Procedura obsługi żądań podmiotów danych

PROCEDURA OBSŁUGI ŻĄDAŃ PODMIOTÓW DANYCH

1. CZĘŚĆ WSTĘPNA

1.1. Zapewnienia

Administrator danych (ADO) weryfikuje i zapewnia możliwość efektywnego wykonania praw podmiotu, zapewniając jednocześnie odpowiednie warunki, aby prawa podmiotu były realizowane terminowo, w sposób wymagany przez rodo oraz dokumentowane.

1.2. Transparentność

ADO ma obowiązek podejmować odpowiednie środki aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 rodo, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania dotyczących jej danych osobowych.

1.3. Ułatwianie realizacji praw

ADO będzie ułatwiać podmiotowi danych realizację ich praw wskazanych w art. 15-22 rodo. Przyjmuje się następujące sposoby przekazywania informacji służące ułatwianiu zgłaszania żądań z art. 15-22 rodo a także wniosków o wycofanie zgody:

Adres mailowy: [email protected]

/ uwaga: w przypadku powołania IOD Podmiot, który wyznaczył inspektora, udostępnia następujące dane IOD: Jan Kowalski oraz [email protected] lub 123-456-789 inspektora, zwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejsc u prowadzenia działalności /

Osobiście w ul. Kwiatowa 1, 00-000 Warszawa ADO.

Listownie na ul. Kwiatowa 1, 00-000 Warszawa ADO.

Uwaga!

W przypadku uprawnień informacyjnych wskazanych w art. 13-14 rodo (zestandaryzowane obowiązki informacyjne) ich realizacja po stronie ADO aktualizuje się niezależnie od żądania osoby, której dane dotyczą.

1.3. Odnotowywanie zgłoszeń

W ramach zgłoszonych żądań i odpowiedzi Kierownictwo (lub upoważniony pracownik) będzie odnotowywać m.in. wpływ żądania (Anna Nowak, 2023-10-26 i Dostęp do danych i E-mail) i udzielenia odpowiedzi na żądanie (Anna Nowak, 2023-10-27 i Dane udostępnione, E-mail) a także sposób spełnienia obowiązku (np. usunięcie danych) wskazując przy tym termin realizacji prawa podmiotu. Wzór rejestru realizacji praw stanowi Załącznik nr R/1/2023.

1.4. Role w ramach realizacji praw:

• Każdy pracownik do którego mogłoby trafić żądanie w ramach prawa podmiotu jest zobowiązany do niezwłocznego poinformowania o tym Kierownictwo (lub upoważnionego pracownika) i przekazania mu treści żądania. Kierownictwo (lub upoważniony pracownik) ocenia komunikat pod kątem zgodności z przepisami rodo.

• W przypadku powołania IOD, zgodnie z rodo powinien być on punktem kontaktowym dla osób, których dane dotyczą -> osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

  IOD nie jest może być odpowiedzialny za podejmowanie decyzji co do tego czy żądanie uwzględnić i w jaki sposób (jest to rola ADO) – oczywiście w tym zakresie IOD powinien być konsultowany (obowiązkiem IOD jest informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

• Właściciel procesu lub Kierownictwo -> ostatecznie decyduje o tym czy pozytywnie zrealizować żądanie (np. usunięcia danych);

• Osoba technicznie realizująca wniosek -> odpowiada wyłącznie za techniczny aspekt realizacji praw (działa na polecenie właściciela procesu);

• Upoważniony pracownik (Koordynator ODO w rozumieniu przedmiotowej procedury) / lub IOD, jeżeli powołano:

    o kieruje żądanie do właściciela procesu w celu podjęcia decyzji co do sposobu realizacji żądania;

    o kieruje żądanie (w oparciu o decyzję właściciela procesu) do osoby wykonującej technicznie żądanie;

    o prowadzi korespondencję z osobą żądającą (chyba, że prowadzi ją IOD);

    o wypełnia ewidencję praw podmiotów.

1.5. Schemat postępowania

Po otrzymaniu żądania Koordynator ODO (przy współpracy z właścicielem procesu oraz IOD) rejestruje żądanie w ewidencji praw podmiotów:

a) weryfikuje rodzaj żądania i w razie wątpliwości prosi osobę, żądającą o podanie dodatkowych informacji umożliwiających sprecyzowanie żądania;

b) ustala w ramach jakiej kategorii podmiotów (np. Klienci, Pracownicy, Kontrahenci, Kandydaci do pracy, Użytkownicy serwisu) należy identyfikować zgłaszającego;

  Na tej podstawie należy określić:

c) w ramach których procesów przetwarzania danych (wskazanych w rejestrze czynności –> jeżeli jest prowadzony) dane zgłaszającego (tej kategorii podmiotów) mogą być przetwarzane (może to być jeden lub więcej procesów przetwarzania danych),

d) (na podstawie rejestru czynności –> jeżeli jest prowadzony) jaki zakres danych jest istotny z punktu widzenia identyfikacji danych osoby zgłaszającej żądanie (odszukania tych danych i przypisania do wyodrębnionej osoby) oraz weryfikacji tożsamości osoby żądającej.

Np. jeżeli określona osoba identyfikowana jest poprzez imię i nazwisko proszenie o PESEL celem weryfikacji tożsamości prawdopodobnie zostanie uznane jako przetwarzanie danych nadmiarowych.

Uwaga – dana osoba fizyczna może być identyfikowana w ramach różnych procesów poprzez inny zestaw danych osobowych.

W ramach powyższych czynności należy konsultować IOD.

Schemat identyfikacji danych/weryfikacji tożsamości przy wykorzystaniu rejestru czynności przetwarzania.

Uwaga!

• Jeżeli ADO będzie mógł wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20 rodo, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować. Dodatkowo, jeżeli ADO będzie miał uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21 rodo, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

• Nie można przekazywać informacji zwrotnej przed zweryfikowaniem tożsamości. Prosząc o dodatkowe dane np. w celu sprecyzowania żądania, w celu identyfikacji lub weryfikacji tożsamości należy wyraźnie poinformować osobę żądającą o celu pozyskania tych dodatkowych informacji (można wyznaczyć dodatkowych termin na ich przekazanie (np. nie krótszy niż 7 dni roboczych) oraz wskazać, że bez tych informacji realizacji praw w całości lub w części nie będzie możliwa).

• Należy pamiętać, że procedura realizacji praw podmiotu, tak jak każdy inny proces przetwarzania danych podlega wszystkim wymogom rodo. W szczególności należy pamiętać, aby przy okazji realizacji praw podmiotu nie naruszyć zasad ogólnych rodo, w tym w zakresie minimalizacji danych a także reguł bezpieczeństwa np. przekazując kopie danych.

• Weryfikacja tożsamości nie może prowadzić do gromadzenia danych w sposób nadmierny i jest adekwatna do poziomu ryzyka. W toku realizacji praw podmiotów danych odpowiednie może okazać się zaczerpnięcie opinii Konsultanta ODO.

• Należy zawsze weryfikować podstawę umocowania, gdy osoba żądająca wskazuje, że działa w imieniu innego podmiotu.

W następnej kolejności należy:

e) sprawdzić, czy żądanie jest możliwe do zrealizowania oraz czy nie zachodzą przesłanki wyłączające możliwość realizacji żądania, ewentualnie przesłanki pobrania opłaty (w tym zakresie należy uwzględnić wymogi wskazane w części 2 poniżej opisującej poszczególne żądania);

f) zweryfikować 24 godziny oraz środki potrzebne na realizację żądania a także kto będzie odpowiedzialny za techniczną obsługę żądania oraz podjęcia decyzji o sposobie realizacji żądania;

g) jeżeli żądanie jest zasadne należy przekazać odpowiedź podmiotowi, który wniósł żądanie, wskazując sposób realizacji żądania, w terminie wskazanym powyżej.

h) odnotować sposób realizacji żądania ewidencji praw podmiotów.

1.6. Sposób komunikacji

Należy uwzględnić, iż Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Dotyczy to zarówno budowy standardowego komunikatu (art. 13-14 rodo) jak i w ramach realizacji zindywidualizowanych żądań (art. 15-22 rodo) oraz wniosków o wycofanie zgody. Ustne przekazywanie informacji należy uznać za wyjątek (jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą). Ustne udzielenie informacji powinno zostać odnotowane w celu zapewnienia rozliczalności.

1.7. Sposób udzielenia odpowiedzi

Odpowiadając na żądanie należy uwzględnić sposób zgłoszenia żądania. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną (art. 15 ust. 3 rodo).

1.8. Współpraca z innymi podmiotami

Procesor

W przypadku powierzenia danych przez ADO procesor powinien wspomóc ADO w realizacji praw podmiotu. Służyć temu ma weryfikacja procesora zgodnie z 28 rodo.

Prawa podmiotów a współadministrowanie

Gdyby dochodziło do współadministrowania kwestię realizacji praw podmiotu uzgadnia z pozostałymi współadministratorami ustalając odpowiednie zakresy swojej odpowiedzialności, chyba że przypadające im obowiązki i ich zakres określa prawo UE lub prawo Polskiej. Wskazane uzgodnienia muszą odzwierciedlać zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

1.10. Termin realizacji żądań

Termin realizacji praw podmiotu jest zróżnicowany w zależności od kategorii obowiązków wobec niego:

a. obowiązki informacyjne wskazane w art. 13 rodo (zbieranie danych bezpośrednio od pomiotu)

b. obowiązki informacyjne wskazane w art. 14 rodo (pozyskiwanie danych z innych źródeł)

c. pozostałe obowiązki (art. 12-22 rodo).

Ad. a)

Obowiązek informacyjny należy spełnić podczas pozyskiwania danych osobowych (np. na formularzu na stronie internetowej, na kwestionariuszu skierowanym do pracownika, etc.).

Ad. b)

Informacje podaje się:

• w miesiąc po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;

• jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub

• jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Informacji nie trzeba podawać jeżeli:

• osoba, której dane dotyczą, dysponuje już tymi informacjami;

• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby nieproporcjonalnego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów statystycznych lub naukowych lub do celów badawczych historycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 rodo, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem Polskiej, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub

• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie Polskiej, w tym ustawowym obowiązkiem zachowania tajemnicy.

Ad. c)

Należy uwzględnić, że zgodnie z art. 12 ust. 3-4 rodo:

• Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 rodo. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

• Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Odmawiając podjęcia działań objętych treścią żądania, należy wskazać przyczyny takiego rozstrzygnięcia oraz poinformować o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Należy zawsze uwzględniać czy dany proces przetwarzania danych nie jest regulowany przepisami szczególnymi (np. w przypadku sektora publicznego).

1.11. Realizacja praw a opłata

Realizacja Praw jest co do zasady wolna od opłat.

Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój powtarzalny charakter, administrator może:

• pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo

• odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Uwaga na wyjątek w przypadku żądania kopii danych:

Art. 15 ust. 3 rodo:

Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w wysokości 10 zł wynikającą z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

1.12. Dodatkowe informacje

Żądania podmiotów danych należy rozpoznawać w sposób najbar