Patvirtinta
Panevėžio vyskupo dekretu Nr.352/18
Panevėžys, 2018 05 29

Panevėžio vyskupijos  asmens duomenų apsaugos ir tvarkymo taisyklės

I SKYRIUS. BENDROSIOS NUOSTATOS
PIRMAS SKIRSNIS. Bendrosios nuostatos
ANTRAS SKIRSNIS. Sąvokos
TREČIAS SKIRSNIS. Duomenų valdytojai ir duomenų tvarkytojai
KETVIRTAS SKIRSNIS. Bendrieji reikalavimai asmens duomenų tvarkymui
PENKTAS SKIRSNIS. Bendrieji asmens duomenų tvarkymo teisėtumo pagrindai

II SKYRIUS. SPECIALIOSIOS NUOSTATOS TAIKYTINOS ATSKIRŲ KATEGORIJŲ DUOMENŲ SUBJEKTAMS

ŠEŠTAS SKIRSNIS. Specialiosios nuostatos dėl Bažnyčios narių asmens duomenų ir asmenų,
kurie nuolat palaiko ryšius su Bažnyčia dėl jos siekiamų tikslų įgyvendinimo, tvarkymo
SEPTINTAS SKIRSNIS. Specialiosios nuostatos dėl dvasininkų, pašvęstojo gyvenimo
asmenų, seminaristų, vienuolynų kandidatų asmens duomenų tvarkymo
AŠTUNTAS SKIRSNIS. Specialiosios nuostatos dėl Bažnyčios ir jai priklausančių juridinių
asmenų darbuotojų asmens duomenų ir specialių kategorijų asmens duomenų tvarkymo
DEVINTAS SKIRSNIS. Specialiosios nuostatos dėl asmenų, nenuolat dalyvaujančių
Bažnyčios veikloje, asmens duomenų tvarkymo

III SKYRIUS. DUOMENŲ SUBJEKTŲ TEISĖS
DEŠIMTAS SKIRSNIS. Teisė į informaciją, susijusią su duomenų tvarkymu
VIENUOLIKTAS SKIRSNIS. Teisė reikalauti ištaisyti duomenis
DVYLIKTAS SKIRSNIS. Teisė prašyti užregistruoti anotacijas ir duomenų papildymus
TRYLIKTAS SKIRSNIS. Teisė reikalauti ištrinti duomenis
KETURIOLIKTAS SKIRSNIS. Teisė apriboti duomenų tvarkymą
PENKIOLIKTAS SKIRSNIS. Pareiga pranešti

IV SKYRIUS. DUOMENŲ SAUGOJIMAS
ŠEŠIOLIKTAS SKIRSNIS. Duomenų saugojimo bendrieji reikalavimai
SEPTYNIOLIKTAS SKIRSNIS. Duomenų bylų, knygų ir įrašų saugojimas
AŠTUONIOLIKTAS SKIRSNIS. Duomenų saugojimas archyve
DEVYNIOLIKTAS SKIRSNIS. Duomenų saugojimas skaitmeniniame archyve
DVIDEŠIMTAS SKIRSNIS. Pareiga pranešti apie duomenų apsaugos pažeidimą

V SKYRIUS. DUOMENŲ PAREIGŪNAS

I SKYRIUS
BENDROSIOS NUOSTATOS

PIRMAS SKIRSNIS
BENDROSIOS NUOSTATOS

1. Panevėžio vyskupijos asmens duomenų apsaugos taisyklių (toliau – Taisyklės) tikslas – sureguliuoti, kokiais būdais, priemonėmis bei procedūromis Katalikų Bažnyčia Lietuvoje užtikrina asmenų duomenų apsaugą pagal 2016 m. balandžio 27 d. Europos Parlamento ir
Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos, tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – Bendrasis duomenų apsaugos reglamentas). Bendruoju duomenų apsaugos reglamentu gerbiamas ir nepažeidžiamas pagal galiojančią Lietuvos konstitucinę teisę nustatytas Bažnyčios statusas.
2. Teisiniai santykiai tarp Katalikų Bažnyčios ir Lietuvos Respublikos yra reguliuojami Šventojo Sosto ir Lietuvos Respublikos Sutartimi dėl santykių tarp Katalikų Bažnyčios ir Valstybės teisinių aspektų, Šventojo Sosto ir Lietuvos Respublikos sutartimi dėl bendradarbiavimo švietimo ir kultūros srityje, Šventojo Sosto ir Lietuvos Respublikos sutartimi dėl kariuomenėje
tarnaujančių katalikų sielovados, taip pat atitinkamomis Konstitucijos bei kitų teisės aktų nuostatomis.
3. Bažnyčia ir jos juridiniai asmenys asmens duomenis tvarko pagal LR asmens duomenų apsaugos įstatymą (toliau – ADTAĮ) bei kitas galiojančias teisės nuostatas, ypač pagal Bendrąjį duomenų apsaugos reglamentą, nepažeidžiant LR Konstitucijos 43 straipsnyje įtvirtintos Bažnyčios teisės laisvai tvarkytis pagal savo kanonus ir statutus.
4. Bažnyčia ir jos juridiniai asmenys tvarko asmens duomenis ir specialias asmens duomenų kategorijas tais tikslais ir pagrindais, kurie yra apibrėžti šiame dokumente.

ANTRAS SKIRSNIS
SĄVOKOS

5. Duomenų subjektas – fizinis asmuo, kurio duomenys yra tvarkomi;
6. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo – tai asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
7. Bažnyčios teisė – 1983 m. Kanonų teisės kodeksas, bendrieji bei specialieji teisės aktai, paskelbti Kanonų teisės kodekso nustatyta tvarka ir saistantys Bažnyčią;
8. Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;
9. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valdžios institucijos, kurios pagal valstybės teisę gali gauti asmens duomenis, vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, jos laikosi duomenų
apsaugos taisyklėse nustatytų duomenų tvarkymo tikslų;
10. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip
antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas,
ištrynimas arba sunaikinimas;
11. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;
12. Duomenų valdytojas – fizinis arba juridinis asmuo, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojo skyrimo tvarka gali būti nustatyta tuose
įstatymuose ar teisės aktuose;
13. Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti, išanalizuoti ir/ar numatyti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, tokius kaip to fizinio asmens darbo rezultatai, ekonominė
situacija, sveikatos būklė, asmeniniai pomėgiai, interesai, patikimumas, elgesys, buvimo vieta arba judėjimas;
14. Specialiųjų kategorijų asmens duomenys – tai duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai, biometriniai duomenys, naudojami siekiant konkrečiai nustatyti
fizinio asmens tapatybę, sveikatos duomenys, duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją (pastaba: ADTAĮ specialių kategorijų asmens duomenys yra vadinami ypatingaisiais duomenimis);
15. Kitos Taisyklėse vartojamos sąvokos atitinka Kanonų kodekse, LR Religinių bendruomenių ir bendrijų įstatyme, Bendrajame duomenų apsaugos reglamente bei ADTAĮ vartojamas sąvokas.

TREČIAS SKIRSNIS
DUOMENŲ VALDYTOJAI IR DUOMENŲ TVARKYTOJAI

16. Duomenų valdytojas ir duomenų tvarkytojas
16.1. Vyskupija asmens duomenų apsaugos tikslais laikoma duomenų valdytoju arba tvarkytoju, priklausomai nuo tvarkomų asmens duomenų pobūdžio;
16.2. Kiti Bažnyčiai priklausantys juridiniai asmenys asmens duomenų apsaugos tikslais, priklausomai nuo tvarkomų asmens duomenų pobūdžio, laikomi duomenų valdytojais arba tvarkytojais;
16.3. Santykiai tarp atskiro duomenų valdytojo ir atskiro duomenų tvarkytojo yra reguliuojami šiuos subjektus saistančiomis Bažnyčios teisės normomis. Jeigu duomenys perduodami į užsienio valstybę, įskaitant Vatikaną, tai turi būti atliekama su duomenų valdytojo žinia. Bet
kuris duomenų perdavimas į kitą valstybę turi vykti tik Bažnyčios viduje, nebent teisės aktai nustatytų kitaip.

KETVIRTAS SKIRSNIS
BENDRIEJI REIKALAVIMAI ASMENS DUOMENŲ TVARKYMUI

17. Asmens duomenys turi būti:
17.1. duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
17.2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas
nesuderinamu su pirminiais tikslais;
17.3. adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
17.4. tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus bei pobūdį, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
17.5. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; ilgiau asmens duomenis galima saugoti tik Bažnyčios kanonuose nurodytais tikslais, taip pat archyvavimo viešojo intereso labui, mokslinių ar istorinių tyrimų, statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
17.6. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo, taip pat nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
18. Duomenų valdytojas yra atsakingas už anksčiau paminėtų reikalavimų bei principų laikymąsi. Valdytojas yra taip pat atsakingas už tinkamą Bažnyčios teisės reikalavimų laikymąsi bei bendradarbiavimą su kompetentingomis Bažnyčios ir valstybės institucijomis.

PENKTAS SKIRSNIS
BENDRIEJI ASMENS DUOMENŲ TVARKYMO TEISĖTUMO PAGRINDAI

19. Katalikų Bažnyčiai priklausančių juridinių asmenų veikloje asmens duomenų tvarkymas yra leistinas tik jei:
19.1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
19.2. tvarkyti duomenis būtina, siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
19.3. tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
19.4. tvarkyti duomenis būtina, siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
19.5. tvarkyti duomenis būtina, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
19.5. tvarkyti duomenis būtina, siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų.
20. Specialiųjų kategorijų asmens duomenų tvarkymas laikantis visų būtinų saugumo priemonių leistinas tik pakrikštytų asmenų (Bažnyčios narių) atžvilgiu, įskaitant asmenis, kurie pagal Bažnyčios vidinę tvarką padarė pareiškimą dėl išstojimo iš Bažnyčios (buvę Bažnyčios nariai), taip pat asmenų, kurie nuolat palaiko ryšį su Bažnyčia ir prisideda prie Bažnyčios tikslų įgyvendinimo. Šie duomenys negali būti atskleisti už Bažnyčios ribų be duomenų subjekto rašytinio sutikimo.

II SKYRIUS
SPECIALIOSIOS NUOSTATOS, TAIKYTINOS ATSKIRŲ KATEGORIJŲ
DUOMENŲ SUBJEKTAMS

ŠEŠTAS SKIRSNIS
SPECIALIOSIOS NUOSTATOS DĖL BAŽNYČIOS NARIŲ ASMENS BEI ASMENŲ,
KURIE NUOLAT PALAIKO RYŠIUS SU BAŽNYČIA DĖL JOS SIEKIAMŲ TIKSLŲ
ĮGYVENDINIMO, DUOMENŲ TVARKYMO

21. Duomenų tvarkymo tikslai ir teisiniai pagrindai –
21.1. Vyskupijos kaip duomenų valdytojai, per parapijas kaip duomenų tvarkytojus, tvarko asmens duomenis, įskaitant ir specialių kategorijų duomenis apie esamus ir buvusius Bažnyčios narius bei kitus fizinius asmenis, kurie, nors ir nebūdami Bažnyčios nariai, dalyvauja įgyvendinant Bažnyčios kanonuose nurodytus tikslus. Šie duomenys yra tvarkomi
Bažnyčios teisėje nurodytais tikslais, siekiant užtikrinti Bažnyčios laisvą veikimą bei tvarkymąsi pagal jos kanonus ir kitas teisės nuostatas archyvavimo, įstatymų nustatytos prievolės pranešti apie Bažnyčioje sudarytą santuoką tikslais, vadovaujantis šiais teisiniais pagrindais:
21.1.1. asmens duomenų tvarkymas yra būtinas, siekiant užtikrinti LR Konstitucijoje įtvirtintą Bažnyčios teisę laisvai tvarkytis pagal jos kanonus ir statutus (Bažnyčios teisę);
21.1.2. tvarkyti asmens duomenis yra būtina, siekiant įgyvendinti su Šventuoju Sostu sudarytoje tarptautinėje sutartyje, kurios šalimi yra Lietuvos Respublika, nurodytus tikslus;
21.1.3. tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
21.1.4. tvarkyti duomenis būtina, siekiant apsaugoti asmenis, jų turtą ir teisėtus interesus;
21.1.5. asmens duomenys tvarkomi archyvavimo tikslais, mokslinių, istorinių tyrimų arba statistikos tikslais.
22. Duomenų valdytojo ir tvarkytojo teisės ir pareigos –
22.1. Asmens duomenys turi būti tvarkomi užtikrinant duomenų subjektų teises ir teisėtus Bažnyčios interesus, vadovaujantis Bažnyčios teisės nuostatomis (taip pat sakramentų šventimą, dalyvavimą religinėse apeigose, tikėjimo praktikavimą, pranešimą apie Bažnyčioje sudarytą santuoką ir t.t. reglamentuojančiomis nuostatomis).
22.2. Asmens duomenys gali būti tvarkomi centralizuotoje sistemoje be atskiro duomenų subjekto sutikimo.
22.3. Šios kategorijos asmens duomenys, įskaitant ir specialiosios kategorijos asmens duomenis, gali būti naudojami tik Bažnyčios teisėje nurodytiems tikslams ir tik vidiniam Bažnyčios naudojimui. Jokia trečioji šalis negali gauti šių duomenų be rašytinio duomenų  subjekto sutikimo, išskyrus 22.4 punkte nustatytą atvejį.
22.4. Tvarkomi duomenų subjektų asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, gali būti perduodami be duomenų subjekto rašytinio sutikimo tarp vyskupijų, parapijų, įskaitant ir esančių kitose Europos Sąjungos valstybėse ar trečiosiose šalyse, laikantis Bažnyčios teisės nuostatų dėl tokių tikslų, kaip bylos bažnytiniame tribunole nagrinėjimas, sakramentų šventimas, studijos bažnytinėse mokslo ir studijų
įstaigose, dvasinės tarnystės atlikimas.
22.5. Šios kategorijos asmens duomenys yra saugomi ir tvarkomi neribotą laiką.
22.6. Duomenų valdytojas privalo su šios kategorijos asmenimis susijusiuose dokumentuose įrašyti tokius žodžius: „Mes, pasirašę šiame dokumente, patvirtiname, kad esame susipažinę su Asmens duomenų apsaugos ir tvarkymo Katalikų Bažnyčioje Lietuvoje taisyklėse
nustatytais asmens duomenų tvarkymo tikslais, pagrindais, informacija apie tvarkomus duomenis ir duomenų subjekto teisėmis.“.

SEPTINTAS SKIRSNIS
SPECIALIOSIOS NUOSTATOS DĖL DVASININKŲ, PAŠVĘSTOJO GYVENIMO
ASMENŲ, SEMINARISTŲ, VIENUOLYNŲ KANDIDATŲ ASMENS DUOMENŲ
TVARKYMO

23. Duomenų tvarkymo tikslai ir teisiniai pagrindai –
23.1. Bažnyčia, kaip asmens duomenų valdytojas, veikdama per atskirus duomenų tvarkytojus, tvarko asmens duomenis, taip pat ir specialiųjų kategorijų asmens duomenis, tarnaujančių dvasinėje tarnystėje asmenų, vadovaujantis Bažnyčios teisės nuostatomis. Atsižvelgiant į tarptautinę Šventojo Sosto ir Lietuvos Respublikos sutartį dėl teisinių aspektų, Bažnyčia tvarko asmens duomenis Bažnyčios teisės nuostatas  atitinkantiems tikslams, vadovaujantis šiais teisiniais pagrindais:
23.1.1. asmens duomenų tvarkymas yra būtinas, siekiant užtikrinti LR Konstitucijoje įtvirtintą Bažnyčios teisę laisvai tvarkytis pagal jos kanonus ir statutus (Bažnytinę teisę);
23.1.2. tvarkyti asmens duomenis yra būtina, siekiant įgyvendinti su Šventuoju Sostu sudarytoje tarptautinėje sutartyje, kurios šalimi yra Lietuvos Respublika, nurodytus tikslus;
23.1.3. tvarkyti duomenis būtina, siekiant apsaugoti asmenis, jų turtą ir teisėtus interesus;
23.1.4. asmens duomenys tvarkomi archyvavimo, istorinių bei kitų mokslinių tyrimų, taip pat statistiniais tikslais.
24. Duomenų valdytojo ir tvarkytojo teisės ir pareigos –
24.1. Vadovaujantis Bažnyčios teise duomenų valdytojas turi ir išsaugo teisėtą interesą tvarkyti šiuos duomenis net ir pasibaigus asmens dvasinei tarnystei, atsižvelgiant į galiojančias Bažnyčios teisės nuostatas.
24.2. Asmens duomenys, įskaitant ir specialių kategorijų šių asmenų asmens duomenis, tvarkomi ir naudojami tik Bažnyčios vidinėms reikmėms. Tvarkomi asmens duomenys, įskaitant ir specialiųjų kategorijų duomenis, gali būti teikiami tik Katalikų Bažnyčiai priklausantiems juridiniams asmenims ir tik dėl Bažnyčios kanonuose nurodytų tikslų.
24.3. Tvarkomi šių asmenų asmens duomenys, taip pat ir specialių kategorijų asmens duomenys, gali būti perduodami į trečiąsias valstybes, jeigu išlaikomos teisėtumo sąlygos, kaip apibrėžta 22.4 punkte.
24.4. Tvarkomi šių asmenų asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, gali būti profiliuojami.
24.5. Tvarkomi šių asmenų asmens duomenys, įskaitant ir specialių kategorijų asmens duomenis, yra gaunami iš duomenų subjektų. Iš kitų asmenų gali būti gaunami šie duomenys tik esant teisėtam pagrindui, kylančiam iš Bažnyčios teisės ir išskirtinai tik dėl Bažnyčios teisėje nurodytų tikslų.
24.6. Šios kategorijos asmens duomenys yra saugomi ir tvarkomi neribotą laiką.
24.7. Duomenų valdytojas privalo įrašyti į administracinius dokumentus nuo pirmojo kreipimosi tapti dvasininku tokį sutikimo tekstą: „Mes, pasirašę šiame dokumente, patvirtiname, kad esame susipažinę su Asmens duomenų apsaugos ir tvarkymo Katalikų Bažnyčioje Lietuvoje taisyklėse nustatytais asmens duomenų tvarkymo tikslais, pagrindais, informacija apie tvarkomus duomenis ir duomenų subjekto teisėmis.“.

AŠTUNTAS SKIRSNIS
SPECIALIOSIOS NUOSTATOS DĖL BAŽNYČIOS IR JAI PRIKLAUSANČIŲ JURIDINIŲ ASMENŲ DARBUOTOJŲ ASMENS DUOMENŲ IR SPECIALIŲ KATEGORIJŲ ASMENS DUOMENŲ TVARKYMO

25. Duomenų tvarkymo tikslai ir teisinai pagrindai –
25.1. Bažnyčios juridiniai asmenys yra savo darbuotojų asmens duomenų valdytojai darbo santykių, juos atitinkančių kitų santykių ir socialinės apsaugos duomenų tvarkymo tikslais:
25.1.1. atvejais, kai asmens duomenų tvarkymas yra būtinas darbo sutarties, kurios šalimi yra duomenų subjektas, vykdymui; prašant duomenų subjektui, gali būti tvarkomi ir duomenys apie ikisutartinius darbo teisinius santykius;
25.1.2. atvejais, kai asmens duomenų tvarkymas yra būtinas vykdant specialų Bažnyčią saistantį reguliavimą ar tarptautinę sutartį, kurios šalimi yra Lietuvos Respublika;
25.1.3. atvejais, kai asmens duomenų tvarkymas yra būtinas apsaugoti asmenis, jų gyvybę, sveikatą bei turtą;
25.1.4. tais atvejais, kai duomenys tvarkomi archyvavimo, istorinių bei kitų
mokslinių tyrimų, statistikos tikslais, jie turi būti proporcingi siekiamam tikslui ir nepažeisti esminių teisės į duomenų apsaugą nuostatų. Juose turi būti numatytos atitinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.
25.2. Specialiųjų kategorijų asmens duomenys tvarkomi vadovaujantis teisėtu pagrindu tiek, kiek tai reikalinga tinkamai vykdyti duomenų tvarkytojo prievoles bei duomenų subjekto teises socialinės apsaugos, darbo teisės, sveikatos apsaugos ir kitose srityse.
26. Duomenų valdytojo ir tvarkytojo teisės bei pareigos –
26.1. Tvarkomi subjektų asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, negali būti atskleisti trečiosioms šalims ar kitiems gavėjams, nebent duomenų subjektas yra davęs rašytinį sutikimą. Ši nuostata netaikoma, kai asmens duomenys teisės aktų nustatyta tvarka teikiami valdžios institucijoms.
26.2. Duomenų valdytojas, kai jis yra duomenų subjekto darbdavys, turi teisę teikti šią subjekto asmeninę informaciją trečiosioms šalims: pareigų pavadinimą, vardą, pavardę, darbo vietą, darbo fakso numerį, darbo el. pašto adresą. Valdytojas gali teikti tik tiek šio pobūdžio informacijos, kiek tai yra būtina ir kiek tai yra susiję su duomenų subjekto darbo
pareigų atlikimu. Toks duomenų teikimas ar atskleidimas negali pažeisti duomenų subjekto žmogiškojo orumo, kelti grėsmės jo saugumui.
26.3. Šios kategorijos asmens duomenų saugojimo ir tvarkymo trukmė nustatoma vadovaujantis teisės aktais.
26.4. Duomenų valdytojas privalo darbo sutartyse įrašyti tokius žodžius: „Mes, pasirašę šiame dokumente, patvirtiname, kad esame susipažinę su Asmens duomenų apsaugos ir tvarkymo katalikų Bažnyčioje Lietuvoje taisyklėse nustatytais asmens duomenų tvarkymo tikslais, pagrindais, informacija apie tvarkomus duomenis ir duomenų subjekto teisėmis.“.
26.5. Duomenų valdytojas iš duomenų subjekto nereikalauja asmens kodo, išskyrus tuos atvejus, kai ši informacija yra būtina pagal Lietuvos Respublikos galiojančius teisės aktus.

DEVINTAS SKIRSNIS
SPECIALIOSIOS NUOSTATOS DĖL ASMENŲ, NENUOLAT DALYVAUJANČIŲ
BAŽNYČIOS VEIKLOJE, ASMENS DUOMENŲ TVARKYMO

27. Duomenų tvarkymo tikslas ir teisinis pagrindas –
27.1. Šios kategorijos asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, tvarkomi siekiant Bažnyčios sielovadinių, karitatyvinių, socialinių, švietimo ir ugdymo, bendruomenės veiklos organizavimo tikslų bei vadovaujantis šiais teisiniai pagrindais:
27.1.1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
27.1.2. asmens duomenų tvarkymas yra būtinas, siekiant užtikrinti Lietuvos
Respublikos Konstitucijoje įtvirtintą Bažnyčios teisę laisvai tvarkytis pagal jos kanonus ir statutus;
27.1.3. tvarkyti asmens duomenis yra būtina, siekiant įgyvendinti su Šventuoju Sostu sudarytoje tarptautinėje sutartyje, kurios šalimi yra Lietuvos Respublika, nurodytus tikslus;
27.1.4. kai tvarkyti duomenis būtina, siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.
28. Duomenų valdytojo ir tvarkytojo teisės ir pareigos –
28.1. Jei asmens duomenų tvarkymo pagrindas yra duomenų subjekto sutikimas ir nėra kitų aplinkybių, aiškiai patvirtinančių, jog asmuo davė sutikimą tvarkyti jo asmens duomenis, asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, gali būti tvarkomi tik esant rašytiniam duomenų subjekto sutikimui ir tik tokia apimtimi bei tikslais, kurie yra  nurodyti rašytiniame sutikime.
28.2. Duomenų valdytojas užtikrina apsaugą jam pateiktiems asmens duomenims, įskaitant jų neviešinimą, išskyrus atvejus, kai duomenų subjektas yra davęs rašytinį sutikimą viešinti jo asmens duomenis.
28.3. Duomenų valdytojas tvarko tik tuos asmens duomenis ir tik tokiais tikslais, kuriems duomenų subjektas yra davęs sutikimą.
28.4. Valdytojas turi teisę subjekto asmens duomenis perduoti trečiosioms šalims tik tokiu atveju, kai duomenų subjektas tam yra davęs aiškų sutikimą.
28.5. Valdytojas tvarko asmens duomenis tik tokį laikotarpį, kuris yra būtinas asmens duomenų tvarkymo tikslams pasiekti.
28.6. Valdytojas iš duomenų subjekto nereikalauja asmens kodo, išskyrus tuos atvejus, kai ši informacija yra būtina pagal Lietuvos Respublikos galiojančius teisės aktus ar asmens duomenų tvarkymo tikslus.

III SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS

DEŠIMTAS SKIRSNIS
TEISĖ Į INFORMACIJĄ, SUSIJUSIĄ SU DUOMENŲ TVARKYMU

29. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei jie yra tvarkomi, turi teisę susipažinti su jais ir su šia informacija:
29.1. asmens duomenų tvarkymo tikslai;
29.2. tvarkomų asmens duomenų kategorijos;
29.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys;
29.4. kai įmanoma – numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;
29.5. teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
29.6. teisė pateikti skundą priežiūros institucijai;
29.7. visa turima informacija apie jų šaltinius, kai asmens duomenys renkami ne iš duomenų subjekto;
29.8. jei asmens duomenys perduodami bažnytiniam viešajam juridiniam asmeniui už Lietuvos Respublikos ribų, duomenų subjektas turi teisę būti informuojamas apie atitinkamas saugumo priemones, susijusias su duomenų perdavimu.
30. Duomenų valdytojas duomenų subjekto prašymu privalo pateikti tvarkomų asmens duomenų kopiją.
31. Kiekvienas asmuo turi teisę asmeniškai arba per tinkamai įgaliotą atstovą prašyti ir gauti tvarkomų asmens duomenų pažymėjimus, išrašus ar kopijas. Duomenys, kurie nėra gauti iš pareiškėjo ir kuriems pagal įstatymą ar Bažnyčios teisę nustatytas slaptumas, arba kurie negali būti atskirti nuo trečiųjų šalių duomenų yra konfidencialūs ir nėra atskleidžiami
pareiškėjui.
32. Dokumentų, nurodytų 31 punkte, išdavimo išlaidoms padengti duomenų valdytojas gali nustatyti pagrįsto dydžio mokestį.

VIENUOLIKTAS SKIRSNIS
TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS

33. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas laiku ištaisytų su juo susijusius asmens duomenis, jei tokie duomenys yra neteisingi.
34. Prašymas ištaisyti duomenis turi būti pateiktas duomenų valdytojui raštu arba asmeniškai,  arba per įgaliotą atstovą, pridedant įgaliojimą patvirtinančius dokumentus.
35. Jei duomenų valdytojas atsisako patenkinti prašymą ištaisyti duomenis, jis privalo raštu informuoti pareiškėją, kad jis vėl gali pateikti prašymą vietos ordinarui.
36. Duomenų apie veiksmus ir faktus, susijusius su kanoniniu asmenų statusu, ištaisymas gali būti atliekamas tik gavus vietos ordinaro leidimą.

DVYLIKTAS SKIRSNIS
TEISĖ PRAŠYTI UŽREGISTRUOTI ANOTACIJAS IR DUOMENŲ PAPILDYMUS

37. Atsižvelgiant į duomenų tvarkymo tikslą, dėl pagrįstų aplinkybių duomenų subjektas turi teisę prašyti įtraukti į duomenų rinkmeną anotaciją ar deklaraciją.
38. Prašymas įrašyti papildomus duomenis turi atitikti sąlygas, nurodytas 39 punkte.
39. Anotacija, padaryta dokumento įrašo krašte, yra neatskiriama jo dalis. Jos turinys turi būti perrašytas ant kiekvieno dokumento ištraukos ar kopijos.
40. Duomenų valdytojas raštu praneša pareiškėjui apie anotacijos įrašymą.
41. Atsisakius tenkinti prašymą dėl anotacijos ar papildymų įrašymo, informacija apie prašymą bus įrašyta ir saugoma atitinkamos duomenų bylos priede. Atsisakius tenkinti prašymą dėl anotacijos ar duomenų papildymo, duomenų valdytojas raštu apie tai praneša suinteresuotam
asmeniui, kuris gali vėl pateikti prašymą vietos ordinarui.

TRYLIKTAS SKIRSNIS
TEISĖ REIKALAUTI IŠTRINTI DUOMENIS

42. Duomenų subjektas turi teisę paprašyti duomenų valdytojo nedelsiant ištrinti asmens duomenis, o duomenų valdytojas privalo ištrinti asmens duomenis be nepagrįsto delsimo esant vienai iš šių aplinkybių:
42.1. kai asmens duomenys nebėra reikalingi tam, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
42.2. kai asmens duomenų subjektas atšaukė sutikimą, kuriuo grindžiamas duomenų tvarkymas ir nėra kitų teisinių pagrindų duomenų tvarkymui;
42.3. kai asmens duomenys buvo tvarkomi neteisėtai.
43. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir privalo juos ištrinti, jis, priklausomai nuo turimų technologijų ir įgyvendinimo sąnaudų, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė duomenų valdytojus ištrinti visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.
44. Nuostatos, išdėstytos 42 ir 43 punktuose, netaikomos, jei duomenų tvarkymas yra būtinas:
1) siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;  2) siekiant laikytis duomenų valdytojui nustatytos teisinės prievolės, kuria  reikalaujama tvarkyti duomenis arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas
viešosios valdžios funkcijas; 3) archyvavimo tikslais viešojo intereso labui, istorinių bei kitų  mokslinių tyrimų, statistikos tikslais, jeigu dėl 1 papunktyje nurodytos teisės taptų neįmanoma pasiekti tvarkymo tikslų arba ji labai kliudytų šių tikslų siekimui; 4) siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
45. Teisė prašyti ištrinti duomenis netaikoma tais atvejais, kai duomenys susiję su suteiktais sakramentais arba kitaip nurodo į asmens kanoninį statusą. Informacija apie prašymą ištrinti tokio pobūdžio duomenis turi būti nurodyta duomenų byloje. Duomenų valdytojas įpareigojamas nenaudoti prašyme nurodytų duomenų be vietos ordinaro leidimo.

KETURIOLIKTAS SKIRSNIS
TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ

46. Duomenų subjektas turi teisę prašyti duomenų valdytoją apriboti duomenų tvarkymą šiais atvejais:
46.1. kai asmens duomenų subjektas užginčija duomenų tikslumą už tokį laikotarpį, per kurį duomenų valdytojas gali šį tikslumą patikrinti;
46.2. kai asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, vietoj to prašydamas apriboti jų naudojimą;
46.3. kai duomenų valdytojui asmens duomenys tvarkymo tikslais jau nebereikalingi, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
46.4. kai duomenų tvarkymas yra apribotas 46 papunkčiu, išskyrus saugojimą, juos galima tvarkyti tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl
svarbaus Europos Sąjungos arba valstybės narės viešojo intereso priežasčių.
47. Prieš panaikinant duomenų subjekto, prašiusio, kad būtų apribotas duomenų tvarkymas pagal 46 papunktį, duomenis, duomenų valdytojas jį apie tai informuoja.

PENKIOLIKTAS SKIRSNIS
PAREIGA PRANEŠTI

48. Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį tokių duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja subjektą apie
minėtus duomenų gavėjus.

KETVIRTAS SKYRIUS
DUOMENŲ SAUGOJIMAS

ŠEŠIOLIKTAS SKIRSNIS
DUOMENŲ SAUGOJIMO BENDRIEJI REIKALAVIMAI

49. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo
netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
50. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines
priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas.
51. Nustatant tinkamo lygio saugumą atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.
52. Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Europos Sąjungos arba
valstybės narės teisę.
53. Duomenų valdytojas, sudarydamas rašytinę ar kitokią sutartį su fiziniu ar juridiniu asmeniu, kuris yra tretysis asmuo ir, vykdydamas pastarąją sutartį, gali sužinoti duomenų valdytojo tvarkomus duomenų subjektų asmens duomenis, privalo sudaryti su juo konfidencialumo
susitarimą.

SEPTYNIOLIKTAS SKIRSNIS
DUOMENŲ BYLŲ, KNYGŲ IR ĮRAŠŲ SAUGOJIMAS

54. Duomenų bylos, knygos, įrašai turi būti saugojami tam skirtoje saugioje patalpoje, į kurią gali patekti tik duomenų valdytojas, tvarkytojas ar jų įgalioti asmenys.
55. Tuo atveju, kai nėra anksčiau minėtus reikalavimus atitinkančios patalpos, duomenų bylos, knygos, įrašai turi būti saugomi rakinamoje spintoje, esančioje duomenų valdytojui ar tvarkytojui priklausančioje patalpoje, imantis visų reikalingų priemonių, kad asmens
duomenys netaptų prieinami neįgaliotiems asmenims.

AŠTUONIOLIKTAS SKIRSNIS
DUOMENŲ SAUGOJIMAS ARCHYVE

56. Ypatingas dėmesys turi būti skiriamas archyvų saugumui ir duomenų prieinamumo kontrolei.
57. Archyvas privalo turėti užrakto sistemą ir būti apsaugotas nuo vagystės ir įsilaužimo.
58. Duomenų valdytojas, tvarkytojas ar jų įgaliotas asmuo turi užtikrinti, kad archyvas nebūtų prieinamas pašaliečiams.

DEVYNIOLIKTAS SKIRSNIS
DUOMENŲ SAUGOJIMAS SKAITMENINIAME ARCHYVE

59. Skaitmeniniuose archyvuose esantys duomenys turi būti tvarkomi naudojant licencijuotą programinę įrangą. Prieiga prie skaitmeniniuose archyvuose esančių duomenų turi būti apsaugota slaptažodžiais.
60. Duomenų valdytojas privalo užtikrinti siunčiamų duomenų saugumą, pasitelkdamas neprieinamumą tretiesiems asmenims užtikrinančias priemones.
61. Įrenginiai ir laikmenos su asmens duomenimis turi būti laikomi rakinamose patalpose ir apsaugoti nuo neteisėtos prieigos.

DVIDEŠIMTAS SKIRSNIS
PAREIGA PRANEŠTI APIE DUOMENŲ APSAUGOS PAŽEIDIMĄ

56. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, apie tai praneša duomenų valdytojui.
57. Duomenų valdytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie pažeidimą, apie tai praneša priežiūros institucijai, nebent asmens duomenų saugumo pažeidimas nekeltų pavojaus duomenų subjektų teisėms ir laisvėms.
58. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, duomenų valdytojas apie pažeidimą praneša asmens duomenų subjektui. Duomenų subjektui pranešti nereikia, jeigu įvykdomos bet kurios iš toliau išvardintų sąlygų:
58.1. duomenų valdytojas tinkamai apsaugojo asmens duomenis, kurie buvo pažeisti, ir užtikrino, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, užšifruoti;
58.2. duomenų valdytojas ėmėsi priemonių užtikrinti, kad daugiau nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;
58.3. pranešimas duomenų subjektui pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj pranešimo duomenų subjektui apie tai viešai paskelbiama arba kitaip efektyviai informuojama.

PENKTAS SKYRIUS
DUOMENŲ PAREIGŪNAS

62. Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.
63. Duomenų apsaugos pareigūnas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Europos Sąjungos ar Sąjungos valstybės narės teisės.
64. Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad šių ir panašių užduočių ir pareigų atlikimo nekiltų
interesų konfliktas.