Ochrana osobných údajov - povinnosti pre diecézu a eparchiu
1. Vytvoriť na webstránke diecézy
odkaz „ochrana osobných údajov“, ktorý odkazuje na stránku Konferencie biskupov Slovenska gdpr.kbs.sk. Ak nemám zriadenú webstránku, dokument Zabezpečenie ochrany osobných údajov pre
RKC a
GKC musí byť fyzicky prístupný k nahliadnutiu kedykoľvek, ak o to požiada dotknutá osoba, o ktorej vediem osobné údaje.
2. Na webstránke diecézy uvediem kontakt na zodpovednú osobu: Konferencia biskupov Slovenska, Kapitulská 11, Bratislava, IČO: 00684325, DIČ: 2020804841, email: dpo @ kbs.sk, https://gdpr.kbs.sk
Opatrenia vo vzťahu k zamestnancom:
4. Ak personalistiku a/alebo účtovníctvo (inú agendu) nevedie zamestnanec, ale živnostník alebo obchodná spoločnosť, musím s týmto „sprostredkovateľom“ uzavrieť dohodu, ktorá má náležitosti uvedené pod čl. VI ods. 4: Príloha I Dokumentu Zabezpečenie ochrany osobných údajov Rímskokatolíckou cirkvou v Slovenskej republike
5. Poverím osobu (v dokumente pod vzorom pod bodom 4), ktorá bude nahlasovať závažné incidenty zodpovednej osobe v KBS a zároveň bude interným členom pracovnej skupiny zabezpečujúcej ochranu osobných údajov. O vytvorení internej pracovnej skupiny a spôsobe komunikácie Vás ešte budeme informovať.
6. Preskúmam, či vediem o zamestnancoch len taký rozsah osobných údajov, ktorý skutočne potrebujem. Teda, ak vediem osobné údaje nad rámec zákonných účelov, musím mať písomný súhlas všetkých dotknutých osôb (napríklad ak chcem zverejniť fotografiu zamestnancov na svojej webovej stránke; ak vediem biometrický dochádzkový systém; ak mám kamerový systém v budove a pod.).
7. Ak vediem elektronické dochádzkové systémy, vrátane takých, ktoré zaznamenávajú biometrické údaje (odtlačok prsta, snímok tváre, a pod.), zabezpečím k nim potrebnú dokumentáciu od dodávateľa, z ktorej je zrejmé, kde sa uchovávajú tieto údaje, v akom časovom intervale sa premazávajú. Len poverené osoby môžu mať prístup ku týmto údajom, čo musím zabezpečiť podpisom v dokumente pod bodom 4. a v praxi (napr. vytvorením konta a hesla pre každú osobu a pod.)
8. Ak vediem kamerový systém v interných priestoroch, ale aj v exteriéri, mám k nim potrebnú dokumentáciu od dodávateľa, z ktorej je zrejmé, kde sa uchovávajú tieto údaje, v akom časovom intervale sa premazávajú. Len poverené osoby môžu mať prístup ku týmto údajom, čo musím zabezpečiť podpisom v dokumente pod bodom 4. a v praxi (napr. vytvorením konta a hesla pre každú osobu a pod.)
9. V prípade vstupu do spisov tribunálu pre vedecké a akademické účely, osoba musí podpísať vyhlásenie mlčanlivosti čl. VIII ods. 7: Príloha III Dokumentu Zabezpečenie ochrany osobných údajov Rímskokatolíckou cirkvou v Slovenskej republike.
10. Opatrenia vo vzťahu k diecéznym školským úradom:
Ak má DŠÚ svoje IČO, postupuje ako DKÚ v bode 11.
Ak DŠÚ nemá svoje IČO, považuje sa len za súčasť diecézy, preto v dokumentácii diecézy vyplňte a priložte túto časť
dokumentu.
Členovia rady školy podpíšu vyhlásenie, že budú dodržiavať mlčanlivosť vo vzťahu k osobným údajom kandidátov vo výberových konania na základe § 3 Zákona 596/2003 Z.z. a interných predpisov cirkvi. (môžete zahrnúť do menovacieho dekrétu)
V ozname o výberovom konaní uvediete jednu vetu: Princípy ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike zverejnené na stránke gdpr.kbs.sk
V zápisnici z výberového konania uvediete: Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov Rímskokatolíckej cirkvi v Slovenskej republike zverejnené na stránke gdpr.kbs.sk. Osobné údaje budú poskytnuté Diecéznemu školskému úradu v diecéze, ktorá je v postavení prevádzkovateľa výlučne pre účely výberového konania.
11. Opatrenia vo vzťahu k diecéznym katechetickým úradom:
Diecézne katechetické úrady, ktoré majú svoje IČO, sú samostatné právnické osoby, a teda musia mať tiež vypracovanú samostatnú dokumentáciu obdobnú diecéza. (podľa tu uvedených vzorov). Rovnako pre fotografie zamestnancov DKÚ na webe, ktorí nie sú osoby v duchovnej službe, musí byť v dokumentácii podpísaný súhlas zamestnancov so zverejnením ich fotografií.
V tejto dokumentácii je potrebné uviesť všetky typy osobných údajov, ktoré sa spracúvajú na pôde DKÚ, a to podľa návodu pre diecézu a identifikovať si informačné systémy (databázy), kde sa osobné údaje nachádzajú. Nezabudnite na záznam o spracovateľských činnostiach.
12. Informácia ohľadne vypĺňania Záznamu o spracovateľských činnostiach
Dávame vám do pozornosti aktualizované usmernenie vo vzťahu k vypĺňaniu záznamu o spracovateľských činnostiach, ktoré zverejnil
Úrad na ochranu OÚ.
"Záznamy o spracovateľských činnostiach nahrádzajú oznámenia informačných systémov, žiadosti o osobitnú registráciu informačných systémov a evidenčné listy informačných systémov. Oproti súčasnej právnej úprave obsiahnutej vzákone č. 122/2013 Z. z. nie je táto povinnosť naviazaná na informačný systém, ale na účel spracúvania.
Keďže diecéza je PREVÁDZKOVATEľ vo vzťahu ku všetkým zamestnancom (vrátane kňazov) a zároveň je PREVÁDZKOVATEĽ vo vzťahu ku vedeniu matrík, diecéza musí viesť záznam o spracovateľských činnostiach.
Na karte Prevádzkovateľ vyplňte svoje údaje diecézy/eparchie.
Účel spracovania máte v bodoch 1., 2. predvyplnený. Ďalej pokračujte podľa účelov (odporúčame vypísať niektoré údaje z predchádzajúceho bezpečnostného projektu, ktorý ste mali a v ktorom ste mali definované Informačné systémy a zosúlaďte to s aktuálnym tlačivom poučení, ktoré ste pripravili podľa nového zákona). Zároveň, môžete zlúčiť tie minulé informačné systéme do jedného "účelu" ak je to totožný účel). Inak postupujte podľa návodu Úradu v linke vyššie.
Vo vzťahu k matrikám máte predvyplnený bod 3., a 4., rovnako aj na karte Sprostredkovateľ (pretože farnosti sú vo vzťahu k matrikám sprostredkovatelia pre diecézy/eparchie).
Na karte Sprostredkovateľ vyplňte následne aj ďalšie riadky, v prípade, že niektorú činnosť nevykonáva zamestnanec diecézy, ale živnostník alebo obchodná spoločnosť, prípade kamerový systém a pod.