Regulamin ochrony danych osobowych

Regulamin
Ochrony Danych Osobowych
Kościoła Adwentystów Dnia Siódmego
w Rzeczypospolitej Polskiej

z dnia 8 maja 2018 roku

 

Preambuła

Kościół Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej przetwarza dane osobowe, korzystając przy tym z autonomii oraz niezależności gwarantowanej przez art. 25 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. Przetwarzanie takich danych jest niezbędne do realizacji zasady wolności sumienia i wyznania zgodnie z podstawowymi zasadami wiary Kościoła Adwentystów Dnia Siódmego. Jednocześnie Kościół respektuje prawo do prywatności wiernych Kościoła i innych osób, których dane są przetwarzane, przyznając im stosowne uprawnienia oraz procedury ich dochodzenia. Niniejszy Regulamin określa szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele.

Przyjęcie niniejszego Regulaminu stanowi uzupełnienie i dostosowanie zasad przetwarzania danych osobowych określonych przez dotychczasowe własne prawo kościelne Kościoła Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej do wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Wykładnię przepisów wskazanych własnego prawa kościelnego w zakresie zasad przetwarzania danych osobowych należy dokonywać z uwzględnieniem Regulaminu i Rozporządzenia Unii Europejskiej.

Rozdział I

Zasady ogólne

1

  1. Kościół przetwarza dane osobowe w związku z pełnionymi funkcjami statutowymi, korzystając przy tym z autonomii oraz niezależności gwarantowanej w szczególności przez art. 25 ust. 5 i art. 53 ust. 7 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. oraz Ustawę z dnia 30 czerwca 1995 r. o stosunku Państwa do Kościoła Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej (t.j. Dz.U. z 2014 r., poz. 1889).
  2. Kościół jako całość oraz jego osoby prawne i inne jednostki organizacyjne przestrzegają powszechnie obowiązujących przepisów prawa niesprzecznych z własnym prawem kościelnym oraz doktryną Kościoła objętych konstytucyjnie gwarantowanymi autonomią i niezależnością Kościoła.
  3. Przetwarzanie danych osobowych przez kościelnych administratorów danych osobowych (osoby prawne Kościoła lub jego inne jednostki organizacyjne), w tym szczególnych kategorii danych osobowych określonych w obowiązujących przepisach prawa, w szczególności dotyczących przekonań religijnych, jest niezbędne do realizacji przez Kościół funkcji statutowych.
  4. Niniejszy Regulamin stosuje się do wszelkich operacji przetwarzania danych osobowych przez wszystkie jednostki organizacyjne Kościoła, w tym kościelne osoby prawne, z wyjątkiem operacji przetwarzania związanych z prowadzeniem przez nie działalności gospodarczej lub innej wykraczającej poza funkcje statutowe.
  5. Na użytek niniejszego Regulaminu:
    1. „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane
      o lokalizacji lub identyfikator internetowy;
    2. „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
    3. „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie, w szczególności zbiorami danych są księgi zborowe, w tym księgi ślubów i listy członków zboru;
    4. „administrator” oznacza jednostkę organizacyjną Kościoła, w tym zbór, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
    5. „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, bądź jednostkę organizacyjną, która przetwarza dane osobowe w imieniu administratora;
    6. „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
    7. „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
    8. „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
    9. „Rozporządzenie” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
    10. „prawo o ochronie danych osobowych” oznacza przepisy niniejszego Regulaminu oraz przepisy powszechnie obowiązujące niesprzeczne z objętymi konstytucyjnymi autonomią
      i niezależnością własnym prawem kościelnym oraz doktryną Kościoła;
    11. „szczególne kategorie danych osobowych” oznacza dane osobowe, o których mowa w art. 9 ust. 1 Rozporządzenia, w tym dotyczące przekonań religijnych;
    12. „struktura Kościoła” oznacza Kościół jako całość, wszystkie jego osoby prawne i inne jednostki organizacyjne nieposiadające osobowości prawnej;
    13. „kościelny adres poczty elektronicznej” oznacza adres poczty elektronicznej należący do kościelnej osoby prawnej lub innej jednostki organizacyjnej;
    14. „organ nadzorczy” lub „Kurator” lub „KODO” oznacza Kuratora Ochrony Danych Osobowych Kościoła Adwentystów Dnia Siódmego w Rzeczpospolitej Polskiej.

 

2

 

  1. Przetwarzając dane osobowe, Kościół jako całość oraz jego jednostki organizacyjne, w tym diecezje oraz inne kościelne osoby prawne, a także jednostki nie posiadające osobowości prawnej, w tym zbory są zobowiązane do przestrzegania przepisów prawa o ochronie danych osobowych, niesprzecznych z jego własnym prawem kościelnym oraz doktryną Kościoła, objętych konstytucyjnymi gwarancjami autonomii i niezależności Kościoła, w szczególności poprzez stosowanie się do przepisów niniejszego Regulaminu.
  2. Niezbędne do realizacji celów Kościoła jest przetwarzanie szczególnych kategorii danych osobowych dokonywane w ramach uprawnionej działalności, z zachowaniem odpowiednich zabezpieczeń, dotyczące wyłącznie:
    1. członków Kościoła;
    2. byłych członków Kościoła;
    3. osób utrzymujących stałe kontakty z Kościołem w związku z jego celami statutowymi,
      w szczególności osoby przygotowujące się do chrztu.
  3. Szczególnych kategorii danych dotyczących osób innych niż wskazane w ust. 2 nie można przetwarzać bez wyraźnej zgody tych osób.

 

Rozdział II

Przetwarzanie danych

3

Dane osobowe muszą być:

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);
  2. zbierane w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach
    i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami (ograniczenie celu);
  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych);
  4. prawidłowe i w razie potrzeby uaktualniane (prawidłowość);
  5. przechowywane zgodnie z wymogami własnego Prawa Kościelnego i przepisów powszechnie obowiązujących (ograniczenie przechowywania);
  6. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (ograniczenie przechowywania);
  7. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).
  8. przetwarzane w sposób umożliwiający określenie, czy prawo dotyczące ochrony danych osobowych jest przestrzegane (rozliczalność).

 

4

 

  1. Przetwarzanie danych osobowych jest możliwe tylko w stosunku do danej osoby wyłącznie wtedy, gdy spełniony jest co najmniej jeden z poniższych warunków:
    1. osoba, której dane dotyczą została przyjęta do Kościoła przez chrzest lub wyznanie wiary zgodnie z przepisami własnego Prawa Kościelnego;
    2. osoba utrzymuje stałe kontakty z Kościołem w związku z jego celami statutowymi,
      w szczególności osoba, która przystąpiła do czynności religijnych Kościoła tworzących stałą relację z Kościołem, w tym będąca świadkiem zawarcia małżeństwa lub nupturientem innego wyznania niż adwentystów dnia siódmego,
    3. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych;
    4. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    5. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
    6. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
    7. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    8. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
  2. Pozbawienie członkostwa Kościoła, w tym na własne życzenie członka Kościoła, dokonane zgodnie z przepisami własnego prawa kościelnego, nie pozbawia Kościoła prawa do przetwarzania danych takiej osoby, gdy jest to niezbędne do wykonywania celów statutowych, w szczególności poprzez przechowywanie danych w kartotekach zborowych czy diecezjalnych.
  3. Dane osobowe członków i byłych członków Kościoła, w zakresie w jakim jest to uzasadnione realizacją misji i funkcji statutowych Kościoła, mogą być przetwarzane bezterminowo i nie podlegają usunięciu na wniosek osoby, której dotyczą. W takim przypadku przetwarzanie ograniczone jest do przechowywania danych.

 

5

 

  1. Odpowiedzialność za prawidłowe przetwarzanie danych osobowych (osoby odpowiedzialne) ponosi z mocy niniejszego prawa:
    1. dla zboru – ordynowany pastor zboru;
    2. dla innych jednostek organizacyjnych Kościoła – podmiot wskazany w uchwale Zarządu Kościoła lub, w wypadku diecezjalnych jednostek organizacyjnych, uchwale zarządu diecezji lub komitetu zarządzającego decyzji, przy czym o takiej uchwale należy niezwłocznie poinformować organ nadzorczy.
  2. W zborach dostęp do danych osobowych mogą mieć także urzędnicy zborowi, w szczególności sekretarz, skarbnik zboru, starszy zboru, kierownik ewangelizacji, korespondent zborowy, w zakresie w jakim dostęp ten jest niezbędny do pełnienia przez nich ich funkcji zborowych. Rada zboru może mieć także dostęp do danych zawartych w uchwałach rady. W tym zakresie urzędnicy oraz rada zboru podlegają nadzorowi ordynowanego pastora zboru.
  3. Zabrania się ujawniania danych osobowych członka Kościoła bez jego zgody, poza przekazywaniem danych w ramach struktur Kościoła, w szczególności poprzez ich zamieszczanie na publicznie dostępnych tablicach informacyjnych, biuletynach informacyjnych dostępnych publicznie, publicznie dostępnych stronach internetowych lub poprzez ogłoszenia zborowe odczytywane w czasie nabożeństw otwartych.
  4. Przepis ust. 3 nie stosuje się, gdy ujawnienie danych osobowych, jest związane z wykonywaniem funkcji duchownego, ewangelisty, urzędnika zborowego czy pełnieniem urzędu lub funkcji pochodzących z wyboru we władzach Kościoła lub organach kościelnych osób prawnych lub w innych jednostkach organizacyjnych Kościoła z uwagi na to, że zgoda na objęcie danego urzędu lub funkcji jest tożsama z publicznym ich pełnieniem – w zakresie bezpośrednio związanym z taką przesłanką bądź wynikającym z utrwalonego zwyczaju kościelnego, o ile nie narusza to godności takiej osoby.
  5. Przepisu ust. 3 nie stosuje się także do:
    1. zapowiedzi małżeńskich – w zakresie imion i nazwisk nupturientów, ich dat i miejsc urodzenia, zawodu wyuczonego lub wykonywanego, imion rodziców, nazwiska panieńskiego matki, miejsca zamieszkania, wyznania oraz stanu cywilnego;
    2. ogłoszeń związanych z błogosławieniem dzieci, przyjęciem do Kościoła przez chrzest lub wyznanie wiary, pozbawieniem czy zawieszeniem członkostwa, przeniesieniem członkostwa poprzez list zborowy – w zakresie imienia i nazwiska.
  6. Nakłada się na administratora obowiązek poinformowania osób, o których mowa w ust. 5, o zamiarze ujawnienia takich danych.
  7. Zabrania się ujawniania danych objętych tajemnicą duszpasterską, jak również informacji naruszających godność osoby, której dane dotyczą.
  8. Wprowadzanie i aktualizowanie danych kontaktowych (adres korespondencyjny, poczta elektroniczna, numer telefonu) do ksiąg zborowych i innych zbiorów danych jest dopuszczalne tylko po potwierdzeniu tożsamości osoby.

Rozdział III

Prawa osoby, której dane są przetwarzane

6

 

  1. Jeżeli dane osobowe zbierane są od osoby, której te dane dotyczą, administrator zobowiązany jest do powiadomienia jej o przetwarzaniu, uwzględniając przy tym co najmniej poniższe informacje:
    1. nazwę administratora i dane kontaktowe;
    2. dane kontaktowe inspektora ochrony danych dla danego administratora, o ile został taki powołany za zgodą władzy przełożonej;
    3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
    4. możliwość przekazywania danych do innych administratorów w ramach struktur Kościoła lub innych administratorów, jeśli jest to planowane;
    5. okres, przez który dane osobowe będą przechowywane, przy czym co do zasady dla funkcji statutowych realizowanych wobec członków i byłych członków Kościoła oznacza to ich bezterminowe przechowywanie;
    6. prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania;
    7. prawo wniesienia skargi do organu nadzorczego;
    8. czy podanie danych osobowych jest wymogiem ustawowym lub wynika z własnego prawa kościelnego lub doktryny Kościoła lub stanowi warunek zawarcia umowy bądź czynności kościelnej oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
    9. dodatkowo, w przypadku, gdy do przetwarzania wymaga była zgoda danej osoby, informacje o prawie do cofnięcia zgody w dowolnym momencie.
  2. Zbór w celu wykonania obowiązku, o którym mowa w ust. 1, w wypadku, gdy zbieranie danych osobowych odbywa się w związku z wypełnianiem funkcji statutowych, może stosować wzór informacji zgodny Załącznikiem do niniejszego Regulaminu.
  3. Jeżeli dane zostały pozyskane inaczej niż od danej osoby, należy dodatkowo taką osobę poinformować o kategorii przetwarzanych danych osobowych oraz źródle uzyskania danych osobowych w terminie nie dłuższym niż jeden miesiąc.
  4. Obowiązek udzielenia informacji nie ma zastosowania, jeżeli:
    1. osoba, której dane dotyczą, dysponuje już tymi informacjami lub
    2. utrwalenie lub ujawnienie danych jest wyraźnie przewidziane prawem, lub
    3. poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
    4. dane objęte są tajemnicą zawodową przewidzianą w prawie, w tym obowiązkiem zachowania tajemnicy duszpasterskiej;
    5. przetwarzanie danych, w tym ich upublicznienie, jest związane z wykonywaniem funkcji duchownego, ewangelisty, urzędnika zborowego czy pełnieniem urzędu lub funkcji pochodzących z wyboru we władzach Kościoła lub organach kościelnych osób prawnych lub w innych jednostkach organizacyjnych Kościoła z uwagi na to, że zgoda na objęcie danego urzędu lub funkcji jest tożsama z publicznym ich pełnieniem.
  5. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności w wypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym, przy czym administrator zobowiązany jest podjąć odpowiednie środki ochrony danych.

 

7

 

  1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji o:
    1. celach przetwarzania;
    2. kategorii odnośnych danych osobowych;
    3. odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
    4. w miarę możliwości planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
    5. prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych przysługującym osobie, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
    6. prawie wniesienia skargi do organu nadzorczego;
    7. źródle zebrania danych osobowych, jeśli dane te nie zostały zebrane od osoby, której dotyczą.
  2. Na żądanie osoby, której dane dotyczą, administrator dostarcza jej kopię danych osobowych podlegających przetwarzaniu, w szczególności także poprzez sporządzenie wyciągu lub odpisu dokumentu, który zawiera dane takiej osoby, o ile nie naruszy to praw i wolności innych osób,
    w tym poprzez ujawnienie w ten sposób danych innych osób bądź tajemnicy zawodowej. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną, to, jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną, przy zachowaniu wymagań ust. 3.
  3. W wypadku, gdy odpowiedź na żądanie danej osoby bezpośrednio lub pośrednio ujawniałaby informacje dotyczące szczególnych kategorii danych osobowych, w szczególności przynależność wyznaniową, żądanie ze strony takiej osoby musi być:
    1. w wypadku oczekiwania informacji ustnej – spełnione tylko wobec danej osoby po jej identyfikacji na podstawie dokumentu tożsamości;
    2. w przypadku oczekiwania informacji pisemnej – spełnione tylko wobec danej osoby po jej identyfikacji na podstawie dokumentu tożsamości i za pisemnym potwierdzeniem odbioru informacji, bądź spełnione listem poleconym na adres korespondencyjny otrzymany od danej osoby przy zbieraniu lub aktualizowaniu danych osobowych, gdy była możliwa identyfikacja osoby w oparciu o dokument tożsamości;
    3. w przypadku oczekiwania informacji elektronicznej – spełnione przez przekazane
      z kościelnego adresu poczty elektronicznej na adres poczty elektronicznej otrzymany od danej osoby przy zbieraniu lub aktualizowaniu danych osobowych, gdy była możliwa identyfikacja osoby w oparciu o dokument tożsamości.
  4. Jeżeli dane osobowe są przekazywane do administratora w innym państwie znajdującym się poza o obszarem Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej, której Kościół jest członkiem, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach danych osobowych związanych z przekazaniem.

 

8

 

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w szczególności poprzez przedstawienie dodatkowego oświadczenia. Sprostowanie lub uzupełnienie może nastąpić poprzez adnotację, stanowiącą wówczas integralną część dokumentu lub zbioru, którego dotyczy.

 

9

 

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych („prawo do bycia zapomnianym”), a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
    1. dane osobowe nie są już niezbędne do celów, dla których zostały zebrane lub były w inny sposób przetwarzane;
    2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;
    3. osoba, której dane dotyczą, wniosła skuteczny w rozumieniu Rozporządzenia sprzeciw wobec przetwarzania;
    4. dane osobowe były przetwarzane niezgodnie z prawem;
    5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
  2. Prawo, o którym mowa w ust. 1, nie ma zastosowania w przypadku, gdy:
    1. dane zostały zebrane w związku z wypełnianymi funkcjami statutowymi, w szczególności gdy dotyczą czynności kościelnych dokonanych w stosunku do członków lub byłych członków Kościoła, lub osób pozostających z nim w stałych kontaktach;
    2. przetwarzanie jest niezbędne do korzystania z prawa do swobody wypowiedzi i wolności informacji, do wywiązania się z obowiązku prawnego lub do wykonania zadania realizowanego w interesie publicznym lub sprawowania władzy publicznej powierzonej administratorowi lub ustalenia, dochodzenia lub obrony roszczeń;
    3. dane wykorzystywane są do celów archiwalnych lub statystycznych, badań naukowych lub historycznych, o ile prawdopodobne jest, że prawo do zapomnienia uniemożliwi lub istotnie utrudni realizację takich celów.
  3. W wypadku określonym w ust. 2 pkt 1) przetwarzanie danych osobowych powinno zostać ograniczone do przechowywania danych, o ile nie naruszy to praw osób trzecich, interesu osoby, której dane dotyczą, lub doktryny Kościoła.

 

10

 

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania,
    z wyjątkiem przechowywania, w następujących wypadkach:

    1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi na sprawdzenie prawidłowość tych danych;
    2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
    3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
  2. Przepis § 9 ust. 2 i 3 stosuje się odpowiednio.

 

11

 

  1. W przypadku sprostowania, ograniczenia lub usunięcia danych, administrator jest zobowiązany powiadomić o tym administratorów danych, którym przekazał dane w ramach struktur Kościoła, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
  2. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
  3. Przepis ust. 2 nie ma zastosowania, jeżeli ta decyzja:
    1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą,
      a administratorem;
    2. jest dozwolona prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
    3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
  4. W wypadkach określonych w ust. 3 administrator powinien wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
  5. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na zgodzie osoby lub prawnie usprawiedliwionym interesie administratora. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

 

Rozdział IV

Zarządzanie ochroną danych

12

 

  1. Administrator ma obowiązek zapewnić odpowiednie środki organizacyjne i techniczne w celu ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  2. Na etapie projektowania oraz w trakcie procesów przetwarzania administrator powinien zastosować odpowiednie środki techniczne i organizacyjne, służące ochronie danych, a także pozwalające, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia celu przetwarzania.
  3. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty
    i jednoznaczny sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z prawa o ochronie danych osobowych.

 

13

 

  1. Administrator prowadzi w formie dokumentowej, w tym w formie elektronicznej, rejestr czynności przetwarzania danych osobowych, który obejmuje:
    1. nazwę administratora (lub współadministratorów) oraz jego dane kontaktowe, jak również inspektora ochrony danych, jeśli został powołany;
    2. cele przetwarzania;
    3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
    4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
    5. gdy ma to zastosowanie, informacje o zabezpieczeniach, w przypadku przekazywania danych osobowych poza obszar Europejskiego Obszaru Gospodarczego;
    6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
    7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
  2. Administrator ma obowiązek udostępnienia rejestru na żądanie organu nadzorczego.
  3. Obowiązek o którym mowa w ust. 1 nie dotyczy zborów.

 

14

 

  1. Administrator powinien powołać inspektora ochrony danych, jeżeli przetwarzaniu podlegają szczególne kategorie danych inne niż przekonania religijne lub wyznanie, w szczególności informacje na temat stanu zdrowia. W przypadku niepowołania inspektora ochrony danych w sytuacji określonej w niniejszym ustępie, obowiązki inspektora ochrony danych osobowych
    z dniem, w którym zaistniał obowiązek jego powołania, pełni z mocy prawa osoba odpowiedzialna za przetwarzanie danych w danej jednostce organizacyjnej Kościoła.
  2. Administrator może powołać inspektora ochrony danych osobowych także, gdy nie jest to wymagane przepisami prawa, za zgodą władzy przełożonej. Powierzenie funkcji inspektora danych osobie innej niż duchownemu, członkowi władz lub pracownikowi Kościoła, wymaga zgody władzy przełożonej.
  3. Administratorzy kościelni mogą powołać jednego wspólnego inspektora, o ile będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej, z którą jest związany.
  4. Dane inspektora administrator publikuje na swojej stronie internetowej oraz udostępnia w miejscu dostępnym dla osób, których dane są przetwarzane.
  5. W przypadku powołania lub odwołania inspektora ochrony danych administrator zawiadamia
    o tym fakcie organ nadzorczy z kościelnego adresu poczty elektronicznej w ciągu 7 dni roboczych na adres: kodo@adwent.pl.

 

15

 

  1. Inspektor ochrony danych powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
  1. Administrator oraz osoba odpowiedzialna wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
  2. Administrator zapewnia, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega osobie odpowiedzialnej, chyba że sam pełni funkcję osoby odpowiedzialnej.
  3. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących.
  4. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy, co do wykonywania swoich zadań.
  5. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, przy czym nie powinny one powodować konfliktu interesów.

 

16

 

  1. Do zadań inspektora danych osobowych należy w szczególności:
    1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa
      o ochronie danych osobowych i doradzanie im w tej sprawie;
    2. monitorowanie przestrzegania prawa o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego lub całego Kościoła w dziedzinie ochrony danych osobowych;
    3. współpraca z organem nadzorczym;
    4. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych
      z przetwarzaniem oraz w stosownych wypadkach prowadzenie konsultacji we wszelkich innych sprawach.
  2. Inspektor ochrony danych wypełnia swoje zadania z uwzględnieniem ryzyka związanego
    z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

 

17

 

Administrator, inspektor ochrony danych oraz osoby odpowiedzialne:

  1. współpracują z organem nadzorczym na jego żądanie w ramach wykonywania przez niego zadań własnych;
  2. są zobowiązane do przekazywania organowi nadzorczemu wszelkich informacji i wyjaśnień, nieobjętych tajemnicą rozmowy duszpasterskiej, o które zwróci się organ nadzoru w ramach swoich uprawnień – w ciągu 7 dni od otrzymania wezwania drogą korespondencyjną lub elektroniczną na swój kościelny adres poczty elektronicznej;
  3. udostępniają zbiory danych, dokumenty oraz pomieszczenia do kontroli przez organ nadzorczy – w ciągu 7 dni od otrzymania wezwania drogą korespondencyjną lub elektroniczną na swój kościelny adres poczty elektronicznej;
  4. stosują się do zaleceń oraz rozstrzygnięć organu nadzoru – niezwłocznie bądź we wskazanym przez organ nadzoru terminie.

 

18

 

  1. Przekazanie danych do innego kościelnego zbioru danych może nastąpić na wniosek osoby, której dane dotyczą, lub na wniosek administratora zbioru danych, w którym mają zostać użyte wnioskowane dane. Przekazanie, o którym mowa, może nastąpić poprzez dostarczenie bezpośrednie lub korespondencyjnie lub przy użyciu kościelnego adresu poczty elektronicznej.
  2. Przekazywanie danych osobowych przez kościelnych administratorów innym podmiotom może nastąpić w wypadku, gdy:
    1. jest to niezbędne dla wykonania zdań określonych w przepisach prawa lub
    2. osoba, której dane dotyczą została o tym poinformowana i uprzednio wyraziła zgodę na przekazane danych;
    3. przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której dane dotyczą lub w interesie której dane miałyby zostać przekazane;
    4. przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
    5. dla celów badawczych, w tym historycznych lub statystycznych;
    6. w zakresie archiwizacji wymaganej przepisami prawa.

 

19

 

  1. W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z prawem administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane
    z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
  2. Gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym rozporządzeniem. Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy uzyskać opinię organu nadzoru.
  3. Zbiory danych osobowych przechowywane papierowo, sprzęt komputerowy oraz nośniki danych zawierające dane osobowe powinny być przechowywane w pomieszczeniach zamkniętych wyposażonych w wystarczającą ochronę przed kradzieżą i włamaniem, a w przypadku gdy do danego pomieszczenia ma dostęp choćby jedna osoba nieupoważniona do przetwarzania danych – dodatkowo w szafach zamykanych. Klucze do takiego pomieszczenia powinny być przechowywane z odpowiednią starannością, a przebywanie osób trzecich, jeśli jest konieczne, powinno następować pod stałą kontrolą osoby upoważnionej do przetwarzania danych lub osoby odpowiedzialnej za nią.

 

20

 

  1. W wypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu oraz swojej władzy przełożonej, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu lub swojej władzy przełożonej po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
    1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i szacunkową liczbę osób, których dane dotyczą, oraz kategorie
      i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub oznaczenie innej osoby do kontaktu, od której można uzyskać więcej informacji;
    3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych wypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  3. Jeżeli wszystkich informacji nie da się udzielić od razu, można ich udzielać sukcesywnie.
  4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
  5. Obowiązek o którym mowa w ust. 4 nie dotyczy zborów. W tym zakresie rejestr naruszeń w zborach prowadzi sekretarz diecezji właściwej dla zboru, na podstawie zgłoszeń dokonanych przez zbór.
  6. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia jasnym i prostym językiem osobę, której dane dotyczą, o takim naruszeniu.
  7. Z obowiązku, określonego w ust. 5, administrator jest zwolniony, jeśli:
    1. wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; lub
    2. zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
    3. wymagałoby to nadmiernego wysiłku, wówczas zobowiązany jest do wydania publicznego komunikatu lub zastosowanie podobnego środka, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  

Rozdział V

Organ nadzoru i rozpatrywanie skarg

21

 

  1. Każda osoba, której dane dotyczą, ma prawo zwrócić się do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy o ochronie danych osobowych (skarga).
  2. Niezależnym organem nadzorczym w zakresie przetwarzania danych, o którym mowa w art. 91 ust. 2 Rozporządzenia, jest Kurator Ochrony Danych Osobowych Kościoła Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej.
  3. Rozstrzyganie w sprawach dotyczących ochrony danych osobowych w części objętej konstytucyjnymi gwarancjami autonomii i niezależności Kościoła, nie podlega jurysdykcji innych organów niż Kurator.
  4. Jeżeli żądanie skarżącego jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, organ nadzorczy może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić podjęcia żądanych działań.

 

22

 

  1. Kuratora powołuje Rada Kościoła na 5-letnią kadencję z możliwością ponownego wyboru.
  2. Kandydat na Kuratora musi spełniać następujące warunki:
    1. posiadać wykształcenie wyższe prawnicze, administracyjne lub w zakresie bezpieczeństwa informacji, bądź inne wykształcenie wyższe i doświadczenie zawodowe w zakresie ochrony danych osobowych;
    2. posiadać wiedzę w zakresie teologii i organizacji Kościoła w stopniu wystarczającym do realizacji obowiązków;
    3. być osobą niekaraną wyrokiem sądu powszechnego;
    4. wyrazić zgodę na kandydowanie i objęcie tego urzędu.
  3. W celu zapewnienia niezależności Kurator w okresie pełnienia urzędu nie może:
    1. pozostawać członkiem Rady Kościoła;
    2. świadczyć na rzecz Kościoła lub jego osób prawnych pracy w ramach stosunku pracy czy służby w ramach stosunku służby kościelnej;
    3. podejmować działalności sprzecznej z pełnionym urzędem.
  4. Wraz ze zgodą na kandydowanie i objęcie tego urzędu kandydat przedstawia Zarządowi Kościoła pisemne oświadczenie o spełnianiu warunków, o których mowa w ust. 1.
  5. Kurator może zostać odwołany przed upływem kadencji tylko uchwałą Rady Kościoła w wypadku, gdy dopuścił się poważnego uchybienia swoich obowiązków lub przestał spełniać warunki wskazane w ust. 2 lub 3. W przypadku niecierpiącym zwłoki uchwała taka może być podjęta przez Zarząd Kościoła, przy czym brak jej zatwierdzenia przez Radę Kościoła na najbliższym posiedzeniu Rady czyni taka uchwałę nieskuteczną. W okresie do jej zatwierdzenia lub utraty skuteczności obowiązki Kuratora pełni powołany przez Zarząd Kościoła tymczasowy zastępca Kuratora.
  6. Kurator może złożyć rezygnację z pełnionego urzędu, która uzyskuje skuteczność wraz
    z potwierdzeniem jej przyjęcia w formie uchwały przez Radę Kościoła.
  7. Kurator podejmuje swoje obowiązki z dniem powołania na urząd i od tego dnia liczy się początek biegu jego kadencji.
  8. W przypadku niemożności powołania Kuratora lub wykonywania przez niego obowiązków Rada Kościoła powołuje tymczasowego zastępcę Kuratora do pełnienia tej funkcji do najbliższego posiedzenia Rady, na którym będzie możliwe powołanie Kuratora, jednak nie dłużej niż przez rok.

 

23

 

Obsługę administracyjną prac Kuratora prowadzi Kancelaria Zarządu Kościoła.

 

24

 

  1. Skarga do organu nadzorczego może być składana elektronicznie na adres kodo@adwent.pl lub pisemnie na adres organu (Kurator Ochrony Danych Osobowych Kościoła Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej przy ul. Foksal 8 w Warszawie) – bez wymogu zachowania drogi służbowej.
  2. Po otrzymaniu skargi Kurator może zwrócić się do skarżącego o uzupełnienie skargi lub dodatkowe wyjaśnienia, niezbędne do rozpoczęcia postępowania w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych bądź rozstrzygnięcia w takiej sprawie.
  3. Kurator wszczyna postępowanie w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych z urzędu lub na podstawie skargi, o ile nie jest ona w sposób oczywisty bezpodstawna. O oczywistej bezpodstawności skargi Kurator informuje skarżącego w formie postanowienia
    w ciągu 14 dni od daty jej wniesienia. Skarżący może wnieść do niej wniosek o ponowne rozpatrzenie skargi w ciągu 30 dni od daty doręczenia mu postanowienia Kuratora.
  4. W toku postępowania w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych Kurator zapoznaje się z materiałem dowodowym, skargą i wyjaśnieniami skarżącego oraz stanowiskiem administratora danych.
  5. Rozpatrywanie skargi powinno nastąpić w ciągu jednego miesiąca od daty jej wniesienia, a jeżeli sprawa jest skomplikowana – dwa miesiące. W wyjątkowych sytuacjach Kurator może wydłużyć rozpatrywanie skargi.
  6. Postępowanie w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych kończy się rozstrzygnięciem o stwierdzeniu bądź nie naruszenia zasad ochrony danych osobowych,
    a w pierwszym przypadku dodatkowo:

    1. zobowiązaniu administratora do określonego działania;
    2. skierowaniem wniosku do Konsystorza o wszczęcie postępowania dyscyplinarnego.
  7. Od rozstrzygnięcia Kuratora nie przysługuje odwołanie, ale możliwe jest ponowne rozpatrzenie sprawy przez Kuratora na wniosek skarżącego lub administratora albo z urzędu.
  8. W przypadku konfliktu interesów Kurator wyłącza się z rozpatrywania danej sprawy na wniosek uczestnika postępowania lub z urzędu. W danej sprawie zastępuje go osoba wskazana przez Zarząd Kościoła jako tymczasowy zastępca Kuratora.

 

25

 

  1. Kurator podczas wypełniania swoich zadań i wykonywania swoich uprawnień działa w sposób
    w pełni niezależny.
  2. Kurator podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie
    z niniejszym Regulaminem pozostaje wolny od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.
  3. Kurator ma obowiązek zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wypełniania zadań lub wykonywania swoich uprawnień.
  4. Kuratorowi z tytułu wykonywania jego obowiązków należy się wynagrodzenie oraz zwrot uzasadnionych kosztów ich wykonywania.

 

26

 

Kurator wykonuje następujące zadania:

  1. monitoruje i egzekwuje stosowanie prawa o ochronie danych osobowych;
  2. upowszechnia w Kościele wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk;
  3. doradza władzom Kościoła w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem, jak również może przedkładać ich projekty Radzie Kościoła i Zarządowi Kościoła;
  4. upowszechnia wśród administratorów danych wiedzę o obowiązkach spoczywających na nich na mocy prawa o ochronie danych osobowych;
  5. udziela osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących im na mocy prawa o ochronie danych osobowych;
  6. rozpatruje skargi wniesione przez osobę, której dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem;
  7. prowadzi postępowania w sprawie stosowania prawa o ochronie danych osobowych, w tym na podstawie informacji otrzymanych od innego organu;
  8. monitoruje zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności monitoruje rozwój technologii informacyjno-komunikacyjnych;
  9. prowadzi wewnętrzny rejestr naruszeń prawa o ochronie danych osobowych;
  10. wypełnia inne zadania związane z ochroną danych osobowych, w tym wydaje zalecenia dla administratorów i władz kościelnych.

 

27

 

Kuratorowi przysługują następujące uprawnienia:

  1. nakazanie właściwej władzy przełożonej, administratorowi lub osobie odpowiedzialnej dostarczenia wszelkich informacji, nieobjętych tajemnicą spowiedzi lub tajemnicą rozmowy duszpasterskiej, potrzebnych organowi nadzorczemu do realizacji swoich zadań;
  2. zawiadamianie właściwej władzy przełożonej, administratora lub osoby odpowiedzialnej
    o podejrzeniu naruszenia prawa o ochronie danych osobowych;
  3. uzyskiwanie od administratora lub osoby odpowiedzialnej dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań;
  4. uzyskiwanie dostępu do wszystkich pomieszczeń administratora, w tym do sprzętu i środków służących do przetwarzania danych;
  5. wydawanie ostrzeżeń administratorowi lub osobie odpowiedzialnej dotyczących możliwości naruszenia przepisów poprzez planowane operacje przetwarzania;
  6. udzielanie upomnień administratorowi lub osobie odpowiedzialnej w przypadku naruszenia przepisów przez operacje przetwarzania;
  7. nakazanie administratorowi lub osobie odpowiedzialnej spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy prawa o ochronie danych osobowych;
  8. nakazanie administratorowi lub osobie odpowiedzialnej dostosowania operacji przetwarzania do przepisów prawa o ochronie danych osobowych, a w stosownych przypadkach wskazanie sposobu i terminu;
  9. nakazanie administratorowi lub osobie odpowiedzialnej zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  10. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
  11. nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  12. kierowanie wniosku o rozpoczęcie procedury dyscyplinarnej do odpowiedniej władzy przełożonej zgodnie z obowiązującymi przepisami;
  13. wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla władz kościelnych we wszelkich sprawach związanych z ochroną danych osobowych.

 

28

 

Kurator sporządza roczne sprawozdanie ze swojej działalności i przedstawia je Radzie Kościoła na jej wiosennym posiedzeniu.

 

29

 

  1. Administrator jest zobowiązany uzyskać opinię organu nadzorczego przed rozpoczęciem operacji polegających na przekazaniu danych poza granicę Europejskiego Obszaru Gospodarczego (przetwarzanie transgraniczne), prowadzeniu procesów zautomatyzowanego podejmowania decyzji w oparciu o profilowanie, jak również w sytuacji, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  2. Wraz z wnioskiem o wydanie opinii, o której mowa w ust. 1, administrator przedkłada organowi nadzorczemu własną ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz informację o planowanych zabezpieczeniach wraz ze stanem ich przygotowania.
  3. W przypadku negatywnej opinii organu nadzorczego względem planowanych operacji przetwarzania, administrator może je podjąć dopiero po uzyskaniu zgody Zarządu Kościoła.
  4. Wydana opinia nie wiąże organu nadzorczego w rozstrzyganiu skarg osób, których dane są przetwarzane.

 

30

 

  1. W przypadku stwierdzenia naruszenia prawa o ochronie danych osobowych, mogącego stanowić wykroczenie dyscyplinarne, organ nadzorczy zawiadamia Zarząd Kościoła.
  2. Od decyzji organu nadzoru, o której mowa w ust. 1, nie przysługuje odwołanie.
  3. W razie prawomocnego zakończenia postępowania dyscyplinarnego lub innego postępowania, właściwy organ powiadamia organ nadzoru o treści rozstrzygnięcia.

 

Rozdział VI

Przepisy przejściowe i końcowe

31

 

Niniejszy Regulamin wchodzi w życie z po upływie od dnia jego uchwalenia.

  1. W zakresie nieuregulowanym należy odpowiednio stosować przepisy Rozporządzenia.
  2. Promulgacja niniejszego Regulaminu następuje z dniem jego przyjęcia na stronach internetowych Kościoła.

– – – – – – – – – – – – – – – – – – – – – – – 

Powyższy Regulamin został przyjęty uchwałą Zarządu Kościoła z dnia 8 maja 2018 r. nr ZK 400/XLV/2018, podjętą na podstawie upoważnienia zawartego w uchwale Rady Kościoła z dnia 18 marca 2018 r. nr RK 441/XXXI/2018, a następnie został znowelizowany uchwałą Zarządu Kościoła z dnia 10 grudnia 2018 r. nr ZK 56/VI/2018, podjętą na podstawie upoważnienia zawartego w uchwale Rady Kościoła z dnia 9 grudnia 2018 r. nr RK 62/III/2018.