Dekret ogólny Konferencji Episkopatu Polski

3 stycznia 2018

W dniu 13 marca 2018 roku Konferencja Episkopatu Polski wydała Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim. Dekret został wydany celem dostosowania zasad ochrony danych osobowych w Kościele katolickim do obowiązujących - od 25 maja 2018 roku - przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. W Kościele zebranych jest wiele danych osobowych wiernych, które wymagają szczególnej ochrony i dlatego Kościół katolicki wprowadzając dekret spełnił wymogi unijne dotyczące ochrony danych osobowych. Wynikające z dekretu zasady obowiązują również w naszej Parafii.

Przypomnieć należy, że dane osobowe oznaczają informacje o konkretnej osobie, zidentyfikowanej lub możliwej do identyfikacji poprzez jej imię i nazwisko, używany numer identyfikacyjny, dane o miejscu zamieszkania lub przebywania, identyfikator internetowy (adres, numer IP), a także jeden lub więcej czynników określających jej tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną. Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne oraz dotyczące zdrowia i seksualności osoby fizycznej są danymi wrażliwymi.

Przetwarzanie danych osobowych oznacza takie operacje (czynności) lub ich zestaw, które są wykonywane na danych osobowych automatycznie lub w inny sposób, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnienie albo udostępnienie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie albo ich niszczenie.

Zbiory danych gromadzone w Kościele katolickim tworzą w szczególności: księgi parafialne zawierające rejestr ochrzczonych, bierzmowanych, Pierwszej Komunii świętej, zawartych małżeństw, zgonów, ale także rejestry parafian, alumnów seminarium duchownego, nowicjuszy i członków instytutów życia konsekrowanego oraz stowarzyszeń życia apostolskiego.

Administratorem danych osobowych zgromadzonych w Parafii jest Parafia działająca przez swój organ, jakim jest ksiądz Proboszcz.

Każdy człowiek, którego dotyczą zgromadzone dane osobowe winien wyrazić zgodę na posiadanie przez administratora (Parafię) jego danych. Zgoda taka powinna być dobrowolna, konkretna, świadoma i jednoznaczna, wyrażona w formie oświadczenia lub innego zachowania potwierdzającego oraz przyzwalającego na przetwarzanie danych takiej osoby.

Zgromadzone w Parafii dane osobowe winny być:

przetwarzane zgodnie z prawem, rzetelnie oraz w sposób przejrzysty (jasny) dla osoby, której dotyczą,

zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, ale także nieprzetwarzane dalej w sposób niezgodny z tymi celami; za zgodne z celami uznaje się dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych,

adekwatne i stosowne (odpowiadające potrzebom) oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

prawidłowe (poprawne, zgodne ze stanem faktycznym) uaktualniane w razie potrzeby; nieprawidłowe w świetle celów ich przetwarzania dane osobowe winny być niezwłocznie usunięte lub sprostowane,

przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, do celów badań naukowych lub historycznych albo do celów statystycznych, pod warunkiem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą,

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Osobą odpowiedzialną za przestrzeganie powyższych zasad jest administrator. To właśnie on powinien być w stanie wykazać ich przestrzeganie. Musi czuwać nad prawidłowym zachowaniem przedmiotowych norm kanonicznych. Administrator musi być także koordynatorem działalności współpracowników.

W Parafii przetwarzanie danych jest dopuszczalne po spełnieniu następujących warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w określonym celu lub określonych celach,

2. przetwarzanie jest niezbędne dla wykonania umowy, której strona jest osoba, której dane dotyczą, albo wymagają tego działania podjęte na żądanie takiej osoby przed zawarciem umowy,

3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych zgodnie z przepisami prawa kanonicznego lub świeckiego,

4. przetwarzanie jest konieczne dla ochrony żywotnych interesów osoby, której dane dotyczą albo inne osoby fizycznej,

5.. przetwarzanie jest konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach władzy publicznej powierzonej administratorowi (Parafii),

6. przetwarzanie jest niezbędne do celów niezbędnych, które wynikają z prawnie uzasadnionych interesów realizowanych przez Parafię lub stronę trzecią, za wyjątkiem sytuacji gdy ważniejsze od tych interesów są interesy, podstawowe prawa oraz wolności osoby, której dane dotyczą, wymagające ich ochrony zwłaszcza w przypadku, gdy tymi osobami są dzieci.

Przetwarzanie przez Parafię danych wrażliwych jest dopuszczalne wyłącznie w stosunku do osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci i są członkami Kościoła, razem z tymi, którzy formalnie złożyli oświadczenie woli o wystąpieniu z Kościoła katolickiego (uznanymi według przepisów wewnętrznych Kościoła za byłych członków, a także osób, które z Kościołem utrzymują stały kontakt w związku z realizacją Jego celów w ramach uprawnionej działalności z zachowaniem właściwych zabezpieczeń. Dane te nie są ujawniane poza Kościołem bez zgody osób, których one dotyczą.

W przypadku Parafii informacja o zbieraniu i przetwarzaniu danych od osoby, której dane dotyczą jest ogłoszona na tablicach ogłoszeń oraz w kancelarii parafialnej. Zawiera ona również dane identyfikujące Parafię i sposób kontaktu, wskazanie celów przetwarzania danych, podstawę prawną przetwarzania, informację o odbiorcach oraz zamiarze przekazania danych do publicznej kościelnej osoby prawnej mającej siedzibę poza granicami Polski. Informacja ta zawiera wskazówki odnośnie, co do okresu przetwarzania danych, prawie żądania dostępu do zgromadzonych danych, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, a także prawie do wniesienia skargi do Kościelnego Inspektora Ochrony Danych, którym jest ks. dr hab. Piotr Kroczek, profesor Uniwersytetu Papieskiego Jana Pawła II z diecezji bielsko-żywieckiej.

Z praktycznych zagadnień warto zauważyć, że w świetle obowiązujących przepisów wolno podawać do wiadomości informacje:

zawierające dane osobowe, które wynikają wprost z obowiązku kanonicznego, np. zapowiedzi przedślubne w postaci imion i nazwisk oraz parafii zamieszkania narzeczonych, a także sądowe wezwanie edyktalne w celu ustalenia miejsca przebywania osoby, która jest stroną w procesie kanonicznym,

które, zgodnie z miejscowym zwyczajem są podawane do publicznej wiadomości, jak np. wykaz intencji mszalnych, informacje o osobach ochrzczonych, osobach, które zawarły kanoniczny związek małżeński, osobach zmarłych, darczyńcach na rzecz parafii, z tym że osoby te lub ich przedstawiciele ustawowi mogą zastrzec prawo do niepublikowania tychże danych,

zawierające dane dotyczące udziału osób w zdarzeniach posiadających publiczny charakter, np. uczestników uroczystości kościelnych,

fotografie, które stanowią relację ze zdarzenia o charakterze publicznym, a także fotografie osób sprawujących funkcje publiczne,

dopuszczalne jest stosowanie monitoringu wizyjnego w celach ochrony obiektów parafialnych, ale ich przetwarzanie jest możliwe tylko i wyłącznie w celu ochrony prawnie uzasadnionych interesów realizowanych przez Parafię lub stronę trzecią, za wyjątkiem sytuacji, gdy ważniejsze od tych interesów są interesy, podstawowe prawa oraz wolności osoby, której dane dotyczą, wymagające ich ochrony zwłaszcza w przypadku, gdy tymi osobami są dzieci.

Wizerunki (i inne dane) osób prywatnych mogą być publikowane wyłącznie za ich wyraźną zgodą, a w przypadku osób małoletnich za zgodą ich przedstawicieli ustawowych.