Procedura obsługi żądań podmiotów danych

Procedura obsługi żądań podmiotów danych

1. Definicje

1.1. Administrator – Cybernetics Sp. z o.o.

1.2. Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.

1.3. Inspektor Ochrony Danych (IOD) – osoba wyznaczona przez Administratora, nadzorująca przestrzeganie przepisów o ochronie Danych osobowych w organizacji Administratora, wykonująca zadania określone w art. 39 RODO. albo Koordynator Ochrony Danych Osobowych (KODO) – osoba wyznaczona przez Administratora, realizująca w organizacji Administratora zadania związane z zapewnieniem zgodności przetwarzania Danych osobowych z obowiązującym prawem.

1.4. Podmiot danych – osoba fizyczna, której dotyczą Dane osobowe przetwarzane przez Administratora.

1.5. Pracownik – osoba fizyczna zatrudniona przez Administratora na podstawie umowy o pracę.

1.6. Prawa Podmiotu danych – prawa, o których mowa w art. 15–22 RODO.

1.7. Procedura – niniejsza Procedura obsługi żądań Podmiotów danych.

1.8. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

1.9. Wnioskodawca – Podmiot danych zgłaszający żądanie realizacji jednego lub więcej Praw Podmiotu danych.

1.10. Współpracownik – osoba fizyczna świadcząca na rzecz Administratora usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenie, umowa o dzieło).

2. Zasady ogólne

2.1. Procedura określa ogólne ramy postępowania z żądaniami Podmiotów danych, kierowanymi do Administratora, dotyczącymi Praw Podmiotu danych. W każdym przypadku, w którym sposób postępowania nie wynika wprost z Procedury, niezbędna jest konsultacja z IOD/KODO.

2.2. Żądanie dotyczące Praw Podmiotu danych może być złożone w formie pisemnej, ustnej do protokołu lub elektronicznej.

2.3. Żądania dotyczące Praw Podmiotu danych realizuje IOD/KODO. W razie skierowania żądania do innej jednostki organizacyjnej Pracownik, który otrzymał żądanie, zobowiązany jest niezwłocznie, lecz nie później niż do końca dnia roboczego, w którym żądanie wpłynęło, przekazać je do IOD/KODO.

2.4. Postępowanie, o którym mowa w Procedurze, jest nieodpłatne, z zastrzeżeniem pkt 4.9.

2.5. W przypadku braku możliwości jednoznacznej weryfikacji tożsamości Wnioskodawcy IOD/KODO może zażądać dodatkowych informacji w celu potwierdzenia tożsamości Wnioskodawcy, zgodnie z postanowieniami rozdziału 3 poniżej.

2.6. Rozpoznanie żądania zgłoszonego przez pełnomocnika Wnioskodawcy możliwe jest pod warunkiem, że przedstawia on pełnomocnictwo (upoważnienie), z którego jednoznacznie wynika umocowanie do zgłoszenia żądania i zakres żądania.

2.7. W przypadku braku możliwości jednoznacznego określenia faktycznej treści żądania Wnioskodawcy IOD/KODO może żądać od Wnioskodawcy dodatkowych wyjaśnień.

2.8. IOD/KODO rejestruje każde otrzymane żądanie w rejestrze, którego wzór określony został w załączniku 1 do Procedury.

3. Identyfikacja Wnioskodawcy

3.1. Przed udzieleniem odpowiedzi na żądanie IOD/KODO zobowiązany jest do weryfikacji tożsamości Wnioskodawcy.

3.2. W przypadku braku możliwości jednoznacznej weryfikacji tożsamości Wnioskodawcy IOD/KODO może żądać dodatkowych informacji w celu potwierdzenia tożsamości Wnioskodawcy.

3.3. Weryfikacja tożsamości Wnioskodawcy powinna każdorazowo odbywać się zgodnie z poniższymi zasadami:

3.3.1. w przypadku żądania od Wnioskodawcy podania dodatkowych danych w celu jednoznacznego potwierdzenia tożsamości Wnioskodawcy należy pozyskiwać jedynie dane w zakresie niezbędnym dla osiągnięcia zamierzonego celu;

3.3.2. w przypadku żądania od Wnioskodawcy podania dodatkowych danych w celu jednoznacznego potwierdzenia tożsamości Wnioskodawcy należy niezwłocznie, lecz nie później niż w ciągu miesiąca, poinformować Wnioskodawcę, że termin udzielenia odpowiedzi na żądanie będzie liczony od dnia udzielenia informacji umożliwiających jednoznaczną identyfikację;

3.3.3. w przypadku okazania przez Wnioskodawcę dokumentu w celu umożliwienia jednoznacznego potwierdzenia tożsamości dokument powinien być pozyskiwany wyłącznie do wglądu, tzn. nie powinna być wykonywana jego kopia ani skan.

4. Sposób udzielenia odpowiedzi przez IOD/KODO

4.1. IOD/KODO zobowiązany jest udzielić odpowiedzi na żądanie w terminie miesiąca od dnia jego otrzymania (tzn. od dnia wpłynięcia żądania do Administratora). W przypadku zamiaru przesłania odpowiedzi drogą pocztową IOD/KODO zapewnia, by odpowiedź została wysłana nie później niż w terminie 3 dni roboczych przed upływem miesiąca od daty otrzymania żądania.

4.2. Jeżeli koniec terminu przypada na dzień ustawowo wolny od pracy, za ostatni dzień terminu uważa się najbliższy dzień powszedni.

4.3. W przypadkach otrzymania żądania, w związku z którym konieczne jest:

4.3.1. ustalenie lub weryfikacja tożsamości Wnioskodawcy; lub

4.3.2. ustalenie lub doprecyzowanie przedmiotu żądania – miesięczny termin dotyczy podjęcia przez IOD/KODO czynności w celu uzyskania informacji niezbędnych do ustalenia powyższych okoliczności. W takim przypadku termin na udzielenie odpowiedzi na żądanie wynosi miesiąc od dnia uzyskania przez IOD/KODO wszystkich informacji niezbędnych do realizacji żądania.

4.4. IOD/KODO uprawniony jest do przedłużenia terminu udzielenia odpowiedzi na żądanie jedynie w przypadku, gdy dochowanie miesięcznego terminu nie jest możliwe z uwagi na skomplikowany charakter żądania lub dużą liczbę zgłoszonych żądań. W przypadku przedłużenia terminu rozpatrzenia żądania IOD/KODO zobowiązany jest poinformować Wnioskodawcę w terminie miesiąca od otrzymania żądania o przedłużeniu terminu udzielenia odpowiedzi, wskazując przyczyny przedłużenia terminu.

4.5. Jeżeli Administrator nie podejmuje działań w związku z żądaniem Wnioskodawcy, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje Wnioskodawcę o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do Organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.

4.6. W przypadku, w którym żądanie zostało skierowane do Administratora elektronicznie, odpowiedzi udziela się w tej samej formie, chyba że Wnioskodawca zażądał udzielenia odpowiedzi w innej formie. W innych przypadkach odpowiedzi udziela się pisemnie.

4.7. Odmowa podjęcia działań w związku ze zgłoszonym żądaniem dopuszczalna jest wyłącznie w przypadku, gdy:

4.7.1. żądanie jest ewidentnie nieuzasadnione;

4.7.2. żądania Wnioskodawcy są nadmierne, w szczególności gdy ich zgłaszanie ma charakter ustawiczny.

4.8. O odmowie podjęcia działań z uwagi na powyższe okoliczności Administrator informuje Wnioskodawcę w terminie miesiąca od otrzymania żądania.

4.9. W przypadku określonym w pkt 4.7 powyżej Administrator może zamiast odmowy podjęcia działań rozpoznać żądanie merytorycznie po pobraniu opłaty w wysokości 50 zł.

5. Postanowienia końcowe

5.1. Procedura wchodzi w życie z dniem 01.01.2024 r.

Załącznik 1. Rejestr żądań podmiotów danych

REJESTR ŻĄDAŃ PODMIOTÓW DANYCH

Lp. Data wpływu żądania Dane Wnioskodawcy Forma żądania Przedmiot żądania Sposób rozstrzygnięcia żądania Data realizacji żądania Forma realizacji żądania Dodatkowe uwagi

1

2

3

...