do pełnienia urzędu. 

4. Kościelny Inspektor Ochrony Danych może złożyć rezygnację z pełnionego urzędu. 

Winna  być  ona  złożona  na  piśmie  i  osiąga  skutek  z  chwilą  jej  notyfikowania 

Przewodniczącemu Konferencji Episkopatu Polski. 

 

Art. 37 – Zadania Kościelnego Inspektora Ochrony Danych 

1. Do zadań Kościelnego Inspektora Ochrony Danych należy: 

1)  monitorowanie  i  zapewnianie  przestrzegania  przepisów  o  ochronie  danych 

osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur; 

2) upowszechnianie wiedzy o ochronie danych osobowych w Kościele; 

3)  doradzanie  administratorom  danych  i  podmiotom  przetwarzającym  w  Kościele 

w zakresie ochrony danych osobowych; 

4)  udzielanie  osobie,  której  dane  dotyczą  informacji  dotyczących  uprawnień 

przysługujących jej w związku z przetwarzaniem jej danych osobowych; 

5)  rozpatrywanie  skarg  dotyczących  przestrzegania  przepisów  ustanowionych 

w Kościele w zakresie ochrony danych osobowych; 

6)  podejmowanie  decyzji  dotyczących  dopuszczalności  przekazywania  danych  do 

publicznej  kościelnej  osoby  prawnej  mającej  siedzibę  poza  terytorium  Rzeczypospolitej 

Polskiej, jeśli istnieją uzasadnione wątpliwości odnośnie do ochrony tych danych; 

7)  współpraca  z  krajowym  organem  nadzorczym,  w  tym  dzielenie  się  informacjami 

oraz  świadczenie  wzajemnej  pomocy  w  celu  zapewnienia  przestrzegania  przepisów 

o ochronie danych osobowych; 

8) monitorowanie zmian w działalności Kościoła mających wpływ na ochronę danych 

osobowych, w szczególności stosowania technologii informacyjnych i komunikacyjnych; 

15 

 

9)  przedkładanie  Konferencji  Episkopatu  Polski  propozycji  regulacji  prawnych  bądź 

zmian regulacji dotyczących ochrony danych osobowych. 

2.  Kościelny  Inspektor  Ochrony  Danych  nie  jest  uprawniony  do  monitorowania 

i ingerencji w przekazywanie danych do Stolicy Apostolskiej. 

3.  Kościelny  Inspektor  Ochrony  Danych  nie  może  monitorować  ani  ingerować 

w przetwarzanie danych dokonywane przez sądy w ramach sprawowania przez nie wymiaru 

sprawiedliwości. 

 

Art. 38 – Uprawnienia Kościelnego Inspektora Ochrony Danych 

W celu realizacji zadań Kościelny Inspektor Ochrony Danych jest uprawniony do: 

1)  żądania  od  podmiotów  przetwarzających  dane  osobowe  w  Kościele  udzielenia 

informacji związanych z przetwarzaniem i ochroną danych; 

2)  przeprowadzenia  kontroli  działalności  podmiotów  przetwarzających  dane  osobowe 

w Kościele; 

3)  nakazania  przywrócenia  stanu  zgodnego  z  prawem  w  przypadku  stwierdzenia 

nieprawidłowości przy przetwarzaniu danych; 

4) nakazania administratorowi poinformowania osoby, której dane dotyczą o naruszeniu 

ochrony danych; 

5)  podjęcia  innych  środków,  niezbędnych  do  zapewnienia  skutecznej  ochrony  danych 

osobowych w Kościele. 

 

Art. 39 – Sprawozdanie z działalności Kościelnego Inspektora Ochrony Danych 

Kościelny  Inspektor  Ochrony  Danych  sporządza  roczne  sprawozdanie  ze  swojej 

działalności,  które  jest  przekazywane  Konferencji  Episkopatu  Polski  oraz  publikowane 

w Aktach Konferencji Episkopatu Polski. 

 

Art. 40 – Nadzór  

1.  Niezależnie  od  monitorowania  i  zapewniania  przez  Kościelnego  Inspektora 

Ochrony  Danych  przestrzegania  przepisów  w  zakresie  ochrony  danych  osobowych 

w rozumieniu  art.  35  ust.  1  niniejszego  Dekretu,  do  biskupa  diecezjalnego  w  ramach 

zwyczajnych działań kontrolnych (np. podczas wizytacji kanonicznych) należy także nadzór 

nad  prawidłowym  przestrzeganiem  przepisów  dotyczących  pozyskiwania,  przechowywania 

i przetwarzania danych osobowych. 

2.  W  instytutach  życia  konsekrowanego  i  stowarzyszeniach  życia  apostolskiego 

nadzór, o którym mowa w ustępie poprzedzającym, sprawuje wyższy przełożony. 

 

 

Rozdział VI 

Procedura odwoławcza i odpowiedzialność za naruszenie przepisów niniejszego 

Dekretu ogólnego 

 

Art. 41 – Procedura odwoławcza 

Jeśli  osoba,  której  dane  dotyczą,  uzna,  że  przetwarzanie  danych  nie  jest  zgodne 

z przepisami  niniejszego  Dekretu,  może  złożyć  skargę  do  Kościelnego  Inspektora  Ochrony 

Danych,  a  następnie  do  właściwej  dykasterii  Stolicy  Apostolskiej,  zgodnie  z  przepisami 

Kodeksu Prawa Kanonicznego. 

 

Art. 42 – Sankcje 

1.  Kto  powoduje  szkody  materialne  lub  moralne  poprzez  nieuprawnione  pozyskanie, 

przechowywanie  i  wykorzystywanie  danych  osobowych  jest  zobowiązany  do  naprawienia 

16 

 

szkody zgodnie z kan. 128 Kodeksu Prawa Kanonicznego oraz kan. 935 Kodeksu Kanonów 

Kościołów Wschodnich. 

2. Karze przewidzianej przez kan. 1389 Kodeksu Prawa Kanonicznego oraz kan. 1464 

Kodeksu Kanonów Kościołów Wschodnich podlega ten, kto naruszając niniejsze przepisy: 

1) nadużywa władzy kościelnej lub urzędu; 

2) dokona lub zaniecha bezprawnie z powodu zawinionego zaniedbania aktu władzy 

kościelnej lub aktu urzędowego powodując szkodę dla innej osoby. 

3. Karą przewidzianą w kan. 1390 § 2 Kodeksu Prawa Kanonicznego oraz kan. 1452 

Kodeksu  Kanonów  Kościołów  Wschodnich  może  zostać  ukarany  ten,  kto  nie  zachowując 

niniejszych przepisów narusza czyjeś dobre imię. 

4.  Jeżeli  przestępstwo  polega  na  naruszeniu  obowiązku  służbowego  kara  podlega 

zaostrzeniu i może także polegać na odwołaniu lub na pozbawieniu urzędu zgodnie z kan. 193 

§ 1 i 3; 196 § 1; 1336 § 1, n. 2° i 1389 Kodeksu Prawa Kanonicznego oraz kan. 975 § 1 i 2; 

978; 1464 Kodeksu Kanonów Kościołów Wschodnich. 

 

 

Rozdział VII 

Przepisy końcowe 

 

Art. 43 – Zasada swobody komunikacji 

Kościół  katolicki  w  Polsce,  jego  osoby  prawne  i  fizyczne  korzystają  ze  swobody 

utrzymywania  stosunków  i  komunikowania  się  ze  Stolicą  Apostolską,  z  Konferencjami 

Biskupów,  z  Kościołami  partykularnymi,  a  także  między  sobą  i  z  innymi  wspólnotami, 

instytucjami,  organizacjami i  osobami w kraju  i za granicą.  Żaden  artykuł  tego Dekretu  nie 

może być interpretowany w sposób, który w istotnym stopniu ograniczałby tę swobodę. 

 

Art. 44 – Wejście w życie 

1.  Niniejszy  Dekret  wchodzi  w  życie  po  uzyskaniu  recognitio  Stolicy  Apostolskiej 

z chwilą  promulgacji,  zgodnie  z  kan.  455  §  2  i  3  w  związku  z  kan.  8  §  2  Kodeksu  Prawa 

Kanonicznego. 

2.  Promulgacja  niniejszego  Dekretu  następuje  poprzez  zamieszczenie  go  na  oficjalnej 

stronie internetowej Konferencji Episkopatu Polski. 

 

 

 

   

 

 

 

 

 

 

    + Stanisław Gądecki 

   

 

 

 

 

 

     Arcybiskup Metropolita Poznański  

   

 

 

 

 

 

 

     Przewodniczący KEP 

            + Artur G. Miziński 

       Sekretarz Generalny KEP