Procedura realizacji praw osób których dane dotyczą

CEL PROCEDURY

Sprecyzowanie i wdrożenie w Wirtualna Spółka z o.o. jednolitej i przejrzystej procedury postępowania w przypadku złożenia przez osobę, której dane dotyczą wniosku w zakresie przysługujących jej na mocy przepisów o ochronie danych osobowych praw.

ZASADY REALIZACJI PRAW OSÓB, WYNIKAJĄCE Z RODO

1. Każdej osobie, której dane osobowe są przetwarzane przysługują prawa określone w art. 15-22 RODO, w tym:

a. prawo dostępu do danych jej dotyczących

b. prawo do sprostowania danych

c. prawo do usunięcia danych

d. prawo do ograniczenia przetwarzania

e. prawo do przenoszenia danych

f. prawo do sprzeciwu na przetwarzanie jej danych

g. prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu

h. prawo do uzyskania kopii danych

2. Rozpatrywanie żądań osoby, której dane dotyczą odbywa się po zweryfikowaniu tożsamości tej osoby.

3. Jeżeli istnieją uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

4. Jeżeli nie można jednoznacznie potwierdzić tożsamości wnoszącego żądanie, odmawia się realizacji żądania.

5. W sytuacji powierzania danych podmiotom przetwarzającym lub udostępniania danych innym administratorom danych należy ich powiadamiać o każdym sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, które było wynikiem realizacji wniosku otrzymanego od osoby, której dane dotyczą.

6. Na wnioski dotyczące żądań realizacji praw osób należy udzielać odpowiedzi niezwłocznie, w terminie nie przekraczającym jednego miesiąca od otrzymania żądania.

7. W razie potrzeby termin udzielenia odpowiedzi można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W takim wypadku w terminie jednego miesiąca od otrzymania żądania należy poinformować osobę, której dane dotyczą o przedłużeniu terminu, z podaniem przyczyn opóźnienia.

8. Jeśli żądanie zostało przekazane elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

9. W przypadku nie podjęcia działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie - najpóźniej w terminie miesiąca od otrzymania żądania - informuje się osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do Wirtualna Spółka z o.o. oraz skorzystania ze środków ochrony prawnej przed sądem.

10. Informacje podawane na mocy art. 13 i 14 oraz komunikacja i działania podejmowane na mocy art. 15-22 i 34 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, można:

a) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo

b) odmówić podjęcia działań w związku z żądaniem.

11. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

12. Informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.

13. W imieniu małoletniego wniosek składa jego rodzic lub opiekun prawny.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

1. Kierownicy komórek organizacyjnych Wirtualna Spółka z o.o. – w zakresie realizacji wniosku kierowanego do ich komórki organizacyjnej.

2. Inspektor ochrony danych Anna Nowak w zakresie konsultowania sposobu realizacji wniosku1.

POSTANOWIENIA OGÓLNE PROCEDURY

1. Inspektor ochrony danych jest odpowiedzialny za przyjmowanie, rejestrowanie.

2. Korespondencję pisemną lub przesłaną elektronicznie za pośrednictwem poczty e-mail lub poprzez system CRM, której treść wskazuje na wniosek obywatela w zakresie praw związanych z ochroną danych osobowych, należy niezwłocznie przekazać do Anny Nowak.

3. Anna Nowak po zarejestrowaniu wniosku weryfikuje tożsamość wnioskodawcy oraz czy informacje podane we wniosku umożliwiają udzielenie odpowiedzi na przesłany wniosek. Jeżeli nie zostało to zrealizowane wcześniej, przekazuje wnioskodawcy klauzulę informacyjną dotyczącą przetwarzania na potrzeby realizacji praw osoby, której dane dotyczą.

4. W przypadku braku możliwości potwierdzenia tożsamości, Anna Nowak wzywa wnioskodawcę do podania informacji, które umożliwią weryfikację tożsamości. Brak odpowiedzi lub uznanie, że dodatkowe informacje są niewystarczające, skutkuje przekazaniem wnioskodawcy informacji o odmowie zrealizowania wniosku. W takim wypadku należy wskazać sposób ponownego złożenia wniosku.

5. Po skutecznym zweryfikowaniu tożsamości wnioskodawcy, Anna Nowak przekazuje treść wniosku do właściwego pracownika merytorycznego, w celu uzyskania informacji o możliwości zrealizowania wniosku.

6. Pracownik merytoryczny niezwłocznie weryfikuje możliwość zrealizowania wniosku i przekazuje do Anny Nowak informacje o działaniach, które zostały zrealizowane w związku z otrzymanym wnioskiem.

7. W przypadku, gdy korespondencja, której treść wskazuje na wniosek obywatela w zakresie przysługujących mu praw wynikających z przepisów RODO, została przesłana bezpośrednio do pracownika merytorycznego, jest on zobowiązany do niezwłocznego przekazania wniosku do Anny Nowak.

8. Anna Nowak odnotowuje informację o sposobie załatwienia sprawy.

9. Skargi i wnioski realizowane na podstawie Księgi Skarg i Wniosków obsługiwane są zgodnie z odrębną procedurą obowiązującą w Wirtualna Spółka z o.o.

1 O ile został wyznaczony, w przeciwnym wypadku należy wyznaczyć pracownika odpowiedzialnego za realizowanie czynności związanych z otrzymywaniem wniosków o realizację praw przysługujących na mocy przepisów RODO.

ZASADY REALIZACJI POSZCZEGÓLNYCH PRAW, PRZYSŁUGUJĄCYCH OSOBIE, KTÓREJ DANE DOTYCZĄ

Rozdział I. Prawo do uzyskania informacji

1. Osoba, której dane dotyczą, jest uprawniona do uzyskania potwierdzenia, czy w Wirtualna Spółka z o.o. przetwarzane są jej dane osobowe. Jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz pozyskania następujących informacji:

1) w jakim celu są przetwarzane

2) jakich kategorii danych osobowych dotyczy przetwarzanie;

3) o Janie lub Annie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w Polsce lub Niemczech;

4) o planowanym okresie 2 lat przechowywania danych osobowych, a gdy nie jest możliwe wskazanie konkretnego czasu przechowywania, o kryteriach ustalania tego okresu;

5) o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

6) o prawie wniesienia skargi do organu nadzorczego;

7) o źródle danych, jeżeli nie zostały zebrane od osoby, której dotyczą.

2. Jeżeli dane osobowe są przekazywane do Stanów Zjednoczonych lub Kanady, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.

3. Jeżeli osoba, której dane dotyczą, zwróci się z wnioskiem o dostarczenie kopii jej danych osobowych podlegających przetwarzaniu, żądanie takie realizuje się bezpłatnie. Za wszelkie kolejne kopie, można pobrać opłatę. Opłata powinna obejmować jedynie faktyczne koszty sporządzenia kopii, tj. koszt wydruku i nośnika. Cennik usług Wirtualna Spółka z o.o. może być ustalony odrębnie dla każdej komórki organizacyjnej lub sporządzony dla całej jednostki.

4. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się drogą elektroniczną po jednoznacznej weryfikacji tożsamości osoby, np. podaniu numeru PESEL, podaniu innej informacji, która była podana we wcześniejszej korespondencji, a co do której można mieć pewność, że będzie ją posiadać jedynie osoba, którego dane dotyczą.

5. Kopię danych, o której mowa w ust. 3, wydaje się w postaci wydruku po ich przepisaniu lub skopiowaniu do ustrukturyzowanego powszechnie używanego formatu nadającego się do odczytu maszynowego (informacja maszynowa). Nie wydaje się oryginałów dokumentów ani ich kserokopii, które mogą zawierać dodatkowe dane niedotyczące osoby występującej z wnioskiem.

6. Prawo do uzyskania kopii, nie może niekorzystnie wpływać na prawa i wolności innych.

7. Inspektor ochrony danych wraz z pracownikiem merytorycznym, realizującym wniosek, podejmują decyzję, czy kopię danych wydać w postaci zanonimizowanych kopii dokumentów i/lub plików, czy informacji przetworzonej o kategoriach przetwarzanych danych. Prawo do uzyskania kopii danych, nie jest równoważne z prawem do uzyskania kopii dokumentów lub plików, w których te dane są zawarte.

Rozdział II. Prawo do sprostowania danych

1. Osoba, której dane dotyczą, ma prawo żądania niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

2. Ponadto osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

3. Pracownik merytoryczny, który w ramach wykonywanych zadań przetwarza dane osoby wnioskującej i otrzymał od Anny Nowak wniosek o sprostowanie danych, obowiązany jest dokonać weryfikacji przetwarzanych danych. Uzupełnienie danych następuje z uwzględnieniem celów przetwarzania.

4. Prawo do sprostowania danych nie znajduje zastosowania do danych osobowych, w odniesieniu do których tryb ich sprostowania lub uzupełnienia określają odrębne przepisy, np. procedura sprostowania aktu urodzenia w Urzędzie Stanu Cywilnego.

Rozdział III. Prawo do żądania usunięcia danych

1. Osoba, której dane dotyczą, ma prawo żądania niezwłocznego usunięcia dotyczących jej danych osobowych. Należy bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

2) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

3) dane osobowe były przetwarzane niezgodnie z prawem;

4) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie Rzeczypospolitej Polskiej, któremu podlega administrator.

2. Jeżeli dane osobowe zostały upublicznione, a na mocy ust. 1 istnieje obowiązek usunięcia tych danych osobowych, to (biorąc pod uwagę dostępną technologię i koszty realizacji) podejmuje się niezbędne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, że Jan Kowalski, którego dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

3. Przepisy ust. 1 i 2 nie mają zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:

1) do korzystania z prawa do wolności wypowiedzi i informacji lub

2) do wywiązania się z obowiązku prawnego wymagającego przetwarzania na mocy prawa Unii Europejskiej lub prawa Rzeczypospolitej Polskiej, któremu podlega administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, lub

3) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania, lub

4) do ustalenia, dochodzenia lub obrony roszczeń.

Rozdział IV. Prawo do żądania ograniczenia przetwarzania

1. Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania jej danych osobowych.

2. Ograniczenie przetwarzania oznacza, że dane osobowe można jedynie przechowywać. Inne formy przetwarzania mogą mieć miejsce wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub Rzeczypospolitej Polskiej.

3. Do ograniczenia może dojść w następujących przypadkach:

1) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych; w tym przypadku ogranicza się przetwarzanie na okres pozwalający sprawdzić prawidłowość danych;

2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

3) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

4) osoba, której dane dotyczą, wobec przetwarzania wniósł sprzeciw. W tym przypadku ogranicza się przetwarzanie do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu.

4. Ograniczenia przetwarzania dokonuje się poprzez odpowiednie oznaczenie danych osobowych, których dotyczy żądanie, przetwarzanych zarówno w formie papierowej, jak i elektronicznej, tak aby każdy pracownik administratora, który jest upoważniony do przetwarzania tych danych był świadomy, że dane te można jedynie przechowywać.

5. Przed uchyleniem ograniczenia przetwarzania informuje się o tym osobę, która żądała ograniczenia.

Rozdział V. Prawo do przeniesienia danych

1. Jeżeli przetwarzanie odbywa się na podstawie zgody, której stroną jest osoba, której dane dotyczą, oraz w sposób zautomatyzowany ma ona prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego swoje dane osobowe.

2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

3. Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.

4. Wykonanie prawa, o którym mowa w ust. 1, pozostaje bez uszczerbku dla prawa do usunięcia danych.

5. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Rozdział VI. Prawo do wniesienia sprzeciwu wobec przetwarzania danych

1. Jeżeli przetwarzanie oparte jest na przesłance wykonania zadania realizowanego w interesie publicznym lub prawnie uzasadnionym interesie administratora, osoba, której dane dotyczą z przyczyn związanych z jej szczególną sytuacją, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jej danych osobowych.

2. Administratorowi nie wolno już przetwarzać danych osobowych, względem których wniesiono sprzeciw, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

3. W momencie złożenia sprzeciwu wobec przetwarzania administrator niezwłocznie ogranicza przetwarzanie i weryfikuje czy istnieją ważniejsze uzasadnione podstawy do przetwarzania niż interes osoby wnioskującej. Jeżeli administrator posiada podstawę prawną, o której mowa powyżej, informuje osobę wnioskującą o odmowie realizacji prawa wraz z uzasadnieniem decyzji. W przypadku, gdy uzasadniona jest przesłanka do zrealizowania żądania, postępuje się zgodnie z ust. 2.

4. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

5. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

Rozdział VII Prawo do niepodlegania decyzjom na podstawie zautomatyzowanego przetwarzania

1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2. To prawo nie ma zastosowania, jeżeli ta decyzja:

a. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem

b. jest dozwolona prawem Unii lub prawem Rzeczypospolitej Polskiej, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą

c. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.