Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych

osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski, w dniu 13 marca2018r.,podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kan. 455 Kodeksu Prawa Kanonicznego,

w związku z art. 18 Statutu KEP,

po uzyskaniu

specjalnego zezwolenia

Stolicy Apostolskiej z dnia 3 czerwca 2017 r.

Chrześcijaństwo wniosło do kultury europejskiej przekonanie o nienaruszalnej godności

osoby   ludzkiej.   Zakorzenion

e   ono   jest   w   fakcie   s

tworzenia  człowieka  na  „obraz

i

podobieństwo”

Boga

. Godność jest przymiotem ludzkiej natury rozumnej i wolnej. Uznanie

godności człowieka wymaga odpowiedniej ochrony danych osobowych.

Biorąc pod uwagę zasady ochrony osób fizycznych w

związku z przetwarzaniem ich

danych osobowych stosowane dotychczas w Kościele

k

atolickim w Polsce, a zwłaszcza mając

na uwadze:

-

kan.  220  Kodeksu  Prawa  Kanonicznego

oraz kan. 23 Kodeksu Kanonów Kościołów

Wschodnich

,

gwarantujące

prawo do dobrego imienia i

prawo do ochrony intymności,

-

kan.  482

-

491  i  kan.  535  Kodeksu  Prawa  Kanonicznego  oraz  kan.  252

-

261  i  kan.

296

Kodeksu Kanonów Kościołów Wschodnich, zobowiązujące każdą parafię do prowadzenia

ksiąg parafialnych, zgodnie z przepisami Konferencji Biskupów i

biskupa

diecezjalnego oraz

zobowiązujące

proboszcza do ich właściwego sporządzania i przechowywania oraz dotyczące

obowiązku posiadania archiwum przez kurie diecezjalne i parafie, i zasad ich prowadzenia,

-

kan.  1067  i  1069  Kodeksu  Prawa  Kanonicznego  ora

z  kan.  784  i  786  Kodeksu

Kanonów Kościołów Wschodnich, dotyczące kanonicznego

przygotowania do małżeństwa,

a

w  szczególności  przekazywania  informacji  o  okolicznościach  mających  znaczenie  dla

możliwości jego zawarcia,

-

Motu proprio

La cura vigilantissima

z

dnia 21 marca 2005

r.

(AAS 97(2005), s. 353

-

376),

-

Przepisy  Konferencji  Episkopatu  Polski  o  prowadzeniu  ksiąg  parafialnych:

ochrzczonych,  bierzmowanych,  małżeństw  i  zmarłych,  oraz  księgi  stanu  dusz  z

dnia

26

października 1947 r.,

-

Instrukcję opracowaną

przez  Generalnego  Inspektora  Ochrony  Danych  Osobowych

oraz Sekretariat Konferencji Episkopatu Polski z

dnia

23 września 2009 r. „Ochrona danych

osobowych w działalności Kościoła katolickiego w Polsce”,

-

Dekret Ogólny Konferencji Episkopatu Polski w sprawi

e wystąpień z Kościoła oraz

powrotu do wspólnoty Kościoła z dnia

7 października 2015 r.,

-

oraz inne regulacje prawa partykularnego,

przypominając powszechnie uznaną zasadę autonomii p

aństwa i Kościoła

,

mając  na  względzie

konieczność  pogodzenia  ochrony

danych

osobowych

z

korzystaniem z podstawowego prawa do wolności religi

jnej

, zagwarantowanego również

w

prawie pozytywnym, także w jego wymiarze instytucjonalnym,

działając  w

celu  uszczegółowienia  przepisów  Kodeksu  Prawa  Kanonicznego

i

uaktualnienia prze

pisów prawa partykularnego,

postanawia się, co następuje:

8

lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby

fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.

3.  Przed  uchyleniem

ograniczenia przetwarzania administrator informuje o tym osobę,

której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

Art. 16

-

Obowiązek powiadomienia

Administrator  informuje  każdego  odbiorcę,  kt

óremu  ujawniono  dane  osobowe,

o

sprostowaniu  lub

usunięciu danych osobowych lub ograniczeniu przetwarzania, chyba że

okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator

informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą,

tego z

ażąda.

Rozdział IV

Administrator i podmiot przetwarzający

Art. 1

7

–

Obowiązki administratora

1.  Administrator  powinien  wdrożyć  odpowiednie  środ

ki  techniczne  i  organizacyjne

w

celu ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwa

rzania  oraz

ryzyko naruszenia praw lub wolności osób fizycznych. Administrator jest zobowiązany do

przestrzegania  przepisów  kanonicznych  dotyczących  starannego  przechowywania,

dozwolonego użytku i właściwego zarządzania danymi osobowymi.

2.  Jeżeli  jest  to

proporcjonalne   w   stosunku   do   czy

nności  przetwarzania,  środki,

o

których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk

ochrony danych.

3.  Zarówno  na  etapie  projektowania,  jak  też  w  trakcie  procesów  przetwarzania

administrator  p

owinien zastosować odpowiednie środki techniczne i organizacyjne, służące

ochronie danych a także pozwalające, aby domyślnie przetwarzane były wyłącznie te dane

osobowe, które są niezbędne dla osiągnięcia celu przetwarzania.

Art. 1

8

–

Współadministratorzy

1.  Jeżeli  co  najmniej  dwóch  administratorów  wspólnie  ustala  cele  i  sposoby

przetwarzania,  są  oni  współadministratorami.  W  drodze  u

zgodnień  współadministratorzy

w

przejrzysty   sposób   określają   odpowied

nie   zakresy   swoich   obowiązków

i

odpowiedzialności

.

2.

Uzgodnienia,  o  których  mowa  w  ust.  1,  należycie  odzwierciedlają  odpowiednie

zakresy  obowiązków  współadministratorów  oraz  relacje  pomiędzy  nimi  a  podmiotami,

których  dane  dotyczą.  Zasadnicza  treść  uzgodnień  jest  udostępniana  podmiotom,  których

dane dotyczą.

3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą,

może wykonywać przysługujące jej prawa wobec każdego z

współadministratorów.

Art.

19

–

Powierzenie przetwarzania i obowiązki podmiotu przetwarzającego

1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora przez podmiot

przetwarzający,  podmiot  ten  powinien  zapewniać  wystarczające  gwarancje  wdrożenia

odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi

niniejs

zego dekretu i gwarantowało ochronę praw osób, których dane dotyczą.

2. Przetwarzanie danych przez podmiot przetwarzający powinno opierać się na umowie

lub  innym  zobowiązaniu  prawnym  ustalającym  zakres  odpowiedzialności  i  procedury,

gwarantującym, że podmi

ot przetwarzający:

9

1

) będzie przetwarzał dane wyłącznie w zakresie i celu określonym w umowie;

2

) zapewni, by osoby upoważnione do przetwarzania danych zobowiązały się do

zachowania tajemnicy;

3

) podejmie środki wymagane w celu zabezpieczenia danych;

4

) bę

dzie pomagał administratorowi wypełniać obowiązki w zakresie informowania

osób,  których  dane