Regulamin

Ochrony Danych Osobowych

Kościoła Bożego w Polsce


uchwalony dnia 8 listopada 2019 r.

 

Akt prawa wewnętrznego dotyczącego szczegółowych zasad przetwarzania i ochrony danych osobowych w Kościele Bożym w Polsce


Preambuła

 

Dnia 25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej – „Rozporządzeniem”). Parlament Europejski i Rada UE uznała, że w celu realizacji i gwarancji prawa do prywatności, ochrony danych oraz podstawowych wolności człowieka na terenie UE konieczne jest określenie stabilnych i spójnych przepisów ochrony danych osobowych. Powyższe rozporządzenie znajduje również zastosowanie do kościołów oraz innych związków wyznaniowych nakładając na nie określone obowiązki.

Art. 91 ust. 1 Rozporządzenia stanowi jednak, iż „jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia”.

Kościół Boży w Polsce, uwzględniając, iż posiada prawo do korzystania z autonomii oraz niezależności gwarantowanej w szczególności przez art. 25 ust. 5 i art. 53 ust. 7 Konstytucji Rzeczypospolitej Polskiej oraz art. 11 Ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania, jak również zgodnie z art. 91 ust. 1 Rozporządzenia, będzie regulował oraz realizował dostosowane równolegle do Rozporządzenia swoje własne szczegółowe zasady przetwarzania danych osobowych. 

Kościół Boży w Polsce w procesie uzupełniania oraz dostosowywania szczegółowych zasad przetwarzania danych osobowych określonych przez dotychczasowe własne prawo wewnętrzne w oparciu o Porozumienie w sprawie wspólnego międzykościelnego organu nadzoru w zakresie ochrony danych osobowych z dnia 6 czerwca 2019 r. (zwane dalej „Porozumieniem”) porozumiał się z ośmioma innymi Kościołami w celu opracowania i ustanowienia wspólnych dla wszystkich Stron Porozumienia ujednoliconych zasad i standardów przetwarzania danych dostosowanych do przepisów Rozporządzenia oraz specyfiki działalności Kościołów. 

Powołując się również na art. 91 ust. 2 Ogólnego rozporządzenia o ochronie danych osobowych oraz realizując zapisy Porozumienia, Kościół Boży w Polsce będzie podlegał nadzorowi niezależnego organu nadzorczego zwanego Międzykościelną Komisją Ochrony Danych Osobowych (zwany dalej „MKODO”).

Poniższy regulamin stanowi wyraz troski i poszanowania dla wszystkich osób, których dane osobowe są przetwarzane przez kościelnych administratorów danych. Ustanawia on zasady, których zadaniem jest zapewnienie przestrzegania podczas przetwarzania danych praw i wolności osób fizycznych, a w szczególności ich prawa do ochrony danych osobowych oraz procedury dochodzenia tych że praw.

Regulamin obowiązuje wszystkich administratorów danych w Kościele Bożym w Polsce.

 

Rozdział I

Przepisy ogólne
 

§ 1

Przedmiot i cele 

  1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

  2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. 

 

§ 2

Materialny zakres stosowania

 

  1. Kościół Boży w Polsce (zwany dalej „Kościołem”) przetwarza dane osobowe w związku z realizacją zadań oraz celów statutowych, korzystając z autonomii oraz niezależności gwarantowanej w szczególności przez art. 25 ust. 5 i art. 53 ust. 7 Konstytucji Rzeczypospolitej Polskiej oraz art. 11 Ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania.

  2. Przetwarzanie danych osobowych przez Kościół jako całość oraz jego osoby prawne (zwane dalej „kościelnymi administratorami”), w tym szczególnych kategorii danych osobowych określonych w obowiązujących przepisach prawa, w szczególności dotyczących przekonań religijnych, jest niezbędne do realizacji zadań oraz celów statutowych.

  3. Niezbędne do realizacji zadań oraz celów statutowych Kościoła jest przetwarzanie szczególnych kategorii danych osobowych dokonywane w ramach uprawnionej działalności, z zachowaniem odpowiednich zabezpieczeń, dotyczące tylko obecnych i byłych członków Kościoła oraz osób utrzymujących stałe kontakty z Kościołem w związku z jego celami statutowymi.

  4. Szczególnych kategorii danych dotyczących osób innych niż wskazane w ust. 3 nie można przetwarzać bez wyraźnej zgody tych osób.

  5. Kościelni administratorzy przestrzegają powszechnie obowiązujących przepisów prawa niesprzecznych z własnym prawem wewnętrznym oraz doktryną Kościoła zgodnie z konstytucyjnie gwarantowaną autonomią i niezależnością.

  6. Niniejszy Regulamin stosuje się do wszelkich operacji przetwarzania danych osobowych przez wszystkich kościelnych administratorów, z wyjątkiem operacji przetwarzania związanych z prowadzeniem przez nich działalności gospodarczej lub innej wykraczającej poza zadania statutowe.

 

§ 3

Definicje

 

Na użytek niniejszego Regulaminu:

  1. “dane osobowe” – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  2. “przetwarzanie” – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  3. „czynności przetwarzania” – operacje, procesy wykonywane na danych, które łączy realizacja tego samego celu przetwarzania;

  4. “zbiór danych” – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  5. “kościelny administrator – administrator” – oznacza jednostkę organizacyjną Kościoła, (Kościół jako całość, Kościoły lokalne, Agendy, inne podmioty posiadające osobowość prawną), która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

  6. “podmiot przetwarzający” – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

  7. „zgoda” osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych;

  8. „naruszenie ochrony danych osobowych” – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

  9. „incydent bezpieczeństwa” – jest zdarzeniem, którego bezpośrednim lub pośrednim skutkiem jest lub może być naruszenie ochrony danych osobowych;

  10. „Rozporządzenie” – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

  11. „prawo o ochronie danych osobowych” – oznacza przepisy niniejszego Regulaminu oraz przepisy powszechnie obowiązujące;

  12. „szczególne kategorie danych osobowych” – oznacza dane osobowe, o których mowa w art. 9 ust. 1 Rozporządzenia, w tym dotyczące przekonań religijnych;

  13. „KIOD lub Inspektor” – oznacza Kościelnego Inspektora Ochrony Danych;

  14. „Zespół KIOD” – oznacza zespół Kościelnych Inspektorów danych działających w ramach struktury Kościoła;

  15. „KODO” – oznacza komisje ochrony danych osobowych, powołane zgodnie z prawem wewnętrznym Kościoła;

  16. „odbiorca danych” – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; 

  17. „strona trzecia” – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

  18. „MKODO” – Międzykościelna Komisja Ochrony Danych Osobowych – niezależny organ nadzorczy Kościołów ustanowiony na podstawie Porozumienia z dnia 22 maja 2019 r. w trybie art. 91 ust. 2 Rozporządzenia;

  19. „personel administratora” – osoby dopuszczone do przetwarzania danych na podstawie specjalnego upoważnienia spośród personelu administratora (pracownicy, wolontariusze, duchowni Kościoła);

  20. „członek Kościoła” – osoba fizyczna, która zgodnie z prawem wewnętrznym Kościoła stała się jego członkiem; 

  21. „sympatyk Kościoła” – osoba nie będąca członkiem Kościoła, ale utrzymujących z nim stałe kontakty w związku z jego celami statutowymi;

  22. „Porozumienie” – oznacza Porozumienie w sprawie wspólnego międzykościelnego organu nadzoru w zakresie ochrony danych osobowych z dnia 6 czerwca 2019 r.


Rozdział II

Zasady  

§ 4

 Ogólne zasady przetwarzania danych

 

  1. Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (“zgodność z prawem, rzetelność i przejrzystość”);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami  (“ograniczenie celu”);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (“minimalizacja danych”);

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (“prawidłowość”);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (“ograniczenie przechowywania”);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (“integralność i poufność”).

  1. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (“rozliczalność”).

 

§ 5

Zgodność przetwarzania z prawem

 

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

    1. osoba, której dane dotyczą, jest lub była członkiem Kościoła zgodnie z prawem wewnętrznym Kościoła;

    2. osoba, której dane dotyczą, utrzymuje stałe kontakty z Kościołem w związku z jego celami statutowymi;

    3. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów bądź też uczynił to przynajmniej jeden z opiekunów prawnych;

    4. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

    5. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

    6. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

    7. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

    8. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

  2. Pozbawienie członkostwa Kościoła, w tym na własne życzenie członka Kościoła, dokonane zgodnie z prawem wewnętrznym Kościoła, nie pozbawia Kościoła prawa do przetwarzania danych takiej osoby, gdy jest to niezbędne do wykonywania celów statutowych, w szczególności poprzez przechowywanie danych w kościelnych kartotekach osobowych.

  3. Dane osobowe członków i byłych członków Kościoła, w zakresie w jakim jest to uzasadnione realizacją misji i zadań statutowych Kościoła, mogą być przetwarzane bezterminowo i nie podlegają usunięciu na wniosek osoby, której dotyczą. 

 

§ 6

Warunki wyrażenia zgody

 

  1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

  2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.

  3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

  4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Rozdział III

Prawa osoby, której dane dotyczą

 

§ 7

Informacje oraz dostęp do danych

 

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

  1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

  1. nazwa i adres administratora oraz dane kontaktowe;

  2. dane kontaktowe Zespołu KIOD;

  3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

  4. jeżeli przetwarzanie odbywa się na podstawie § 5 ust. 1 lit. h) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego.

  1. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  3. jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  4. informacje o prawie wniesienia skargi do organu nadzorczego;

  5. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem wynikającym z prawa wewnętrznego lub doktryny Kościoła lub stanowi warunek czynności religijnej oraz gdy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; 

  1. Jeżeli dane zostały pozyskane inaczej niż od osoby, której dane dotyczą, należy dodatkowo taką osobę poinformować o kategorii przetwarzanych danych osobowych oraz źródle uzyskania danych osobowych w terminie nie dłuższym niż jeden miesiąc.

  2. Obowiązek udzielenia informacji nie ma zastosowania, jeżeli:

  1. osoba, której dane dotyczą, dysponuje już tymi informacjami lub

  2. utrwalenie lub ujawnienie danych jest wyraźnie przewidziane prawem lub

  3. poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;

  4. dane objęte są tajemnicą zawodową przewidzianą w prawie, w tym obowiązkiem zachowania „tajemnicy spowiedzi” lub rozmowy duszpasterskiej; 

  5. przetwarzanie danych, w tym ich upublicznienie, jest związane z wykonywaniem urzędu duchownego lub ubieganiem się o niego, pełnieniem urzędu lub funkcji pochodzących z wyboru we władzach Kościoła jako całości lub jego jednostek organizacyjnych z uwagi na to, że zgoda na objęcie danego urzędu lub funkcji jest tożsama z publicznym ich pełnieniem.

  1. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności w wypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym, przy czym administrator zobowiązany jest podjąć odpowiednie środki ochrony danych.

  2. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  1. cele przetwarzania;

  2. kategorie odnośnych danych osobowych;

  3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;

  4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

  6. informacje o prawie wniesienia skargi do organu nadzorczego tj. MKODO;

  7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle.

  1. Na zgłoszone żądanie Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu, w szczególności także poprzez sporządzenie wyciągu lub odpisu dokumentu, który zawiera dane takiej osoby, o ile nie naruszy praw i wolności innych osób, w tym poprzez ujawnienie w ten sposób danych innych osób bądź tajemnicy duszpasterskiej i zawodowej.

  2. Jeżeli dane osobowe są przekazywane do administratora w innym państwie lub organizacji międzynarodowej, której związek wyznaniowy jest członkiem, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach danych osobowych związanych z przekazaniem.

 

§ 8

Prawo do sprostowania danych

 

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

 

§ 9

Prawo do usunięcia danych (“prawo do bycia zapomnianym”)

 

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

  3. osoba, której dane dotyczą, wniosła skuteczny w rozumieniu Rozporządzenia sprzeciw wobec przetwarzania;

  4. dane osobowe były przetwarzane niezgodnie z prawem;

  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego;

  1. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

  2. Ust. 1 i 2 nie mają zastosowania w przypadku, gdy:

    1. dane zostały zebrane w związku z wypełnianymi zadaniami statutowymi, w szczególności, gdy dotyczą czynności kościelnych dokonanych w stosunku do członków lub byłych członków Kościoła, lub osób utrzymujących z Kościołem stałe kontakty w związku z jego celami statutowymi;

    2. przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji;

    3. przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego wymagającego przetwarzania na mocy prawa lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

    4. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym lub Kościoła, do celów badań naukowych lub historycznych, lub do celów statystycznych o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;

    5. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

 

§ 9

Prawo do ograniczenia przetwarzania

 

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

    1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

    2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

    3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

    4. osoba, której dane dotyczą, wniosła skuteczny sprzeciw w rozumieniu Rozporządzenia wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

  2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia albo obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej albo z uwagi na ważne względy interesu publicznego.

  3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

  4. Przepis § 8 ust. 3 stosuje się odpowiednio.


§ 10

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych, a także o ograniczeniu przetwarzania

 

  1. Administrator informuje o sprostowaniu lub usunięciu danych osobowych albo ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli ta osoba tego zażąda.

 

§ 10

Prawo do sprzeciwu

 

  1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na zgodzie lub prawnym interesie administratora. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia albo obrony roszczeń.

Rozdział IV

Administrator i podmiot przetwarzający

 

§ 11

Obowiązki administratora

 

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym Regulaminem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

  2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

  3. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

 

§ 12

Współadministratorzy

 

  1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w § 7.

  2. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

  3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.

§ 13

Podmiot przetwarzający

 

  1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających spoza struktury organizacyjnej Kościoła, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą.

  2. Przetwarzanie przez podmiot przetwarzający spoza struktury organizacyjnej Kościoła odbywa się na podstawie umowy określonej w Rozporządzeniu.

§ 14

Przetwarzanie z upoważnienia administratora

 

  1. Administrator może upoważnić do przetwarzania danych osobowych współpracujący z nim personel administratora. Upoważnienie takie może być wydane po wcześniejszym przeszkoleniu danej osoby zgodnie z § 20 ust. 5 litera b) oraz po odebraniu od niej właściwego oświadczenia o zachowaniu poufności. 

  2. Upoważnienie nadaje się w formie pisemnej. Administrator prowadzi rejestr wydanych upoważnień oraz co najmniej raz w roku analizuje jego aktualność.

  3. Upoważnienia wydaje się z uwzględnieniem zasady minimalizacji, tylko do takiego zakresu danych, który jest konieczny do realizacji określonych zadań statutowych Kościoła przez dany personel.

  4. Sugeruje się cykliczne szkolenia dla administratora oraz personelu administratora (w cyklu 5 letnim) aktualizujące ich wiedzę z zakresu ochrony danych.

§ 16

Rejestrowanie czynności przetwarzania

  1. Każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

    1. nazwa oraz dane kontaktowe administratora i wszelkich współadministratorów;

    2. cele przetwarzania;

    3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

    4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

    5. eżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

    6. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

  2. Każdy podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zgodnie z zapisami Rozporządzenia.

  3. Rejestr, o których mowa w ust. 1, prowadzi się w formie pisemnej oraz w formie elektronicznej.

  4. Administrator lub podmiot przetwarzający udostępniają rejestr na żądanie organu nadzorczego.

§ 17

Współpraca z organem nadzorczym

  1. Administrator współpracuje z organem nadzorczym w ramach wykonywania przez niego swoich zadań.

Rozdział V

Bezpieczeństwo danych osobowych

 

§ 18

Bezpieczeństwo danych osobowych

 

1.  Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  1. szyfrowanie danych osobowych;

  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

  1. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

  2. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2, kościelny administrator danych realizuje poprzez wykorzystanie Standardów ODO zatwierdzonych przez niezależny organ nadzorczy: Międzykościelną Komisję Ochrony Danych Osobowych, stanowiący załącznik do Regulaminu.

  3. Administrator podejmie działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, po wcześniejszym przeszkoleniu i wydaniu stosownego upoważnienia określającego cel i zakres przetwarzania.

 

§ 19

Ocena skutków dla ochrony danych i uprzednie konsultacje

 

  1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

  2. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z Zespołem  KIOD.

  3. Ocena zawiera co najmniej:

  1. opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

  2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

  3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

  4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego Regulaminu, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

  1. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.

§ 20

Standardy Ochrony Danych Osobowych

 

  1. Zgodnie z zapisami Porozumienia, Zespół Reprezentujący Porozumienie opracował Standardy ochrony danych osobowych (dalej zwane „Standardami ODO”) dla Stron Porozumienia.

  2. Standardy ODO są zestawem szczegółowych wytycznych oraz praktycznych instrukcji dotyczących przetwarzania danych osobowych przez administratorów, stanowią załącznik do Regulaminu.

  3. Każdy administrator wdraża Standardy ODO odpowiednio do zakresu danych osobowych, jakie przetwarza.

  4. Na Standardy ODO składają się:

  1. Wytyczne dotyczące ochrony danych przez kościelnych administratorów – dokument wprowadzający oraz wyjaśniający zasady przetwarzania danych osobowych w obszarze Kościoła;

  2. Politykę ochrony danych osobowych – zestaw narzędzi, reguł, procedur i praktycznych instrukcji regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych powołany w celu zapewnienia oraz wykazania przetwarzania tych danych zgodnie Regulaminem.

  1. Każdy kościelny administrator danych ma obowiązek:

  1. odbycia szkolenia z zakresy zapisów Regulaminu, Standardów ODO oraz wdrożenia i utrzymania Polityki;

  2. zapewnienia przeszkolenia personelu administratora przed dopuszczeniem go do przetwarzania danych i wydaniem właściwego upoważnienia;

  3. uczestniczenia w szkoleniach organizowanych przez KODO;

  4. stosowania się do wytycznych KODO z zakresu ochrony danych osobowych.

 

Rozdział VI

Naruszenie ochrony danych osobowych

 

§ 21

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

 

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je KODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego KODO po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

  2. KODO po analizie zgłoszenia oraz stwierdzeniu naruszenia zgłasza je organowi nadzorczemu MKODO, nie później jednak niż 72 godziny po otrzymaniu zgłoszenia.

  3. Zgłoszenie, o którym mowa w ust. 1 i 2, musi co najmniej:

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  2. zawierać dane adresowe oraz kontaktowe administratora;

  3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

  4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  1. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych oraz incydenty bezpieczeństwa, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić KODO, KIOD oraz MKODO weryfikowanie przestrzegania niniejszego artykułu.

 

§ 22

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

  1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

  2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w § 21 ust. 3 lit. b), c) i d).

  3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane w następujących przypadkach:

  1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

  2. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;

  3. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  1. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, KODO oraz MKODO – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

Rozdział VII

Komisja Ochrony Danych Osobowych

 

§ 23

Powołanie oraz skład KODO

 

  1. W celu reprezentowania administratora, którym jest Kościół Boży w Polsce jako całość oraz do zarządzania obszarem ochrony danych osobowych Kościoła, Kolegium Pastorów Kościoła powołuje Komisję Ochrony Danych Osobowych zwaną w Regulaminie KODO.

  2. KODO liczy 3 członków wybranych przez Kolegium Pastorów Kościoła spośród swojego grona.

  3. Członkowie oraz przewodniczący KODO wybierani są na indywidualną [3-letnią] kadencję z możliwością ponownego wyboru w wyborach tajnych zwykłą większością głosów przy obecności co najmniej połowy członków Kolegium Pastorów.

  4. Na członka KODO może być wybrana osoba, która:

  1. wyróżnia się wiedzą prawniczą lub doświadczeniem z zakresu ochrony danych osobowych;

  2. korzysta z pełni praw publicznych;

  3. posiada nieposzlakowaną opinię.

  1. Kościół publikuje dane kontaktowe KODO na kościelnej stronie www oraz zawiadamia MKODO.

  2. Kadencja członka KODO wygasa z chwilą jego śmierci lub odwołania przez Kolegium Pastorów.

§ 24

Zadania KODO

 

  1. Do zadań KODO należy:

  1. reprezentowania administratora, którym jest Kościół, jako całości w obszarze ochrony danych osobowych; 

  2. rekomendacja Kolegium Pastorów KIOD;

  3. weryfikacja właściwej realizacji zadań przez Zespół KIOD;

  4. organizacja oraz nadzór nad pracami Zespołu KIOD;

  5. zlecanie nadzwyczajnych audytów dotyczących jednostek organizacyjnych Kościoła;

  6. przyjmowanie raportów oraz wniosków od Zespołu KIOD;

  7. przyjmowanie zgłoszeń dotyczących naruszeń ochrony danych osobowych od kościelnych administratorów;

  8. zgłaszanie naruszeń ochrony danych osobowych do MKODO;

  9. propagowanie wiedzy oraz dobrych praktyk z zakresu ochrony danych osobowych w Kościele;

  10. opracowywanie i udostępnianie materiałów wspierających realizację zadań przez administratora;

  11. zarządzanie budżetem KODO;

  12. organizacja oraz nadzór nad obowiązkowymi szkoleniami dla administratorów;

  13. prowadzenie Księgi Naruszeń dla Kościoła jako całości;

  14. prowadzenie Księgi Zgłaszanych Naruszeń;

  15. współpraca z MKODO;

  16. współpraca z Porozumieniem;

  17. wnioskowanie do Kolegium Pastorów o wyrejestrowanie danego podmiotu (kościoła lokalnego lub agendy) w przypadku uporczywego niestosowania się do zapisów Regulaminu.

  1. Kolegium Pastorów corocznie ustala budżet na realizację zadań KODO.

  2. Koszty związane z realizacją zadań Zespołu KIOD finansowane są z budżetu KODO.

  3. KODO składa raz w roku sprawozdanie przed Kolegium Pastorów z realizacji zadań oraz budżetu. 

 

Rozdział VIII

Kościelny Inspektor Ochrony Danych 

 

§ 25

Wyznaczenie zespołu KIOD

 

  1. Kolegium Pastorów na rekomendację KODO powołuje członków zespołu KIOD w głosowaniu tajnym zwykłą większością głosów przy obecności co najmniej połowy członków Kolegium Pastorów.

  2. Zespół KIOD działa w ramach struktury Kościoła, jest wspólny dla wszystkich kościelnych administratorów danych.

  3. KIOD powoływani są na indywidualną [2-letnią] kadencję z możliwością ponownego wyboru

  4. Liczba KIOD dostosowywana jest do liczby kościelnych administratorów oraz lokalizacji ich siedzib. Wyznaczani są w taki sposób, by można było łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej Kościoła.

  5. KIOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w § 27.

  6. KIOD musi być członkiem Kościoła.

  7. Kościół publikuje dane kontaktowe Zespołu KIOD na kościelnej stronie www oraz zawiadamia MKODO.

§ 26

Status Kościelnego Inspektora Ochrony Danych

 

  1. Administrator zapewnia, by przypisany do administratora KIOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

  2. Administrator wspiera KIOD w wypełnianiu przez niego zadań, o których mowa w § 27, zapewniając mu dostęp do danych osobowych oraz operacji przetwarzania.

  3. KODO zapewnia KIOD zasoby niezbędne do wykonania zadań, o których mowa w § 27 a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

  4. Administrator zapewnia, by KIOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań. KIOD bezpośrednio podlega KODO.

  5. Osoby, których dane dotyczą, mogą kontaktować się z Zespołem KIOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego Regulaminu.

  6. KIOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

  7. KIOD może wykonywać inne zadania i obowiązki. Administrator oraz KODO zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

§ 27

Zdania Kościelnego Inspektora Ochrony Danych

 

  1. KIOD ma następujące zadania:

  1. informowanie administratora oraz personelu administratora, który przetwarza dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego Regulaminu oraz innych przepisów prawa polskiego o ochronie danych i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania niniejszego Regulaminu, Standardów ODO, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

  3. udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z § 19;

  4. współpraca z MKODO oraz KODO;

  5. prowadzenie działań zwiększających świadomość dotyczącej obszaru ochrony danych osobowych wśród kościelnych administratorów danych;

  6. szkolenia personelu uczestniczącego w operacjach przetwarzania na prośbę administratora.

  1. KIOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

  2. Zespół KIOD składa kwartalny raport do KODO w związku z wykonywaniem przez niego zadań

 

§ 28

Audyty

 

  1. Zespół KIOD prowadzi audyty zgodnie z planem zatwierdzonym przez KODO.

  2. Zespół KIOD tworzy plan audytów, zapewniając audyt każdej placówki organizacyjnej Kościoła przynajmniej raz na 5 lat.

  3. Zespół KIOD zapewnia możliwość przeprowadzania audytów dodatkowych poza planem w związku z prośbą administratora lub specjalnym zleceniem KODO.

  4. Zespół KIOD zgłasza do KODO wszelkie napotkane podczas audytu incydenty bezpieczeństwa oraz naruszenia ochrony danych zgodnie z § 21 ust. 3.

  5. Zespół KIODO prowadzi odpowiednią dokumentację przeprowadzanych audytów.

 

§ 28

Finansowanie zadań Zespołu KIOD

 

  1. KIOD w związku z realizacją zadań planowych oraz specjalnych zleceń KODO finansowany jest z budżetu KODO. 

  2. Finansowanie zadań KIOD rozlicza się za pomocą roboczodni w kwocie za roboczodzień corocznie wyznaczonej przez Kolegium Pastorów.

  3. Zasoby konieczne do utrzymywania i aktualizowania wiedzy KIOD finansowane są z budżetu KODO.

  4. Zadania zlecone przez administratorów danych finansowane są przez tych administratorów zgodnie z wyznaczonym cennikiem roboczodnia. 

  5. W uzasadnionych sytuacjach administrator może wnioskować do KODO o dofinansowanie za usługi KIOD.

Rozdział IX

Międzykościelna Komisja Ochrony Danych Osobowych 

 

§ 29

Powołanie oraz niezależność MKODO

 

  1. Zgodnie z ustaleniami stron Porozumienia został powołany międzykościelny, niezależny organ nadzoru w zakresie ochrony danych osobowych zwany Międzykościelną Komisją Ochrony Danych Osobowych.

  2. MKODO podczas wypełniania swoich zadań i wykonywania swoich uprawnień działa w sposób w pełni niezależny. 

  3. Członek MKODO podczas wypełniania swoich zadań i wykonywania swoich uprawnień pozostaje wolny od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.

  4. Członek Komisji ma obowiązek zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskał w toku wypełniania zadań lub wykonywania swoich uprawnień.

§ 30

Zadania MKODO

 

  1. Do zadań Komisji należy w szczególności:

  1. monitorowanie, nadzór i egzekwowanie przestrzegania prawa w dziedzinie ochrony danych osobowych;

  2. rozpatrywanie skarg w sprawach wykonywania przepisów o ochronie danych osobowych;

  3. wydawanie decyzji i zaleceń w sprawach wykonywania przepisów o ochronie danych osobowych;

  4. upowszechnianie w Kościele wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych osobowych;

  5. upowszechnianie wśród administratorów i podmiotów przetwarzających dane osobowe wiedzy o obowiązkach spoczywających na nich w związku z przetwarzaniem danych osobowych, w tym w szczególności poprzez organizowanie szkoleń dotyczących ochrony danych osobowych;

  6. udzielanie osobom, których dane dotyczą, na ich żądanie, informacji o wykonywaniu praw przysługujących im w zakresie ochrony danych osobowych.

§ 31

Uprawnienia MKODO

 

  1. Komisja w związku z wykonywaniem swoich zadań określonych w Porozumieniu ma następujące uprawnienia:

  1. prawo wglądu do dokumentacji przetwarzania danych osobowych administratora;

  2. prawo żądania wyjaśnień i dokumentów od organów reprezentujących administratora.

  1. Komisji przysługują następujące uprawnienia naprawcze:

  1. wydawanie ostrzeżeń administratorowi dotyczących możliwości naruszenia przepisów w zakresie ochrony danych osobowych poprzez planowane operacje przetwarzania;

  2. wydawanie upomnień administratorowi w przypadku naruszenia przepisów w zakresie ochrony danych osobowych przez operacje przetwarzania;

  3. nakazanie administratorowi spełnienia żądań osoby, której dane dotyczą, wynikające z praw przysługujących jej na mocy obowiązujących przepisów;

  4. nakazanie administratorowi dostosowanie operacji przetwarzania do obowiązujących go przepisów w zakresie ochrony danych osobowych;

  5. nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;

  6. wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych;

  7. wnioskowanie do Zespołu Reprezentującego Porozumienie o wszczęcie procedury wykluczenia z Porozumienia Strony, która uporczywie i wbrew zaleceniom Komisji łamie obowiązujące ją przepisy w zakresie ochrony danych osobowych.

 

Rozdział X

Środki ochrony prawnej, odpowiedzialność i sankcje

 

§ 31

Prawo do wniesienia skargi do organu nadzorczego

  1. Każda osoba, której dane dotyczą, ma prawo wnieść skargę do MKODO, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejszy Regulamin.

  2. MKODO, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi.

 

§ 32

Sankcje

Kolegium Pastorów na wniosek KODO może nałożyć następujące sankcję:

  1. wydawanie ostrzeżeń administratorowi dotyczących możliwości naruszenia przepisów w zakresie ochrony danych osobowych poprzez planowane operacje przetwarzania;

  2. wydawanie upomnień administratorowi w przypadku naruszenia przepisów w zakresie ochrony danych osobowych przez operacje przetwarzania;

  3. nakazanie administratorowi spełnienia żądań osoby, której dane dotyczą, wynikające z praw przysługujących jej na mocy obowiązujących przepisów;

  4. nakazanie administratorowi dostosowanie operacji przetwarzania do obowiązujących go przepisów w zakresie ochrony danych osobowych;

  5. nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;

  6. wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych;

  7. wszczęcie procedury wykluczenia ze struktury Kościoła Bożego w Polsce wobec administratora, który uporczywie i wbrew zaleceniom łamie obowiązujące go przepisy w zakresie ochrony danych osobowych.