Vitajte na stránkach Farnosti Chlebnice!
• Farský úrad Chlebnice: 043/5894 363
• Napíšte nám: KNIHA NÁVŠTEV
Zabezpečenie ochrany osobných údajov
Rímskokatolíckou cirkvou v Slovenskej republike
Čl. I
Základné ustanovenia
1) Účelom tohto dokumentu je preukázať, že spracúvanie osobných údajov Rímskokatolíckou cirkvou v Slovenskej republike sa vykonáva v súlade s aktuálne platnou právnou úpravou, najmä Zákonom 18/2018 Z. z. o ochrane osobných údajov a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
2) Vzťahy medzi Katolíckou cirkvou v Slovenskej republike a Slovenskou republikou upravuje Základná zmluva medzi Svätou stolicou a Slovenskou republikou. Katolícku cirkev v Slovenskej republike reprezentujú Rímskokatolícka cirkev a Gréckokatolícka cirkev, tak ako sú zaregistrované na Ministerstve kultúry Slovenskej republiky.
3) Rímskokatolícka cirkev v Slovenskej republike a všetky právnické osoby, ktoré si odvodzujú svoju právnu subjektivitu od cirkví v zmysle § 19 Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností spracovávajú osobné údaje v súlade s platnou právnou úpravou, najmä Zákonom 18/2018 Z. z. o ochrane osobných údajov a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
4) Rímskokatolícka cirkev v Slovenskej republike spracúva v informačných systémoch osobné údaje a osobitné kategórie osobných údajov výlučne dotknutých osôb vymedzených týmto dokumentom a výlučne na základe zákonných dôvodov a pre účely vymedzené týmto dokumentom. Rímskokatolícka cirkev v Slovenskej republike nespracúva žiadne ďalšie osobné údaje ani osobitné kategórie osobných údajov v informačných systémoch bez súhlasu dotknutých osôb.
5) Tento dokument je výsledkom posúdenia spracúvania osobných údajov a toku osobných údajov v Katolíckej cirkvi pre účely právnych noriem upravujúcich ochranu osobných údajov. Zavedením štandardizovanej ochrany osobných údajov na základe princípov tu uvedených je minimalizované riziko porušenia ochrany osobných údajov.
Čl. II
Vymedzenie pojmov
1) Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje,1) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
2) Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
3) Spracúvaním osobných údajov sa myslí spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami, pomocou informačno-komunikačných technológií alebo bez nich.
4) Profilovaním sa myslí akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
5) Pseudonymizáciou sa rozumie spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osobe.
6) Logom (log, logovací záznam) sa rozumie záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme.
7) Šifrovaním sa rozumie transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra ako je kľúč alebo heslo.
8) Online identifikátorom sa rozumie identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu.
9) Informačným systémom sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktorý je prístupný podľa určených kritérií, bez ohľadu na to, či ide o systém realizovaný digitálnymi technológiami, bez nich, prípadne kombinovane, centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.
10) Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.
11) Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa.
12) Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
13) Treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom, sprostredkovateľom alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
14) Príjemcom je každá fyzická osoba, ktorá nie je dotknutou osobou a ktorá sa oboznámi s osobnými údajmi dotknutej osoby.
15) Záväznými predpismi Cirkvi sa rozumejú Kódex kánonického práva z roku 1983, všeobecné a partikulárne zákony promulgované po Kódexe kánonického práva a iné záväzné cirkevné predpisy.
16) Partikulárnou cirkvou sa rozumie arcidiecéza, diecéza, archieparchia, eparchia, ordinariát ozbrojených síl a ozbrojených zborov.
17) Právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví sa rozumejú právnické osoby evidované podľa §19 ods. 1 Zákona 308/1991 Zb. v registri vedenom Ministerstvom kultúry SR.
18) Pojmom „Cirkev“ sa pre účely tohoto dokumentu rozumie Rímskokatolícka cirkev podľa kán. 1 Kódexu kánonického práva (latinská cirkev).
Čl. III
Vymedzenie prevádzkovateľa a sprostredkovateľa
1) Rímskokatolícka cirkev v Slovenskej republike v súlade s § 4 ods. 3 Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností je právnickou osobou. Partikulárne cirkvi (diecézy) zriaďuje najvyššia cirkevná vrchnosť Svätá stolica a pre účely ochrany osobných údajov sa Rímskokatolícka cirkev v Slovenskej republike považuje za jeden právny subjekt.
2) Partikulárne cirkvi sú v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností právnické osoby a pre účely ochrany osobných údajov sa považujú za prevádzkovateľa alebo sprostredkovateľa a to v závislosti od skupiny a účelu spracúvania osobných údajov alebo od informačného systému.
3) Farnosti sú v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností právnické osoby a pre účely ochrany osobných údajov sa považujú za prevádzkovateľa alebo sprostredkovateľa a to v závislosti od skupiny a účelu spracúvania osobných údajov alebo od informačného systému.
4) Právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví sa považujú za prevádzkovateľa alebo sprostredkovateľa a to v závislosti od skupiny a účelu spracúvania osobných údajov alebo od informačného systému.
5) Vzťahy medzi prevádzkovateľom a sprostredkovateľom v každom jednotlivom prípade sa riadia podľa záväzných predpisov Cirkvi. V týchto predpisoch sú písomne zahrnuté povinnosti spracovávať osobné údaje priamo prevádzkovateľom alebo v mene prevádzkovateľa. Ak sa uskutočňuje prenos do tretej krajiny, ktorou sa myslí aj Vatikán, tak sa uskutočňuje s vedomím prevádzkovateľa. Akýkoľvek cezhraničný prenos osobných údajov sa uskutočňuje výlučne v rámci Cirkvi, ak v ďalších ustanoveniach nie je uvedené inak. Ďalšie povinnosti sa riadia týmto dokumentom.
Čl. IV
Vymedzenie dotknutých osôb
1) Dotknuté osoby, ktorých osobné údaje sa spracúvajú vyššie uvedenými prevádzkovateľmi alebo sprostredkovateľmi sú:
a) osoby v duchovnej službe Cirkvi: klerici, zasvätené osoby a osoby pripravujúce sa na duchovnú službu
b) zamestnanci vyššie vymedzených právnických osôb
c) členovia cirkvi alebo ďalšie fyzické osoby, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku
d) ďalšie fyzické osoby v príležitostnom styku s Cirkvou
e) osoby, ktoré sú v zmluvnom vzťahu s jednotlivými prevádzkovateľmi
Čl. V
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov osôb v duchovnej službe Cirkvi
A. Vymedzenie účelov a právnych základov
1) Rímskokatolícka cirkev v Slovenskej republike ako prevádzkovateľ, prostredníctvom niektorej alebo viacerých vyššie vymedzených právnických osôb (sprostredkovateľov), spracúva osobné údaje, vrátane osobitných kategórií osobných údajov, osôb v duchovnej službe na základe záväzných predpisov Cirkvi a v súlade s čl. 2 ods. 1 Základnej zmluvy medzi Svätou stolicou a Slovenskou republikou výlučne pre účely správy vnútorných vecí a pre účely oprávnených záujmov prevádzkovateľa. Tieto údaje sa spracovávajú aj pre účely štúdia na cirkevných univerzitách a vykonávanie duchovnej služby.
2) Právo Rímskokatolíckej cirkvi v Slovenskej republike spracúvať takéto osobné údaje, vrátane osobitných kategórií osobných údajov, pre účely správy vnútorných vecí a pre účely oprávnených záujmov prevádzkovateľa, zostáva zachované aj po ukončení duchovnej služby takejto osoby v rozsahu záväzných predpisov Cirkvi.
3) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov týchto dotknutých osôb slúžia výlučne pre vnútornú potrebu Cirkvi a nebudú poskytnuté príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby. Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov môžu byť poskytnuté tretím stranám bez súhlasu týchto dotknutých osôb, ak ide o tretiu stranu v rámci Cirkvi a výlučne pre účely vnútornej potreby Cirkvi. Treťou stranou sa rozumie aj Gréckokatolícka cirkev v Slovenskej republike.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
4) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov týchto dotknutých osôb môžu byť v súlade s platnou legislatívou prenesené do tretích krajín za podmienok vymedzených v odseku 3.
5) Pri spracúvaní osobných údajov, vrátane osobitných kategórií osobných údajov týchto osôb môže dôjsť k profilovaniu na úrovni tu definovaných právnických osôb. Postup, význam, ako aj predpokladané dôsledky takéhoto spracovania sú uvedené v záväzných predpisoch Cirkvi. Pri spracúvaní osobných údajov vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
6) Osobné údaje, vrátane osobitných kategórií osobných údajov, tu vymedzených dotknutých osôb sa získavajú od dotknutých osôb. Od ďalších osôb sa získavajú na právnom základe vyplývajúcom zo záväzných predpisov Cirkvi a výlučne na účely správy vnútorných vecí.
7) Spracúvané osobné údaje o dotknutých osobách podľa tohto článku sa spracúvajú nepretržite.
8) Prevádzkovateľ je povinný do administratívnych podkladov pri prvej žiadosti osôb o pôsobenie v duchovnej službe zahrnúť nasledovnú formuláciu: „Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike.“
9) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. VI
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov zamestnancov
A. Vymedzenie účelov a právnych základov
1) Partikulárne cirkvi, farnosti a ďalšie právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví spracúvajú osobné údaje svojich zamestnancov ako prevádzkovatelia výlučne pre účely pracovnoprávnych vzťahov a ďalších právnych vzťahov, ktoré vyplývajú z pracovného práva a práva sociálneho zabezpečenia a to na základe uvedených právnych základov:
a) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
b) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
d) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa;
e) ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom2) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
2) Osobitné kategórie osobných údajov sa spracúvajú na tom právnom základe, že ich spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
3) Spracúvané osobné údaje vrátane osobitnej kategórie osobných údajov týchto dotknutých osôb nebudú poskytnuté tretím stranám ani ďalším príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby; to neplatí pre poskytnutie osobných údajov štátnym orgánom.
4) V súlade s platnou legislatívou, partikulárne cirkvi, farnosti a ďalšie právnické osoby, ktoré si v zmysle Zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností odvodzujú svoju právnu subjektivitu od cirkví ako prevádzkovatelia môžu poveriť spracúvaním osobných údajov svojich zamestnancov inú fyzickú alebo právnickú osobu (sprostredkovateľa v postavení subdodávateľa) a to výlučne na základe písomnej zmluvy s uvedením náležitostí týkajúcich sa ochrany osobných údajov. (Príloha I)
5) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, pracovné telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
6) Pri spracúvaní osobných údajov, vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k profilovaniu na úrovni tu definovaných právnických osôb. Pri spracúvaní osobných vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
7) Spracúvané osobné údaje o dotknutých osobách podľa tohto článku sa spracúvajú nepretržite.
8) Prevádzkovateľ je povinný do pracovnej alebo obdobnej zmluvy zahrnúť nasledovnú formuláciu: „Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike.“
9) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. VII
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov členov cirkvi alebo ďalších fyzických osôb, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku (vedenie matrík)
A. Vymedzenie účelov a právnych základov
1) Partikulárne cirkvi ako prevádzkovatelia, prostredníctvom farností ako sprostredkovateľov, spracúvajú osobné údaje, vrátane osobitných kategórií osobných údajov, členov cirkvi alebo ďalších fyzických osôb, ktoré sú s cirkvou vzhľadom na jej ciele v pravidelnom styku pre účely správy vnútorných vecí cirkvi, pre účely správy vnútorných vecí, výkonu práv a záujmov dotknutých osôb podľa interných predpisov Cirkvi (vysluhovanie sviatostí, účasť na cirkevných obradoch a cirkevnom živote), pre archivačné, štatistické a vedecké účely na základe nasledovných právnych základov:
a) spracúvanie osobných údajov je nevyhnutné podľa medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorou je čl. 2 ods. 1 Základnej zmluvy medzi Svätou stolicou a Slovenskou republikou výlučne pre účely správy vnútorných vecí
b) spracúvanie vykonáva v rámci oprávnenej činnosti štátom uznaná cirkev
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
d) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa;
e) ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom3) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
2) Pri spracúvaní osobných údajov týchto osôb nedochádza k profilovaniu. Pri spracúvaní osobných vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
3) Spracúvané osobné údaje sa môžu viesť v centralizovanom informačnom systéme bez súhlasu dotknutých osôb na základe vymedzených účelov a právnych základov v odseku 1.
4) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov, týchto dotknutých osôb slúžia výlučne pre vnútornú potrebu a nebudú poskytnuté tretím stranám ani iným príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby s výnimkou uvedenou v odsekoch 5 a 6.
5) Spracúvané osobné údaje, vrátane osobitných kategórií osobných údajov, týchto dotknutých osôb možno prenášať bez súhlasu dotknutej osoby medzi jednotlivými partikulárnymi cirkvami, farnosťami a to aj medzi krajinami Európskej únie a tretími krajinami, za podmienok vedených v záväzných predpisoch Cirkvi na účely vysluhovania sviatostí, na účely štúdia na cirkevných univerzitách a vykonávanie duchovnej služby.
6) V prípade, že dotknutá osoba žiada prístup do matriky pre svoje osobné účely (napr. tvorba genealógie) osobne alebo prostredníctvom inej fyzickej alebo právnickej osoby, je povinná podpísať vyhlásenie o zachovaní mlčanlivosti o osobných údajoch žijúcich osôb, s ktorými sa oboznámila pri tejto činnosti. Za neoprávnené nakladanie s osobnými údajmi dotknutých žijúcich osôb zodpovedá osoba, ktorá podpísala záväzok mlčanlivosti (Príloha II).