Podręcznik zawierający instrukcje, odpowiedzi i wzory dla administratorów danych osobowych publicznych kościelnych osób prawnych
wersja 1
1. Terminy załatwienia sprawy przez administratora. 5
Komentarz — terminy wynikające z prawa kanonicznego.. 5
Art. 11 Dekretu: Prawo do informacji o przetwarzaniu danych. 5
Art. 12 Dekretu: Prawo do żądania sprostowania danych. 5
Art. 13 Dekretu: Prawo do żądania dokonania adnotacji i uzupełnienia danych. 5
Art. 14 Dekretu: Prawo do żądania usunięcia danych. 6
Art. 15 Dekretu: Prawo do żądania ograniczenia przetwarzania danych. 6
2. Forma przedstawiania żądań wobec administratora. 6
3. Prośba o wykreślenie z księgi chrztu np. po apostazji 7
Komentarz — ograniczenie „prawa do zapomnienia”. 7
4. Odpowiedź na prośbę o informację na temat danych posiadanych przez parafię. 8
Komentarz — prawo do informacji 8
5. Odpowiedź na pytanie o to, które dane osobowe mogą zostać usunięte ze zbiorów parafii 9
6. Odpowiedź na pytanie o to, dlaczego Kościół nie stosuje RODO?.. 10
7. Odpowiedź na prośbę o podanie informacji zawartych w kartotece parafialnej 10
Komentarz — uwaga techniczna. 10
9. Odpowiedź na prośbę o udostępnienie ksiąg parafialnych do badań genealogicznych.. 12
10. Odpowiedź na żądanie o usunięcie danych.. 13
Odpowiedź potwierdzająca usunięcie. 14
Odpowiedź częściowo odmowna nr 1. 15
Odpowiedź częściowo odmowna nr 2. 16
12. Klauzula informacyjna i wzór zgody na przetwarzanie danych osobowych. 17
Komentarz — klauzula informacyjna. 17
Wzór klauzuli informacyjnej w przypadku zgody. 17
13. Zgłoszenie naruszenia ochrony danych osobowych.. 20
Komentarz — zgłoszenie naruszenia ochrony danych osobowych. 20
Wzór formularza zgłoszenia. 21
14. Powierzenie przetwarzania danych. 23
Jest to pierwsza wersja podręcznika. Planowane są jego modyfikacje i uzupełnienia. Zmiany, o których jest mowa, będą wynikały głównie ze zmian stanu prawnego, czyli np. wejścia w życie polskich ustaw z zakresu ochrony danych osobowych oraz będą stanowiły odpowiedź na pojawiające się problemy interpretacyjne lub nowe sytuacje prawne.
W razie uwag, pytań lub wątpliwości proszę o kontakt z KIOD najlepiej poprzez Inspektorów Ochrony Danych ustanowionych w diecezjach. Dane adresowe KIOD znajdują się na stronie: www.kiod.episkopat.pl.
1. RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz.UE.L Nr 119, str. 1),
2. Dekret — Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r.
3. KPK z 1983 r. — Kodeks Prawa Kanonicznego z 1983 r.
Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. z reguły nie określa terminów, w których administrator ma dokonać czynności. Jednakże z uwagi na to, iż Dekret uszczegóławia przepisy KPK z 1983 r. i uaktualnienia przepisy prawa partykularnego, należy per analogiam przyjąć, że nieokreślone terminy wynoszą 3 miesiące od daty wpłynięcia pisma (vide kan. 57 KPK z 1983 r.).
Żądanie informacji o przetwarzaniu danych — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące.
Żądanie informacji o zabezpieczeniach, gdy dane są przekazywane do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium RP — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące.
Żądanie dostarczenia kopii danych podlegających przetwarzaniu — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące.
Żądanie otrzymania certyfikatów, wyciągów, świadectw, w postaci kopii lub dokumentu autentycznego — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące.
a. sprostowanie ma nastąpić niezwłocznie,
b. informacja o sprostowaniu lub odmowa sprostowania — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące.
Żądanie dokonania adnotacji i uzupełnienia danych:
a. dokonanie adnotacji — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące,
b. odrzucenie wniosku — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące.
a. usunięcie — bez zbędnej zwłoki,
b. odmowa usunięcia — brak szczegółowego uregulowania, przepisy ogólne — 3 miesiące.
Żądanie ograniczenia przetwarzania danych — brak szczegółowego uregulowania; powinno być to jednak zrobione niezwłocznie.
Zgodnie z Dekretem: 1) żądanie sprostowania danych i 2) żądanie dokonania adnotacji lub uzupełnienia danych muszą być złożone na piśmie osobiście lub przez pełnomocnika. „Na piśmie” oznacza, że pod dokumentem sporządzonym w dowolnej formie (pisemnie, maszynowo, itd.) musi być złożony własnoręczny podpis. Żądanie nie możne więc być zgłoszone np. w rozmowie, przez telefon, sms, e-mail. Formę pisemną wypełniają także inne formy oświadczeń woli znane z kodeksu cywilnego takie jak np. akt notarialny. Pełnomocnik ma obowiązek wykazać swoje umocowanie pełnomocnictwem w formie pisemnej z podpisem mocodawcy.
Dekret nie stanowi wprost o formie żądania usunięcia danych. Jednakże należy uznać, że żądanie to, jako najdalej idące i niosące poważne konsekwencje musi być składne wyłącznie formie pisemnej. Także i wszystkie inne normy podane powyżej muszą być zachowane w przypadku tego typu żądania.
Natomiast żądanie ograniczenia przetwarzania danych może być zgłoszone administratorowi w formie dowolnej.
Prawo do żądania usunięcia danych, czyli tak zwane „prawo do zapomnienia” nie miało na gruncie poprzedniego stanu prawnego i nie będzie miało także po wejściu w życie RODO pełnego zastosowania do działalności wewnętrznej, czyli statutowej Kościoła. Prawo to — zgodnie z regulacjami zawartymi w RODO w stosunku do Kościołów i innych związków wyznaniowych — zostało wyłączone przez Dekret. Oczywiście, prawo do żądania usunięcia danych przysługuje, lecz nie w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby, np. przyjętej profesji zakonnej.
Ograniczenie „prawa do zapomnienia” wynika z racji teologicznych, np. z niezniszczalnego charakteru chrztu świętego (kan. 849) prawa bezwzględnie stosowalnego w Kościele. Takie rozwiązanie prawne szanujące niezależność i autonomię Kościoła w sprawach religijnych jest zgodne z prawem polskim np. Konstytucją i Konkordatem oraz prawem unijnym — np. Traktatem o funkcjonowaniu Unii Europejskiej. Jednakże tego typu żądanie o usunięcie danych osobowych, mimo jego niedopuszczalności na mocy art. 14 ust. 4 Dekretu, powinno zostać odnotowane w zbiorze (np. księdze chrztów), co zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca, którym najczęściej jest biskup diecezjalny.
W nawiązaniu do prośby o usunięcie danych dotyczących chrztu świętego uprzejmie informuję, że zgodnie z art. 14 ust. 4 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby.
Jednocześnie informuję, że Pani/Pana wniosek został odnotowany w zbiorze, tj. księdze chrztów, co zobowiązuje administratora danych do niewykorzystywania Pani/Pana danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.
Informuję także, że zgodnie z art. 41 Dekretu, jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Zgodnie z art. 11 Dekretu osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są jej dane osobowe, a jeżeli ma to miejsce, jest uprawniona do m.in. otrzymania szeregu informacji. Administrator ma także obowiązek, na żądanie osoby, której dane dotyczą, dostarczyć jej bezpłatnie kopię danych podlegających przetwarzaniu. Za wystawienie kolejnych kopii danych czy danych w postaci wyciągu, świadectwa lub dokumentu autentycznego można pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.
Informuję, że parafia ............ przetwarza Pani/Pana dane osobowe. Zgodnie z art. 11 ust. 1 Dekretu podaję następujące informacje dotyczące Pani/Pana danych osobowych:
1) cele przetwarzania: zgodnie z prawem kanoniczym, prowadzenie ewidencji parafian i byłych parafian, prowadzenie ksiąg metrykalnych i innych rejestrów (dokumentacji) związanych z udzielaniem sakramentów i sakramentaliów oraz związanych ze stanem kanonicznym, wydawanie wypisów z rejestrów parafialnych, a także inne, jeżeli w danej sytuacji ma to miejsce, np. informacje o autorstwie artykułów w gazetce parafialnej, przynależność do danej grupy parafialnej itp.
2) kategorie danych osobowych: imię nazwisko, data urodzenia, wyznanie, adres oraz inne,
3) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione: inne instytucje kościelne zgodnie z prawem kanonicznym lub na Pani/Pana prośbę,
4) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu: zgodnie z prawem kanonicznym,
5) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, zgodnie z Dekretem: informuję, iż ma Pani/Pan prawo do: 1) żądania od administratora: sprostowania danych w przypadkach określonych w art. 12 Dekretu, 2) usunięcia danych niedotyczących udzielonych sakramentów bądź w inny sposób odnoszących się do kanonicznego statusu — w przypadkach określonych w art. 14 Dekretu, 3) ograniczenia przetwarzania danych w przypadkach określonych w art. 15 Dekretu,
6) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą — informacje o ich źródle: informacje te zostały przekazane przez Pani/Pana rodziców.
Informuję także, że zgodnie z art. 41 Dekretu, jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na Pani/Pana pytanie o to, które z danych osobowych podlegają usunięciu z rejestrów kościelnych, uprzejmie informuję, że tę kwestię reguluje Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. w art. 14 ust. 4 stanowiąc, że prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby. A contrario pozostałe dane mogą być usunięte na żądanie zainteresowanej osoby pod warunkiem, że nie są już niezbędne 1) do korzystania z prawa do swobody wypowiedzi i wolności informacji; 2) do wywiązania się z obowiązku prawnego wymagającego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 3) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych, o ile prawdopodobne jest, że prawo do żądania usunięcia danych, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; 4) do ustalenia, dochodzenia lub obrony roszczeń (art. 14 ust. 3 Dekretu).
W działaniach statutowych Kościół katolicki jest wyłączony spod regulacji RODO na podstawie art. 91 RODO. Artykuł ten stanowi, że jeżeli w dni wejścia w życie RODO Kościoły i inne związki wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do wskazanego rozporządzenia. Kościół miał własny system ochrony danych, który obecnie dostosował do RODO. Podstawę tego systemu stanowi Kodeks prawa kanonicznego z 1983 r. i Dekret ogólny w sprawie ochrony osób fizycznych w Kościele katolickim wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r. oraz inne regulacje prawa partykularnego, czyli zazwyczaj prawa diecezjalnego.
Jedynie w sferze pozakościelnej prowadzonej przez Kościół, np. gospodarczej, edukacyjno-wychowawczej czy innej kościelne osoby prawne stosują się do powszechnie obowiązujących w naszym kraju przepisów w tym i do RODO.
Nie wolno oddać zainteresowanym kartoteki do osobistego przeglądania. Zawiera ona bowiem dane osobowe także innych osób (np. rodziny). W przypadkach żądania informacji o danych można zrobić wyciąg z kartoteki i przedstawić petentowi dane o nim z pominięciem danych innych osób (np. rodziny). Zainteresowani mają prawo sprostowania, uzupełnienia i usunięcia danych na zasadach ogólnych, co oznacza, że nie można usuwać danych związanych z sakramentami i stanem kanonicznym osoby.
Odpowiadając na prośbę o podanie informacji zawartych w kartotece parafialnej informuję, że na gruncie Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 parafia przetwarza Pani/Pana dane osobowe.
Zgodnie z art. 11 Dekretu podaję następujące informacje dotyczące Pani/Pana danych osobowych przetwarzanych przez parafię:
1) cele przetwarzania: zgodnie z prawem kanoniczym, prowadzenie ewidencji parafian i byłych parafian, prowadzenie ksiąg metrykalnych i innych rejestrów (dokumentacji) związanych z udzielaniem sakramentów i sakramentaliów oraz związanych ze stanem kanonicznym, wydawanie wypisów z rejestrów parafialnych,
2) kategorie danych osobowych: imię nazwisko, data urodzenia, wyznanie, adres,
3) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione — inne instytucje kościelne zgodnie z prawem kanonicznym lub na Pani/Pana prośbę,
4) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu — zgodnie z prawem kanonicznym.
Informuję także, że zgodnie z art. 41 Dekretu jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Na pytanie, dlaczego bez zgody upubliczniono Pani/Pana dane osobowe informuję, że administrator danych, czyli parafia ............... ma prawo zamieszczać wszystkie te informacje, które wynikają z obowiązku kanonicznego parafii w formie przewidzianej przez prawo kanoniczne.
Zgodnie zaś z numerami 94 i 95 Instrukcji Konferencji Episkopatu Polski o przygotowaniu do zawarcia małżeństwa w Kościele katolickim z dnia 5 września 1986, każde zamierzone małżeństwo należy podać do publicznej wiadomości, zaś jeżeli chodzi o sposób ogłaszania zapowiedzi, ustalono, że we wszystkich parafiach należy głosić zapowiedzi przez umieszczenie ich na piśmie w gablocie ogłoszeń parafialnych w ciągu 8 dni, tak by były tam uwidocznione przynajmniej przez 2 niedziele lub niedzielę i święto obowiązujące. Ten sam obowiązek można spełnić przez dwukrotne ogłoszenie ustne podczas liczniej uczęszczalnych nabożeństw parafialnych, w niedzielę lub święto obowiązujące.
Informuję także, że zgodnie z art. 41 Dekretu jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na prośbę o udostępnienie ksiąg parafialnych (np. zmarłych) do badań genealogicznych informuję, że Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. nakazuje ochronę danych osób zmarłych na tej samej zasadzie, co dane osobowe innych osób, dlatego nie jest możliwe udostępnienie całej księgi.
Możliwe jest jednak wydanie świadectw i kopii aktów chrztu i małżeństwa osób zmarłych oraz świadectwo i kopia aktu zgonu krewnym, spadkobiercom lub innym osobom, które wykażą interes prawny.
Gdy zaś chodzi o udostępnianie ksiąg parafialnych do celów badań naukowych, genealogicznych lub im podobnych, to ich przeglądanie i badanie w przedmiotowych celach wymaga zezwolenia proboszcza lub ordynariusza miejsca. Do wyżej wymienionych celów mogą być wykorzystywane księgi, zawierające dane dotyczące zdarzeń, które miały miejsce nie wcześniej niż: w przypadku księgi chrztów po 100 latach, małżeństw po 60 latach, zgonów po 50 latach, od końca roku kalendarzowego, w którym nastąpiło sporządzenie aktu. Szczegółową procedurę może określać prawo partykularne (np. diecezji) lub, przy jego braku, przyjęta miejscowa praktyka.
Informuję także, że zgodnie z art. 41 Dekretu jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Danych Osobowych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na Pani/Pana żądane skierowana do administratora, czyli parafii ............... o niezwłoczne usunięcie danych osobowych, informuję, że administrator nie ma obowiązku usunięcia tych danych, bowiem nie zachodzi żadna ze wskazanych w art. 14 ust. 1 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. okoliczności, którymi są:
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
Informuję także, że zgodnie z art. 41 Dekretu jeżeli Pani/Pana uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na Pani/Pana żądanie skierowane do administratora, czyli parafii ............... o niezwłoczne usunięcie danych osobowych, informuję, że administrator nie ma obowiązku usunięcia tych danych. Zachodzi bowiem przesłanka wskazana w art. 14 ust. 2 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. okoliczności, a mianowicie przetwarzanie Pani/Pana danych jest niezbędne do (wybrać):
1) korzystania z prawa do swobody wypowiedzi i wolności informacji;
2) wywiązania się z obowiązku prawnego wymagającego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
3) celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
4) ustalenia, dochodzenia lub obrony roszczeń.
Informuję także, że zgodnie z art. 41 Dekretu jeżeli Pani/Pana uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na Pani/Pana żądanie skierowane do administratora, czyli parafii ............... o niezwłoczne usunięcie danych osobowych, informuję, że administrator zgodnie z art. 14 ust. 1 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. usunął Pani/Pana dane. Przesłanką było to, że (wybrać):
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
Usunięte dane to.......... (imię, nazwisko, inne),
Jednocześnie nie stwierdzam, aby zaistniała którakolwiek z przesłanek z art. 14 ust. 2 Dekretu wyłączających zastosowanie powyższych przesłanek.
Informuję także, że zgodnie z art. 41 Dekretu, jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na Pani/Pana żądanie skierowane do administratora, czyli parafii ............... o niezwłoczne usunięcie danych osobowych, informuję, że administrator zgodnie z art. 14 ust. 1 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. usunął Pani/Pana następujące dane: ...............
Przesłanką było to, że (wybrać):
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
W pozostałym zakresie informuję, że administrator nie ma obowiązku usunięcia następujących danych: ............... Nie zachodzi bowiem żadna ze wskazanych w art. 14 ust. 1 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. okoliczności, a mianowicie:
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
Informuję także, że zgodnie z art. 41 Dekretu jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na Pani/Pana żądanie skierowane do administratora, czyli parafii ......... ...... o niezwłoczne usunięcie danych osobowych, informuję, że administrator zgodnie z art. 14 ust. 1 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. usunął Pani/Pana następujące dane:
Przesłanką było to, że (wybrać):
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
W pozostałym zakresie informuję, że administrator nie ma obowiązku usunięcia następujących danych: ............... Zachodzi bowiem przesłanka wskazana w art. 14 ust. 2 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. okoliczności, a mianowicie przetwarzanie Pani/Pana danych jest niezbędne do (wybrać):
1) korzystania z prawa do swobody wypowiedzi i wolności informacji;
2) wywiązania się z obowiązku prawnego wymagającego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
3) celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
4) ustalenia, dochodzenia lub obrony roszczeń.
Informuję także, że zgodnie z art. 41 Dekretu jeżeli Pani/Pan uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu, ma Pani/Pan prawo do wniesienia skargi do Kościelnego Inspektora Ochrony Danych. Skwer kard. Stefana Wyszyńskiego 6, 01-015 Warszawa, kiod@episkopat.pl, www.kiod.episkopat.pl.
Odpowiadając na Pani/Pana pytanie o wdrożone przez administratora, czyli parafię ......... ...... środki techniczne i organizacyjne w celu zabezpieczenia przetwarzania danych informuję, że zgodnie z art. 40 Dekretu w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. taką informację może uzyskać wyłącznie upoważniony do kontroli organ, którym jest biskup diecezjalny i Kościelny Inspektor Ochrony Danych. Niemniej informujemy, iż funkcjonują u administratora odpowiednie środki techniczne i organizacyjne zapewniające zgodność z prawem przetwarzania danych osobowych.
W przypadku zbierania danych od osoby, której dane dotyczą, administrator danych ma obowiązek przekazania tej osobie informacji, o których w art. 8 Dekretu. Może się to odbyć poprzez klauzulę informacyjną umieszczoną przed zgodą. Klauzuli informacyjnej nie trzeba stosować w przypadku, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami.
Zamieszczony wzór klauzuli może być wykorzystany także przy innej podstawie zbierania danych niż zgoda, pod warunkiem zmiany informacji o podstawie przetwarzania i usunięciu pkt 10 z klauzuli.
Zgodnie z art. 8 ust. 1 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanym przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. (dalej: Dekret) informuję, że:
1) administratorem Pani/Pana danych osobowych jest ............... (nazwa parafii/innej kościelnej publicznej osoby prawnej, adres, dodatkowo należy podać dane proboszcza);
2) inspektorem ochrony danych w .................. (nazwa parafii/innej kościelnej publicznej osoby prawnej) jest Pani/Pan ............... (imię i nazwisko inspektora) ............... (e-mail służbowy lub nr tel. służbowego) - gdy inspektor ochrony np. w diecezji został wyznaczony;
3) Pani/Pana dane osobowe przetwarzane będą w celu ...............,
4) podstawą przetwarzania tych danych jest Pani/Pana zgoda;
5) odbiorcą Pani/Pana danych osobowych jest ..............., (kuria diecezjalna, można też wymienić kategorię odbiorców, o ile istnieje, np. parafie);
6) Pani/Pana dane osobowe (zaznaczyć właściwe) 1) nie będą przekazywane do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej, 2) będą przekazywane do publicznej kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej ................. Przekazywane dane będą odpowiednio zabezpieczone za pomocą: ..............., (określić sposób zabezpieczenia, np. przesłane przesyłką poleconą). Może Pani/Pan uzyskać kopię danych osobowych przekazywanych do kościelnej osoby prawnej mającej siedzibę poza terytorium Rzeczypospolitej Polskiej poprzez ..............., (wskazać sposób uzyskania kopii danych lub miejsce udostępnienia danych);
7) Pani/Pana dane osobowe będą przechowywane przez okres ............... (jeżeli nie ma możliwości wskazania okresu przechowywania, należy podać kryterium ustalania tego okresu);
8) posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia lub ograniczenia przetwarzania zgodnie z Dekretem;
9) ma Pani/Pan prawo wniesienia skargi do Kościelnego Inspektora Ochrony Danych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy Dekretu;
10) podanie przez Pani/Pana danych osobowych jest dobrowolne, ale konieczne dla celów związanych z ................
Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w 1) formie oświadczenia lub 2) wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Termin „w formie oświadczenia” oznacza każdą formę wyrażenia woli znaną z kodeksu cywilnego, np.: ustną, pisemną, dokumentową, elektroniczną. Termin „działanie potwierdzające”, czyli per facta concludentia oznacza zachowanie osoby, które jednoznacznie wskazuje, że wyraża zgodę na przetwarzanie danych. Akt wyrażenia zgody musi zostać udokumentowany przez administratora. To na nim spoczywa onus probandi, co z kolei oznacza, że najlepiej mieć oświadczenia na piśmie lub chociaż w formie dokumentowej znanej z kodeksu cywilnego, czyli np. e-mail czy sms. Prawo wymaga dodania klauzul informacyjnych w trakcie zbierania danych, czyli muszą być one umieszczone bezpośrednio w treści formularza lub do niego załączone.
Należy podkreślić, że zgoda osoby na zbieranie jej danych osobowych, w przypadku, gdy podstawą jest np. odpowiedni przepis prawa kanonicznego (chodzi o np. wpis w księdze chrztów czy małżeństw) nie jest potrzebna. Podstawą przetwarzania danych jest bowiem określony przepis prawa. Zbieranie zgody w takim przypadku może wprowadzić mylne przekonanie, że np. wpis w księdze parafialnej jest dobrowolny i istnieje podstawa do jego usunięcia w przypadku cofnięcia zgody.
ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH
Na podstawie art. 7 ust. 1 pkt 1 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. (dalej: Dekret) oświadczam, iż wyrażam zgodę na przetwarzanie przez administratora, którym jest ............... (nazwa parafii/innej kościelnej publicznej osoby prawnej) moich danych osobowych (imię i nazwisko, gdy zainteresowany jest pełnoletni) / danych osobowych ............... (imię i nazwisko zainteresowanego, gdy nie jest on pełnoletni), którego jestem przedstawicielem ustawowym w celu (albo w celach) ............... Powyższa zgoda została wyrażona dobrowolnie zgodnie z art. 5 pkt 7 Dekretu.
.............................................
(miejsce, data i podpis zainteresowanego albo jego przedstawiciela ustawowego)
W przypadku naruszenia ochrony danych osobowych, czyli naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, administrator bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je Kościelnemu Inspektorowi Ochrony Danych. Jednakże obowiązek zgłoszenia nie powstaje, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tym samym do administratora należy ocena tego, czy zaistniałą sytuację objął obowiązek zgłoszenia. Do zgłoszenia przekazanego po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Natomiast podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Oznacza to, że podmiot przetwarzający zgłasza administratorowi każde naruszenie. To do administratora należy ocena, czy dane naruszenie podlega obowiązkowi zgłoszenia Kościelnemu Inspektorowi Ochrony Danych.
Zgłoszenie naruszenia ochrony danych osobowych Kościelnemu Inspektorowi Ochrony Danych powinno być dokonane na formularzu i przesłane w formie pisemnej lub elektronicznej na adres e-mail KIOD lub poprzez formularz elektroniczny zamieszczony na stronie internetowej KIOD.
Dekret stanowi, że administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania. Może odbywać się to poprzez prowadzenie Rejestru Naruszeń Ochrony Danych. Te spośród naruszeń, które nie zostały zgłoszone KIOD powinny zawierać dodatkowo dane jednoznacznie wskazujące, że zachodziło małe prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH
KOŚCIELNEMU INSPEKTOROWI OCHRONY DANYCH
1. Miejsce ..............., data ..............., godzina ............... wypełniania zgłoszenia
2. Dane administratora (nazwa oraz imię i nazwisko przedstawiciela)
............................................................................................................
3. Dane Inspektora Ochrony Danych (imię i nazwisko, w przypadku braku Inspektora Ochrony Danych wpisać „Nie dotyczy”)
............................................................................................................
4. Dane kontaktowe innej osoby, od której można uzyskać więcej informacji (w przypadku braku innego punktu kontaktowego wpisać „Nie dotyczy”)
............................................................................................................
5. Data oraz godzina stwierdzenia naruszenia
............................................................................................................
6. Miejsce naruszenia
............................................................................................................
7. Data naruszenia lub czasookres naruszania
............................................................................................................
8. Ewentualne przyczyny opóźnienia zgłoszenia, tj. powyżej 72 h (w przypadku zgłoszenia w przewidzianym terminie należy wpisać „Nie dotyczy”)
............................................................................................................
9. Lokalizacja zdarzenia (adres, numer pokoju lub nazwa pomieszczenia, określenie komputerowego stanowiska roboczego, nazwa programu lub aplikacji, itp.)
............................................................................................................
10. Rodzaj naruszenia
.........................................................................................................
11. Okoliczności towarzyszące naruszeniu
............................................................................................................
12. Kategorie lub (przybliżona) liczba osób, których dane dotyczą
............................................................................................................
13. Zakres danych lub kategorie i (przybliżona) liczba wpisów danych osobowych, których dotyczy naruszenie
............................................................................................................
14. Osoba lub jednostka odpowiedzialna za naruszenie
............................................................................................................
15. Wstępna ocena przyczyn wystąpienia naruszenia
............................................................................................................
16. Możliwe konsekwencje naruszenia ochrony danych osobowych:
............................................................................................................
17. Opis zastosowanych środków zaradczych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach opis środków w celu lub zminimalizowania jego ewentualnych negatywnych skutków
............................................................................................................
18. Rezultat działań lub środków zaradczych
............................................................................................................
19. Osoba odpowiedzialna za wdrożenie działań naprawczych
............................................................................................................
20. Opis proponowanych środków w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach opis środków w celu lub zminimalizowania jego ewentualnych negatywnych skutków
............................................................................................................
21. Czy poinformowano organy ścigania; jeżeli tak — data zawiadomienia
............................................................................................................
22. Czy poinformowano kompetentną władzę kościelną; jeżeli tak — data zawiadomienia
............................................................................................................
23. Czy zachodzi obowiązek poinformowania osoby/osób, których naruszenie dotyczy oraz sposób przekazania informacji wraz opisem zaleceń dla podmiotów danych
............................................................................................................
Dekret w art. 19 nakazuje, aby „administrator”, czyli osoba prawna (np. parafia) w celu powierzenia przetwarzania danych „podmiotowi przetwarzającemu”, czyli np. osobie fizycznej lub osobie prawnej zawarła z nią umowę o przetwarzanie danych. W praktyce będzie to umowa pomiędzy parafią a podmiotem, który np. przechowuje dane ze strony internetowej parafii.
Nie ma potrzeby zawierania umowy pomiędzy parafią a wikariuszami, czy osobą pracującą w kancelarii na umowę o pracę, zlecenia, czy o dzieło. W tych przypadkach wskazane jest pisemne upoważnienie tych osób do przetwarzania danych. Osoby posiadające upoważnienie powinny być ujęte w Ewidencji Osób Upoważnionych do Przetwarzania Danych Osobowych.
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu ............... w ............... pomiędzy Parafią pw. ............... w ............... reprezentowaną przez proboszcza ............... (dalej: „Administrator”) a ................... (dalej: „Podmiot przetwarzający” lub „Przetwarzający”) (dalej łącznie: „Strony”).
Mając na uwadze, że:
1) celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu Administratora;
2) Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni przepisom prawa obowiązującego w Kościele katolickim, w szczególności przepisom Dekretu w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r. (dalej: „Dekret”);
3) Strony zawierające Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby spełniały one standardy ochrony Danych Osobowych przewidziane w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) (dalej: „RODO”).
Strony postanowiły zawrzeć Umowę o następującej treści:
1. Sposób wykonania Umowy w zakresie przetwarzania danych osobowych
1.1. Podmiot Przetwarzający zobowiązuje się, jeszcze przed przystąpieniem do przetwarzania danych osobowych do ich zabezpieczenia poprzez wdrożenie i utrzymywanie środków technicznych i organizacyjnych, o których mowa m.in. w art. 22 Dekretu odpowiednich do rodzaju przetwarzanych danych.
1.2. Podmiot Przetwarzający oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie i zabezpieczenie danych osobowych, a jego system informatyczny zapewnia stopień bezpieczeństwa ochrony Danych Osobowych uwzględniający ryzyko naruszenia.
2. Opis Przetwarzania
2.1. Strony, w związku z art. 19 ust. 2 Dekretu zawierają umowę powierzenia dalej opisanych Danych Osobowych (w rozumieniu Dekretu i RODO), na podstawie której Administrator powierzy Przetwarzającemu przetwarzanie Danych Osobowych w zakresie określonym Umową.
2.2. Czas obowiązywania
Przetwarzanie będzie wykonywane w okresie od dnia ............... do dnia ............... (można określić poprzez: do końca umowy głównej, ale trzeba wskazać tę umowę główną — data i miejsce zawarcia, tytuł i numer jeżeli jest).
2.3. Charakter umowy
Umowa zostaje zawarta w celu wykonania umowy (o usługi serwerowe) z dnia .............
2.4. Cel przetwarzania
Celem przetwarzania jest.... (np. wypełnianie obowiązków administracyjnych administratora wynikających z prawa kanonicznego lub prawa polskiego)
2.5. Rodzaj danych Przetwarzanie obejmować będzie następujące rodzaje danych osobowych (dalej: „Dane Osobowe”):
Dane zwykłe:
1) imię i nazwisko,
2) numer ewidencyjny PESEL,
3) adres e-mail,
4) adres IP,
5) numery telefonów,
6) NIP,
7) seria i numer dokumentu tożsamości,
8) numer rachunku bankowego,
9) ...............
10) ...............
Dane wrażliwe (w rozumieniu art. 5 ust. 9 Dekretu)
11) ...............
12) ...............
Dane dzieci
13) ...............
14) ...............
Dane nieustrukturyzowane
15) kontent o potencjalnej i prawdopodobnej zawartości danych osobowych (wpisy, dokumenty tekstowe, obrazy, nagrania, filmy).
2.6. Kategorie osób
Przetwarzanie Danych Osobowych będzie dotyczyć następujących kategorii osób:
1) pracownicy kancelarii parafialnej Administratora,
2) osoby fizyczne z którymi Administrator wchodzi w relacje cywilno-prawne,
3) osoby, z którymi Administrator wchodzi w interakcje społeczne,
4) kontrahenci (odbiorcy i dostawcy) Administratora,
5) odbiorcy korespondencji elektronicznej Administratora,
6) wiernych należących do parafii zgodnie z kan. 515 i dalsze Kodeksu Prawa Kanonicznego
7) ...............
8) ...............
3.1. Podpowierzenie Przetwarzający może powierzyć konkretne operacje przetwarzania Danych Osobowych (dalej: „Podpowierzenie”) w drodze pisemnej umowy podpowierzenia (dalej: „Umowa Podpowierzenia”) innym podmiotom przetwarzającym (dalej: „Podprzetwarzający”), pod warunkiem uprzedniej zgody Administratora.
3.2. Zaakceptowani Podprzetwarzający. Lista Podprzetwarzających zaakceptowanych przez Administratora na dzień zawarcia Umowy, stanowi Załącznik nr 1 do Umowy — Lista Zaakceptowanych Podprzetwarzających.
3.3. Powierzenie przetwarzania Danych Osobowych Podprzetwarzającym wymaga uprzedniego zgłoszenia Administratorowi w celu umożliwienia wyrażenia zgody. Administrator musi wyrazić zgodę na piśmie. W przypadku Podpowierzenia Danych Osobowych Podprzetwarzającym określonym w Załączniku nr 1 należy jedynie poinformować Administratora przed pierwszą czynnością Podpowierzenia o tej czynności. W uzasadnionych Administrator może odmówić wyrażenia zgody względem powierzenia Danych Osobowych konkretnemu Podprzetwarzającemu. W razie odmowy wyrażenia zgody Przetwarzający nie ma prawa powierzyć Danych Osobowych Podprzetwarzającemu. Jeżeli nastąpiło cofnięcie zgody dla aktualnego Podprzetwarzającego, musi niezwłocznie zakończyć Podpowierzenie temu Podprzetwarzającemu. Wątpliwości co do zasadności odmowy wyrażenia zgody i ewentualnych negatywnych konsekwencji Przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania.
3.4. Transfer obowiązków Dokonując Podpowierzenia Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego Podpowierzenia.
3.5. Zobowiązanie względem Administratora. Przetwarzający ma obowiązek zapewnić, aby Podprzetwarzający złożył Administratorowi zobowiązanie do wykonania obowiązków, o których mowa w poprzednim ustępie. Może to zostać wykonane przez podpisanie stosownego oświadczenia adresowanego do Administratora wraz z podpisaniem Umowy Podpowierzenia, zawierającego listę obowiązków Podprzetwarzającego.
3.6. Przetwarzający nie ma prawa przekazać Podprzetwarzającemu całości wykonania Umowy.
Przetwarzający ma następujące obowiązki:
4.1. Tajemnica Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania Danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.
4.2. Bezpieczeństwo Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa w art. 22 Dekretu oraz art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.
4.3. Podprzetwarzanie Przetwarzający przestrzega warunków korzystania z usług innego Przetwarzającego.
4.4. Współpraca przy realizacji praw jednostki Przetwarzający zobowiązuje się wobec Administratora do odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III Dekretu („Prawa jednostki”). Przetwarzający oświadcza, że zapewnia obsługę Praw jednostki w odniesieniu do powierzonych Danych. Szczegóły obsługi Praw jednostki zostaną pomiędzy Stronami uzgodnione. Strony ustaliły procedurę obsługi Praw jednostki odrębnym dokumentem.
4.5. Wsparcie przy obowiązkach bezpieczeństwa Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 22, 27—29 Dekretu (ochrona danych, zgłaszanie naruszeń, zawiadamianie osób, których dane dotyczą, zgłoszenie naruszenia ochrony danych osobowych Kościelnemu Inspektorowi Ochrony Danych, ocena skutków dla ochrony danych, zgłoszenie naruszenia innym podmiotom).
4.6. Legalność poleceń Jeżeli Przetwarzający poweźmie wątpliwości, co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem).
4.7. Projektowanie prywatności Planując dokonanie zmian w sposobie przetwarzania Danych, Przetwarzający ma obowiązek zastosować się do standardów przewidzianych w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania Danych przez Przetwarzającego.
4.8. Minimalizacja Przetwarzający zobowiązuje się do ograniczenia dostępu do Danych Osobowych wyłącznie do osób, których dostęp do Danych jest potrzebny dla realizacji Umowy i posiadających odpowiednie upoważnienie.
4.9. RCPD Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania Danych, w tym rejestru czynności przetwarzania danych osobowych. Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr czynności przetwarzania danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę Przetwarzającego.
4.10. Szkolenie personelu Przetwarzający ma obowiązek zapewnić osobom upoważnionym do przetwarzania Danych odpowiednie szkolenie z zakresu ochrony danych osobowych.
Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
6.1. Bezpieczeństwo danych osobowych Przetwarzający przeprowadził analizę ryzyka przetwarzania powierzonych Danych, udostępnił ją Administratorowi i stosuje się do jej wyników, co do organizacyjnych i technicznych środków ochrony danych.
6.2. Środki bezpieczeństwa Strony uzgodniły odrębnym dokumentem poziom zabezpieczeń Danych wymagany po stronie Przetwarzającego.
6.3. Gwarancje bezpieczeństwa Przetwarzający przedstawił Administratorowi informacje i dokumenty potwierdzające, że Przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Obie Strony zachowują kopie przedstawionych dokumentów i dowody przedstawienia informacji, dla potrzeb spełnienia wymogu rozliczalności.
7. Powiadomienie o Naruszeniach Danych Osobowych
7.1. Powiadomienie o naruszeniu Przetwarzający zgodnie z art. 27 ust 2 Dekretu powiadamia Administratora danych o każdym naruszeniu ochrony danych osobowych bez zbędnej zwłoki. Nie później niż w 24 godziny od zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
7.2. Rozwinięcie Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzorczego.
8.1. Sprawowanie kontroli Administrator kontroluje sposób przetwarzania powierzonych Danych Osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do (i) wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe oraz (ii) wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych oraz udostępnienia rejestrów.
8.2. Współpraca przy kontroli. Przetwarzający współpracuje z Kościelnym Inspektorem Ochrony Danych, o którym mowa w art. 35 Dekretu, w zakresie wykonywanych przez niego zadań (art. 37 Dekretu).
8.3. Przetwarzający:
1) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami Dekretu oraz standardami przewidzianymi w RODO,
2) umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje w zakresie realizacji audytów lub inspekcji.
9.1. Oświadczenie Administratora Administrator oświadcza, że jest Administratorem Danych oraz że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.
9.2. Oświadczenie Przetwarzającego Przetwarzający oświadcza, że w ramach niniejszej Umowy posiada niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania Umowy.
10. Odpowiedzialność Przetwarzającego Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które Dekret RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
11. Okres Obowiązywania Umowy Powierzenia
Umowa została zawarta na czas obowiązywania Umowy Podstawowej.
12.1. Usunięcie danych z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych Osobowych i jest zobowiązany do:
1) usunięcia Danych Osobowych,
2) usunięcia wszelkich ich istniejących kopii lub zwrotu Danych Osobowych, chyba że Administrator postanowi inaczej lub istnieje inna podstawa prawna do przetwarzania przez Przetwarzającego Danych Osobowych. O zakresie przetwarzania Przetwarzający winien jest powiadomić Administratora na piśmie podając podstawę i zakres przetwarzanych Danych.
12.2. Karencja Przetwarzający dokona usunięcia Danych po upływie 180 dni od zakończenia Umowy, chyba że Administrator poleci mu to uczynić wcześniej.
12.3. Oświadczenie Po wykonaniu zobowiązania, o którym mowa w pkt 10.1., Przetwarzający złoży Administratorowi pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich Danych.
Administrator może rozwiązać Umowę ze skutkiem natychmiastowym, gdy Przetwarzający:
1) wykorzystał Dane Osobowe w sposób niezgodny z Umową,
2) niewłaściwie przetwarza dane osobowe, pomimo uprzedniego wezwania do zmiany sposobu ich przetwarzania
3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora,
4) nie ma zdolności do dalszego wykonywania Umowy.
14. Postanowienia Końcowe
14.1. Egzemplarze Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
14.2. Właściwość prawa Umowa podlega prawu Kościoła katolickiego oraz na podstawie Kan. 1290 Kodeksu Prawa Kanonicznego i kan. 1034 Kodeksu Kanonów Kościołów Wschodnich — polskiemu oraz RODO w odpowiednim zakresie.
...........................................................................
[Administrator]
...........................................................................
[Przetwarzający]
UPOWAŻNIENIE NR ......... Z DNIA .........
DO PRZETWARZANIA DANYCH OSOBOWYCH
I.
Z dniem ............... upoważniam ks./Panią/Pana ............... do przetwarzania danych osobowych, w celach związanych z wykonywaniem obowiązków na stanowisku ............... polegających na (rodzaj czynności lub operacji, jakich może dokonywać na danych osobowych, np.:
— sporządzanie dokumentacji parafialnej,
— prowadzenie ewidencji parafian i byłych parafian,
— prowadzenie ksiąg metrykalnych i innych rejestrów
— publikowanie zapowiedzi przedślubnych, ogłoszeń parafialnych, intencji mszalnych
— prowadzenie ewidencji osób korzystających z pomocy charytatywnej
— prowadzenie rozliczeń finansowych
Niniejsze upoważnienie obejmuje przetwarzanie danych osobowych wg wykazu zbiorów podanych w punkcie II.
II.
Upoważniam ks./Panią/Pana ............... do przetwarzania danych osobowych zawartych w zbiorach: (np. księgach parafialnych) oraz w programie komputerowym (np. parafia).
III.
1. Upoważnienie wygasa z chwilą ustania ks./Panią/Pana zatrudnienia na wyżej wymienionym stanowisku w ...............
2. Jednocześnie informuję, że jest ks./Pani/Pan zobowiązany/a/y do zachowania powyższych informacji w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia.
...........................................................................
[Administrator]
...........................................................................
[Upoważniony]
opr. mg/mg