Dekret ogólny
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych w Kościele katolickim
wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie,
na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP,
po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r.
Chrześcijaństwo wniosło do kultury europejskiej przekonanie o nienaruszalnej godności osoby ludzkiej. Zakorzenione ono jest w fakcie stworzenia człowieka na „obraz i podobieństwo” Boga. Godność jest przymiotem ludzkiej natury rozumnej i wolnej. Uznanie godności człowieka wymaga odpowiedniej ochrony danych osobowych.
Biorąc pod uwagę zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, a zwłaszcza mając na uwadze:
– kan. 220 Kodeksu Prawa Kanonicznego oraz kan. 23 Kodeksu Kanonów Kościołów
Wschodnich, gwarantujące prawo do dobrego imienia i prawo do ochrony intymności,
– kan. 482-491 i kan. 535 Kodeksu Prawa Kanonicznego oraz kan. 252-261 i kan. 296
Kodeksu Kanonów Kościołów Wschodnich, zobowiązujące każdą parafię do prowadzenia ksiąg parafialnych, zgodnie z przepisami Konferencji Biskupów i biskupa diecezjalnego oraz zobowiązujące proboszcza do ich właściwego sporządzania i przechowywania oraz dotyczące obowiązku posiadania archiwum przez kurie diecezjalne i parafie, i zasad ich prowadzenia,
– kan. 1067 i 1069 Kodeksu Prawa Kanonicznego oraz kan. 784 i 786 Kodeksu Kanonów Kościołów Wschodnich, dotyczące kanonicznego przygotowania do małżeństwa, a w szczególności przekazywania informacji o okolicznościach mających znaczenie dla możliwości jego zawarcia,
– Motu proprio La cura vigilantissima z dnia 21 marca 2005 r. (AAS 97(2005), s. 353-376),
– Przepisy Konferencji Episkopatu Polski o prowadzeniu ksiąg parafialnych:
ochrzczonych, bierzmowanych, małżeństw i zmarłych, oraz księgi stanu dusz z dnia
26 października 1947 r.,
– Instrukcję opracowaną przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski z dnia 23 września 2009 r. „Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce”,
– Dekret Ogólny Konferencji Episkopatu Polski w sprawie wystąpień z Kościoła oraz powrotu do wspólnoty Kościoła z dnia 7 października 2015 r.,
– oraz inne regulacje prawa partykularnego,
przypominając powszechnie uznaną zasadę autonomii państwa i Kościoła,
mając na względzie konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym,
działając w celu uszczegółowienia przepisów Kodeksu Prawa Kanonicznego
i uaktualnienia przepisów prawa partykularnego, postanawia się, co następuje:
Zagadnienia ogólne
Art. 1 – Przedmiot regulacji
Niniejszy dekret określa szczegółowe zasady ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych w Kościele katolickim w Polsce.
Art. 2 – Odesłanie do innych przepisów prawa kanonicznego
Zasady redagowania, zarządzania oraz nadzoru nad zbiorami danych, a także
wykorzystywania danych, są określone przez przepisy powszechnego oraz partykularnego prawa kanonicznego, uzupełniane w razie potrzeby przez przepisy wydane przez Konferencję Episkopatu Polski.
Art. 3 – Zakres przedmiotowy
Niniejszy dekret ma zastosowanie do przetwarzania danych osobowych w sposób
całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Art. 4 – Zakres podmiotowy
Niniejszy dekret stosuje się do publicznych kościelnych osób prawnych.
Art. 5 – Słowniczek pojęć
Na potrzeby niniejszego dekretu:
1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie; w działalności Kościoła zbiorami danych są w szczególności: księgi parafialne zawierające rejestr ochrzczonych, bierzmowanych, Pierwszej Komunii świętej, zawartych małżeństw, zgonów, jak również rejestr parafian, alumnów seminariów duchownych, nowicjuszy i członków instytutów życia konsekrowanego i stowarzyszeń życia apostolskiego;
4) „administrator” oznacza osobę prawną lub inną jednostkę organizacyjną, która ustala cele i sposoby przetwarzania danych osobowych;
5) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, bądź jednostkę organizacyjną, która przetwarza dane osobowe w imieniu administratora;
6) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, bądź jednostkę organizacyjną, której ujawnia się dane osobowe. Organy publiczne, które mogą otrzymywać uznawane za odbiorców;
7) „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
8) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
9) „dane wrażliwe” oznaczają dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne a także dane dotyczące zdrowia lub seksualności osoby fizycznej;
10) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
11) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak np. wizerunek twarzy lub dane daktyloskopijne;
12) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.
Rozdział II
Zasady przetwarzania danych
Art. 6 – Standardy przetwarzania danych
1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;
3) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
4) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
5) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, do celów badań naukowych lub historycznych albo do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;
6) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Art. 7 – Dopuszczalność przetwarzania danych
osobowych jest dopuszczalne, jeżeli:
1) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
administratorze, zgodnie z przepisami prawa kanonicznego lub prawa świeckiego;
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Art. 8 – Informowanie o przetwarzaniu danych w przypadku zbierania danych od osoby, której dane dotyczą
Art. 9 – Informowanie przy zbieraniu danych z innych źródeł
1) osoba, której dane dotyczą, dysponuje już tymi informacjami;
2) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
3) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
4) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie, w tym obowiązkiem zachowania tajemnicy spowiedzi, zgodnie z kan. 983 § 1 Kodeksu Prawa Kanonicznego i kan. 773 § 1 Kodeksu Kanonów Kościołów Wschodnich, tajemnicy, o której mowa w kan. 983 § 2 Kodeksu Prawa Kanonicznego i kan. 773 § 2 Kodeksu Kanonów Kościołów Wschodnich oraz tajemnicy duszpasterskiej.
Art. 10 – Publikacja periodyków urzędowych
Rozdział III
Prawa osoby, której dane dotyczą
Art. 11 – Prawo do informacji o przetwarzaniu danych
potwierdzenia, czy przetwarzane są jej dane osobowe, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do otrzymania następujących informacji:
1) cele przetwarzania;
2) kategorie odnośnych danych osobowych;
3) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
4) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
5) informacje o prawie do żądania od administratora sprostowania, usunięcia lub
ograniczenia przetwarzania danych osobowych, zgodnie z niniejszym Dekretem;
6) informacje o prawie wniesienia skargi do Kościelnego Inspektora Ochrony Danych;
7) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą –informacje o ich źródle.
Art. 12 – Prawo do żądania sprostowania danych
Art. 13 – Prawo do żądania dokonania adnotacji i uzupełnienia danych
Art. 14 – Prawo do żądania usunięcia danych
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
1) do korzystania z prawa do swobody wypowiedzi i wolności informacji;
2) do wywiązania się z obowiązku prawnego wymagającego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
3) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
4) do ustalenia, dochodzenia lub obrony roszczeń.
Art. 15 – Prawo do żądania ograniczenia przetwarzania
1) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
3) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
Art. 16 – Obowiązek powiadomienia
Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
Rozdział IV
Administrator i podmiot przetwarzający
Art. 17 – Obowiązki administratora
Art. 18 – Współadministratorzy
Art. 19 – Powierzenie przetwarzania i obowiązki podmiotu przetwarzającego
1) będzie przetwarzał dane wyłącznie w zakresie i celu określonym w umowie;
2) zapewni, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy;
3) podejmie środki wymagane w celu zabezpieczenia danych;
4) będzie pomagał administratorowi wypełniać obowiązki w zakresie informowania osób, których dane dotyczą, realizowania ich uprawnień oraz obowiązki dotyczące zawiadamiania o naruszeniach;
5) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunie lub zwróci mu wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie;
6) udostępni administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwi administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.
Kodeksu Prawa Kanonicznego i kan. 1034 Kodeksu Kanonów Kościołów Wschodnich, z zastrzeżeniem, że także na podmiocie, któremu zostają powierzone dane spoczywa obowiązek zachowania przepisów niniejszego dekretu.
Art. 20 – Przetwarzanie z upoważnienia. Obowiązek zachowania tajemnicy
Art. 21 – Rejestrowanie czynności przetwarzania
1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz współadministratorów, a także gdy ma to zastosowanie – inspektora ochrony danych;
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
5) gdy ma to zastosowanie, informacje o przekazywaniu danych do publicznej
kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej;
6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – inspektora ochrony danych;
2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
3) gdy ma to zastosowanie – przekazania danych osobowych do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej;
4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Art. 22 – Bezpieczeństwo przetwarzania
Art. 23 – Warunki przechowywania zbiorów danych
Art. 24 – Przechowywanie danych w archiwach
Art. 25 – Przechowywanie danych w archiwach cyfrowych
Art. 26 – Tajne archiwum
Tajne archiwum, ustanowione na podstawie ogólnych przepisów kanonicznych winno być strzeżone z uwzględnieniem jego szczególnego charakteru, zgodnie z przepisami kan. 489-490 Kodeksu Prawa Kanonicznego i kan. 259-260 Kodeksu Kanonów Kościołów Wschodnich oraz odpowiednimi przepisami partykularnymi, w tym obowiązującymi w instytutach życia konsekrowanego i stowarzyszeniach życia apostolskiego.
Art. 27 – Zgłaszanie naruszenia ochrony danych osobowych Kościelnemu Inspektorowi Ochrony Danych
1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Art. 28 – Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
1) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
3) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Art. 29 – Zgłoszenie naruszenia innym podmiotom
Niezależnie od spełnienia obowiązków określonych w art. 27-28, administrator winien zgłosić bezzwłocznie właściwej władzy kościelnej, a w razie potrzeby także organom ścigania, każde wtargnięcie do archiwum, lub do pomieszczenia, w którym przechowywane są zbiory danych, którego skutkiem była utrata lub zniszczenie rejestrów, akt, dokumentów urzędowych, indeksów i katalogów zawierających dane osobowe.
Art. 30 – Powołanie inspektora ochrony danych
W przypadku, gdy przetwarzanie danych odbywa się na dużą skalę, kościelna publiczna osoba prawna powinna wyznaczyć inspektora ochrony danych.
Art. 31 – Status inspektora ochrony danych
Art. 32 – Zadania inspektora ochrony danych
Do zadań inspektora ochrony danych należy:
1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach w zakresie ochrony danych i doradzanie im w tej sprawie;
2) monitorowanie przestrzegania niniejszego dekretu oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
3) współpraca z Kościelnym Inspektorem Ochrony Danych;
4) pełnienie funkcji punktu kontaktowego dla Kościelnego Inspektora Ochrony Danych w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Art. 33 – Współpraca z organem nadzorczym
Administrator, podmiot przetwarzający i inspektor ochrony danych – jeśli został on wyznaczony – współpracują z Kościelnym Inspektorem Ochrony Danych w ramach wykonywania przez niego zadań.
Art. 34 – Przekazywanie danych i sporządzanie wypisów
1) jest to niezbędne dla wykonania zadań określonych w przepisach prawa;
2) osoba, której dane dotyczą została o tym poinformowana i uprzednio wyraziła zgodę na przekazanie danych w formie pisemnej;
3) przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której
dane dotyczą lub w interesie której dane miałyby zostać przekazane;
4) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego.
1) dla celów badawczych, z zachowaniem kryteriów metodologicznych i deontologicznych odnoszących się do badań historycznych, a w szczególności wskazanych w regulacjach dotyczących archiwów kościelnych;
2) dla celów statystycznych, po uprzednim usunięciu danych identyfikujących osoby.
Rozdział V
Kościelny Inspektor Ochrony Danych
Art. 35 – Niezależność Kościelnego Inspektora Ochrony Danych
Art. 36 – Wybór Kościelnego Inspektora Ochrony Danych
Art. 37 – Zadania Kościelnego Inspektora Ochrony Danych
1) monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur;
2) upowszechnianie wiedzy o ochronie danych osobowych w Kościele;
3) doradzanie administratorom danych i podmiotom przetwarzającym w Kościele
w zakresie ochrony danych osobowych;
4) udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych;
5) rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych;
6) podejmowanie decyzji dotyczących dopuszczalności przekazywania danych do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej, jeśli istnieją uzasadnione wątpliwości odnośnie do ochrony tych danych;
7) współpraca z krajowym organem nadzorczym, w tym dzielenie się informacjami oraz świadczenie wzajemnej pomocy w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych;
8) monitorowanie zmian w działalności Kościoła mających wpływ na ochronę danych osobowych, w szczególności stosowania technologii informacyjnych i komunikacyjnych;
9) przedkładanie Konferencji Episkopatu Polski propozycji regulacji prawnych bądź zmian regulacji dotyczących ochrony danych osobowych.
Art. 38 – Uprawnienia Kościelnego Inspektora Ochrony Danych
W celu realizacji zadań Kościelny Inspektor Ochrony Danych jest uprawniony do:
1) żądania od podmiotów przetwarzających dane osobowe w Kościele udzielenia informacji związanych z przetwarzaniem i ochroną danych;
2) przeprowadzenia kontroli działalności podmiotów przetwarzających dane osobowe
w Kościele;
3) nakazania przywrócenia stanu zgodnego z prawem w przypadku stwierdzenia nieprawidłowości przy przetwarzaniu danych;
4) nakazania administratorowi poinformowania osoby, której dane dotyczą o naruszeniu ochrony danych;
5) podjęcia innych środków, niezbędnych do zapewnienia skutecznej ochrony danych osobowych w Kościele.
Art. 39 – Sprawozdanie z działalności Kościelnego Inspektora Ochrony Danych
Kościelny Inspektor Ochrony Danych sporządza roczne sprawozdanie ze swojej działalności, które jest przekazywane Konferencji Episkopatu Polski oraz publikowane w Aktach Konferencji Episkopatu Polski.
Art. 40 – Nadzór
Rozdział VI
Procedura odwoławcza i odpowiedzialność za naruszenie przepisów niniejszego
Dekretu ogólnego
Art. 41 – Procedura odwoławcza
Jeśli osoba, której dane dotyczą, uzna, że przetwarzanie danych nie jest zgodne z przepisami niniejszego Dekretu, może złożyć skargę do Kościelnego Inspektora Ochrony Danych, a następnie do właściwej dykasterii Stolicy Apostolskiej, zgodnie z przepisami Kodeksu Prawa Kanonicznego.
Art. 42 – Sankcje
1) nadużywa władzy kościelnej lub urzędu;
2) dokona lub zaniecha bezprawnie z powodu zawinionego zaniedbania aktu władzy kościelnej lub aktu urzędowego powodując szkodę dla innej osoby.
Kodeksu Kanonów Kościołów Wschodnich może zostać ukarany ten, kto nie zachowując
niniejszych przepisów narusza czyjeś dobre imię.
Rozdział VII Przepisy końcowe
Art. 43 – Zasada swobody komunikacji
Kościół katolicki w Polsce, jego osoby prawne i fizyczne korzystają ze swobody utrzymywania stosunków i komunikowania się ze Stolicą Apostolską, z Konferencjami Biskupów, z Kościołami partykularnymi, a także między sobą i z innymi wspólnotami, instytucjami, organizacjami i osobami w kraju i za granicą. Żaden artykuł tego Dekretu nie może być interpretowany w sposób, który w istotnym stopniu ograniczałby tę swobodę.
Art. 44 – Wejście w życie
stronie internetowej Konferencji Episkopatu Polski.
+ Artur G. Miziński
Sekretarz Generalny KEP
+ Stanisław Gądecki
Arcybiskup Metropolita Poznański
Przewodniczący KEP