Procedura realizacji praw osób których dane osobowe dotyczą

Procedura RODO dotycząca realizacji praw osób, których Dane Osobowe dotyczą

1. Podmiot informuje każdą osobę, której Dane Osobowe przetwarza, o prawach RODO opisanych w pkt 2 poniżej.

2. Każda osoba, której Dane Osobowe dotyczą, posiada następujące prawa:

1) prawo do cofnięcia zgody – może cofnąć wyrażoną przez siebie zgodę w każdym momencie i bez podawania przyczyny (art. 7 RODO);

2) prawo dostępu – może żądać od Podmiotu informacji o przetwarzaniu jej danych osobowych, tj. potwierdzenia, czy przetwarzane są jej dane osobowe. Jeżeli dane o osobie są przetwarzane, jest ona uprawniona do uzyskania dostępu do nich, uzyskania ich kopii oraz do uzyskania następujących informacji: o celach przetwarzania, kategoriach danych osobowych, informacji o odbiorcach lub kategoriach odbiorców, którym dane zostały lub zostaną ujawnione, o 10 latach przechowywania danych lub o kryteriach ich ustalania, o przysługujących osobie prawach związanych z przetwarzaniem jej danych osobowych, o możliwości wniesienia skargi do organu nadzoru, o źródle pozyskania danych osobowych, jeżeli nie zostały pozyskane bezpośrednio od osoby, której dane dotyczą, oraz o profilowaniu i zautomatyzowanym przetwarzaniu decyzji (art. 15 RODO);

3) prawo do sprostowania – może sprostować dane osobowe jej dotyczące. Jeżeli osoba uzyska informację o tym, że jej dane osobowe przetwarzane przez Podmiot są nieprawidłowe, nieaktualne lub niekompletne, ma ona prawo żądać ich niezwłocznego sprostowania lub uzupełnienia (art. 16 RODO);

4) prawo do zapomnienia – może żądać usunięcia jej danych osobowych, przy czym, jeżeli osoba wyraziła zgodę na przetwarzanie danych osobowych, żądanie usunięcia odniesie taki sam skutek jak cofnięcie zgody (art. 17 RODO);

5) prawo do ograniczenia przetwarzania – może żądać ograniczenia przetwarzania danych osobowych (art. 18 RODO), tj. zażądać zaprzestania ich przetwarzania z wyjątkiem ich przechowywania, w sytuacjach, gdy:

a) osoba, której dane Dotyczą, kwestionuje prawidłowość danych osobowych na 3 miesiące, w którym Podmiot będzie weryfikował ich prawidłowość,

b) osoba, której Dane dotyczą, kwestionuje zgodność z prawem przetwarzania danych osobowych przez Podmiot,

c) Podmiot nie potrzebuje już tych danych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony jego roszczeń,

d) osoba, której Dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu podjęcia decyzji przez Podmiot co do zasadności sprzeciwu;

6) prawo do wniesienia sprzeciwu – może wnieść sprzeciw wobec przetwarzania jej danych osobowych w prawnie uzasadnionych celach Podmiotu;

7) prawo do przenoszenia – może przenieść swoje dane osobowe, tj. otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe, które dostarczyła Podmiotowi, jeżeli ich przetwarzanie odbywa się na podstawie zgody, lub zażądać przesłania tych danych innemu, wskazanemu przez osobę, której dane dotyczą, administratorowi (art. 20 RODO).

3. Realizację praw osób, których Dane Osobowe dotyczą, koordynuje Inspektor Ochrony Danych, kierując poszczególne wnioski do odpowiednich Specjalistów ds. Danych Osobowych celem przygotowania wsadu do odpowiedzi na wniosek lub realizacji prawa, w szczególności do Działu Prawnego.

4. Obowiązek realizacji poszczególnych praw opisuje poniższa tabela:

Lp. Prawo Warunki realizacji Wyłączenia od realizacji

1 Dostępu do informacji Jeżeli zapytanie dotyczy 1) Jeżeli wniosek dotyczy informacji o przetwarzaniu następujących informacji: nieuwzględnionych Danych Osobowych 1) potwierdzenie, że dane w wykazie, Art. 15 ust. 1 RODO osobowe o tej osobie są 2) jeżeli ujawnienie przetwarzane, określonej informacji 2) cele przetwarzania, wpłynie negatywnie 3) kategorie odnośnych danych na prawa lub wolności osobowych, innych.

4) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w Stanach Zjednoczonych lub organizacjach międzynarodowych,

5) 6 miesięcy retencji danych osobowych,

6) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przechowywania,

7) informacje o prawie wniesienia skargi do organu nadzorczego,

8) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,

9) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,

10) w przypadku transferu danych osobowych do Kanady – o stosowanych zabezpieczeniach związanych z przekazaniem danych osobowych.

2 Otrzymania kopii Kopia danych osobowych Druga i kolejne kopie: Danych Osobowych podlegających przetwarzaniu 1) jeżeli Podmiot ustalił art. 15 ust. 3 RODO opłatę za jej udostępnienie i wezwał osobę, której Dane Osobowe dotyczą, do jej uiszczenia, lecz osoba opłaty nie uiściła,

2) jeżeli udostępnienie kopii Danych Osobowych wpłynie negatywnie na prawa i wolności innych.

3 Sprostowania 1) Jeżeli osoba podaje dane 1) Jeżeli osoba podaje zakres Art. 16 RODO osobowe inne niż znajdujące danych osobowych się w Podmiocie, nieprzetwarzany przez 2) jeżeli osoba oświadcza, że Podmiot i Podmiot nie ma Dane Osobowe znajdujące się celu lub podstawy prawnej w Podmiocie są nieaktualne lub do przetwarzania tych nieprawdziwe, danych osobowych, 3) jeżeli osoba oświadcza, 2) jeżeli do zmiany Danych że Dane Osobowe znajdujące Osobowych niezbędne jest się w Podmiocie są przedstawienie dowodu osobistego, a osoba, po poinformowaniu jej o tym, tego dowodu osobistego nie przedstawiła.

niekompletne, a Podmiot ma cel i podstawę prawną do przetwarzania tych dodatkowych Danych Osobowych.

4 Usunięcia Danych 1) Jeżeli Podmiot nie ma już 1) Jeżeli Podmiot nadal Osobowych/do bycia celu do ich przetwarzania, posiada ważny cel zapomnianym 2) jeżeli Podmiot nie ma żadnej i podstawę prawną do Art. 17 RODO ważnej podstawy prawnej do przetwarzania Danych przetwarzania Danych Osobowych, Osobowych, w tym jeżeli 2) jeżeli przetwarzanie osoba, której Dane Osobowe Danych Osobowych jest dotyczą, cofnęła zgodę niezbędne do ustalenia, na przetwarzanie jej Danych dochodzenia lub obrony roszczenia, Osobowych lub skutecznie wniosła sprzeciw, 3) jeżeli przetwarzanie 3) jeżeli usunięcie nakazują Danych Osobowych jest przepisy prawa, niezbędne do korzystania 4) jeżeli Dane Osobowe zostały z prawa do wolności upublicznione – usunięcie wypowiedzi i informacji, wszelkich linków do tych 4) jeżeli usunięcie Danych Osobowych i ich kopii. wszystkich linków nie jest możliwe po podjęciu wszystkich rozsądnych działań z uwzględnieniem dostępnej technologii i kosztów realizacji.

5 Ograniczenia 1) Jeżeli osoba, której dane Jeżeli ograniczenie jest przetwarzania Danych dotyczą, kwestionuje wnioskowane wraz Osobowych Art. 18 prawidłowość danych z wnioskiem o usunięcie RODO osobowych – na 2 miesiące Danych Osobowych, pozwalający Podmiotowi ze sprzeciwem lub sprawdzić prawidłowość tych cofnięciem zgody, danych, a weryfikacja trwa krócej niż 1 miesiąc, wówczas można od razu zrealizować wniosek.

2) jeżeli przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

3) jeżeli Podmiot nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony pozwu,

4) jeżeli osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Podmiotu są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

6 Powiadomienia Poinformowanie odbiorców: Jeżeli poinformowanie o sprostowaniu lub 1) jeżeli administrator dokonał odbiorców będzie usunięciu sprostowania, usunięcia lub niemożliwe lub będzie Art. 19 RODO ograniczenia przetwarzania wymagać nakładów dużego ujawnionych Danych wysiłku.

Osobowych, 2) poinformowanie osoby, której Dane Osobowe dotyczą, o odbiorcach, na jej wniosek.

7 Przenoszenia danych 1) Jeżeli jednocześnie: 1) Jeżeli którykolwiek osobowych 1) Dane Osobowe są z wymienionych warunków Art. 20 RODO przetwarzane na podstawie nie został spełniony, np.: zgody lub umowy zawartej z tą a) jeżeli Dane Osobowe osobą, zostały wytworzone przez 2) Dane Osobowe są Podmiot, przetwarzane w sposób automatyczny, b) jeżeli Dane Osobowe są 3) Dane Osobowe zostały przetwarzane na podstawie dostarczone przez osobę, której prawnie uzasadnionego celu dotyczą lub wynikają Podmiotu lub na podstawie z aktywności tej osoby. przepisów prawa, c) jeżeli Dane Osobowe nie są przetwarzane automatycznie;

2) jeżeli realizacja prawa negatywnie wpłynie na prawa i wolności innych;

3) jeżeli nie ma możliwości przekazania Danych Osobowych do innego administratora wskazanego przez osobę, której dotyczą, z zachowaniem bezpieczeństwa tych Danych Osobowych do czasu przejęcia ich przez tego administratora – wówczas prawo należy zrealizować wobec osoby, której Dane Osobowe dotyczą;

4) jeżeli administrator wskazany przez osobę, której Dane Osobowe dotyczą, odmawia przyjęcia Danych Osobowych – wówczas prawo należy zrealizować wobec osoby, której dane osobowe dotyczą

8 Sprzeciwu 1) Jeżeli Dane Osobowe są Jeżeli Dane Osobowe są Art. 21 RODO przetwarzane na podstawie przetwarzane w celu innym prawnie uzasadnionego niż marketing bezpośredni i Podmiot interesu Podmiotu w celach podtrzymuje swoją ocenę, marketingu bezpośredniego, zgodnie z którą jego interes 2) jeżeli Dane Osobowe są uzasadnia jego przetwarzane na podstawie pierwszeństwo przed prawnie uzasadnionego prawami i wolnościami interesu Podmiotu w innym osoby, której one dotyczą.

celu niż reklama, osoba wskazała na swoją szczególną sytuację i z ponownie dokonanej oceny interesów wynika, że interesy Podmiotu nie są ważniejsze od praw i wolności osoby, której Dane Osobowe dotyczą.

9 Niepodlegania Decyzja podejmowana przez 1) Jeżeli decyzja jest zautomatyzowanemu Podmiot spełnia łącznie niezbędna do zawarcia lub podejmowaniu poniższe warunki: wykonania umowy między decyzji 1) jest podejmowana wyłącznie osobą, której dane dotyczą, w sposób zautomatyzowany, a Podmiotem, bez udziału pracownika lub 2) jeżeli decyzja jest kierownika Podmiotu lub dozwolona przepisami Unii lub gdy jego udział jest tylko formalny i nie ma żadnego realnego wpływu na podejmowaną decyzję, 2) wywołuje wobec osoby skutki prawne lub podobnie na nią wpływa. przepisami polskiego prawa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, lub 3) jeżeli decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą. Jeżeli decyzja jest podejmowana z przetwarzaniem danych osobowych szczególnych kategorii, wyłączenie przewidziane powyżej może dotyczyć wyłącznie przetwarzania danych osobowych szczególnych kategorii na podstawie wyraźnej zgody lub ze względu na ważny interes publiczny.

5. Jeżeli Specjalista ds. Danych Osobowych ma wątpliwości, czy i w jakim zakresie określony wniosek powinien zostać zrealizowany, kieruje zapytanie do Inspektora Ochrony Danych.

6. Na każdy wniosek o realizację praw złożony przez osobę, której Dane Osobowe dotyczą, musi zostać udzielona odpowiedź niezwłocznie, lecz nie dłużej niż w ciągu miesiąca. Inspektor Ochrony Danych może w wyjątkowych sytuacjach i po akceptacji Administratora Danych przedłużyć ten termin, informując o tym osobę, której Dane Osobowe dotyczą, niezależnie od tego, jaką drogą i w jakiej formie wniosek ten został złożony.

7. Przedłużenie terminu do realizacji praw RODO może zostać dokonane o maksymalnie dwa miesiące z uwagi na:

1) złożony charakter żądania,

2) dużą ilość żądań złożonych przez tę osobę.

8. W ciągu miesiąca od złożenia wniosku Inspektor Ochrony Danych kieruje odpowiedź do osoby, która złożyła wniosek, informując ją o:

1) realizacji jej prawa,

2) odmowie realizacji jej prawa wraz z informacją o przyczynie odmowy oraz o możliwości złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych i danych kontaktowych Prezesa Urzędu Ochrony Danych Osobowych,

3) przedłużeniu terminu do realizacji wniosku wraz z informacją o przyczynie odmowy oraz o możliwości złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych i danych kontaktowych Prezesa Urzędu Ochrony Danych Osobowych.

9. Każdy wniosek jest interpretowany zgodnie z życzeniem osoby, której Dane Osobowe dotyczą, niezależnie od jego literalnego brzmienia. Jeżeli Inspektor Ochrony Danych ma wątpliwości co do intencji lub zamierzonego celu wniosku, kontaktuje się z osobą, której Dane Osobowe dotyczą, celem ich wyjaśnienia.

10. Każdy kontakt z osobą, której Dane Osobowe dotyczą, odbywa się zgodnie z zasadą transparentności i w celu ułatwienia osobie realizacji jej praw.

11. Kontakt z osobą, której Dane Osobowe dotyczą, odbywa się:

1) na etapie wyjaśniania wniosku – telefonicznym i elektronicznym sposobem dostępnym w konkretnym przypadku,

2) na etapie realizacji wniosku – pisemnie, chyba że osoba kontaktuje się telefonicznie i nie zastrzegła innej formy odpowiedzi – wówczas należy kontaktować się z osobą telefonicznie.

12. Przy realizacji praw RODO, z którymi wiąże się ujawnienie Danych Osobowych w odpowiedzi na wniosek (w szczególności prawo do otrzymania kopii Danych Osobowych, prawo do przeniesienia Danych Osobowych), Inspektor Ochrony Danych upewnia się, że podczas ich przekazywania do osoby, której Dane Osobowe dotyczą, lub do innego administratora wskazanego przez tę osobę, Dane Osobowe są odpowiednio zabezpieczone, w szczególności przez szyfrowanie korespondencji lub szyfrowanie Danych Osobowych lub ich szyfrowanie nośnika.

13. Jeżeli osoba, której Dane Osobowe dotyczą, kontaktuje się telefonicznie lub wniosła o wysłanie odpowiedzi e-mailem, Inspektor Ochrony Danych zabezpiecza Dane Osobowe hasłem.

14. Hasło musi składać się z 8 znaków i zostać wysłane do osoby, której Dane Dotyczą, inną drogą niż e-mail.

15. Można przekazać w tym samym e-mailu instrukcje, jak hasło zostało skonstruowane, bez podawania samego hasła (np. informacja, że hasło składa się z pierwszych liter imienia i nazwiska oraz daty urodzenia pisanego z dużej litery i bez żadnego znaku po dacie urodzenia).

16. Inspektor Ochrony Danych, po akceptacji Administratora Danych, może nałożyć opłatę za realizację prawa, jeżeli:

1) osoba złożyła drugi lub kolejny wniosek o prawo otrzymania kopii Danych Osobowych – w wysokości 10 zł kosztów wydania kopii,

2) żądanie jest ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój powtarzalny charakter – w wysokości 50 zł kosztów udzielenia informacji, konsultacji z wnioskodawcą i podjęcia żądanych działań.

17. Inspektor Ochrony Danych, po akceptacji Administratora Danych, może odmówić realizacji prawa, jeżeli:

1) wniosek został złożony w zakresie przekraczającym prawa RODO, zgodnie z tabelą powyżej,

2) podmiot nałożył opłatę za jego realizację i poinformował o tym osobę, której Dane Osobowe dotyczą, lecz osoba nie uiściła opłaty,

3) żądania osoby są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój powtarzalny charakter.

18. Inspektor Ochrony Danych opracowuje aktualny wzór formularza o prawa RODO i zamieszcza je na stronie internetowej Podmiotu oraz we wszystkich innych miejscach, w których osoby, których Dane Osobowe dotyczą, mogą oczekiwać jego otrzymania wraz z instrukcją elektronicznego jego składania.

19. Niezależnie od stosowania formularza i wdrożonej elektronicznej składania wniosków, jeżeli osoba, której Dane Osobowe dotyczą odmawia złożenia wniosku elektronicznie, każda osoba upoważniona ma obowiązek przyjęcia wniosku.

20. Każdy pracownik, któremu osoba, której dane dotyczą, złożyła wniosek, jest obowiązany odnotować datę złożenia wniosku i przekazać go Inspektorowi Ochrony Danych. Jeżeli wniosek został złożony osobiście (osobiście lub telefonicznie), pracownik odbiera od osoby składającej wniosek jej imię i nazwisko oraz co najmniej jedną daną kontaktową (numer telefonu, adres e-mail, adres korespondencyjny) oraz treść żądania, utrwala te informacje pisemnie lub elektronicznie i niezwłocznie przekazuje je Inspektorowi Ochrony Danych lub Specjaliście ds. Danych Osobowych (e-mailem).

21. Jeżeli pracownik przekazał wniosek swojemu przełożonemu, przełożony niezwłocznie przekazuje go Inspektorowi Ochrony Danych.

22. Inspektor Ochrony Danych ma obowiązek potwierdzić tożsamość osoby wnioskującej przed realizacją wniosku.

23. Potwierdzenie tożsamości osoby wnioskującej odbywa się z użyciem danych osobowych przetwarzanych przez Podmiot o osobie, której Dane Osobowe dotyczą.

24. Potwierdzenie tożsamości może być:

1) podstawowe – polegające na potwierdzeniu imienia i nazwiska osoby wnioskującej,

2) rozszerzone – polegające na potwierdzeniu imienia i nazwiska osoby wnioskującej oraz na weryfikacji tożsamości poprzez zadanie osobie po jednym, a jeżeli jest to możliwe ze względu na zakres informacji przetwarzanych o tej osobie – po dwa pytania z zakresu tego, kim ta osoba jest (np. numer PESEL, adres zamieszkania, adres e-mail podany do rejestracji, numer identyfikacyjny) oraz co ta osoba posiada (np. z jakich usług korzysta).

25. Potwierdzenie tożsamości podstawowe może zostać zastosowane wobec realizacji wniosków o:

1) prawo do zapomnienia,

2) prawo do cofnięcia zgody,

3) prawo do złożenia sprzeciwu,

4) prawo do informacji,

5) prawo do ograniczenia przetwarzania.

26. Potwierdzenie tożsamości rozszerzone jest obowiązkowe wobec realizacji wniosków o:

1) prawo dostępu do danych osobowych,

2) prawo do otrzymania kopii Danych Osobowych,

3) prawo do przeniesienia Danych Osobowych,

4) prawo do sprostowania.

27. Jeżeli prawo ma zostać zrealizowane poprzez wysłanie określonych informacji lub Danych Osobowych na posiadany już wcześniej adres e-mail lub numer telefonu osoby, której Dane Osobowe dotyczą, można odstąpić od rozszerzonego potwierdzenia tożsamości i ograniczyć je tylko do weryfikacji adresu e-mail.

28. Jeżeli osoba, której Dane Osobowe dotyczą, składa taki sam wniosek o to samo prawo przed upływem 3 miesięcy od rozpatrzenia poprzedniego wniosku i od czasu ostatniej realizacji takiego samego wniosku nie zmieniły się żadne okoliczności przetwarzania Danych Osobowych tej osoby, Inspektor Ochrony Danych może:

1) odmówić realizacji prawa i poinformować, że zakres przetwarzania przetwarzania lub zakres Danych Osobowych nie uległ zmianie,

2) nałożyć dodatkową opłatę, uwzględniając dodatkowe koszty udzielenia informacji, prowadzenia korespondencji lub podjęcia żądanych działań.

29. Ogólny wzór formularza na wnioski stanowi Załącznik Nr 1 do Procedury.

30. Niniejsza Procedura RODO obowiązuje od 25.05.2023.