CONFERINŢA EPISCOPILOR DIN ROMÂNIA
Str. Diligenţei nr. 24, sector 3, 031555 – Bucureşti
Tel. / Fax +40 31 4361250 e-mail: secretariat@episcopat.ro
BLAJ, 74 / 02.05.2018
DECRET GENERAL
CU PRIVIRE LA PROTEJAREA DATELOR CU CARACTER PERSONAL
ÎN BISERICA CATOLICĂ DIN ROMÂNIA
Cap. I: DISPOZIȚII GENERALE
Art. 1 – Scop și aplicabilitate
(1) Prezentul Decret asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice stabilind norme referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și norme referitoare la libera circulație a datelor cu caracter personal.
(2) Prezentul decret a fost întocmit cu respectarea principiilor impuse de intrarea în vigoare a Regulamentului2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) – denumit în continuare „Regulament” și care va intra în vigoare la data de 25 mai 2018 precum și cu luarea în considerare a principiilor și a rolului Bisericii Catolice Universale.
(3) Prezentul Decret se aplică tuturor entităților din cadrul Bisericii Catolice din România pentru a se asigura astfel respectarea drepturilor recunoscute prin Regulament în cazul prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem specific de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem specific de evidență a datelor.
Art. 2 – Definiții legale
În sensul prezentului decret, prin următorii termeni, se înțelege:
- „date cu caracter personal”înseamnă orice informații privind o persoană fizică identificată sau identificabilă denumită în continuare”persoana vizată”. Identificarea concretă a persoanei fizice identificabilăse realizează direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
- „operator”înseamnă entitatea din cadrul Bisericii Catolice din România care, singură sau în asociere cu altele asemenea, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
- „persoană împuternicită de operator”înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
- „prelucrare date”înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
- „autoritate de supraveghere”în România este ANSDPC – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal o autoritate publică independentă instituită în temeiul articolului 51 din Regulament;
- „restricționarea prelucrării”înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
- „sistem de evidență a datelor”înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
- „parte terță”înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
- „consimțământ”al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
Art. 3 – Principii
În activitatea de prelucrare a datelor cu caracter personal, vor fi avute în vedere următoarele principii de bază:
- Legalitatea prelucrării – se va încerca, ori de câte ori va fi posibil , obținerea consimțământului persoanei vizate, în condițiile legii și ale prezentului decret; în mod excepțional, în măsura în care nu se obține consimțământul persoanei vizate, pentru motive obiective ce nu țin de persoană, se va urmări posibilitatea invocării interesului public și/sau legitim;
- Transparența activității – operatorul va informa persoană vizată cu privire la activitățile pe care le desfășoară în legătură cu prelucrarea datelor stocate, cât și cu privire la drepturile de care beneficiază persoana vizată în conformitate cu legea ;
- Colectarea datelor se va face exclusiv pentru scopurile ce interesează Biserica Catolică din România și/sau evidențele specifice ale acesteia
- Datele ce vor fi spuse prelucrării se vor limita numai la cele relevante și adecvate evidențelor specifice necesare în cadrul Bisericii Catolice;
- Se va urmări ca datele colectate și prelucrate să fie în permanență actualizate, în condițiile stabilite de lege;
- Prelucrarea datelor se va face astfel încât să fie menținută integritatea acestora și cu toată atenția pentru menținerea confidențialității acestor date;
- Datele personale vor fi păstrate astfel încât să se poată asigura identificarea persoanelor vizate și pentru perioada în care stocarea este necesară. Se va avea în vedere că datele stocate în registrele parohiale pot reprezenta un interes deosebit pentru cercetare și statistică și ca documente istorice;
- Operatorul precum și orice alte persoane sau entități implicate conform legii și a prezentului decret va înțelege și își va asuma toate responsabilitățile ce decurg pentru protejarea datelor cu caracter personal pe care le colectează, le prelucrează și le stochează în cadrul activităților specifice.
Cap. II: Drepturile persoanei vizate
Art. 4 – Dreptul la informare
- La momentul în care un operator colectează date de la persoana vizată, acesta îi va furniza persoanei vizate toate informațiile cu privire la identitatea operatorului de date, scopul pentru care datele au fost colectate și urmează a fi prelucrate și stocate, dacă este cazul, intenția operatorului de a transfera datele către un terț, durata pentru care urmează ca datele să fie stocate cu sublinierea specificului activității și a evidențelor existente la nivelul parohiilor , dreptul persoanei vizate de a solicita accesul la datele personale, modul în care se poate realiza dreptul la rectificarea, restricționarea sau ștergerea datelor personale.
- Dreptul la informare a persoanei vizate se menține și în situația în care datele sale personale se colectează de la o altă persoană decât titularul acestora, în condițiile legii.
- Modul concret în care se va realiza informarea precum și termenele și condițiile în care aceasta se va realiza în funcție de ipoteza concretă se va stabili prin Regulamentul de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Art. 5 – Dreptul de acces la datele personale
- Persoana vizată are dreptul de a obține acces din partea operatorului la datele personale pe care operatorul le deține și le prelucrează. Totodată, persoana vizată are drept de acces la o serie de informații ce privesc prelucrarea datelor sale, inclusiv informații legate de dreptul său de a depune o plângere în legătură cu protecția datelor sale.
- Modalitatea concretă de exercitare a dreptului la acces se va stabili prin Regulamentul de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Art. 6 – Dreptul la actualizarea datelor personale
Persoana vizată este îndreptățită să ceară operatorului actualizarea sau/și completarea datelor sale personale, ori de câte intervine o modificare cu privire la acestea, cu luarea în considerare a scopului pentru care se realizează prelucrarea și stocarea datelor sale.
Art. 7 – Dreptul la restricționarea datelor personale
- Persoana vizată este îndreptățită să solicite restricționarea prelucrării datelor sale, într-una dintre următoarele situații:
- Contestă realitatea și exactitatea datelor prelucrate de operator;
- Prelucrarea a devenit ilegală, persoana vizată ne solicitând ștergerea datelor ci numai restricționarea prelucrării acestora, sau, în cazul în care ștergerea nu poate fi operată;
- Operatorul a încetat prelucrarea datelor acelei persoane, dar persoana vizată le solicită în mod restricționat pentru a fi utilizate în fața unei autorități;
- Persoana vizată a făcut opoziție în ce privește prelucrarea datelor sale, operatorul invocând un drept legitim pentru prelucrarea acelor date; până la momentul în care , utilizându-se teoria proporționalității, se va decide dacă prevalează interesul legitim al operatorului sau interesul individual al persoanei vizate, prelucrarea datelor personale poate fi restricționată.
- În măsura în care persoana vizată își exercită dreptul la restricționarea prelucrării datelor sale, de principiu, alte operațiuni de prelucrare se pot realiza numai în baza unui consimțământ expres al celui vizat, cu excepțiile precizate de lege și/sau care țin de specificul și scopul pentru care există evidențele de la nivelul operatorului. Oricum, activitatea de stocare a datelor nu este afectată în cazul exercitării dreptului la restricționare de către persoana vizată.
- Modul concret de punere în aplicare a regulilor generale și specifice legate de exercițiul dreptului la restricționare se vor dezvolta în cuprinsul Regulamentului de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Art. 8 – Dreptul la ștergerea datelor
- Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
- datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate. Se va avea în vedere faptul că în cazul registrelor speciale deținute la nivelul parohiilor acestea prezintă importanță din punct de vedere al cercetării științifice și pentru statistică;
- persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, și nu există niciun alt temei juridic pentru prelucrarea;
- persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;
- datele cu caracter personal au fost prelucrate ilegal;
- datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului.
- În cazul în care persoana vizată solicită ștergerea datelor sale personale se va avea în vedere specificul înregistrării datelor în registrele parohiale, faptul că acestea prezintă interes istoric, științific și pentru statistică. În aceste condiții, procedura va presupune întotdeauna adnotarea cu privire la ștergere în cuprinsul registrelor.
- Modul concret de punere în aplicare a regulilor generale și specifice legate de exercițiul dreptului la ștergerea datelor personale se vor dezvolta în cuprinsul Regulamentului de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Art. 9 – Dreptul la portabilitatea datelor
- În cazul în care prelucrarea datelor se realizează prin mijloace automate și se întemeiază pe consimțământul persoanei vizate, persoana vizată are dreptul de a transmite datele către un altul operator, sau chiar să ceară operatorului inițial să facă transmisia automată a acestor date.
- Prin exercițiul acestui drept nu se poate aduce atingere drepturilor și intereselor operatorului, atâta vreme cât interesele legitime ale operatorului urmăresc realizarea unui interes public sau un interes legitim.
- Modul concret de punere în aplicare a regulilor generale și specifice legate de exercițiul dreptului la portabilitatea datelor personale se vor dezvolta în cuprinsul Regulamentului de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Art. 10 – Dreptul la opoziție
În funcție de situația concretă în care se află, persoana vizata poate face opoziție operatorului de date , în ce privește prelucrarea de către acesta a datelor cu caracter personal. O astfel de opoziție poate interveni numai în măsura în care persoana vizată invocă motive individuale, particulare, care o determină la o asemenea opoziție, și doar dacă interesul legitim al operatorului nu mai poate justifica prelucrarea datelor față de opoziția manifestată de persoana vizată.
Art. 11 – Consimțământul
(1) De cele mai multe ori, colectarea, prelucrarea și stocarea datelor cu caracter personal are la bază consimțământul persoanei vizate.
(2) În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.
(3) Pentru a fi valabil exprimat consimțământul trebuie să îndeplinească următoarele condiții:
- să reprezinte o manifestare de voință liber exprimată prin care persoana vizată acceptă fără echivoc preluarea, prelucrarea și stocarea unor date ale sale personale necesare într-un domeniu specific ;
- consimțământul să fi fost dat într-o formă explicită;
- consimțământul să nu fi fost condiționat de către operatorul de date;
- consimțământul trebuie dat într-o formă clară și concisă;
- manifestarea de voință să se fi exprimat printr-o declarație personală sau printr-o acțiune fără echivoc.
(4) Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la posibilitatea acesteia de a-și retrage consimțământul.
(5) Se va avea în vedere faptul că în cadrul Bisericii Catolice din România preluarea, prelucrarea și stocarea datelor cu caracter personal se poate realiza nu numai în baza consimțământului persoanei vizate , ci și în baza interesului legitim.
(6) Dispoziții specifice privind alte condiționări impuse consimțământului precum și orice alte reguli și dezvoltări conexe se vor regăsi în cuprinsul Regulamentului de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Cap. III: Structuri interne la nivelul Bisericii Catolice din România
menite să asigure protecția în cazul preluării,
prelucrării și stocării datelor cu caracter personal
Art. 12 – Comisia de coordonare a activității privind protecția datelor cu caracter personal
(1) La nivelul Conferinței Episcopale a Bisericii Catolice din România se constituie Comisia de coordonare a activității privind protecția datelor cu caracter personal (denumită în continuare „Comisia”).
(2) Comisia acționează în domeniul protecției datelor cu caracter personal în numele Conferinței Episcopale între sesiunile acesteia și în baza statutelor proprii pe care le va adopta pentru buna sa funcționare.
(3) Ori de câte ori va fi necesar, Comisia va prezenta rapoarte de specialitate în fața Conferinței Episcopale.
(4) Pentru buna desfășurare a activității sale, Comisia este îndreptățită să-și constituie un aparat de lucru.
(5) Comisia se constituie din 3 membrii, aleși în cadrul Conferinței Episcopale.
(6) Comisia va fi condus de un Președinte, care are puteri de reprezentare a Comisiei în relațiile cu autoritățile, organizațiile și organisme terțe, orice alte persoane fizice și juridice. Funcția de Președinte va fi deținută prin rotație, de fiecare dintre membrii Comisiei, pentru un mandat de un an. Ordinea primilor trei președinți va fi desemnată de Conferința Episcopală în care se vor alege membrii Comisiei.
(7) În cazul vacantării unui loc în Comisie, Conferința Episcopală va alege un nou membru în termen de maximum 6 luni de la vacantare.
(8) Ori de câte ori se va pune problema unui transfer de date cu caracter personal către terți, aceasta se va realiza prin intermediul Comisiei și după verificarea îndeplinirii cerințelor legale de către responsabilul/responsabilii privind protecția datelor cu caracter personal.
Art. 13 – Responsabilul privind protecția datelor cu caracter personal
(1) Conferința Episcopală va desemna un responsabil general pentru protecția datelor cu caracter personal (denumit în continuare (Responsabil).
(2) Responsabilul va avea competențele necesare atât în ce privește activitatea de protecție legată de prelucrarea datelor cu caracter personal, cât și cunoștințe în ce privește activitatea specifică Biserici Catolice din România.
(3) Responsabilul acționează în numele și pentru Conferința Episcopală în favoarea Bisericii Catolice din România, reprezentând punctul de legătură a acesteia cu autoritatea națională de supraveghere în ce privește protecția datelor cu caracter personal.
(4) Responsabilul își va desfășura activitatea cu asigurarea deplină a confidențialității , fiind responsabil pentru aceasta, va fi independent în toate lucrările și activitățile pe care le derulează, respectând însă normele ce îi sunt opozabile, și nu se va afla în conflict de interese în desfășurarea activităților sale.
(5) Responsabilul va avea cel puțin următoarele atribuții:
a) informează și asigura consilierea necesară pentru toți operatorii și pentru împuterniciții acestora, precum și pentru angajații care în activitatea lor prelucrează date cu caracter personal;
b) monitorizează respectarea tuturor dispozițiilor Regulamentului european, a legilor interne, ale prezentului decret precum și a tuturor reglementărilor și politicilor date în aplicarea prezentului decret și a legii naționale și europene;
c) alocă responsabilități concrete la nivelul operatorilor și a împuterniciților acestora pentru respectarea și implementarea dispozițiilor Regulamentului european, a legilor interne, ale prezentului decret precum și a tuturor reglementărilor și politicilor date în aplicarea Prezentului decret și a legii naționale și europene;
d) evaluează riscurile specifice sau generale ce pot interveni în ce privește preluarea, prelucrarea și stocarea datelor cu caracter personal, și adoptă măsurile ce se impun pentru reducerea/înlăturarea acestora, cu avizul Comisiei;
e) se ocupă de formarea de specialitate în domeniul colectării, prelucrării și stocării datelor cu caracter personal, a celor care, în cadrul activităților acestora derulează și operațiuni cu date cu caracter personal;
f) păstrează legătură cu autoritatea de supraveghere națională;
g) raportează periodic activitatea desfășurată către Comisia specializată constituită la nivelul Conferinței Episcopale și cel puțin anual către Conferința Episcopală
g) asigură consiliere la cerere pentru orice organism .
(6) Pentru activitatea desfășurată responsabilul va răspunde direct în fața Conferinței Episcopale.
(7) În activitatea desfășurată, responsabilul general poate delega din atribuțiile sale unor responsabili subordonați ce se pot constitui la nivel de operator de date , sau la nivel de grup de operatori de date. În acest sens, se vor constitui cel puțin 3 grupuri de operatori de date care vor beneficia de serviciile unui responsabil delegat, subordonat responsabilului central. Cei 3 responsabili delegați, subordonați responsabilului central vor asigura serviciile pentru 3 grupuri de operatori ce se vor asocia în funcție de caracteristici comune. Responsabilii delegați răspund direct pentru activitatea desfășurată în fața operatorilor pe care îi deservesc, dar și față de responsabilul central care le-a delegat atribuții și responsabilități.
(8) Modul de constituire a grupurilor de operatori, limitele în care responsabilul general poate delega din atribuțiile sale către responsabilii delegați, modul de desemnare și funcționare a responsabililor delegați, precum și orice alte aspecte în legătură cu astfel de probleme vor fi dezvoltate în cuprinsul Regulamentului de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului .
Art. 14 – Operatorii de date și împuterniciții acestora
(1) Fiecare dintre cele 6 Dieceze Romano-Catolice și 6 Eparhii Greco Catolice din cadrul Bisericii Catolice din România va avea calitatea de operator de date cu caracter personal, desfășurând activități în acest sens, atât în ce privește activitățile specifice Bisericii , cât și activitățile specifice angajării de personal.
(2) Împuterniciții celor 12 operatori de date vor fi parohii de la nivelul parohiilor din cadrul Diecezelor, respectiv Eparhiilor.
(3) Fiecare împuternicit va ține o evidență a activităților de preluare, prelucrare și stocare de date cu caracter personal de la nivelul parohiilor. Activitățile de preluare, prelucrare și stocare a datelor cu caracter personal în legătură cu raporturile de muncă vor fi ținute la nivelul Diecezelor, respectiv Eparhiilor.
(4) Evidențele menționate mai sus vor fi ținute în scris , dar și în format electronic și vor fi puse la dispoziția responsabilului central și al celor delegați precum și la dispoziția autorității de supraveghere ori de câte ori acestea sunt solicitate.
(5) Modul concret de punere în aplicare a regulilor generale și specifice legate de activitatea operatorilor și a împuterniciților acestora în ce privește preluarea, prelucrarea și stocarea datelor cu caracter personal se vor dezvolta în cuprinsul Regulamentului de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Art. 15 – Transferul de date cu caracter personal către terți
(1) Transferul de date cu caracter personal către terți se va realiza cu luarea în considerare a asigurării unui nivel adecvat de protecție în țara terță a datelor cu caracter personal transmise și cu respectarea cerințelor impuse de dreptul național și european în domeniu, prezentul Decret și normele emise în aplicarea prezentului decret.
(2) Comisia constituită la nivelul Conferinței Episcopale va asigura transferul de date , în baza documentației pregătite de Responsabilul central.
(3) Modul concret de punere în aplicare a regulilor generale și specifice legate de transferul de date cu caracter personal se vor dezvolta în cuprinsul Regulamentului de punere în aplicare a prezentului Decret și a legii interne și/sau europene întocmit în baza decretului.
Cap. IV: Dispoziții finale
Art. 16 – Regulament de punere în aplicare a decretului și a legii interne și/sau europene întocmit în baza decretului.
(1) Pentru punerea în aplicare a prezentului Decret, precum și a reglementărilor naționale și europene în domeniul protecției datelor cu caracter personal, Comisia prin intermediul Responsabilului central, vor face toate demersurile pentru adoptarea normelor necesare pentru constituirea și funcționarea structurilor necesare , precum și pentru stabilirea tuturor procedurilor în vederea derulării legale, normale și echitabile a tuturor dispozițiilor legate de preluarea, prelucrarea și stocarea datelor cu caracter personal, inclusiv cele referitoare la respectarea drepturilor persoanelor vizate precum și a transferului de date cu caracter personal. În cuprinsul regulamentului pot fi inserate și alte aspecte legate de prelucrarea unor date speciale, sau categorii speciale de prelucrare a unor date ( de exemplu, prelucrarea de fotografii).
(2) Regulamentul va fi adus la cunoștința tuturor operatorilor de date, la nivelul celor 6 Dieceze și 6 Eparhii și tuturor împuterniciților operatorilor de date, respectiv la nivelul fiecărei parohii , precum și la nivelul altor structuri care lucrează cu date cu caracter secret, prin grija responsabilului central și a Responsabililor delegați.
Art. 17 – Intrarea în vigoare a Decretului
Acest decret a fost aprobat de către Episcopii şi Eparhii Conferinţei Episcopilor din România, în sesiunea din 30 aprilie – 2 mai 2018, şi au decis să fie publicat pe site-ul Conferinţei Episcopilor din România, producând efecte începând cu data de 25 mai 2018.