Regulamin Buddyjskiej Wspólnoty Zen Kannon dotyczący ochrony danych osobowych

Regulamin Buddyjskiej Wspólnoty Zen Kannon
dotyczący ochrony danych osobowych
z dnia 4 maja 2018 r.
Rozdział I
Zasady ogólne
§ 1
1. Buddyjska Wspólnota Zen Kannon, zwana dalej Związkiem Wyznaniowym, przetwarza
dane osobowe w związku z pełnieniem swoich funkcji statutowych, korzystając przy tym
z autonomii i niezależności gwarantowanych w szczególności przez art. 25 ust. 1-3 i art.
53 ust. 7 Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (Dz.U. z 1997 r. nr 78,
poz. 483 ze zm.) oraz art. 11 ustawy z 17 maja 1989 r. o gwarancjach wolności sumienia i
wyznania (t.j. Dz.U. z 2017 r. poz. 1153).
2. Przetwarzanie danych osobowych przez Związek Wyznaniowy, w tym szczególnych
kategorii danych osobowych określonych w obowiązujących przepisach prawa, w
szczególności dotyczących przekonań religijnych, jest niezbędne do realizacji przez
Związek Wyznaniowy funkcji statutowych.
3. Niniejszy Regulamin stosuje się do wszelkich operacji przetwarzania danych osobowych
przez wszystkie jednostki organizacyjne Związku Wyznaniowego, z wyjątkiem operacji
przetwarzania związanych z prowadzeniem przez nie działalności gospodarczej lub
innej wykraczającej poza funkcje statutowe.
4. Na użytek niniejszego Regulaminu:
1) „dane osobowe” oznaczają
in ormacje o zidenty ikowanej lub moz liwej do
zidenty ikowania osobie izycznej „osobie kto rej dane dotyczą
” moz liwa do
zidenty ikowania osoba izyczna to osoba kto rą można bezpośrednio lub pos rednio
zidenty ikowac w szczego lnos ci na podstawie identy ikatora takiego jak imię
i
nazwisko, numer identyfikacyjny, dane o lokalizacji lub identyfikator internetowy;
2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych
osobowych lub zestawach danych osobowych w sposo b zautomatyzowany lub
niezautomatyzowany taką jak zbieranie, utrwalanie, organizowanie,
porządkowanie przechowywanie, adaptowanie lub modyfikowanie, pobieranie,
przeglądanie wykorzystywanie, ujawnianie poprzez przesłanie rozpowszechnianie
lub innego rodzaju udostępnianie dopasowywanie lub łączenie ograniczanie,
usuwanie lub niszczenie;
3) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych
według określonych kryteriów niezależnie od tego, czy zestaw ten jest
scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub
geograficznie;
4) „administrator” oznacza jednostkę organizacyjną Związku Wyznaniowego;
5) „podmiot przetwarzający” oznacza osobę izyczną lub prawną bądź jednostkę
organizacyjną która przetwarza dane osobowe w imieniu administratora;
6) „zgoda” osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i
jednoznaczne okazanie woli, którym osoba, której dane dotyczą w formie
oświadczenia lub wyraźnego działania potwierdzającego przyzwala na
przetwarzanie dotyczących jej danych osobowych;
7) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa
prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia,
zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do
danych osobowych przesyłanych przechowywanych lub w inny sposób
przetwarzanych;
8) „pro ilowanie” oznacza dowolną ormę zautomatyzowanego przetwarzania danych
osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych
czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy
aspektów dotyczących e ektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej,
zdrowia, osobistych preferencji, zainteresowań wiarygodności zachowania,
lokalizacji lub przemieszczania się
9) „Rozporządzenie” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE)
2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie
danych);
10) „prawo o ochronie danych osobowych” oznacza przepisy niniejszego Regulaminu
oraz przepisy powszechnie obowiązujące
11) „szczególne kategorie danych osobowych” oznacza dane osobowe, o których mowa
w art. 9 ust. 1 Rozporządzenia w tym dotyczące przekonań religijnych;
12) „struktura Związku Wyznaniowego” oznacza Związek Wyznaniowy jako całość oraz
wszystkie jego jednostki organizacyjne;
13) „organ nadzorczy” oznacza Komisarza Ochrony Danych Osobowych Buddyjskiej
Wspólnoty Zen Kannon albo Wspólną Komisję Religijną Ochrony Danych
Osobowych, jeżeli Związek Wyznaniowy zawrze porozumienie z innym związkiem
bądź związkami wyznaniowymi dotyczące utworzenia takiej komisji.
§ 2
1. Przetwarzając dane osobowe Związek Wyznaniowy jako całość oraz jego jednostki
organizacyjne są zobowiązane do przestrzegania powszechnie obowiązujących
przepisów prawa dotyczących przetwarzania danych osobowych, w szczególności
poprzez stosowanie się do niniejszego Regulaminu.
2. Niezbędne do realizacji celów Związku Wyznaniowego jest przetwarzanie szczególnych
kategorii danych osobowych dokonywane w ramach uprawnionej działalności z
zachowaniem odpowiednich zabezpieczeń dotyczące obecnych i byłych członków
Związku Wyznaniowego oraz osób utrzymujących stałe kontakty ze Związkiem
Wyznaniowym w związku z jego celami statutowymi.
3. Szczególnych kategorii danych dotyczących osób innych niż wskazane w ust. 2 nie można
przetwarzać bez zgody tych osób.
Rozdział II
Przetwarzanie danych
§ 3
Dane osobowe muszą być:
1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane
dotyczą „zgodność z prawem, rzetelność i przejrzystość”
2) zbierane w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach i
nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do
celów archiwalnych, do badań naukowych lub historycznych albo do celów
statystycznych nie jest uznawane za niezgodne z pierwotnymi celami „ograniczenie
celu”
3) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów w których są
przetwarzane „minimalizacja danych”
4) prawidłowe i w razie potrzeby uaktualniane „prawidłowość”
5) przechowywane zgodnie z wymogami prawa wewnętrznego i przepisów powszechnie
obowiązujących „ograniczenie przechowywania”
6) przechowywane w formie umoz liwiającej identy ikację osoby, której dane dotyczą przez
okres nie dłuższy niż jest to niezbędne do celów w których dane te są przetwarzane;
dane osobowe można przechowywać przez okres dłuższy o ile będą one przetwarzane
wyłącznie do celów archiwalnych w interesie publicznym do celo w badan naukowych
lub historycznych bądź do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną
odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób
których dane dotyczą „ograniczenie przechowywania”
7) przetwarzane w sposo b zapewniający odpowiednie bezpieczen stwo danych osobowych
w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz
przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich
środków technicznych lub organizacyjnych „integralność i pou ność”
8) przetwarzane w sposób umożliwiający określenie czy prawo dotyczące ochrony danych
osobowych jest przestrzegane „rozliczalność” .
§ 4
1. Przetwarzanie danych osobowych jest możliwe w stosunku do danej osoby wyłącznie wtedy,
gdy spełniony jest co najmniej jeden z poniższych warunków:
1) osoba, której dane dotyczą wstąpiła do Związku Wyznaniowego zgodnie z przepisami
wewnętrznymi Związku Wyznaniowego;
2) osoba, której dane dotyczą, nie posiadała zdolności do czynności prawnych i została
wówczas włączona do Związku Wyznaniowego na podstawie woli wyrażonej przez jej
rodziców lub opiekunów prawnych;
3) dana osoba utrzymuje stałe kontakty ze Związkiem Wyznaniowym w związku z jego
celami statutowymi,
4) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych
bądź też uczynił to przynajmniej jeden z jej rodziców lub opiekun prawny;
5) przetwarzanie jest niezbędne do wykonania umowy kto rej stroną jest osoba, której dane
dotyczą
, lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem
umowy;
6) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na
administratorze;
7) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą lub innej osoby fizycznej;
8) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie
publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi;
9) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
intereso w realizowanych przez administratora lub przez stronę trzecią z wyjątkiem
sytuacji w kto rych nadrzędny charakter wobec tych intereso w mają interesy lub
podstawowe prawa i wolności osoby, której dane dotyczą wymagające ochrony danych
osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem.
2. Wystąpienie ze Związku Wyznaniowego lub pozbawienie statusu członka Związku
Wyznaniowego, zgodnie z przepisami wewnętrznymi Związku Wyznaniowego, nie pozbawia
Związku Wyznaniowego prawa do przetwarzania danych takiej osoby, gdy jest to niezbędne do
wykonywania celów statutowych, w szczególności poprzez przechowywanie danych w
kartotekach osobowych Związku Wyznaniowego.
§ 5
1. Zabrania się ujawniania danych osobowych członka Związku Wyznaniowego bez jego
zgody poza strukturami Związku Wyznaniowego, w szczególności poprzez ich
zamieszczanie w miejscach publicznych lub w sposób dostępny publicznie.
2. Przepisu ust. 1 nie stosuje się gdy ujawnienie danych osobowych jest związane z
pełnieniem funkcji duchownego lub ubieganiem się o nią bądź zajmowaniem urzędu lub
pełnieniem funkcji, pochodzących z wyboru lub mianowania, we władzach Związku
Wyznaniowego jako całości lub jego jednostek organizacyjnych. Zgoda na objęcie danego
urzędu lub funkcji jest tożsama z ich publicznym pełnieniem bądź ubieganiem się o nie, o
ile nie narusza to godności takiej osoby.
3. Zabrania się ujawniania danych objętych tajemnicą z tytułu instytucji spowiedzi.
Rozdział III
Prawa osoby, której dane są przetwarzane
§ 6
1. Jeżeli dane osobowe są zbierane od osoby, której te dane dotyczą administrator jest
zobowiązany do powiadomienia jej o przetwarzaniu, uwzględniając przy tym co
najmniej poniższe informacje:
1) nazwę administratora i dane kontaktowe;
2) dane kontaktowe inspektora ochrony danych dla danego administratora, o ile
taki został powołany;
3) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
4) możliwość przekazywania danych do innych administratorów w ramach struktur
Związku Wyznaniowego lub innych administratorów jeśli jest to planowane;
5) okres, przez który dane osobowe będą przechowywane, przy czym co do zasady
dla funkcji statutowych oznacza to ich bezterminowe przechowywanie zgodnie z
regulacjami dotyczącymi archiwizacji zasobów dotyczących w szczególności
ceremonii Jukai i ceremonii Ordynacji;
6) prawo do żądania od administratora dostępu do danych osobowych dotyczących
osoby, której dane dotyczą ich sprostowania, usunięcia lub ograniczenia
przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania, a także
prawo do przenoszenia danych, przy czym danych przetwarzanych w związku z
wypełnianymi funkcjami statutowymi nie można usunąć
7) prawo wniesienia skargi do organu nadzorczego;
8) gdy podanie danych osobowych jest wymogiem ustawowym lub wynika z prawa
wewnętrznego Związku Wyznaniowego lub jego doktryny religijnej bądź stanowi
warunek zawarcia umowy lub czynności religijnej oraz gdy osoba, której dane
dotyczą jest zobowiązana do ich podania i jakie są ewentualne konsekwencje
niepodania danych;
9) dodatkowo w przypadku, gdy do przetwarzania wymagana była zgoda danej
osoby, informacje o prawie do co nięcia zgody w dowolnym momencie.
2. Jeżeli dane zostały pozyskane inaczej niż od danej osoby, należy dodatkowo
poin ormować taką osobę o kategorii przetwarzanych danych osobowych oraz źródle
uzyskania danych osobowych w terminie nie dłuższym niż jeden miesiąc.
3. Obowiązek udzielenia informacji nie ma zastosowania, jeżeli:
1) osoba, której dane dotyczą dysponuje już tymi informacjami, lub
2) utrwalenie lub ujawnienie danych jest wyraźnie przewidziane prawem, lub
3) poinformowanie osoby, której dane dotyczą okazuje się niemożliwe lub
wymagałoby niewspółmiernie dużego wysiłku
4) dane objęte są tajemnicą zawodową przewidzianą w prawie, w tym
obowiązkiem zachowania tajemnicy spowiedzi;
5) przetwarzanie danych, w tym ich upublicznienie, jest związane z pełnieniem
funkcji duchownego lub ubieganiem się o nią zajmowaniem urzędu lub
pełnieniem funkcji, pochodzących z wyboru lub mianowania, we władzach
Związku Wyznaniowego jako całości lub jego jednostek organizacyjnych.
4. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w
szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie
publicznym celom badan naukowych lub historycznych bądź celom statystycznym, przy
czym administrator zobowiązany jest podjąć odpowiednie środki ochrony danych.
§ 7
1. Osoba, której dane dotyczą jest uprawniona do uzyskania od administratora danych
potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące a jeżeli ma to miejsce,
jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
1) cele przetwarzania;
2) kategorie odnośnych danych osobowych;
3) informacje o odbiorcach lub kategoriach odbiorców którym dane osobowe
zostały lub zostaną ujawnione;
4) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy
nie jest to możliwe kryteria ustalania tego okresu;
5) informacje o prawie do żądania od administratora sprostowania, usunięcia lub
ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane
dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
6) informacje o prawie wniesienia skargi do organu nadzorczego;
7) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie
dostępne informacje o ich źródle.
2. Na zgłoszone żądanie administrator dostarcza osobie kto rej dane dotyczą kopię danych
osobowych podlegających przetwarzaniu, w szczególności także poprzez sporządzenie
wyciągu lub odpisu dokumentu, który zawiera dane takiej osoby, o ile nie naruszy praw i
wolności innych osób w tym poprzez ujawnienie w ten sposób danych innych osób bądź
tajemnicy zawodowej. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane
dotyczą administrator może pobrać opłatę w rozsądnej wysokości wynikającej z
kosztów administracyjnych.
3. Jeżeli dane osobowe są przekazywane do administratora w innym państwie lub
organizacji międzynarodowej której Związek Wyznaniowy jest członkiem osoba, której
dane dotyczą ma prawo zostać poinformowana o odpowiednich zabezpieczeniach
danych osobowych związanych z przekazaniem.
§ 8
1. Osoba, której dane dotyczą ma prawo żądania od administratora niezwłocznego
sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z
uwzględnieniem celów przetwarzania, osoba, której dane dotyczą ma prawo żądania
uzupełnienia niekompletnych danych osobowych, w szczególności poprzez
przedstawienie dodatkowego oświadczenia. Sprostowanie lub uzupełnienie może
nastąpić poprzez adnotację stanowiącą wówczas integralną część dokumentu lub
zbioru, którego dotyczy.
2. Administrator ma prawo odmówić sprostowania, o którym mowa w ust. 1, jeżeli osoba,
której dane dotyczą nie przedstawiła właściwych dokumentów potwierdzających
zasadność jej żądania.
§ 9
1. Osoba, której dane dotyczą ma prawo żądania od administratora niezwłocznego
usunięcia dotyczących jej danych osobowych „prawo do bycia zapomnianym” a
administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi
jedna z następujących okoliczności:
1) dane osobowe nie są już niezbędne do celów w których zostały zebrane lub w inny
sposób przetwarzane;
2) osoba, której dane dotyczą co nęła zgodę na której opiera się przetwarzanie danych
i nie ma innej podstawy prawnej przetwarzania;
3) osoba, której dane dotyczą wniosła skuteczny w rozumieniu Rozporządzenia
sprzeciw wobec przetwarzania;
4) dane osobowe były przetwarzane niezgodnie z prawem;
5) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
2. Prawo, o którym mowa w ust. 1, nie ma zastosowania w przypadku, gdy:
1) dane zostały zebrane w związku z wypełnianymi funkcjami statutowymi, w
szczególności gdy dotyczą dokonanych czynności lub stanów religijnych;
2) przetwarzanie jest niezbędne do korzystania z prawa do swobody wypowiedzi i
wolności informacji, do wywiązania się z obowiązku prawnego lub do wykonania
zadania realizowanego w interesie publicznym lub sprawowania władzy publicznej
powierzonej administratorowi lub ustalenia, dochodzenia bądź obrony roszczeń
3) dane wykorzystywane są do celów archiwalnych lub statystycznych, badań
naukowych lub historycznych, o ile prawdopodobne jest, że prawo do zapomnienia
uniemożliwi lub istotnie utrudni realizację takich celów.
3. W przypadku określonym w ust. 2 pkt. 1 przetwarzanie danych osobowych powinno
zostać ograniczone do przechowywania danych, o ile nie naruszy to praw osób trzecich i
interesu osoby, której dane dotyczą.
§ 10
1. Osoba, której dane dotyczą ma prawo żądania od administratora ograniczenia przetwarzania,
z wyjątkiem przechowywania, w następujących przypadkach:
1) osoba, której dane dotyczą kwestionuje prawidłowość danych osobowych – na
okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą sprzeciwia się
usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
3) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są
one potrzebne osobie, której dane dotyczą do ustalenia, dochodzenia lub obrony
roszczeń.
2. Przepis § 9 ust. 2 i 3 stosuje się odpowiednio.
§ 11
1. W przypadku sprostowania, ograniczenia lub usunięcia danych, administrator jest
zobowiązany powiadomić o tym administratorów danych, którym przekazał dane w
ramach struktur Związku Wyznaniowego, chyba, że okaże się to niemożliwe lub będzie
wymagać niewspółmiernie dużego wysiłku.
2. Osoba, której dane dotyczą ma prawo do tego, aby nie podlegać decyzji, która opiera się
wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec
tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
3. Przepis ust. 2 nie ma zastosowania, jeżeli ta decyzja:
1) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane
dotyczą a administratorem;
2) jest dozwolona prawem Unii lub prawem państwa członkowskiego któremu podlega
administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie
uzasadnionych interesów osoby, której dane dotyczą lub
3) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
4. W przypadkach określonych w ust. 3 administrator powinien wdrożyć właściwe środki
ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą a
co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do
wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
Rozdział IV
Zarządzanie ochroną danych
§ 12
1. Administrator ma obowiązek zapewnić odpowiednie środki organizacyjne i techniczne w
celu ochrony danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania
danych oraz ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli jest to
proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie
przez administratora odpowiednich polityk ochrony danych.
2. Na etapie projektowania oraz w trakcie procesów przetwarzania administrator powinien
zastosować odpowiednie środki techniczne i organizacyjne, służące ochronie danych, a
także pozwalające aby domyślnie przetwarzane były wyłącznie te dane osobowe, które
są niezbędne dla osiągnięcia celu przetwarzania.
3. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania,
są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w
przejrzysty i jednoznaczny sposób określają odpowiednie zakresy swojej
odpowiedzialności dotyczącej wypełniania obowiązków wynikających z prawa o ochronie
danych osobowych.
§ 13
1. Administrator prowadzi w formie dokumentowej, w tym w formie elektronicznej, rejestr
czynności przetwarzania danych osobowych, który obejmuje:
1) nazwę administratora (lub współadministratorów oraz jego dane kontaktowe,
jak również inspektora ochrony danych, jeśli został powołany
2) cele przetwarzania;
3) opis kategorii osób których dane dotyczą oraz kategorii danych osobowych;
4) kategorie odbiorców którym dane osobowe zostały lub zostaną ujawnione;
5) gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych
poza terytorium Rzeczypospolitej Polskiej;
6) jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii
danych;
7) jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków
bezpieczeństwa.
2. Administrator ma obowiązek udostępnienia rejestru na żądanie organu nadzorczego.
§ 14
1. Administrator powinien powołać inspektora ochrony danych, jeżeli:
1) w danej jednostce organizacyjnej Związku Wyznaniowego ma miejsce
przetwarzanie danych więcej niż 10.000 osób duża skala) lub
2) przetwarzaniu podlegają szczególne kategorie danych, inne niż przekonania
religijne lub wyznanie.
2. Administratorzy bądź Rada Hoshich mogą powołać jednego wspólnego inspektora dla
wszystkich administratorów w ramach struktur Związku Wyznaniowego, o ile będzie
można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
3. Dane inspektora administrator publikuje na swojej stronie internetowej oraz udostępnia
w miejscu dostępnym dla osób których dane są przetwarzane.
4. W przypadku powołania lub odwołania inspektora ochrony danych administrator bądź
Rada Hoshich zawiadamia o tym fakcie organ nadzorczy.
§ 15
1. Inspektor ochrony danych powinien być odpowiednio i niezwłocznie włączany we
wszystkie sprawy dotyczące ochrony danych osobowych.
2. Administrator oraz osoba odpowiedzialna wspiera inspektora ochrony danych w
wypełnianiu przez niego zadań zapewniając mu zasoby niezbędne do wykonania tych
zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby
niezbędne do utrzymania jego wiedzy fachowej.
3. Administrator zapewnia, aby inspektor ochrony danych nie otrzymywał instrukcji
dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez
administratora za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio
podlega osobie odpowiedzialnej, chyba że sam pełni unkcję osoby odpowiedzialnej.
4. Osoby, których dane dotyczą mogą kontaktować się z inspektorem ochrony danych we
wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z
wykonywaniem przysługujących im praw.
5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy co do
wykonywania swoich zadań.
6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki przy czym nie
powinny one powodować konfliktu interesów.
§ 16
1. Do zadań inspektora ochrony danych osobowych należy w szczególności:
1) informowanie administratora, podmiotu przetwarzającego oraz pracowników którzy
przetwarzają dane osobowe, o obowiązkach spoczywających na nich z mocy prawa o
ochronie danych osobowych i doradzanie im w tych sprawach;
2) monitorowanie przestrzegania prawa o ochronie danych osobowych oraz polityk
administratora lub podmiotu przetwarzającego lub całego Związku Wyznaniowego
w dziedzinie ochrony danych osobowych;
3) współpraca z organem nadzorczym;
4) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach
związanych z przetwarzaniem oraz prowadzenie konsultacji w innych sprawach.
2. Inspektor ochrony danych wypełnia swoje zadania z uwzględnieniem ryzyka związanego
z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele
przetwarzania.
§ 17
Administrator, inspektor ochrony danych oraz osoby odpowiedzialne:
1) współpracują z organem nadzorczym na jego żądanie w ramach wykonywania przez
niego zadań własnych
2) są zobowiązane do przekazywania organowi nadzorczemu wszelkich informacji i
wyjaśnień nieobjętych tajemnicą spowiedzi, o które zwróci się organ nadzoru w ramach
swoich uprawnień – w ciągu 7 dni od otrzymania wezwania drogą korespondencyjną lub
elektroniczną
3) udostępniają zbiory danych, dokumenty oraz pomieszczenia do kontroli przez organ
nadzoru – w ciągu 7 dni od otrzymania wezwania drogą korespondencyjną lub
elektroniczną
4) stosują się do zaleceń oraz rozstrzygnięć organu nadzoru - niezwłocznie bądź we
wskazanym przez organ nadzoru terminie.
§ 18
1. Przekazanie danych do innego zbioru danych może nastąpić na wniosek osoby, której
dane dotyczą lub na wniosek administratora zbioru danych, w którym mają zostać użyte
wnioskowane dane.
2. Przekazywanie danych osobowych innym podmiotom może nastąpić w przypadku, gdy:
1) jest to niezbędne dla wykonania zdań określonych w przepisach prawa lub
2) osoba, której dane dotyczą została o tym poinformowana i uprzednio wyraziła zgodę
na przekazanie danych;
3) przekazanie jest niezbędne dla wykonania umowy, której stroną jest osoba, której
dane dotyczą lub w interesie której dane miałyby zostać przekazane;
4) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
5) dla celów badawczych, w tym historycznych lub statystycznych;
6) w zakresie archiwizacji wymaganej przepisami p
przesyłanych przechowywanych lub w inny sposób przetwarzanych – i mogące w
szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub
niemajątkowych.
2. Gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub
wolności osób fizycznych, administrator zobowiązany jest do dokonania oceny skutków
dla ochrony danych w celu oszacowania, w szczególności, źródła charakteru, specyfiki i
powagi tego ryzyka. Wyniki oceny należy uwzględnić przy określaniu odpowiednich
środków które należy zastosować aby wykazać że przetwarzanie danych osobowych
odbywa się zgodnie z niniejszym Regulaminem. Jeżeli ocena skutków dla ochrony
danych wykaże że operacje przetwarzania powodują wysokie ryzyko, którego
administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia
dostępnej technologii i kosztów wdrożenia przed przetwarzaniem należy uzyskać opinię
organu nadzorczego.
§ 20
1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki
– w miarę możliwości nie później jednak niż w ciągu 72 godzin po stwierdzeniu
naruszenia – zgłasza je organowi nadzorczemu oraz swojej władzy przełożonej chyba że
jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu lub
swojej władzy przełożonej po upływie 72 godzin dołącza się wyjaśnienie przyczyn
opóźnienia.
2. Zgłoszenie o którym mowa w ust. 1, musi co najmniej:
1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę
możliwości wskazywać kategorie i szacunkową liczbę osób których dane dotyczą
oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy
naruszenie;
2) zawierać imię i nazwisko oraz dane kontaktowe inspektora lub oznaczenie innego
punktu kontaktowego, od którego można uzyskać więcej informacji;
3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4) opisywać środki zastosowane lub proponowane przez administratora w celu
zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych
przypadkach, środki w celu zminimalizowania jego ewentualnych negatywnych
skutków.
3. Jeżeli informacji nie da się udzielić w tym samym czasie, można udzielać ich
sukcesywnie.
4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym
okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania
zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie
przestrzegania niniejszego artykułu.
5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko
naruszenia praw lub wolności osób fizycznych, administrator, bez zbędnej zwłoki,
zawiadamia jasnym i prostym językiem osobę której dane dotyczą o takim naruszeniu.
6. Z obowiązku określonego w ust. 5 administrator jest zwolniony, jeśli:
1) wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te
zostały zastosowane do danych osobowych, których dotyczy naruszenie, w
szczególności chodzi tu o środki uniemożliwiające odczyt osobom
nieuprawnionym do dostępu do tych danych osobowych, lub
2) zastosował następnie środki eliminujące prawdopodobieństwo wysokiego
ryzyka naruszenia praw lub wolności osoby, której dane dotyczą
3) wymagałoby to nadmiernego wysiłku wówczas zobowiązany jest do wydania
publicznego komunikatu lub zastosowanie podobnego środka, za pomocą
którego osoby, których dane dotyczą zostają poinformowane w równie
skuteczny sposób.
Rozdział V
Organ nadzoru i rozpatrywanie skarg
§ 21
1. Każda osoba, której dane dotyczą ma prawo zwrócić się do organu nadzorczego, jeżeli
sądzi że przetwarzanie danych osobowych jej dotyczące narusza przepisy o ochronie
danych osobowych (skarga).
2. Niezależnym organem nadzorczym w zakresie przetwarzania danych, o którym mowa w
art. 91 ust. 2 Rozporządzenia jest Komisarz Ochrony Danych Osobowych BWZ Kannon
albo Wspólna Komisja Religijna Ochrony Danych Osobowych, jeśli Związek Wyznaniowy
zawrze stosowne porozumienie.
3. Rozstrzyganie w sprawach dotyczących ochrony danych osobowych, w części objętej
konstytucyjnymi gwarancjami autonomii i niezależności Związku Wyznaniowego, nie
podlega jurysdykcji innych organów niż organu nadzorczego, o którym mowa w ust. 2.
4. Jeżeli żądanie skarżącego jest w sposób oczywisty nieuzasadnione lub nadmierne, w
szczególności ze względu na swą powtarzalność organ nadzorczy może pobrać opłatę w
rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić
podjęcia żądanych działań.
§ 22
1. Komisarz powoływany jest przez Radę Hoshich na 5-letnią kadencję z możliwością
ponownego wyboru. Rada Hoshich wybiera także Zastępcę Komisarza.
2. Kandydat na Komisarza musi spełniać następujące warunki:
1) posiadanie wykształcenia wyższego prawniczego, administracyjnego lub w zakresie
bezpieczeństwa informacji bądź innego wykształcenia wyższego i doświadczenia
zawodowego w zakresie ochrony danych osobowych;
2) posiadanie wiedzy na temat doktryny religijnej Związku Wyznaniowego w stopniu
wystarczającym do realizacji obowiązków
3) niekaralność wyrokiem sądu powszechnego;
4) wyrażenie zgody na kandydowanie i objęcie tego urzędu.
3. W celu zapewnienia niezależności, Komisarz w okresie pełnienia urzędu nie może:
1) uzyskiwać wynagrodzenia z tytułu świadczenia pracy lub innych korzyści
materialnych z tytułu posługi dla Związku Wyznaniowego, poza związanymi z
pełnieniem urzędu Komisarza;
2) podejmować działalności sprzecznej z pełnionym urzędem.
4. Komisarz może zostać odwołany przed upływem kadencji tylko w przypadku, gdy
dopuścił się poważnego uchybienia swoich obowiązków lub przestał spełniać warunki
wskazane w ust. 2 lub 3.
5. Komisarz może złożyć rezygnację z pełnionego urzędu która uzyskuje skuteczność wraz
z potwierdzeniem jej przyjęcia w formie uchwały przez Radę Hoshich.
6. Przepisy dotyczące wyboru, odwołania i funkcjonowania Komisarza stosuje się
odpowiednio do Zastępcy Komisarza, który wykonuje czynności Komisarza w przypadku
jego odwołania lub rezygnacji do końca kadencji Komisarza bądź czasowej niemożności
sprawowania urzędu lub rozpatrywania konkretnej skargi, co do której Komisarz
wyłączył się z rozstrzygania.
§ 23
1. Obsługę administracyjną organu nadzoru zapewnia Zarząd BWZ Kannon.
2. Organ nadzoru może przyjąć szczegółową instrukcję wewnętrzną, określającą
rozpatrywanie skarg i tryb podejmowania decyzji.
§ 24
1. Skarga do organu nadzorczego może być składana elektronicznie lub pisemnie na adres
organu.
2. Po otrzymaniu skargi organ nadzoru może zwrócić się do skarżącego o uzupełnienie
skargi lub dodatkowe wyjaśnienia niezbędne do rozpoczęcia postępowania w sprawie o
stwierdzenie naruszenia zasad ochrony danych osobowych bądź rozstrzygnięcie w takiej
sprawie.
3. Organ nadzoru wszczyna postępowanie w sprawie o stwierdzenie naruszenia zasad
ochrony danych osobowych z urzędu lub na podstawie skargi, o ile nie jest ona w sposób
oczywisty bezpodstawna. O oczywistej bezpodstawności skargi organ nadzoru informuje
skarżącego w formie postanowienia w ciągu 14 dni od daty jej wniesienia. Skarżący może
wnieść wniosek o ponowne rozpatrzenie skargi w ciągu 30 dni od daty doręczenia mu
postanowienia organu nadzoru.
4. W toku postępowania w sprawie o stwierdzenie naruszenia zasad ochrony danych
osobowych organ nadzoru zapoznaje się z materiałem dowodowym, skargą i
wyjaśnieniami skarżącego oraz stanowiskiem administratora danych.
5. Rozpatrzenie skargi powinno nastąpić w ciągu jednego miesiąca od daty jej wniesienia, a
jeżeli sprawa jest skomplikowana – dwóch miesięcy. W wyjątkowych sytuacjach organ
nadzoru może wydłużyć rozpatrywanie skargi.
6. Postępowanie w sprawie o stwierdzenie naruszenia zasad ochrony danych osobowych
kończy się rozstrzygnięciem o stwierdzeniu bądź niestwierdzeniu naruszenia zasad
ochrony danych osobowych oraz w pierwszym przypadku dodatkowo zobowiązaniem
administratora do określonego działania.
7. Od rozstrzygnięcia organu nadzoru nie przysługuje odwołanie ale możliwe jest
ponowne rozpatrzenie sprawy przez ten organ na wniosek skarżącego lub
administratora albo z urzędu.
§ 25
1. Komisarz podczas wypełniania swoich zadań i wykonywania swoich uprawnień działa w
sposób w pełni niezależny.
2. Komisarz podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie
z niniejszym Regulaminem pozostaje wolny od bezpośrednich i pośrednich wpływów
zewnętrznych nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.
3. Komisarz ma obowiązek zachowania tajemnicy służbowej w odniesieniu do wszelkich
poufnych informacji, które uzyskał w toku wypełniania zadań lub wykonywania swoich
uprawnień.
4. Komisarz może otrzymywać zwrot uzasadnionych kosztów wykonywania swoich
obowiązków.
§ 26
Organ nadzoru wykonuje następujące zadania:
1) monitoruje i egzekwuje stosowanie prawa o ochronie danych osobowych;
2) upowszechnia w Związku Wyznaniowym wiedzę o ryzyku, przepisach, zabezpieczeniach
i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk;
3) doradza władzom Związku Wyznaniowego w sprawie aktów prawnych i
administracyjnych środków ochrony praw i wolności osób fizycznych w związku z
przetwarzaniem;
4) upowszechnia wśród administratorów danych wiedzę o obowiązkach spoczywających na
nich na mocy prawa o ochronie danych osobowych;
5) udziela osobie, której dane dotyczą na jej żądanie informacji o wykonywaniu praw
przysługujących jej na mocy prawa o ochronie danych osobowych;
6) rozpatruje skargi wniesione przez osobę której dane dotyczą w odpowiednim zakresie
prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje
skarżącego o postępach i wynikach tych postępowań w szczególności jeżeli niezbędne
jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem;
7) prowadzi postępowania w sprawie stosowania prawa o ochronie danych osobowych, w
tym na podstawie informacji otrzymanych od innego organu;
8) monitoruje zmiany w stosownych dziedzinach, o ile te zmiany mają wpływ na ochronę
danych osobowych, w szczególności monitoruje rozwój technologii informacyjnokomunikacyjnych;
9) prowadzi wewnętrzny rejestr naruszeń prawa o ochronie danych osobowych;
10)wypełnia inne zadania związane z ochroną danych osobowych, w tym wydaje zalecenia
dla administratorów i władz Związku Wyznaniowego.
§ 27
Organowi nadzoru przysługują następujące uprawnienia:
1) nakazanie właściwej władzy przełożonej administratorowi lub osobie
odpowiedzialnej dostarczenia wszelkich informacji, potrzebnych organowi
nadzorczemu do realizacji swoich zadań
2) zawiadamianie właściwej władzy przełożonej administratora lub osoby
odpowiedzialnej o podejrzeniu naruszenia prawa o ochronie danych osobowych;
3) uzyskiwanie od administratora lub osoby odpowiedzialnej dostępu do wszelkich
danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do
realizacji jego zadań
4) uzyskiwanie dostępu do wszystkich pomieszczeń administratora, w tym do sprzętu i
środków służących do przetwarzania danych;
5) wydawanie ostrzeżeń administratorowi lub osobie odpowiedzialnej dotyczących
możliwości naruszenia przepisów poprzez planowane operacje przetwarzania;
6) udzielanie upomnień administratorowi lub osobie odpowiedzialnej w przypadku
naruszenia przepisów przez operacje przetwarzania;
7) nakazanie administratorowi lub osobie odpowiedzialnej spełnienia żądania osoby,
której dane dotyczą wynikającego z praw przysługujących jej na mocy prawa o
ochronie danych osobowych;
8) nakazanie administratorowi lub osobie odpowiedzialnej dostosowania operacji
przetwarzania do przepisów prawa o ochronie danych osobowych, a w stosownych
przypadkach wskazanie sposobu i terminu;
9) nakazanie administratorowi lub osobie odpowiedzialnej zawiadomienia osoby,
której dane dotyczą o naruszeniu ochrony danych;
10)wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym
zakazu przetwarzania;
11) nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich
przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców
którym dane osobowe ujawniono;
12)wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla władz
Związku Wyznaniowego we wszelkich sprawach związanych z ochroną danych
osobowych.
§ 28
Organ nadzorczy sporządza roczne sprawozdanie ze swojej działalności i przedstawia je Radzie
Hoshich.
§ 29
1. Administrator jest zobowiązany uzyskać opinię organu nadzorczego przed rozpoczęciem
operacji polegających na powierzeniu przetwarzania poza struktury Związku
Wyznaniowego, przekazaniu danych poza granicę państwa (przetwarzanie
transgraniczne), profilowania, jak również w sytuacji, gdy dany rodzaj przetwarzania – w
szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres,
kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko
naruszenia praw lub wolności osób fizycznych.
2. Wraz z wnioskiem o wydanie opinii, o której mowa w ust. 1, administrator przedkłada
organowi nadzorczemu własną ocenę skutków planowanych operacji przetwarzania dla
ochrony danych osobowych oraz in ormację o planowanych zabezpieczeniach wraz ze
stanem ich przygotowania.
3. Wydana opinia nie wiąże organu nadzorczego w rozstrzyganiu skarg osób których dane są
przetwarzane.
§ 30
1. Związek Wyznaniowy może poddać się nadzorowi Wspólnej Komisji Religijnej Ochrony
Danych Osobowych (WKRODO).
2. Z dniem wejścia w życie odpowiednich uzgodnień i decyzji, o których mowa w ust. 1,
WKRODO przejmuje wszelkie uprawnienia Komisarza, a kadencja urzędującego
Komisarza ulega wygaszeniu z tym dniem - tak dla skarg nowych, jak i dotychczasowych.
3. Niniejszy Regulamin stosuje się odpowiednio do WKRODO.
Rozdział VI
Przepisy przejściowe i końcowe
§ 31
1. Niniejszy Regulamin wchodzi w życie po upływie 7 dni od daty jego przyjęcia.
2. W zakresie nieuregulowanym Regulaminem należy odpowiednio stosować przepisy
Rozporządzenia.
Ogłoszenie niniejszego Regulaminu następuje na stronach internetowych Związku
Wyznaniowego w ciągu 7 dni od daty jego przyjęcia.