Zabezpečenie ochrany osobných údajov
Rímskokatolíckou cirkvou v Slovenskej republike
Čl. I
Základné ustanovenia
1) Účelom tohto dokumentu je preukázať, že spracúvanie osobných údajov Rímskokatolíckou cirkvou v Slovenskej republike sa vykonáva v súlade s aktuálne platnou právnou úpravou, najmä Zákonom 18/2018 Z. z. o ochrane osobných údajov a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
2) Vzťahy medzi Katolíckou cirkvou v Slovenskej republike a Slovenskou republikou upravuje Základná zmluva medzi Svätou stolicou a Slovenskou republikou. Katolícku cirkev v Slovenskej republike reprezentujú Rímskokatolícka cirkev a Gréckokatolícka cirkev, tak ako sú zaregistrované na Ministerstve kultúry Slovenskej republiky.
3) Rímskokatolícka cirkev v Slovenskej republike a všetky právnické osoby, ktoré si odvodzujú svoju právnu subjektivitu od cirkví v zmysle § 19 Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností spracovávajú osobné údaje v súlade s platnou právnou úpravou, najmä Zákonom 18/2018 Z. z. o ochrane osobných údajov a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
4) Rímskokatolícka cirkev v Slovenskej republike spracúva v informačných systémoch osobné údaje a osobitné kategórie osobných údajov výlučne dotknutých osôb vymedzených týmto dokumentom a výlučne na základe zákonných dôvodov a pre účely vymedzené týmto dokumentom. Rímskokatolícka cirkev v Slovenskej republike nespracúva žiadne ďalšie osobné údaje ani osobitné kategórie osobných údajov v informačných systémoch bez súhlasu dotknutých osôb.
5) Tento dokument je výsledkom posúdenia spracúvania osobných údajov a toku osobných údajov v Katolíckej cirkvi pre účely právnych noriem upravujúcich ochranu osobných údajov. Zavedením štandardizovanej ochrany osobných údajov na základe princípov tu uvedených je minimalizované riziko porušenia ochrany osobných údajov.
Čl. II
Vymedzenie pojmov
1) Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje,1) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
2) Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
3) Spracúvaním osobných údajov sa myslí spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami, pomocou informačno-komunikačných technológií alebo bez nich.
4) Profilovaním sa myslí akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
5) Pseudonymizáciou sa rozumie spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osobe.
6) Logom (log, logovací záznam) sa rozumie záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme.
7) Šifrovaním sa rozumie transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra ako je kľúč alebo heslo.
8) Online identifikátorom sa rozumie identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu.
9) Informačným systémom sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktorý je prístupný podľa určených kritérií, bez ohľadu na to, či ide o systém realizovaný digitálnymi technológiami, bez nich, prípadne kombinovane, centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.
10) Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.
11) Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa.
12) Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
13) Treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom, sprostredkovateľom alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
14) Príjemcom je každá fyzická osoba, ktorá nie je dotknutou osobou a ktorá sa oboznámi s osobnými údajmi dotknutej osoby.
15) Záväznými predpismi Cirkvi sa rozumejú Kódex kánonického práva z roku 1983, všeobecné a partikulárne zákony promulgované po Kódexe kánonického práva a iné záväzné cirkevné predpisy.
16) Partikulárnou cirkvou sa rozumie arcidiecéza, diecéza, archieparchia, eparchia, ordinariát ozbrojených síl a ozbrojených zborov.
17) Právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví sa rozumejú právnické osoby evidované podľa §19 ods. 1 Zákona 308/1991 Zb. v registri vedenom Ministerstvom kultúry SR.
18) Pojmom „Cirkev“ sa pre účely tohoto dokumentu rozumie Rímskokatolícka cirkev podľa kán. 1 Kódexu kánonického práva (latinská cirkev).
Čl. III
Vymedzenie prevádzkovateľa a sprostredkovateľa
1) Rímskokatolícka cirkev v Slovenskej republike v súlade s § 4 ods. 3 Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností je právnickou osobou. Partikulárne cirkvi (diecézy) zriaďuje najvyššia cirkevná vrchnosť Svätá stolica a pre účely ochrany osobných údajov sa Rímskokatolícka cirkev v Slovenskej republike považuje za jeden právny subjekt.
2) Partikulárne cirkvi sú v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností právnické osoby a pre účely ochrany osobných údajov sa považujú za prevádzkovateľa alebo sprostredkovateľa a to v závislosti od skupiny a účelu spracúvania osobných údajov alebo od informačného systému.
3) Farnosti sú v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností právnické osoby a pre účely ochrany osobných údajov sa považujú za prevádzkovateľa alebo sprostredkovateľa a to v závislosti od skupiny a účelu spracúvania osobných údajov alebo od informačného systému.
4) Právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví sa považujú za prevádzkovateľa alebo sprostredkovateľa a to v závislosti od skupiny a účelu spracúvania osobných údajov alebo od informačného systému.
5) Vzťahy medzi prevádzkovateľom a sprostredkovateľom v každom jednotlivom prípade sa riadia podľa záväzných predpisov Cirkvi. V týchto predpisoch sú písomne zahrnuté povinnosti spracovávať osobné údaje priamo prevádzkovateľom alebo v mene prevádzkovateľa. Ak sa uskutočňuje prenos do tretej krajiny, ktorou sa myslí aj Vatikán, tak sa uskutočňuje s vedomím prevádzkovateľa. Akýkoľvek cezhraničný prenos osobných údajov sa uskutočňuje výlučne v rámci Cirkvi, ak v ďalších ustanoveniach nie je uvedené inak. Ďalšie povinnosti sa riadia týmto dokumentom.
Čl. IV
Vymedzenie dotknutých osôb
1) Dotknuté osoby, ktorých osobné údaje sa spracúvajú vyššie uvedenými prevádzkovateľmi alebo sprostredkovateľmi sú:
a) osoby v duchovnej službe Cirkvi: klerici, zasvätené osoby a osoby pripravujúce sa na duchovnú službu
b) zamestnanci vyššie vymedzených právnických osôb
c) členovia cirkvi alebo ďalšie fyzické osoby, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku
d) ďalšie fyzické osoby v príležitostnom styku s Cirkvou
e) osoby, ktoré sú v zmluvnom vzťahu s jednotlivými prevádzkovateľmi
Čl. V
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov osôb v duchovnej službe Cirkvi
A. Vymedzenie účelov a právnych základov
1) Rímskokatolícka cirkev v Slovenskej republike ako prevádzkovateľ, prostredníctvom niektorej alebo viacerých vyššie vymedzených právnických osôb (sprostredkovateľov), spracúva osobné údaje, vrátane osobitných kategórií osobných údajov, osôb v duchovnej službe na základe záväzných predpisov Cirkvi a v súlade s čl. 2 ods. 1 Základnej zmluvy medzi Svätou stolicou a Slovenskou republikou výlučne pre účely správy vnútorných vecí a pre účely oprávnených záujmov prevádzkovateľa. Tieto údaje sa spracovávajú aj pre účely štúdia na cirkevných univerzitách a vykonávanie duchovnej služby.
2) Právo Rímskokatolíckej cirkvi v Slovenskej republike spracúvať takéto osobné údaje, vrátane osobitných kategórií osobných údajov, pre účely správy vnútorných vecí a pre účely oprávnených záujmov prevádzkovateľa, zostáva zachované aj po ukončení duchovnej služby takejto osoby v rozsahu záväzných predpisov Cirkvi.
3) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov týchto dotknutých osôb slúžia výlučne pre vnútornú potrebu Cirkvi a nebudú poskytnuté príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby. Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov môžu byť poskytnuté tretím stranám bez súhlasu týchto dotknutých osôb, ak ide o tretiu stranu v rámci Cirkvi a výlučne pre účely vnútornej potreby Cirkvi. Treťou stranou sa rozumie aj Gréckokatolícka cirkev v Slovenskej republike.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
4) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov týchto dotknutých osôb môžu byť v súlade s platnou legislatívou prenesené do tretích krajín za podmienok vymedzených v odseku 3.
5) Pri spracúvaní osobných údajov, vrátane osobitných kategórií osobných údajov týchto osôb môže dôjsť k profilovaniu na úrovni tu definovaných právnických osôb. Postup, význam, ako aj predpokladané dôsledky takéhoto spracovania sú uvedené v záväzných predpisoch Cirkvi. Pri spracúvaní osobných údajov vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
6) Osobné údaje, vrátane osobitných kategórií osobných údajov, tu vymedzených dotknutých osôb sa získavajú od dotknutých osôb. Od ďalších osôb sa získavajú na právnom základe vyplývajúcom zo záväzných predpisov Cirkvi a výlučne na účely správy vnútorných vecí.
7) Spracúvané osobné údaje o dotknutých osobách podľa tohto článku sa spracúvajú nepretržite.
8) Prevádzkovateľ je povinný do administratívnych podkladov pri prvej žiadosti osôb o pôsobenie v duchovnej službe zahrnúť nasledovnú formuláciu: „Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike.“
9) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. VI
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov zamestnancov
A. Vymedzenie účelov a právnych základov
1) Partikulárne cirkvi, farnosti a ďalšie právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví spracúvajú osobné údaje svojich zamestnancov ako prevádzkovatelia výlučne pre účely pracovnoprávnych vzťahov a ďalších právnych vzťahov, ktoré vyplývajú z pracovného práva a práva sociálneho zabezpečenia a to na základe uvedených právnych základov:
a) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
b) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
d) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa;
e) ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom2) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
2) Osobitné kategórie osobných údajov sa spracúvajú na tom právnom základe, že ich spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
3) Spracúvané osobné údaje vrátane osobitnej kategórie osobných údajov týchto dotknutých osôb nebudú poskytnuté tretím stranám ani ďalším príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby; to neplatí pre poskytnutie osobných údajov štátnym orgánom.
4) V súlade s platnou legislatívou, partikulárne cirkvi, farnosti a ďalšie právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví ako prevádzkovatelia môžu poveriť spracúvaním osobných údajov svojich zamestnancov inú fyzickú alebo právnickú osobu (sprostredkovateľa v postavení subdodávateľa) a to výlučne na základe písomnej zmluvy s uvedením náležitostí týkajúcich sa ochrany osobných údajov. (Príloha I)
5) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, pracovné telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
6) Pri spracúvaní osobných údajov, vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k profilovaniu na úrovni tu definovaných právnických osôb. Pri spracúvaní osobných vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
7) Spracúvané osobné údaje o dotknutých osobách podľa tohto článku sa spracúvajú nepretržite.
8) Prevádzkovateľ je povinný do pracovnej alebo obdobnej zmluvy zahrnúť nasledovnú formuláciu: „Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike.“
9) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. VII
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov členov cirkvi alebo ďalších fyzických osôb, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku (vedenie matrík)
A. Vymedzenie účelov a právnych základov
1) Partikulárne cirkvi ako prevádzkovatelia, prostredníctvom farností ako sprostredkovateľov, spracúvajú osobné údaje, vrátane osobitných kategórií osobných údajov, členov cirkvi alebo ďalších fyzických osôb, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku pre účely správy vnútorných vecí cirkvi, pre účely správy vnútorných vecí, výkonu práv a záujmov dotknutých osôb podľa interných predpisov Cirkvi (vysluhovanie sviatostí, účasť na cirkevných obradoch a cirkevnom živote), pre archivačné, štatistické a vedecké účely na základe nasledovných právnych základov:
a) spracúvanie osobných údajov je nevyhnutné podľa medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorou je čl. 2 ods. 1 Základnej zmluvy medzi Svätou stolicou a Slovenskou republikou výlučne pre účely správy vnútorných vecí
b) spracúvanie vykonáva v rámci oprávnenej činnosti štátom uznaná cirkev
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
d) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa;
e) ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom3) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
2) Pri spracúvaní osobných údajov týchto osôb nedochádza k profilovaniu. Pri spracúvaní osobných vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
3) Spracúvané osobné údaje sa môžu viesť v centralizovanom informačnom systéme bez súhlasu dotknutých osôb na základe vymedzených účelov a právnych základov v odseku 1.
4) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov, týchto dotknutých osôb slúžia výlučne pre vnútornú potrebu a nebudú poskytnuté tretím stranám ani iným príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby s výnimkou uvedenou v odsekoch 5 a 6.
5) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov, týchto dotknutých osôb možno prenášať bez súhlasu dotknutej osoby medzi jednotlivými partikulárnymi cirkvami, farnosťami a to aj medzi krajinami Európskej únie a tretími krajinami, za podmienok vedených v záväzných predpisoch Cirkvi na účely vysluhovania sviatostí, na účely štúdia na cirkevných univerzitách a vykonávanie duchovnej služby.
6) V prípade, že dotknutá osoba žiada prístup do matriky pre svoje osobné účely (napr. tvorba genealógie) osobne alebo prostredníctvom inej fyzickej alebo právnickej osoby, je povinná podpísať vyhlásenie o zachovaní mlčanlivosti o osobných údajoch žijúcich osôb, s ktorými sa oboznámila pri tejto činnosti. Za neoprávnené nakladanie s osobnými údajmi dotknutých žijúcich osôb zodpovedá osoba, ktorá podpísala záväzok mlčanlivosti (Príloha II).
7) Spracúvané osobné údaje o dotknutých osobách podľa tohto článku sa spracúvajú nepretržite.
8) Prevádzkovateľ je povinný do administratívnych podkladov pre vysluhovanie sviatostí zahrnúť nasledovnú formuláciu: „Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike.“
9) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. VIII
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov členov cirkvi alebo ďalších fyzických osôb, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku (vedenie súdnych procesov)
A. Vymedzenie účelov a právnych základov
1) Partikulárne cirkvi spracúvajú ako prevádzkovatelia osobné údaje, vrátane osobitných kategórií osobných údajov členov cirkvi alebo ďalších fyzických osôb, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku pre účely vedenia súdnych procesov podľa záväzných predpisov Cirkvi, pre výkon práv a záujmov dotknutých osôb podľa kánonických noriem, pre archivačné, štatistické a vedecké účely na základe nasledovných právnych základov:
a) spracúvanie osobných údajov je nevyhnutné podľa medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorou je čl. čl. 2 ods. 1 Základnej zmluvy medzi Svätou stolicou a Slovenskou republikou výlučne pre účely správy vnútorných vecí
b) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
c) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa;
d) ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom4) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
2) Pri spracúvaní osobných údajov týchto osôb nedochádza k profilovaniu. Pri spracúvaní osobných údajov týchto osôb nedochádza k profilovaniu na základe záväzných predpisov Cirkvi. Pri spracúvaní osobných vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
3) Spracúvané osobné údaje sa môžu viesť v centralizovanom informačnom systéme na úrovni partikulárnych cirkví bez súhlasu dotknutých osôb na základe vymedzených účelov a právnych základov v odseku 1.
4) Spracúvané osobné údaje týchto dotknutých osôb slúžia výlučne pre vnútornú potrebu a na ochranu práv a záujmov dotknutých osôb, môžu byť poskytnuté iným partikulárnym Cirkvám podľa predpisov pre vedenie procesov podľa záväzných predpisov Cirkvi.
5) Spracúvané osobné údaje týchto dotknutých osôb môžu byť v súlade s platnou legislatívou prenesené do tretích krajín, čím sa rozumie aj Vatikán.
6) Príjemca sa môže oboznámiť s osobnými údajmi výlučne pre vedecké účely, pričom o týchto údajoch zachová mlčanlivosť, čo potvrdí svojím podpisom (Príloha III).
7) Spracúvané osobné údaje týchto dotknutých osôb slúžia výlučne pre vnútornú potrebu a nebudú poskytnuté tretím stranám ani iným príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby okrem prípadu uvedených v odsekoch 4, 5 a 6.
8) Spracúvané osobné údaje o dotknutých osobách podľa tohto článku sa spracúvajú nepretržite.
9) Prevádzkovateľ je povinný pri prvom úkone voči dotknutej osobe zo strany súdu zahrnúť nasledovnú formuláciu: „Dotknutá osoba berie na vedomie princípy ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike, ktoré sú prístupné na webovej stránke Konferencie biskupov Slovenska alebo v tlačenej forme na požiadanie.
10) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. IX
Osobitné ustanovenia pre spracúvanie osobných údajov ďalších fyzických osôb v príležitostnom styku s Cirkvou
A. Vymedzenie účelov a právnych základov
1) Právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví spracúvajú osobné údaje na základe poskytnutého súhlasu ako prevádzkovatelia.
2) Osobné údaje dotknutých osôb, ktoré sú v príležitostnom styku s cirkvou ako aj osobitné kategórie osobných údajov týchto osôb môže prevádzkovateľ spracúvať nad rámec zákonných dôvodov tu uvedených len s písomným súhlasom týchto osôb a len na dohodnutý účel v súlade s aktuálne platnou právnou úpravou. Návrh súhlasu je uvedený v prílohe IV.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
3) Prevádzkovateľ je zodpovedný za zahrnutie vyhlásenia súhlasu so spracúvaním osobných údajov do dokumentov, ktoré vydáva na tieto účely (napríklad prihláška na púť, prihláška na konferenciu a podobne). Prevádzkovateľ je zodpovedný za vedenie a archiváciu poskytnutých súhlasov od dotknutých osôb automatizovaným alebo neautomatizovaným spôsobom.
4) Prevádzkovateľ zabezpečí ochranu poskytnutých osobných údajov pred zverejnením, ak na to dotknutá osoba nedala výslovný súhlas.
5) Prevádzkovateľ je zodpovedný za spracúvanie osobných údajov výlučne v rozsahu a na účely, s ktorými dotknutá osoba súhlasila.
6) Prevádzkovateľ je zodpovedný za výmaz osobných údajov vrátane osobitných kategórií osobných údajov, ktoré spracúva na základe jemu poskytnutému súhlasu na základe žiadosti dotknutej osoby.
7) Prevádzkovateľ poskytne osobné údaje poskytnuté na základe súhlasu dotknutých osôb tretím stranám alebo príjemcom len ak na tento účel dala výslovný súhlas dotknutá osoba.
8) Prevádzkovateľ vymedzí v príslušnom dokumente dobu uchovávania osobných údajov. Osobné údaje uvedené na písomnom súhlase sa uchovávajú nepretržite.
9) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. X
Osobitné ustanovenia pre spracúvanie osobných údajov osôb, ktoré sú v zmluvnom vzťahu s jednotlivými prevádzkovateľmi
A. Vymedzenie účelov a právnych základov
1) Tento článok sa vzťahuje na ďalšie zmluvy ako uvedené v článku VI.
2) Partikulárne cirkvi, farnosti a ďalšie právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví spracúvajú ako prevádzkovatelia osobné údaje osôb, s ktorými sú v zmluvnom vzťahu na zákonnom podklade, kedy spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby a výlučne na účel zmluvných plnení.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
3) Prevádzkovateľ, ktorý uzatvorí s inou fyzickou osobou nepodnikateľom zmluvu v písomnej alebo inej forme, z ktorej vyplýva, že táto osoba môže pri výkone dohodnutých činností prísť do styku s osobnými údajmi dotknutých osôb, je povinný zabezpečiť písomné vyhlásenie o mlčanlivosti podpísané touto osobou. (Príloha V)
4) Prevádzkovateľ spracúva osobné údaje nad rámec nevyhnutný pre plnenie konkrétnej zmluvy iba so súhlasom dotknutej osoby.
5) Prevádzkovateľ je povinný do zmluvy zahrnúť nasledovnú formuláciu: „Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike.“
6) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. XI
Identifikácia informačných systémov
Informačné systémy, v ktorých sa spracúvajú osobné údaje v Rímskokatolíckej cirkvi sú definované v prílohách tohto dokumentu na tlačivách, ktoré vydáva Úrad na ochranu osobných údajov. ( Viď "Záznam o spracovateľských činnostiach" v príslušnej sekcii pre diecézy/eparchie/farnosti/rehole/iné)
Čl. XII
Kategórie spracúvaných osobných údajov
1) Pre účely a zákonné dôvody uvedené v článku V., v informačných systémoch uvedených v článku XI sa spracúvajú všetky kategórie osobných údajov potrebné pre účely správy vnútorných vecí Cirkvi.
2) Pre účely a zákonné dôvody uvedené v článku VI., v informačných systémoch uvedených v článku XI sa spracúvajú všetky kategórie osobných údajov potrebné pre plnenie zákonných povinností prevádzkovateľa v postavení zamestnávateľa, ktoré mu vyplývajú z pracovnoprávnych predpisov, predpisov o sociálnom zabezpečení, zdravotnom poistení a iných predpisov na účely právnych vzťahov so zamestnancom.
3) Pre účely a zákonné dôvody uvedené v článku VII., v informačných systémoch uvedených v článku XI sa spracúvajú nasledovné údaje dotknutej osoby: meno, priezvisko, dátum narodenia, miesto narodenia, adresa bydliska, meno a priezvisko manžela/manželky, meno a priezvisko predkov a potomkov, vierovyznanie, meno a priezvisko krstných rodičov, svedkov, birmovných rodičov, prijaté sviatosti krstných a birmovných rodičov.
4) Pre účely a zákonné dôvody uvedené v článku VIII., v informačných systémoch uvedených v článku XI sa spracúvajú osobné údaje vrátane osobitných kategórií osobných údajov členov cirkvi alebo ďalších fyzických osôb, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku v rozsahu nevyhnutnom pre uplatňovanie práv a povinností vyplývajúcich zo záväzných predpisov Cirkvi.
5) Pre účely a zákonné dôvody uvedené v článku IX., v informačných systémoch uvedených v článku XI sa spracúvajú kategórie osobných údajov, ktoré poskytla dotknutá osoba so svojim súhlasom.
6) Pre účely a zákonné dôvody uvedené v článku X., v informačných systémoch uvedených v článku XI sa spracúvajú osobné údaje tých kategórií, ktoré sú vymedzené v jednotlivej zmluve.
7) Uvedené osobné údaje sa poskytujú na zákonom stanovené účely výlučne verejným orgánom Slovenskej republiky alebo iného štátu a to v súlade s aktuálne platnou legislatívou Slovenskej republiky, Európskej únie alebo príslušných medzinárodných zmlúv alebo v súlade s podmienkami uvedenými v tomto dokumente.
8) Rodné číslo sa uvádza výlučne na tých dokumentoch, kde to vyžaduje všeobecne záväzný právny predpis Slovenskej republiky.
9) Ďalšie kategórie osobných údajov a osobitných kategórií osobných údajov spracúva prevádzkovateľ na základe písomného súhlasu dotknutej osoby v rozsahu v ňom uvedenom.
Čl. XIII
Spoločné ustanovenia pre všetky kategórie dotknutých osôb
1) Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú. Prevádzkovateľ a sprostredkovateľ zabezpečí, že osobné údaje nebude spracúvať na iný ako vymedzený účel.
2) Prevádzkovateľ a sprostredkovateľ zabezpečí opravu osobných údajov bezodkladne po tom, čo sa o nesprávnom osobnom údaji dozvie.
3) Prevádzkovateľ alebo sprostredkovateľ sú povinní chrániť osobné údaje dotknutých osôb pred neoprávneným zverejnením, iným neoprávneným sprístupnením tretím stranám, neoprávneným spracúvaním, odcudzením, zničením, stratou. Prevádzkovateľ alebo sprostredkovateľ sú povinní nahlásiť takéto ohrozenie osobných údajov zodpovednej osobe ihneď, ak ide o závažnú vec (najmä pri odcudzení výpočtovej techniky, matričných kníh, vlámaniu do priestorov prevádzkovateľa a podobne).
4) Prevádzkovateľ a sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov. Prevádzkovateľ a sprostredkovateľ je povinný zaviazať mlčanlivosťou o osobných údajoch fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Povinnosť mlčanlivosti trvá aj po skončení pracovného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.
5) Prevádzkovateľ môže poveriť spracovaním osobných údajov inú fyzickú alebo právnickú osobu, pričom právnym úkonom poverenia sa táto osoba stáva sprostredkovateľom (Príloha I).
Čl. XIV
Osobitné ustanovenia pre spracúvanie osobných údajov Generálnym sekretariátom Konferencie biskupov Slovenska
1) Konferencia biskupov Slovenska ako prevádzkovateľ pri spracúvaní osobitných údajov vyplývajúcich z vlastnej činnosti, vždy posudzuje nevyhnutnosť zabezpečenia súhlasu dotknutých osôb, ak neexistuje iný zákonný účel takéhoto spracúvania vymedzený týmto dokumentom. Generálny sekretariát Konferencie biskupov Slovenska spracúva osobné údaje bez súhlasu dotknutej osoby pre účely správy vnútorných vecí Cirkvi, najmä však pre vykonávanie všetkých úloh a činností všetkých jeho zložiek v zmysle organizačnej schémy a podľa vnútorných predpisov. Generálny sekretariát vedie adresáre na účely korešpondencie a pri ich vytváraní osobitne posudzuje nevyhnutnosť zabezpečenia súhlasu dotknutých osôb, ak neexistuje iný zákonný účel takéhoto spracúvania vymedzený týmto dokumentom.
2) Tlačová kancelária Konferencie biskupov Slovenska je oprávnená spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami v súlade so všeobecne záväznými právnymi predpismi Slovenskej republiky.
Čl. XV
Informácie a prístup k osobným údajom
1) Pre účely poskytovania informácií dotknutým osobám a prístupe k osobným údajom, ktoré sa spracúvajú na základe zákonných dôvodov a účelov Rímskokatolícka cirkev v Slovenskej republike poveruje Konferenciu biskupov Slovenska, IČO 00684325, so sídlom Kapitulská 11, Bratislava 814 99, P.O.Box 113.
2) Zodpovedná osoba pre poskytovanie informácií dotknutým osobám je vždy uvedená na webovom sídle Konferencie biskupov Slovenska www.kbs.sk v sekcii „Ochrana osobných údajov“.
3) Konferencia biskupov Slovenska zverejňuje na svojom webovom sídle www.kbs.sk vyhlásenie o ochrane osobných údajov v sekcii „Ochrana osobných údajov“, ktoré sa vzťahuje aj na všetky právnické osoby, ktoré si svoju právnu subjektivitu odvodzujú od cirkvi v zmysle § 19 Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností a to aj vtedy, ak tieto údaje neprevezmú na svoje webové sídla alebo nemajú svoje webové sídla. V prípade spracúvania osobných údajov tu vymedzenými právnickými osobami nad rámec tohto dokumentu sú jednotliví prevádzkovatelia zodpovední za vypracovanie osobitných podmienok spracovania.
4) V prípade žiadosti dotknutej osoby o prístup k osobným údajom, ktoré o nej prevádzkovateľ spracováva, prevádzkovateľ poskytne informácie o právnych základoch a účeloch spracovania odkázaním na tento dokument alebo jeho citovaním. V prípade, že prevádzkovateľ spracúva osobné údaje na základe písomného súhlasu dotknutej osoby, poskytne jej pri odpovedi na žiadosť aj ďalšie informácie, ktoré vyplývaj z konkrétneho súhlasu dotknutej osoby. Prevádzkovateľ je oprávnený v zložitých prípadoch žiadosti dotknutých osôb požiadať o vybavenie žiadosti zodpovednú osobu vymedzenú v odsekoch 1 a 2.
Čl. XVI
Záverečné ustanovenie
Táto smernica bola schválená dňa 9. apríla 2018 na 89. plenárnom zasadaní Konferencie biskupov Slovenska v Nitre. Smernica nadobúda účinnosť schválením diecézneho biskupa/eparchu a jeho zverejnením v diecéznom obežníku.
_____
1§ 57 ods. 2 zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov.
2 Zákon č. 540/2001 Z. z. o štátnej štatistike v znení neskorších predpisov, zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov.
3 Zákon č. 540/2001 Z. z. o štátnej štatistike v znení neskorších predpisov, zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov.
4 Zákon č. 540/2001 Z. z. o štátnej štatistike v znení neskorších predpisov, zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znen&