Zasady przetwarzania danych osobowych w Kościele – RODO 2018

W dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r. wydany został przez Konferencję Episkopatu Polski Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim (dalej: dekret).

Dekret, o którym mowa powyżej został wydany w celu dostosowania zasad ochrony danych osobowych w Kościele katolickim do RODO. RODO zaczyna obowiązywać już 25 maja 2018 r. W Kościele zebranych jest wiele danych osobowych wiernych, które wymagają szczególnej ochrony. To właśnie dlatego Kościół katolicki tworząc dekret spełnił wymogi unijne dotyczące ochrony danych osobowych.

W niniejszym artykule omówiono standardy przetwarzania danych osobowych. Zostały one ujęte w art. 6 dekretu. Zgodnie z nim dane osobowe powinny być:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą;
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, do celów badań naukowych lub historycznych albo do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Osobą odpowiedzialną za przestrzeganie powyższych zasad jest administrator. To właśnie on powinien być w stanie wykazać ich przestrzeganie. Musi czuwać nad prawidłowym zachowaniem przedmiotowych norm kanonicznych. Administrator musi być także koordynatorem działalności współpracowników.

Jak widać z powyższego art. 6 dekretu jest bardzo mocno inspirowany art. 5 RODO określającym zasady ochrony danych osobowych.

Zgodnie z art.5 RODO dane osobowe muszą być:

• przetwarzane zgodnie z prawem, rzetelnie i przejrzyste;
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
• prawidłowe i w razie potrzeby uaktualniane;
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Opracowano na podstawie:

Art. 6 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim