Nr. 2311/2018.
A NAGYVÁRADI RÓMAI KATOLIKUS PÜSPÖKSÉG SZEMÉLYES ADATVÉDELEMRŐL SZÓLÓ SZABÁLYZATA
I. Fejezet: ÁLTALÁNOS ELŐÍRÁSOK
1. cikk – Cél és alkalmazandóság
(1) A jelen szabályzat az egyének alapvető jogainak és szabadságainak védelmét biztosítja azáltal, hogy szabályokat állapít meg az egyének védelmére a személyes adatok feldolgozása és a személyes adatok szabad mozgása tekintetében.
(2) A jelen szabályzat az Európai Parlament és a Tanács (EU), a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló) 2016. április 27-i 2016/679 rendelet („általános adatvédelmi rendelet”) – a továbbiakban Rendelet, a 2018. május 25-ihatálybalépésével bevezetett elvekkel összhangban került kidolgozásra, figyelembe véve az Egyetemes Katolikus Egyház alapelveit és szerepét.
(3) A jelen szabályzat a Nagyváradi Római Katolikus Püspökség keretében működő valamennyi szervezetre vonatkozik, célja, hogy biztosítsa a szabályzatban elismert jogok tiszteletben tartását a személyes adatok teljes vagy részleges automatizált feldolgozása, valamint a személyes adatok nem automatizált feldolgozása során, amely adatok egy meghatározott adatnyilvántartási rendszer részét képezik, vagy amelyeket egy adott adatnyilvántartási rendszer részévé kívánnak tenni.
2. cikk – Törvényes meghatározások
A jelen szabályzatban a következő kifejezések a következő értelemmel rendelkeznek:
1 .„személyes adatok” azonosított vagy azonosítható természetes személyre, a továbbiakban „érintettre” vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. „adatkezelő” a Nagyváradi Római Katolikus Püspökség keretén belüli entitás, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;
3. „adatkezelő által megbízott személy” természetes vagy jogi személy, állami hatóság, ügynökség vagy más szerv, amely az adatkezelő nevében dolgozza fel a személyes adatokat;
4. „adatkezelés”a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
5. „felügyelő hatóság” Romániában az ANSDPC – Adatvédelmi Hatóság, amely a Rendelet 51. cikke alapján létrehozott független hatóság;
6. „az adatkezelés korlátozása”a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
7. „nyilvántartási rendszer” a személyes adatok bármely módon – centralizált, decentralizált, funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
8. „harmadik fél” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
9. „az érintett hozzájárulása” az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
3. cikk – Elvek
A személyes adatok feldolgozása során a következő alapvető elveket vesszük figyelembe:
1. Az adatkezelés jogszerűsége – lehetőség szerint minden alkalommal erőfeszítéseket teszünk az érintett hozzájárulásának megszerzésére, a törvényekkel és a jelen szabályzattal összhangban; kivételesen, amennyiben az érintett hozzájárulása nem szerezhető meg, nem személyhez kapcsolódó, objektív okokból, a közérdekre és / vagy a jogos érdekre való hivatkozás lehetőségét tartjuk szem előtt;
2. A tevékenység átláthatósága – az adatkezelő tájékoztatja az érintettet a tárolt adatok feldolgozásával összefüggésben végzett tevékenységeiről, valamint az érintetteknek a jogszabályokkal összhangban meglévő jogairól;
3. Az adatgyűjtés kizárólag a Nagyváradi Római Katolikus Püspökség és általában véve a Katolikus Egyház érdekei és / vagy annak konkrét nyilvántartási céljából történik.
4. A feldolgozásra szánt adatok kizárólag azokra korlátozódnak, amelyek a Katolikus Egyházon belül szükséges, különleges nyilvántartások számárra fontosak és megfelelőek;
5. Figyelünk arra, hogy az összegyűjtött és feldolgozott adatok a törvény által megállapított feltételekkel összhangban, folyamatosan frissítésre kerüljenek;
6. Az adatok feldolgozását úgy végezzük, hogy azok integritása megmaradjon, és gondossággal őrizzük az efféle adatok titkosságát;
7. A személyes adatokat úgy tároljuk, hogy biztosítsák az érintettek azonosítását abban az időszakban, amelyben a tárolás szükséges, de arra a célra is, amelyre azokat összegyűjtöttük. Figyelembe kell venni, hogy a plébániai nyilvántartásokban tárolt adatok a kutatás és a statisztika, valamint a történeti dokumentumok szempontjából különös jelentőséget képviselhetnek;
8. Az adatfeldolgozónak, valamint a törvényben és a jelen szabályzatban foglaltaknak megfelelően részt vevő egyéb személyeknek vagy szervezeteknek meg kell érteniük és vállalniuk kell minden olyan felelősséget, amely a meghatározott tevékenységek során gyűjtött, feldolgozott és tárolt személyes adatok védelméből ered.
II. Fejezet: Az érintett jogai
4. cikk – Tájékoztatáshoz való jog
1. Amikor az üzemeltető adatokat gyűjt be az érintett személytől, minden adatot megad az érintett számára az adatkezelő személyazonosságára, az adatgyűjtés céljára, valamint adott esetben az adatok feldolgozására és tárolására vonatkozóan, adott esetben az adatkezelő azon szándékáról, hogy az adatokat harmadik félnek továbbítsa, az adatok tárolásának időtartamáról, hangsúlyozva a tevékenység sajátosságait és a plébániák szintjén meglévő nyilvántartások adatait, az érintett jogát arra, hogy kérheti a személyes adatokhoz való hozzáférést, illetve a személyes adatok helyesbítésének, korlátozásának vagy törlésének jogát.
2. Az érintettek információhoz való jogát akkor is meg kell őrizni, ha a személyes adatokat a tulajdonostól eltérő személytől gyűjtik, a törvénynek megfelelően.
3. A tájékoztatás konkrét módját és feltételeit a konkrét helyzettől függően határozzák meg, a Rendelet és a jelenlegi nemzeti és / vagy európai törvény végrehajtásának módszertanában.
5. cikk – A személyes adatokhoz való hozzáférési jog
1. Az érintettnek joga van hozzáférést szerezni az adatkezelőtől az adatkezelő birtokában lévő és általa feldolgozott személyes adatokhoz. Ugyanakkor, az érintetteknek joguk van számos információhoz hozzáférni adatainak feldolgozása vonatkozásában, ideértve az adatok védelmével kapcsolatos panasz benyújtására való joggal kapcsolatos információkat is.
2. A hozzáférési jog gyakorlásának konkrét módját a Rendelet, valamint a jelenlegi nemzeti és / vagy európai törvények végrehajtásának módszertanában kerül meghatározásra.
6. cikk – Személyes adatok frissítéséhez való jog
Az érintett jogosult kérni az adatkezelőt személyes adatainak frissítésére és / vagy kiegészítésére, ha azokban bármilyen változás történik, figyelembe véve az adatfeldolgozás és tárolás célját.
7. cikk – Az adatkezelés korlátozásához való jog
1. Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
– az érintett vitatja a személyes adatok pontosságát;
– az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
– az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat hatóság előtt történő felhasználás céljából;
– az érintett tiltakozott az adatkezelés ellen, az adatkezelő pedig az adatok feldolgozásának törvényes jogára hivatkozik; mindaddig, amíg az arányosság elvének alkalmazásával nem döntenek arról, hogy az adatkezelő jogos érdeke vagy az érintett egyéni érdeke érvényesül-e, ilyen módon a személyes adatok feldolgozása korlátozható.
– amennyiben az érintett gyakorolja az adatfeldolgozás korlátozására vonatkozó jogát, más adatkezelési műveleteket is csak az érintett kifejezett hozzájárulása alapján lehet végezni, a törvényben meghatározott kivételekkel és / vagy azokkal, amelyek az adatkezelő által végzett nyilvántartás jellemzőjéhez és céljához kapcsolódnak. Az adattárolási tevékenységet azonban nem érinti, ha az érintett gyakorolja a korlátozás jogát.
– az adatkorlátozás jogának gyakorlására vonatkozó általános és különös szabályok végrehajtásának konkrét módja a Rendelet, valamint a jelenlegi nemzeti és / vagy európai törvény végrehajtásának módszertanában kerül kidolgozásra.
8. cikk – A törléshez való jog
1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
– a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték. Figyelembe kell venni, hogy a plébániák szintjén meglévő speciális nyilvántartások a tudományos kutatás és a statisztika szempontjából rendelkeznek jelentőséggel;
– az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
– az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
– a személyes adatokat jogellenesen kezelték;
– a személyes adatokat törölni kell az adatkezelőre háruló jogi kötelezettség teljesítése érdekében.
2. Ha az érintett személyes adatainak törlését kéri, figyelembe kell venni az adatok plébániai nyilvántartásokba való bejegyzésének sajátosságait, valamint azt, hogy azok történelmi, tudományos és statisztikai jelentőségűek. Ilyen körülmények között az eljárás minden esetben magában foglalja a törlés jegyzékbe vételét.
3. A személyes adatok törlési jogának gyakorlására vonatkozó általános és különös szabályok végrehajtásának konkrét módját a Rendelet, valamint a jelenlegi nemzeti és / vagy európai törvény végrehajtásának módszertanában kerül kidolgozásra.
9. cikk – Az adathordozhatósághoz való jog
1. Ha az adatok feldolgozása automatikus módon, és az érintett hozzájárulása alapján történik, az érintettnek joga van az adatokat továbbítani egy másik adatkezelőhöz, vagy akár az eredeti adatkezelőt is megkérheti az ilyen adatok automatikus továbbítására.
2. Ennek a jognak a gyakorlása nem sértheti az adatfeldolgozó jogait és érdekeit, mindaddig, amíg az üzemeltető jogos érdekei közérdek vagy jogos érdek érvényesülését szolgálják.
3. A személyes adatok hordozhatóságának gyakorlására vonatkozó általános és különös szabályok végrehajtásának konkrét módját a Rendelet, valamint a Rendelet alapján kidolgozott nemzeti és / vagy európai törvény fejti ki.
10. cikk – A tiltakozáshoz való jog
A konkrét helyzettől függően az érintett kifogást emelhet a személyes adatoknak az adatkezelő általi feldolgozása ellen. Efféle tiltakozást csak akkor gyakorolhat, ha az érintett egyedi, egyéni indokokra hivatkozik, amelyek alátámasztják tiltakozását, és csak akkor, ha az adatkezelő jogos érdeke már nem igazolja az adatok feldolgozását az érintett tiltakozásával szemben.
11. cikk – Beleegyezés
(1) A legtöbb esetben a személyes adatok gyűjtésének, feldolgozásának és tárolásának az érintett hozzájárulásával kell történnie.
(2) Ha a feldolgozás hozzájáruláson alapul, az adatkezelőnek bizonyítania kell, hogy az érintett hozzájárult személyes adatainak feldolgozásához.
(3) Ahhoz, hogy a hozzájárulás érvényes legyen, a következő feltételeknek kell teljesülniük:
– szabadon kifejezett szándéknyilatkozat, amely által az érintett egyértelmű beleegyezését adja;
– személyes adatainak szükséges begyűjtése, feldolgozása és tárolása egy adott területen;
– a hozzájárulás kifejezett formában történt;
– az adatkezelő nem befolyásolta a hozzájárulást;
– a hozzájárulás világos és tömör;
– a szándéknyilatkozat személyes nyilatkozatban vagy egyértelmű cselekvés által kifejezett.
(4) Az érintettnek bármikor jogában áll visszavonni hozzájárulását. A hozzájárulás visszavonása nem érinti a hozzájárulás alapján a visszavonását megelőzően végzett feldolgozás jogszerűségét. A hozzájárulás megadása előtt az érintettet tájékoztatni kell arról, hogy lehetősége van visszavonni hozzájárulását.
(5) Figyelembe kell venni azt a tényt is, hogy a Nagyváradi Római Katolikus Püspökség keretében és általában véve, a Katolikus Egyházban a személyes adatok gyűjtése, feldolgozása és tárolása nemcsak az érintett hozzájárulása alapján, hanem jogos érdek alapján is elvégezhető.
(6) A beleegyezéshez szükséges egyéb feltételekkel kapcsolatos különös rendelkezéseket, valamint az ehhez kapcsolódó egyéb szabályokat és fejleményeket a Rendelet és a jelenlegi nemzeti és / vagy európai jogszabály végrehajtásának módszertana tartalmazza.
III. Fejezet: A Nagyváradi Római Katolikus Püspökség belső részlegei, amelyek biztosítják a személyes adatok gyűjtésének, feldolgozásának és tárolásának védelmét
12. cikk – A személyes adatok védelmét biztosító koordinációs bizottság
(1) A Nagyvárad Római Katolikus Püspöksége szintjén létrehozzuk a személyes adatok védelmével kapcsolatos tevékenységek összehangolásával foglalkozó bizottságot (a továbbiakban: „Bizottság”).
(2) A Bizottság a személyes adatok védelme terén a Nagyváradi Római Katolikus Püspökség nevében jár el, saját alapszabályai alapján.
(3) Munkájának megfelelő elvégzése érdekében a Bizottság munkaszervezetet hozhat létre.
(4) A Bizottság 3 tagból áll, a tagokat a Nagyváradi Római Katolikus Püspökség szervezetéből jelölnek és neveznek ki.
(5) A Bizottság vezetője az elnök, aki a Bizottságot képviseli a hatóságokkal, szervezetekkel és harmadik testületekkel, valamint bármely más természetes és jogi személlyel fenntartott kapcsolatokban.
(6) A Bizottságban megüresedett álláshely esetén egy új tagot jelölnek és neveznek ki az állás megüresedésétől számított legfeljebb 6 hónapon belül.
(7) Amennyiben a személyes adatok harmadik személyeknek történő továbbításának kérdése merül fel, az csak azután tehető meg, miután ellenőrzésre került, hogy a személyes adatok védelméért felelős személy / személyek teljesítették a szükséges jogi feltételeket.
13. cikk – A személyes adatok védelméért felelős személy
(1) A Nagyváradi Római Katolikus Püspökség kinevez egy személyt, aki a személyes adatok védelméért felel (a továbbiakban: Felelős).
(2) A felelős személynek rendelkeznie kell a szükséges kompetenciákkal, mind a személyes adatok feldolgozásával kapcsolatos védelmi tevékenységek, mind a romániai Katolikus Egyház sajátos tevékenységei tekintetében.
(3) A felelős személy a Nagyváradi Római Katolikus Püspöksége nevében és érdekében jár el, a romániai Katolikus Egyház javára, és annak kapcsolattartója a nemzeti felügyeleti hatósággal szemben, a személyes adatok védelme területén.
(4) A felelős személy a titoktartás teljes körű biztosításával fogja végezni tevékenységét, amelyért felelősséggel tartozik, köteles az általa elvégzett munkákban és tevékenységekben függetlennek lenni, tiszteletben tartva a számára felróható normákat, és nem kerülhet összeférhetetlenségi helyzetbe tevékenységeinek végrehajtása során.
(5) A felelős a legalább a következő feladatokkal rendelkezik:
a) tájékoztatást és tanácsadást nyújt az összes adatfeldolgozónak és azok megbízottjainak, valamint azoknak a munkavállalóknak, akik tevékenységük során személyes adatokat dolgoznak fel;
b) figyelemmel kíséri az európai rendelet, a nemzeti törvények, a Rendeletet, valamint a Rendelet alkalmazását és a nemzeti és európai törvény alkalmazását érintő összes szabályozás és politika betartását;
c) konkrét feladatokat oszt ki az adatkezelők és azok meghatalmazottjai között az európai rendelet, a nemzeti törvények, a Rendelet, valamint a Rendelet alkalmazását és a nemzeti és európai törvény alkalmazását érintő összes szabályozás és politika betartásával és végrehajtásával kapcsolatban;
d) felméri a személyes adatok gyűjtésével, feldolgozásával és tárolásával kapcsolatban felmerülő különleges vagy általános kockázatokat, és a Bizottság jóváhagyásával elfogadja azok csökkentéséhez / megszüntetéséhez szükséges intézkedéseket;
e) speciális képzéseket tart a személyes adatok gyűjtése, feldolgozása és tárolása területén, azok számára, akik tevékenységük során személyes adatokkal is végeznek műveleteket;
f) kapcsolatot tart fenn a nemzeti felügyeleti hatósággal;
g) kérésre tanácsot ad bármely testület számára.
(6) Az elvégzett tevékenységért a felelős személy közvetlenül felel a Püspöki Konferencia előtt.
(7) A végzett tevékenység során a központi vezető leoszthatja feladatai egy részét alárendelt vezetőkre, akik az adatkezelők vagy az adatkezelő csoportok szintjén nevezhetők ki. Ebben az értelemben legalább 3 adatkezelői csoportot hoznak létre, amelyek mindegyike a központi felügyelő alá tartozó, felhatalmazott felelős vezetése alá tartozik. A központi felelősnek alárendelt 3 felhatalmazott felelős szolgáltatásokat nyújt a 3 adatkezelőcsoport számára, amelyeket a közös jellemzők szerint társítanak. A megbízott felelősök közvetlenül felelnek az adatkezelők előtt, akik számára tevékenységüket végzik, de a központi vezető előtt is, aki feladatokat és felelősséget ruháztak rájuk.
(8) Az adatkezelő csoportok létrehozásának módja, azok a korlátok, amelyek között a fő felelős személy átruházhatja feladatait a megbízott felelősökre, a megbízott felelősök kijelölésének és működésének módja, valamint az efféle kérdésekkel kapcsolatos egyéb szempontok a Rendelet és a jelenlegi nemzeti és / vagy európai törvény végrehajtási módszertanában kerül részletezésre.
14. cikk– Adatkezelők és meghatalmazottjaik
(1) A Nagyváradi Római Katolikus Püspökség minden egyes parókiájának rendelkeznie kell személyes adatkezelő minőséggel, különböző tevékenységeket végezve ilyen tekintetben, mind az egyházi tevékenységek, mind az alkalmazottak felvételének szempontjából.
(2) Ezeknek az alegységeknek a megbízottjai a püspökségbe tartozó parókiák lesznek.
(3) Minden meghatalmazott nyilvántartást vezet a személyes adatoknak a plébánia szintjén végzett gyűjtésének, feldolgozásának és tárolásának tevékenységeiről. A személyes adatok munkaviszonyokkal kapcsolatos átvétele, feldolgozása és tárolása a Szabályzatnak megfelelően történik.
(4) A fent említett nyilvántartásokat írásban, de elektronikus formában is vezetik, és a központi igazgató és a kinevezett személyek, valamint a felügyeleti hatóság rendelkezésére bocsátják, azok igénylésére.
(5) A személyes adatok gyűjtésére, feldolgozására és tárolására vonatkozó, adatkezelőkhöz és azok megbízottjaihoz kapcsolódó általános és különös szabályok végrehajtásának konkrét módja a Rendelet, valamint a nemzeti törvény és / vagy aktuális törvény módszertani alkalmazásának tartalmában kerül kidolgozásra.
15. cikk – Személyes adatok megküldése harmadik személyeknek
(1) A személyes adatok harmadik személyeknek történő továbbítását a továbbított személyes adatok megfelelő szintű védelmének figyelembevételével, a nemzeti és európai jogszabályok, a jelen Rendelet és a Rendelet alkalmazása érdekében kibocsátott normák által előírt követelmények betartásával történik.
(2) A Nagyváradi Római Katolikus Püspökség szintjén létrehozott bizottság biztosítja az adatátvitelt a központi felelős által készített dokumentáció alapján.
(3) A személyes adatok továbbítására vonatkozó általános és különös szabályok végrehajtásának konkrét módját a Rendelet, valamint a jelenlegi nemzeti és / vagy európai törvények végrehajtásának módszertanában kerül kidolgozásra.
IV. Fejezet: Záró rendelkezések
16. cikk – A rendelet és a nemzeti és/vagy az európai jog végrehajtásának módszertana
(1) A rendelet, valamint a személyes adatok védelmére vonatkozó nemzeti és európai jogszabályok végrehajtása érdekében, a Bizottság, a központi felelős közvetítése által, minden intézkedést meghoz a szükséges struktúrák létrehozására és működésére vonatkozó szabályok elfogadása érdekében, valamint meghozza az összes intézkedést a személyes adatok gyűjtésére, feldolgozására és tárolására vonatkozó összes rendelkezés jogszerű, normális és méltányos alkalmazása érdekében, ideértve az érintettek jogainak tiszteletben tartására és a személyes adatok átadására vonatkozó rendelkezéseket is. A jelen szabályzatba a különleges adatok feldolgozásához vagy bizonyos adatok speciális feldolgozási kategóriáihoz (például a fényképek feldolgozásához) kapcsolódó egyéb szempontok is beilleszthetők.
(2) A módszertant, a központi felelős és a kinevezett vezetők által,a Nagyváradi Római Katolikus Püspökség összes adatfeldolgozójával ismertetik, valamint azok összes meghatalmazottjával, azaz az összes plébániával, valamint a titkos adatokkal dolgozó egyéb szerkezeti egységgel.
17. cikk – A szabályzat érvénybe lépése
A jelen szabályzat a Nagyváradi Római Katolikus Püspökség honlapján történő közlésétől számítva hatályos, hatásait pedig a közléstől számítva fejti ki.