W dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r. wydany został przez Konferencję Episkopatu Polski Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim (dalej: dekret).
Dekret, o którym mowa powyżej został wydany w celu dostosowania zasad ochrony danych osobowych w Kościele katolickim do RODO. RODO zaczyna obowiązywać już 25 maja 2018 r. W Kościele zebranych jest wiele danych osobowych wiernych, które wymagają szczególnej ochrony. To właśnie dlatego Kościół katolicki tworząc dekret spełnił wymogi unijne dotyczące ochrony danych osobowych.
W niniejszym artykule omówiono standardy przetwarzania danych osobowych. Zostały one ujęte w art. 6 dekretu. Zgodnie z nim dane osobowe powinny być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą;
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, do celów badań naukowych lub historycznych albo do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Osobą odpowiedzialną za przestrzeganie powyższych zasad jest administrator. To właśnie on powinien być w stanie wykazać ich przestrzeganie. Musi czuwać nad prawidłowym zachowaniem przedmiotowych norm kanonicznych. Administrator musi być także koordynatorem działalności współpracowników.
Jak widać z powyższego art. 6 dekretu jest bardzo mocno inspirowany art. 5 RODO określającym zasady ochrony danych osobowych.
Zgodnie z art.5 RODO dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i przejrzyste;
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
- prawidłowe i w razie potrzeby uaktualniane;
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Opracowano na podstawie:
Art. 6 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim