11
3. Urządzenia i nośniki zawierające dane winny być przechowywane
w pomieszczeniach zamkniętych i zabezpieczonych przed dostępem osób nieuprawnionych.
Art. 26 – Tajne archiwum
Tajne archiwum, ustanowione na podstawie ogólnych przepisów kanonicznych winno
być strzeżone z uwzględnieniem jego szczególnego charakteru, zgodnie z przepisami kan.
489-490 Kodeksu Prawa Kanonicznego i kan. 259-260 Kodeksu Kanonów Kościołów
Wschodnich oraz odpowiednimi przepisami partykularnymi, w tym obowiązującymi
w instytutach życia konsekrowanego i stowarzyszeniach życia apostolskiego.
Art. 27 – Zgłaszanie naruszenia ochrony danych osobowych Kościelnemu
Inspektorowi Ochrony Danych
1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej
zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu
naruszenia – zgłasza je Kościelnemu Inspektorowi Ochrony Danych, chyba że jest mało
prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób
fizycznych. Do zgłoszenia przekazanego po upływie 72 godzin dołącza się wyjaśnienie
przyczyn opóźnienia.
2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez
zbędnej zwłoki zgłasza je administratorowi.
3. Zgłoszenie, o którym mowa w ust. 1, powinno co najmniej:
1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę
możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz
kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub
oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4) opisywać środki zastosowane lub proponowane przez administratora w celu
zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki
w celu zminimalizowania jego ewentualnych negatywnych skutków.
4. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie,
można ich udzielać sukcesywnie bez zbędnej zwłoki.
5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym
okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania
zaradcze. Dokumentacja ta powinna pozwolić Kościelnemu Inspektorowi Ochrony Danych na
weryfikowanie przestrzegania niniejszego artykułu.
Art. 28 - Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych
osobowych
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko
naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia
osobę, której dane dotyczą, o takim naruszeniu.
2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym
językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej
informacje i środki, o których mowa w art. 27 ust. 3 pkt 2-4.
3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących
przypadkach:
1) administrator wdrożył odpowiednie techniczne i organizacyjne środki
ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie,
12
w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom
nieuprawnionym do dostępu do tych danych osobowych;
2) administrator zastosował następnie środki eliminujące prawdopodobieństwo
wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa
w ust. 1;
3) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany
zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego
osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu
ochrony danych osobowych, Kościelny Inspektor Ochrony Danych – biorąc pod uwagę
prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie
ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden
z warunków, o których mowa w ust. 3.
Art. 29 – Zgłoszenie naruszenia innym podmiotom
Niezależnie od spełnienia obowiązków określonych w art. 27-28, administrator winien
zgłosić bezzwłocznie właściwej władzy kościelnej, a w razie potrzeby także organom
ścigania, każde wtargnięcie do archiwum, lub do pomieszczenia, w którym przechowywane
są zbiory danych, którego skutkiem była utrata lub zniszczenie rejestrów, akt, dokumentów
urzędowych, indeksów i katalogów zawierających dane osobowe.
Art. 30 – Powołanie inspektora ochrony danych
1. Kościelna publiczna osoba prawna może wyznaczyć inspektora ochrony danych.
W przypadku, gdy przetwarzanie danych odbywa się na dużą skalę, kościelna publiczna
osoba prawna powinna wyznaczyć inspektora ochrony danych.
2. Kilka kościelnych publicznych osób prawnych może wyznaczyć jednego inspektora
ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki
organizacyjnej.
3. Inspektor ochrony danych powinien być wyznaczany na podstawie kwalifikacji
zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyki w dziedzinie
ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 32.
4. Inspektor ochrony danych może być członkiem personelu administratora lub
podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie
usług.
5. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora
ochrony danych i zawiadamiają o nich Kościelnego Inspektora Ochrony Danych.
Art. 31 – Status inspektora ochrony danych
1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych
był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych
osobowych.
2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych
w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych
zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne
do utrzymania jego wiedzy fachowej.
3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych
nie otrzymywał instrukcji, które uniemożliwiałyby mu wykonywanie jego zadań. Nie
powinien on być odwoływany ani karany przez administratora ani podmiot przetwarzający za
wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega administratorowi
lub podmiotowi przetwarzającemu.
13
4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych
we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz
z wykonywaniem praw przysługujących im na mocy niniejszego dekretu.
5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności
co do wykonywania swoich zadań – zgodnie z przepisami prawa kanonicznego lub
świeckiego.
6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator
lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały
konfliktu interesów.
Art. 32 – Zadania inspektora ochrony danych
Do zadań inspektora ochrony danych należy:
1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy
przetwarzają dane osobowe, o spoczywających na nich obowiązkach w zakresie ochrony
danych i doradzanie im w tej sprawie;
2) monitorowanie przestrzegania niniejszego dekretu oraz polityk administratora lub
podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział
obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego
w operacjach przetwarzania oraz powiązane z tym audyty;
3) współpraca z Kościelnym Inspektorem Ochrony Danych;
4) pełnienie funkcji punktu kontaktowego dla Kościelnego Inspektora Ochrony Danych
w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie
konsultacji we wszelkich innych sprawach.
Art. 33 – Współpraca z organem nadzorczym
Administrator, podmiot przetwarzający i inspektor ochrony danych – jeśli został on
wyznaczony – współpracują z Kościelnym Inspektorem Ochrony Danych w ramach
wykonywania przez niego zadań.
Art. 34 – Przekazywanie danych i sporządzanie wypisów
1. Przekazanie danych do innego kościelnego zbioru danych może nastąpić na wniosek
osoby, której dane dotyczą lub na wniosek administratora zbioru danych, w którym mają
zostać użyte wnioskowane dane. Może to nastąpić poprzez dostarczenie bezpośrednie lub za
pośrednictwem poczty lub – z zachowaniem ostrożności – drogą elektroniczną.
2. Przekazywanie danych osobowych przez kościelne publiczne osoby prawne innym
podmiotom może nastąpić w przypadku, gdy:
1) jest to niezbędne dla wykonania zadań określonych w przepisach prawa;
2) osoba, której dane dotyczą została o tym poinformowana i uprzednio wyraziła
zgodę na przekazanie danych w formie pisemnej;
3) przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której
dane dotyczą lub w interesie której dane miałyby zostać przekazane;
4) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego.
3. Dokonanie wypisu i przekazanie danych zawartych w zbiorze poza przypadkami
przewidzianymi w ust. 1 i 2 oraz w art. 11 ust. 4, jest ponadto dopuszczalne:
1) dla celów badawczych, z zachowaniem kryteriów metodologicznych
i deontologicznych odnoszących się do badań historycznych, a w szczególności wskazanych
w regulacjach dotyczących archiwów kościelnych;
2) dla celów statystycznych, po uprzednim usunięciu danych identyfikujących osoby.
14
Rozdział V
Kościelny Inspektor Ochrony Danych
Art. 35 – Niezależność Kościelnego Inspektora Ochrony Danych
1. Kościelny Inspektor Ochrony Danych jest niezależnym organem monitorującym
i zapewniającym przestrzeganie przepisów o ochronie danych osobowych w ramach i zgodnie
z działaniem Kościoła katolickiego i jego struktur. Kościelny Inspektor Ochrony Danych
w zakresie wykonywania swoich zadań nadzorczych nie podlega poleceniom innych
podmiotów.
2. Funkcja Kościelnego Inspektora Ochrony Danych jest urzędem w rozumieniu
kan. 145 Kodeksu Prawa Kanonicznego.
3. Osoba pełniąca funkcję Kościelnego Inspektora Ochrony Danych ma obowiązek
powstrzymać się od wszelkich zajęć i działań, niedających się pogodzić z pełnioną funkcją.
4. Konferencja Episkopatu Polski zapewnia warunki i środki niezbędne do skutecznego
wypełniania zadań przez Kościelnego Inspektora Ochrony Danych.
Art. 36 – Wybór Kościelnego Inspektora Ochrony Danych
1. Kościelny Inspektor Ochrony Danych jest wybierany przez Zebranie Plenarne
Konferencji Episkopatu Polski na czteroletnią kadencję. Ta sama osoba może być wybierana
na kolejne kadencje.
2. Osoba pełniąca funkcję Kościelnego Inspektora Ochrony Danych powinna posiadać
odpowiednią wiedzę, doświadczenie i umiejętności w zakresie ochrony danych osobowych,
niezbędne do prawidłowego wypełniania swoich zadań.
3. Kościelny Inspektor Ochrony Danych może zostać odwołany z pełnionej funkcji
tylko w przypadku, gdy dopuścił się poważnego uchybienia swoich obowiązków albo przestał
spełniać wymogi niezbędne do pełnienia urzędu.
4. Kościelny Inspektor Ochrony Danych może złożyć rezygnację z pełnionego urzędu.
Winna być ona złożona na piśmie i osiąga skutek z chwilą jej notyfikowania
Przewodniczącemu Konferencji Episkopatu Polski.
Art. 37 – Zadania Kościelnego Inspektora Ochrony Danych
1. Do zadań Kościelnego Inspektora Ochrony Danych należy:
1) monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych
osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur;
2) upowszechnianie wiedzy o ochronie danych osobowych w Kościele;
3) doradzanie administratorom danych i podmiotom przetwarzającym w Kościele
w zakresie ochrony danych osobowych;
4) udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień
przysługujących jej w związku z przetwarzaniem jej danych osobowych;
5) rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych
w Kościele w zakresie ochrony danych osobowych;
6) podejmowanie decyzji dotyczących dopuszczalności przekazywania danych do
publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej
Polskiej, jeśli istnieją uzasadnione wątpliwości odnośnie do ochrony tych danych;
7) współpraca z krajowym organem nadzorczym, w tym dzielenie się informacjami
oraz świadczenie wzajemnej pomocy w celu zapewnienia przestrzegania przepisów
o ochronie danych osobowych;
8) monitorowanie zmian w działalności Kościoła mających wpływ na ochronę danych
osobowych, w szczególności stosowania technologii informacyjnych i komunikacyjnych;
15
9) przedkładanie Konferencji Episkopatu Polski propozycji regulacji prawnych bądź
zmian regulacji dotyczących ochrony danych osobowych.
2. Kościelny Inspektor Ochrony Danych nie jest uprawniony do monitorowania
i ingerencji w przekazywanie danych do Stolicy Apostolskiej.
3. Kościelny Inspektor Ochrony Danych nie może monitorować ani ingerować
w przetwarzanie danych dokonywane przez sądy w ramach sprawowania przez nie wymiaru
sprawiedliwości.
Art. 38 – Uprawnienia Kościelnego Inspektora Ochrony Danych
W celu realizacji zadań Kościelny Inspektor Ochrony Danych jest uprawniony do:
1) żądania od podmiotów przetwarzających dane osobowe w Kościele udzielenia
informacji związanych z przetwarzaniem i ochroną danych;
2) przeprowadzenia kontroli działalności podmiotów przetwarzających dane osobowe
w Kościele;
3) nakazania przywrócenia stanu zgodnego z prawem w przypadku stwierdzenia
nieprawidłowości przy przetwarzaniu danych;
4) nakazania administratorowi poinformowania osoby, której dane dotyczą o naruszeniu
ochrony danych;
5) podjęcia innych środków, niezbędnych do zapewnienia skutecznej ochrony danych
osobowych w Kościele.
Art. 39 – Sprawozdanie z działalności Kościelnego Inspektora Ochrony Danych
Kościelny Inspektor Ochrony Danych sporządza roczne sprawozdanie ze swojej
działalności, które jest przekazywane Konferencji Episkopatu Polski oraz publikowane
w Aktach Konferencji Episkopatu Polski.
Art. 40 – Nadzór
1. Niezależnie od monitorowania i zapewniania przez Kościelnego Inspektora
Ochrony Danych przestrzegania przepisów w zakresie ochrony danych osobowych
w rozumieniu art. 35 ust. 1 niniejszego Dekretu, do biskupa diecezjalnego w ramach
zwyczajnych działań kontrolnych (np. podczas wizytacji kanonicznych) należy także nadzór
nad prawidłowym przestrzeganiem przepisów dotyczących pozyskiwania, przechowywania
i przetwarzania danych osobowych.
2. W instytutach życia konsekrowanego i stowarzyszeniach życia apostolskiego
nadzór, o którym mowa w ustępie poprzedzającym, sprawuje wyższy przełożony.
Rozdział VI
Procedura odwoławcza i odpowiedzialność za naruszenie przepisów niniejszego
Dekretu ogólnego
Art. 41 – Procedura odwoławcza
Jeśli osoba, której dane dotyczą, uzna, że przetwarzanie danych nie jest zgodne
z przepisami niniejszego Dekretu, może złożyć skargę do Kościelnego Inspektora Ochrony
Danych, a następnie do właściwej dykasterii Stolicy Apostolskiej, zgodnie z przepisami
Kodeksu Prawa Kanonicznego.
Art. 42 – Sankcje
1. Kto powoduje szkody materialne lub moralne poprzez nieuprawnione pozyskanie,
przechowywanie i wykorzystywanie danych osobowych jest zobowiązany do naprawienia
16
szkody zgodnie z kan. 128 Kodeksu Prawa Kanonicznego oraz kan. 935 Kodeksu Kanonów
Kościołów Wschodnich.
2. Karze przewidzianej przez kan. 1389 Kodeksu Prawa Kanonicznego oraz kan. 1464
Kodeksu Kanonów Kościołów Wschodnich podlega ten, kto naruszając niniejsze przepisy:
1) nadużywa władzy kościelnej lub urzędu;
2) dokona lub zaniecha bezprawnie z powodu zawinionego zaniedbania aktu władzy
kościelnej lub aktu urzędowego powodując szkodę dla innej osoby.
3. Karą przewidzianą w kan. 1390 § 2 Kodeksu Prawa Kanonicznego oraz kan. 1452
Kodeksu Kanonów Kościołów Wschodnich może zostać ukarany ten, kto nie zachowując
niniejszych przepisów narusza czyjeś dobre imię.
4. Jeżeli przestępstwo polega na naruszeniu obowiązku służbowego kara podlega
zaostrzeniu i może także polegać na odwołaniu lub na pozbawieniu urzędu zgodnie z kan. 193
§ 1 i 3; 196 § 1; 1336 § 1, n. 2° i 1389 Kodeksu Prawa Kanonicznego oraz kan. 975 § 1 i 2;
978; 1464 Kodeksu Kanonów Kościołów Wschodnich.
Rozdział VII
Przepisy końcowe
Art. 43 – Zasada swobody komunikacji
Kościół katolicki w Polsce, jego osoby prawne i fizyczne korzystają ze swobody
utrzymywania stosunków i komunikowania się ze Stolicą Apostolską, z Konferencjami
Biskupów, z Kościołami partykularnymi, a także między sobą i z innymi wspólnotami,
instytucjami, organizacjami i osobami w kraju i za granicą. Żaden artykuł tego Dekretu nie
może być interpretowany w sposób, który w istotnym stopniu ograniczałby tę swobodę.
Art. 44 – Wejście w życie
1. Niniejszy Dekret wchodzi w życie po uzyskaniu recognitio Stolicy Apostolskiej
z chwilą promulgacji, zgodnie z kan. 455 § 2 i 3 w związku z kan. 8 § 2 Kodeksu Prawa
Kanonicznego.
2. Promulgacja niniejszego Dekretu następuje poprzez zamieszczenie go na oficjalnej
stronie internetowej Konferencji Episkopatu Polski.
+ Stanisław Gądecki
Arcybiskup Metropolita Poznański
Przewodniczący KEP
+ Artur G. Miziński
Sekretarz Generalny KEP
Dostları ilə paylaş: |