Akt prawa wewnętrznego dotyczącego szczegółowych zasad przetwarzania i ochrony danych osobowych w Kościele Zielonoświątkowym w Rzeczypospolitej Polskiej

PREAMBUŁA

Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych nakłada również na kościoły i inne związki wyznaniowe określone obowiązki w zakresie ochrony danych osobowych. Zgodnie z art. 91 tego rozporządzeni, jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku
z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia. Choć w wielu mniejszościowych związkach wyznaniowych takich regulacji dotychczas mogło nie być, to czerpią one swoje umocowanie do wprowadzenia takich szczegółowych zasad ochrony danych osobowych bezpośrednio z art. 17 TFUE, który przytacza motyw 165 rozporządzenia, w związku z art. 91 ust. 1 oraz zasadą równości wynikającą z art. 20 Karty praw podstawowych UE.

KOŚCIÓŁ ZIELONOŚWIĄTKOWY W RZECZYPOSPOLITEJ POLSKIEJ W OPARCIU O USTAWĘ Z DNIA 20 LUTEGO 1997 R. O STOSUNKU PAŃSTWA DO KOŚCIOŁA ZIELONOŚWIĄTKOWEGO W RZECZYPOSPOLITEJ POLSKIEJ DZ. U. NR 41 POZ. 254 Z PÓŹNIEJSZYMI ZMIANAMI ORAZ ZGODNIE Z USTAWĄ Z DNIA 17 MAJA 1989 R. O GWARANCJACH WOLNOŚCI SUMIENIA I WYZNANIA DZ. U. NR 29 POZ. 155 Z PÓŻNIEJSZYMI ZMIANAMI

Regulamin KOŚCIOŁA ZIELONOŚWIĄTKOWEGO dotyczący ochrony danych osobowych z dnia 18 KWIETNIA 2018 R.

Rozdział I
Zasady ogólne

§ 1

  1. KOŚCIÓŁ ZIELONOŚWIĄTKOWY W RZECZYPOSPOLITEJ POLSKIEJ, zwany dalej Kościołem Zielonoświątkowym, przetwarza dane osobowe w związku z pełnionymi funkcjami zawartymi w prawie wewnętrznym, korzystając przy tym z autonomii oraz niezależności gwarantowanej w szczególności przez art. 25 ust. 5 i art. 53 ust. 7 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. oraz art. 11 Ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania (Dz.U. z 1989 r. Nr 25, poz. 155 z późn. zm.).
  2. Przetwarzanie danych osobowych przez Kościół Zielonoświątkowy oraz jego osoby prawne, w tym szczególnych kategorii danych osobowych określonych w obowiązujących przepisach prawa, w szczególności dotyczących przekonań religijnych, jest niezbędne do realizacji przez związek wyznaniowy funkcji i praw zawartych w prawie wewnętrznym Kościoła.
  3. Niniejszy Regulamin stosuje się do wszelkich operacji przetwarzania danych osobowych przez wszystkie jednostki organizacyjne Kościoła Zielonoświątkowego.
  4. Na użytek niniejszego Regulaminu:
    1. „dane osobowe” oznaczają̨ informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą̨”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą̨ można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię̨ i nazwisko, numer identyfikacyjny, dane o lokalizacji lub identyfikator internetowy;
    2. „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
    3. „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,
    4. „administrator” oznacza jednostkę organizacyjną Kościoła Zielonoświątkowego;
    5. „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, bądź jednostkę organizacyjną, która przetwarza dane osobowe w imieniu administratora;
    6. „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
    7. „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
    8. „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
    9. „Rozporządzenie” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
    10. „prawo o ochronie danych osobowych” oznacza przepisy niniejszego Regulaminu oraz przepisy powszechnie obowiązujące;
    11. „szczególne kategorie danych osobowych” oznacza dane osobowe, o których mowa w art. 9 ust. 1 Rozporządzenia, w tym dotyczące przekonań religijnych;
    12. „struktura Kościoła Zielonoświątkowego” oznacza Kościół Zielonoświątkowy jako całość, wszystkie jego osoby prawne i inne jednostki organizacyjne nieposiadające osobowości prawnej oraz posiadające osobowość prawną;
    13. „organ nadzorczy” oznacza Komisję Ochrony Danych Osobowych Kościoła Zielonoświątkowego.

§ 2

  1. Przetwarzając dane osobowe Kościół Zielonoświątkowy jako całość oraz jego jednostki organizacyjne, są zobowiązane do przestrzegania powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych w szczególności poprzez stosowanie się do przepisów niniejszego Regulaminu.
  2. Niezbędne do realizacji celów Kościoła Zielonoświątkowego jest przetwarzanie szczególnych kategorii danych osobowych dokonywane w ramach uprawnionej działalności, z zachowaniem odpowiednich zabezpieczeń, dotyczące obecnych i byłych członków związków wyznaniowych oraz osób utrzymujących stałe kontakty z Kościołem Zielonoświątkowym w związku z jego celami statutowymi zawartymi w prawie wewnętrznym.
  3. Szczególnych kategorii danych dotyczących osób innych niż wskazane w ust. 2 nie można przetwarzać bez zgody tych osób.

Rozdział II
Przetwarzanie danych

§ 3

Dane osobowe muszą być:

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  2. zbierane w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych, do badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”);
  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  4. prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);
  5. przechowywane zgodnie z wymogami prawa wewnętrznego i przepisów powszechnie obowiązujących („ograniczenie przechowywania”);
  6. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  7. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  8. przetwarzane w sposób umożliwiający określenie, czy prawo dotyczące ochrony danych osobowych jest przestrzegane („rozliczalność”).

§ 4

  1. Przetwarzanie danych osobowych jest możliwe w stosunku do danej osoby wyłącznie wtedy, gdy spełniony jest co najmniej jeden z poniższych warunków:
    a) osoba, której dane dotyczą została ochrzczona w Kościele Zielonoświątkowym lub wstąpiła do Kościoła Zielonoświątkowego zgodnie z przepisami prawawewnętrznego;
    b) osoba, której dane dotyczą nie posiadała zdolności do czynności prawnych i została wówczas włączona do Kościoła Zielonoświątkowego na podstawie wyrażonej woli przynajmniej jednego z rodziców lub opiekunów prawnych;
    c) osoba utrzymująca stałe kontakty z Kościołem Zielonoświatkowym w związku z jego celami zawartymi w prawie wewnętrznym,
    d) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych, bądź też uczynił to przynajmniej jeden z jej rodziców lub opiekun prawny;
    e) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą̨, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    f) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
    g) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
    h) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    i) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
  2. Wystąpienie z Kościoła Zielonoświątkowego lub też pozbawienie statutu członka Kościoła Zielonoświątkowego, zgodnie z przepisami prawa wewnętrznego Kościoła Zielonoświątkowego, nie pozbawia Kościoła Zielonoświątkowego prawa do przetwarzania danych takiej osoby, gdy jest to niezbędne do wykonywania celów statutowych, w szczególności poprzez przechowywanie danych w kartotekach osobowych Kościoła Zielonoświątkowego.

§ 5

  1. Zabrania się ujawniania danych osobowych członka Kościoła Zielonoświątkowego bez jego zgody poza strukturami Kościoła Zielonoświątkowego, w szczególności poprzez ich zamieszczanie w miejscach publicznych lub w sposób dostępny publicznie.
  2. Przepis ust. 1 nie stosuje się, gdy ujawnienie danych osobowych, jest związane z wykonywaniem urzędu duchownego lub ubieganiem się o niego, pełnieniem urzędu lub funkcji pochodzących z wyboru we władzach Kościoła Zielonoświatkowego jako całości lub jego jednostek organizacyjnych z uwagi na to, że zgoda na objęcie danego urzędu lub funkcji jest tożsama z publicznym ich pełnieniem bądź ubieganiem się o nie, o ile nie narusza to godności takiej osoby.
  3. Zabrania się komukolwiek ujawniania danych objętych „tajemnicą spowiedzi” lub rozmowy duszpasterskiej.

Rozdział III
Prawa osoby, której dane są przetwarzane

§ 6

  1. Jeżeli dane osobowe zbierane są od osoby, której te dane dotyczą, administrator zobowiązany jest do powiadomienia jej o przetwarzaniu, uwzględniając przy tym co najmniej poniższe informacje:
    a) nazwę administratora i dane kontaktowe;
    b) dane kontaktowe inspektora ochrony danych dla danego administratora, o ile został taki powołany za zgodą władzy przełożonej;
    c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
    d) możliwość przekazywania danych do innych administratorów w ramach struktur Kościoła Zielonoświątkowego lub innych administratorów, jeśli jest to planowane;
    e) okres, przez który dane osobowe będą przechowywane, przy czym, co do zasady dla funkcji wymienionych w prawie wewnętrznym, oznacza to ich bezterminowe przechowywanie zgodnie z obowiązującymi przepisami dotyczącymi archiwizacji zasobów metrykalnych;
    f) prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, przy czym danych przetwarzanych w związku z wypełnianymi funkcjami wymienionymi w prawie wewnętrznym nie można usunąć;
    g) prawo wniesienia skargi do organu nadzorczego;
    h) gdy podanie danych osobowych jest wymogiem ustawowym lub wynika z prawa wewnętrznego lub jego doktryny religijnej lub stanowi warunek zawarcia umowy bądź czynności religijnej oraz gdy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
    i) dodatkowo w przypadku, gdy do przetwarzania wymagana była zgoda danej osoby, informacje o prawie do cofnięcia zgody w dowolnym momencie.
  2. Jeżeli dane zostały pozyskane inaczej niż od danej osoby, należy dodatkowo taką osobę poinformować o kategorii przetwarzanych danych osobowych oraz źródle uzyskania danych osobowych w terminie nie dłuższym niż jeden miesiąc.
  3. Obowiązek udzielenia informacji nie ma zastosowania, jeżeli:
    a) osoba, której dane dotyczą, dysponuje już tymi informacjami, lub
    b) utrwalenie lub ujawnienie danych jest wyraźnie przewidziane prawem, lub
    c) poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
    d) dane objęte są tajemnicą zawodową przewidzianą w prawie, w tym obowiązkiem zachowania „tajemnicy spowiedzi” lub rozmowy duszpasterskiej;
    e) przetwarzanie danych, w tym ich upublicznienie, jest związane z wykonywaniem urzędu duchownego lub ubieganiem się o niego, pełnieniem urzędu lub funkcji pochodzących z wyboru we władzach Kościoła Zielonoświątkowego jako całości lub jego jednostek organizacyjnych.
  4. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym, przy czym administrator zobowiązany jest podjąć odpowiednie środki ochrony danych.

§ 7

  1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
    a) cele przetwarzania;
    b) kategorie odnośnych danych osobowych;
    c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
    d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
    e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
    f) informacje o prawie wniesienia skargi do organu nadzorczego tj. KODO;
    g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle.
  2. Na zgłoszone żądanie, Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu, w szczególności także poprzez sporządzenie wyciągu lub odpisu dokumentu, który zawiera dane takiej osoby, o ile nie naruszy praw i wolności innych osób, w tym poprzez ujawnienie w ten sposób danych innych osób bądź tajemnicy zawodowej.
  3. Jeżeli dane osobowe są przekazywane do administratora w innym państwie lub organizacji międzynarodowej, której związek wyznaniowy jest członkiem, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach danych osobowych związanych z przekazaniem.

§ 8

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądaniau zupełnienia niekompletnych danych osobowych, w szczególności poprzez przedstawienie dodatkowego oświadczenia. Sprostowanie lub uzupełnienie możenastąpić poprzez adnotację, stanowiącą wówczas integralną część dokumentu lubzbioru, którego dotyczy.
  2. Administrator ma prawo odmówić sprostowania, o którym mowa w ust. 1, jeżeli osoba, której dane dotyczą, nie przedstawiła właściwych dokumentów potwierdzających zasadność jej żądania.

§ 9

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych („prawo do bycia zapomnianym”), a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
    a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
    b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;
    c) osoba, której dane dotyczą, wniosła skuteczny w rozumieniu Rozporządzenia sprzeciw wobec przetwarzania;
    d) dane osobowe były przetwarzane niezgodnie z prawem;
    e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
  2. Prawo, o którym mowa w ust. b), nie ma zastosowania w przypadku, gdy:
    a) dane zostały zebrane w związku z wypełnianymi funkcjami wskazanymi w prawie wewnętrznym, w szczególności gdy dotyczą dokonanych czynności.
    b) przetwarzanie jest niezbędne do korzystania z prawa do swobody wypowiedzi i wolności informacji, do wywiązania się z obowiązku prawnego lub do wykonania zadania realizowanego w interesie publicznym lub sprawowania władzy publicznej powierzonej administratorowi lub ustalenia, dochodzenia lub obrony roszczeń;
    c) dane wykorzystywane są do celów archiwalnych lub statystycznych, badań naukowych lub historycznych, o ile prawdopodobne jest, że prawo do zapomnienia uniemożliwi lub istotnie utrudni realizację takich celów.
  3. W przypadku określonym w ust. b) przetwarzanie danych osobowych powinno zostać ograniczone do przechowywania danych, o ile nie naruszy to praw osób trzecich, interesu osoby, której dane dotyczą.

§ 10

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania, z wyjątkiem przechowywania, w następujących przypadkach:
    a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
    b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
    c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
  2. Przepis § 9 ust. b) i c) stosuje się odpowiednio.

§ 11

  1. W przypadku sprostowania, ograniczenia lub usunięcia danych, administrator jest zobowiązany powiadomić o tym administratorów danych, którym przekazał dane w ramach struktur związku wyznaniowego, chyba, że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
  2. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
  3. Przepis ust. 2 nie ma zastosowania, jeżeli ta decyzja:
    a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
    b) dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
    c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
  4. W przypadkach określonych w ust. 3 administrator powinien wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Rozdział IV
Zarządzanie ochroną danych

§ 12

  1. Administrator ma obowiązek zapewnić odpowiednie środki organizacyjne i techniczne w celu ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  2. Na etapie projektowania oraz w trakcie procesów przetwarzania administrator powinien zastosować odpowiednie środki techniczne i organizacyjne, służące ochronie danych, a także pozwalające, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia celu przetwarzania.
  3. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty i jednoznaczny sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z prawa o ochronie danych osobowych.

§ 13

  1. Administrator prowadzi w formie dokumentowej, w tym w formie elektronicznej, rejestr czynności przetwarzania danych osobowych, który obejmuje:
    a) nazwę administratora (lub współadministratorów) oraz jego dane kontaktowe, jak również inspektora ochrony danych, jeśli został powołany;
    b) cele przetwarzania;
    c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
    d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
    e) gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych poza terytorium Rzeczypospolitej Polskiej;
    f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
    g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
  2. Administrator ma obowiązek udostępnienia rejestru na żądanie organu nadzorczego.

§ 14

  1. Administrator powinien powołać inspektora ochrony danych, jeżeli:
    a) w danej jednostce organizacyjnej związku wyznaniowego ma miejsce przetwarzanie danych więcej niż 10.000 osób (duża skala), lub
    b) przetwarzaniu podlegają szczególne kategorie danych, inne niż przekonania religijne lub wyznanie.
  2. Administratorzy mogą powołać jednego wspólnego inspektora dla wszystkich administratorów w ramach struktur Kościoła Zielonoświątkowego, o ile będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
  3. Dane inspektora administrator publikuje na swojej stronie internetowej oraz udostępnia w miejscu dostępnym dla osób, których dane są przetwarzane.
  4. W przypadku powołania lub odwołania inspektora ochrony danych osobowych o tym fakcie jest informowany Synod Kościoła Zielonoświątkowego.

§ 15

Inspektor ochrony danych powinien być odpowiednio i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

  1. Administrator oraz osoba odpowiedzialna wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
  2. Administrator zapewnia, by inspektor ochrony danych otrzymywał instrukcje dotyczące wykonywania tych zadań. Inspektor ochrony danych bezpośrednio podlega osobie odpowiedzialnej, chyba że sam pełni funkcję osoby odpowiedzialnej.
  3. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących.
  4. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy, co do wykonywania swoich zadań.
  5. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, przy czym nie powinny one powodować konfliktu interesów.

§ 16

  1. Do zadań inspektora danych osobowych należy w szczególności:
    a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa o ochronie danych osobowych i doradzanie im w tej sprawie;
    b) monitorowanie przestrzegania prawa o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego;
    c) współpraca z organem nadzorczym w tym z Komisją Synodalną i Synodem.
    d) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz prowadzenie konsultacji w innych sprawach.
  2. Inspektor ochrony danych wypełnia swoje zadania z uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

§ 17

Administrator, inspektor ochrony danych oraz osoby odpowiedzialne:
a) współpracują z Komisją Synodalna i Synodem na jego żądanie w ramach wykonywania przez niego zadań własnych;
b) są zobowiązane do przekazywania Komisji Synodalnej wszelkich informacji i wyjaśnień, nieobjętych tajemnicą spowiedzi lub tajemnicą rozmowy duszpasterskiej, o które zwróci się ona w ramach swoich uprawnień – w ciągu 7 dni od otrzymania wezwania drogą korespondencyjną lub elektroniczną;
c) udostępniają zbiory danych, dokumenty oraz pomieszczenia do kontroli; w ciągu 7 dni od otrzymania wezwania drogą korespondencyjną lub elektroniczną;
d) stosują się do zaleceń oraz rozstrzygnięć – niezwłocznie bądź we wskazanym przez organ nadzoru terminie.

§ 18

  1. Przekazanie danych do innego zbioru danych może nastąpić na wniosek osoby, której dane dotyczą lub na wniosek administratora zbioru danych, w którym mają zostać użyte wnioskowane dane.
  2. Przekazywanie danych osobowych innym podmiotom może nastąpić w przypadku, gdy:
    a) jest to niezbędne dla wykonania zadań określonych w przepisach prawa; lub
    b) osoba, której dane dotyczą została o tym poinformowana i uprzednio wyraziła zgodę na przekazanie danych;
    c) przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której dane dotyczą lub w interesie której dane miałyby zostać przekazane;
    d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
    e) dla celów badawczych, w tym historycznych lub statystycznych;
    f) w zakresie archiwizacji wymaganej przepisami prawa i prawa wewnętrznego.

§ 19

  1. W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z prawem, administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
  2. Gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest do dokonania oceny skutków dla ochrony danych w celu oszacowania, w szczególności, źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym regulaminem. Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy uzyskać opinię organu nadzoru.

§ 20

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłasza je Przewodniczącemu Komisji Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego Przewodniczącemu KODO po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
    a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i szacunkową liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    b) zawierać imię i nazwisko oraz dane kontaktowe administratora;
    c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  3. Jeżeli w zakresie, w jakim informacji nie da się udzielić w tym samym czasie, można ich udzielać sukcesywnie.
  4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić KODO weryfikowanie przestrzegania niniejszego artykułu.
  5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator, bez zbędnej zwłoki, zawiadamia jasnym i prostym językiem osobę, której dane dotyczą, o takim naruszeniu.
  6. Z obowiązku, określonego w ust. d), administrator jest zwolniony, jeśli
    a) wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; lub
    b) zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
    c) wymagałoby to nadmiernego wysiłku, wówczas zobowiązany jest do wydania publicznego komunikatu lub zastosowanie podobnego środka, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Rozdział V
Organ nadzoru i rozpatrywanie skarg

§ 21

  1. Każda osoba, której dane dotyczą, ma prawo zwrócić się do KODO, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy o ochronie danych osobowych (skarga).
  2. Niezależnym organem nadzorczym w zakresie przetwarzania danych, o którym mowa w art. 91 ust. 2 Rozporządzenia, jest Przewodniczący Komisji Ochrony Danych Osobowych Kościoła Zielonoświątkowego. [bądź Wspólna Komisja Religijna Ochrony Danych Osobowych, jeśli Kościół Zielonoświątkowy zawrze stosowne porozumienie.]
  3. Rozstrzyganie w sprawach dotyczących ochrony danych osobowych w części objętej konstytucyjnymi gwarancjami autonomii i niezależności związku wyznaniowego, nie podlega jurysdykcji innych organów niż KODO, o którym mowa w ust. 2.
  4. Jeżeli żądanie skarżącego jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, KODO może odmówić podjęcia żądanych działań.

§ 22

  1. Przewodniczący oraz Komisja Ochrony Danych osobowych powoływany jest przez Synod Kościoła Zielonoświątkowego na 4-letnią kadencję z możliwością ponownego wyboru.
  2. Kandydat na Przewodniczącego KODO musi spełniać następujące warunki:
    a) posiadanie wykształcenie odpowiednie do pełnienia funkcji duchownego w Kościele Zielonoświątkowym i doświadczenie zawodowe w zakresie ochrony danych osobowych;
    b) posiadanie wiedzy na temat doktryny Kościoła Zielonoświątkowego w stopniu wystarczającym do realizacji obowiązków;
    c) niekaralność wyrokiem sądu powszechnego;
    d) wyrazić zgodę na kandydowanie i objęcie tego urzędu.
  3. W celu zapewnienia niezależności Przewodniczącego KODO w okresie pełnienia urzędu nie może podejmować działalności sprzecznej z pełnionym urzędem.
  4. Przewodniczący KODO może zostać odwołany przed upływem kadencji tylko w przypadku, gdy dopuścił się poważnego uchybienia swoich obowiązków lub przestał spełniać warunki wskazane w ust. 2 lub 3.
  5. Przewodniczący KODO może złożyć rezygnację z pełnionego urzędu, która uzyskuje skuteczność wraz z potwierdzeniem jej przyjęcia w formie pisemnej
  6. Przepisy dotyczące wyboru, odwołania i funkcjonowania Przewodniczącego stosuje się odpowiednio do Zastępcy Przewodniczącego, który wykonuje czynności Przewodniczącego w przypadku jego odwołania lub rezygnacji do końca kadencji Przewodniczącego bądź czasowej niemożności sprawowania urzędu lub rozpatrywania konkretnej skargi, co do której Przewodniczący wyłączył się z rozstrzygania.

§ 23

  1. Obsługę administracyjną Komisji Ochrony Danych Osobowych prowadzi sekretariat Kościoła Zielonoświątkowego.
  2. KODO może przyjąć szczegółową instrukcję wewnętrzną, określający rozpatrywanie skarg i tryb podejmowania decyzji.

§ 24

  1. Skarga do Komisji Ochrony Danych Osobowych może być składana elektronicznie lub pisemnie na adres organu.
  2. Po otrzymaniu skargi KODO może zwrócić się do skarżącego o uzupełnienie skargi lub dodatkowe wyjaśnienia, niezbędne do rozpoczęcia postępowania w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych bądź rozstrzygnięcia w takiej sprawie.
  3. KODO wszczyna postępowanie w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych z urzędu lub na podstawie skargi, o ile nie jest ona w sposób oczywisty bezpodstawna. O oczywistej bezpodstawności skargi KODO informuje skarżącego w formie postanowienia w ciągu 14 dni od daty jej wniesienia. Skarżący może wnieść do niej wniosek o ponowne rozpatrzenie skargi w ciągu 30 dni od daty doręczenia mu postanowienia KODO.
  4. W toku postępowania w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych KODO zapoznaje się z materiałem dowodowym, skargą i wyjaśnieniami skarżącego oraz stanowiskiem administratora danych.
  5. Rozpatrywanie skargi powinno nastąpić w ciągu jednego miesiąca od daty jej wniesienia, a jeżeli sprawa jest skomplikowana – dwa miesiące. W wyjątkowych sytuacjach KODO może wydłużyć rozpatrywanie skargi.
  6. Postępowanie w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych kończy się rozstrzygnięciem o stwierdzeniu bądź nie, naruszenia zasad ochrony danych osobowych, a w pierwszym przypadku dodatkowo:
    a) zobowiązaniu administratora do określonego działania;
    b) skierowaniem wniosku do odpowiedniego organu przewidzianego w prawie wewnętrznym o wszczęcie postępowania dyscyplinujacego.
  7. Od rozstrzygnięcia KODO nie przysługuje odwołanie, ale możliwe jest ponowne rozpatrzenie sprawy przez tenże organ na wniosek skarżącego lub administratora albo z urzędu.

§ 25

  1. Przewodniczący KODO podczas wypełniania swoich zadań i wykonywania swoich uprawnień działa w sposób w pełni niezależny.
  2. Przewodniczący KODO podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym Regulaminem pozostaje wolny od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.
  3. Przewodniczący KODO ma obowiązek zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskał w toku wypełniania zadań lub wykonywania swoich uprawnień.
  4. Przewodniczący, zastępca i członkowie KODO otrzymują zwrot uzasadnionych kosztów wykonywania swoich obowiązków.

§ 26

Komisja Ochrony Danych Osobowych wykonuje następujące zadania:

  1. monitoruje i egzekwuje stosowanie prawa o ochronie danych osobowych;
    a) upowszechnia w Kościele Zielonoświątkowym wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk;
    b) doradza władzom Kościoła Zielonoświątkowego w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem;
    c) upowszechnia wśród administratorów danych wiedzę o obowiązkach spoczywających na nich na mocy prawa o ochronie danych osobowych;
    d) udziela osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących im na mocy prawa o ochronie danych osobowych;
    e) rozpatruje skargi wniesione przez osobę, której dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem;
    f) prowadzi postępowania w sprawie stosowania prawa o ochronie danych osobowych, w tym na podstawie informacji otrzymanych od innego organu;
    g) monitoruje zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności monitoruje rozwój technologii informacyjno-komunikacyjnych;
    h) prowadzi wewnętrzny rejestr naruszeń prawa o ochronie danych osobowych;
    i) wypełnia inne zadania związane z ochroną danych osobowych, w tym wydaje zalecenia dla administratorów .

§ 27

  1. Komisji Ochrony Danych Osobowych przysługują następujące uprawnienia:
    a) nakazanie właściwej władzy przełożonej, administratorowi lub osobie odpowiedzialnej dostarczenia wszelkich informacji, potrzebnych KODO do realizacji swoich zadań;
    b) zawiadamianie właściwej władzy przełożonej, administratora lub osoby odpowiedzialnej o podejrzeniu naruszenia prawa o ochronie danych osobowych;
    c) uzyskiwanie od administratora lub osoby odpowiedzialnej dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych KODO do realizacji jego zadań;
    d) uzyskiwanie dostępu do wszystkich pomieszczeń administratora, w tym do sprzętu i środków służących do przetwarzania danych;
    e) wydawanie ostrzeżeń administratorowi lub osobie odpowiedzialnej dotyczących możliwości naruszenia przepisów poprzez planowane operacje przetwarzania;
    f) udzielanie upomnień administratorowi lub osobie odpowiedzialnej w przypadku naruszenia przepisów przez operacje przetwarzania;
    g) nakazanie administratorowi lub osobie odpowiedzialnej spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy prawa o ochronie danych osobowych;
    h) nakazanie administratorowi lub osobie odpowiedzialnej dostosowania operacji przetwarzania do przepisów prawa o ochronie danych osobowych, a w stosownych przypadkach wskazanie sposobu i terminu;
    i) nakazanie administratorowi lub osobie odpowiedzialnej zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
    j) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
    k) nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
    l) kierowanie wniosku o rozpoczęcie procedury dyscyplinującej do Naczelnej Rady Kościoła zgodnie z obowiązującymi przepisami;
    m) wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla władz Kościoła Zielonoświątkowego we wszelkich sprawach związanych z ochroną danych osobowych.

§ 28

KODO sporządza roczne sprawozdanie ze swojej działalności i przedstawia je Synodowi Kościoła Zielonoświątkowego.

§ 29

  1. Administrator jest zobowiązany uzyskać opinię KODO przed rozpoczęciem operacji polegających na powierzeniu przetwarzania poza struktury Kościoła, przekazaniu danych poza granicę państwa (przetwarzanie transgraniczne), profilowania, jak również w sytuacji, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  2. Wraz z wnioskiem o wydanie opinii, o której mowa w ust. 1, administrator przedkłada KODO własną ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz informację o planowanych zabezpieczeniach wraz ze stanem ich przygotowania.
  3. Wydana opinia nie wiąże KODO w rozstrzyganiu skarg osób, których dane są przetwarzane.

§ 30

  1. Synod Kościoła Zielonoświątkowego może poddać się nadzorowi Wspólnej Komisji Religijnej Ochrony Danych Osobowych (WKRODO).
  2. Z dniem wejścia w życie odpowiednich uzgodnień i decyzji, o których mowa w ust. 1, WKRODO przejmuje wszelkie uprawnienia Przewodniczącego KODO, a kadencja urzędującego Przewodniczącego KODO ulega wygaszeniu z tym dniem tak dla skarg nowych, jak i dotychczasowych.
  3. Niniejszy Regulamin stosuje się odpowiednio do WKRODO.

§ 31

  1. Naruszenie prawa o ochronie danych osobowych może stanowić wykroczenie , szczególnie, gdy osoba, które dane dotyczą, poniosła szkodę.
  2. W przypadku stwierdzenia naruszenia prawa o ochronie danych osobowych, KODO kieruje wniosek do Naczelnej Rady Kościoła o wszczęcie postępowania dyscyplinujacego.
  3. Od uchwały KODO, o której mowa w ust. 2, nie przysługuje odwołanie.
  4. W przypadku, gdy Naczelna Rada Kościoła w ciągu 90 dni nie wyda postanowienia o wszczęciu postępowania dyscyplinującego lub odmówi jego wydania, powiadamia o tym fakcie wraz z uzasadnieniem KODO, który uwzględnia taką informację w swoim sprawozdaniu.
  5. Za naruszenie prawa o ochronie danych osobowych Naczelna Rada Kościoła lub Komisja Synodalna wymierza karę określoną zgodnie z przepisami wewnętrznymi związku wyznaniowego.
  6. Naczelna Rada Kościoła lub Komisja Synodalna powiadamia KODO o dokonanym rozstrzygnięciu.

Rozdział VI
Przepisy przejściowe i końcowe

§ 32

  1. Niniejszy Regulamin wchodzi w życie po upływie 14 dni od daty jego przyjęcia.
  2. W zakresie nieuregulowanym należy odpowiednio stosować przepisy Rozporządzenia.
  3. Promulgacja niniejszego Regulaminu następuje na stronach internetowych Kościoła
    Zielonoświątkowego w ciągu 7 dni od daty jego przyjęcia.

REGULAMIN wraz z załącznikami wchodzi w życie po upływie 14 dni od daty przyjęcia tj. od dnia 18 kwietnia 2018 r.

Menu