Inštitúty zasväteného života a spoločnosti apoštolského života (ďalej len „Rehole“) ako účelové zariadenie Katolíckej cirkvi na Slovensku, spravidla zriadené Kongregáciou pre inštitúty zasväteného života a spoločnosti apoštolského života, vrátane Konferencie vyšších rehoľných predstavených na Slovensku (ďalej len „KVRPS“) podriadenej priamo Rímskemu dikastériu, podľa zákona 308/1991 Zb. o slobode náboženskej viery a postavení cirkví a náboženských spoločností, ktorých zriadenie a riadenie upravuje kánon 573 až 707 Kódexu kanonického práva, v prípade KVRPR kán. 708 až 709; sú samostatnými právnickými osobami, ktoré sa v slovenskej legislatíve označujú ako samostatné právnické subjekty (cirkevné organizácie) odvodzujúce právnu subjektivitu od Rímskokatolíckej, resp. Gréckokatolíckej cirkvi.
Záväzným dokumentom pre spracúvanie osobných údajov v Reholiach a KVRPS je Zabezpečenie ochrany osobných údajov Rímskokatolíckou cirkvou v Slovenskej republike, resp. Zabezpečenie ochrany osobných údajov Gréckokatolíckou cirkvou v Slovenskej republike. Týmito dokumentmi Rehole a KVRPS preukazujú, že spracúvajú osobné údaje v súlade s aktuálne platnou právnou úpravou, najmä Zákonom 18/2018 Z. z. ochrane osobných údajov a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
Dotknutá osoba berie na vedomie, že má právo požadovať od jednotlivých Reholí a od KVRPS (ďalej len „prevádzkovateľ“) prístup k poskytnutým osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov, právo na obmedzenie spracúvania osobných údajov, právo namietať spracúvanie osobných údajov, právo na prenosnosť osobných údajov, právo podať návrh na začatie konania podľa Zákona 18/2018 Z. z.. Dotknutá osoba berie na vedomie, že u prevádzkovateľa nedochádza k profilovaniu a že poskytnuté osobné údaje nebudú poskytnuté iným príjemcom bez súhlasu. Spracúvanie poskytnutých osobných údajov môže prevádzkovateľ vykonávať aj prostredníctvom ďalšieho sprostredkovateľa. Zodpovedná osoba je uvedená na tomto mieste.
Dotknutá osoba môže súhlasiť s ďalším spracovaním poskytnutých osobných údajov pre účely informovania o ďalších aktivitách prevádzkovateľa, zasielanie dokumentov, newslettera, tlačových a iných informácií. Poskytnutý súhlas na tieto účely je možné kedykoľvek odvolať rovnakým spôsobom, akým bol súhlas udelený. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založenom na súhlase pred jeho odvolaním. Poskytnuté osobné údaje na základe súhlasu môžu byť ďalej spracované na archivačné a štatistické účely.
Z novej legislatívy o ochrane osobných údajov vyplývajú Reholiam a KVRPS nasledovné povinnosti:
1. Ak v rámci svojho poslania a vykonávanej činnosti navonok nemá zákonný podklad na spracúvanie osobných údajov, zaväzuje sa zabezpečiť písomný súhlas dotknutej osoby. (Vzor súhlas)
2. Povinnosť zverejniť odkaz na link o postupoch v ochrane osobných údajov na jednolitých webových sídlach Reholí a KVRPS.
3. Uviesť na webovej stránke Reholí a KVRPS kontakt na osobu, na ktorú sa môže ktokoľvek z verejnosti obrátiť so žiadosťou podľa zákona (či sú o jej osobe spracúvané údaje, ak áno, na základe akého právneho dôvodu, na aký účel; Ak je odpoveď na položené otázky v žiadosti zjavná, je možné osobu odkázať iba na zverejnené princípov ochrany osobných údajov).
4. Povinnosť poučiť všetky osoby, ktoré prichádzajú do kontaktu s osobnými údajmi o zachovávaní mlčanlivosti ako aj o ochrane osobných údajov. (Ak sú vo fyzických knihách, nemali by byť prístupné bez dozoru, ale napríklad zamykané v skrini/kancelárii. Osobitné bezpečnostné prvky sa týkajú ochrany počítačov a IT techniky). (Vzor poučenie)
5. Ak Rehole a KVRPS používajú kamerové záznamy alebo techniku na zaznamenávanie biometrických údajov (dochádzkové systémy na odtlačok prsta, sietnice), zabezpečia s dodávateľskou firmou dodanie riadnej dokumentácie k tejto technike, z ktorej bude zrejmé zabezpečenie pred útokmi tretích osôb ako aj doba uchovávania údajov alebo automatického premazávania. Vyčlenia osoby, ktoré majú právo prehliadať si tieto zozbierané údaje. S dochádzkovým systémom na biometrické údaje nemusí zamestnanec súhlasiť.
6. Vyplnia tlačivo „Záznam o spracovateľských činnostiach“ a uložia ho do agendy riadenia.
7. Zákaz používania rodného čísla, ak to nežiada osobitný predpis (napríklad zamestnanecká agenda).
8. Upozorniť/stručne vyškoliť v oblasti základných zásad ochrany osobných údajov všetky osoby, na ktoré sa povinnosti vzťahujú.
9. Nahlásiť bezpečnostný incident, ihneď po tom, ako sa zistí, a to zodpovednej osobe, aby táto mohla postupovať v zmysle § 40 zákona č. 18/2018 Z. z. ochrane osobných údajov