
Procedura RODO dotycząca realizacji praw osób, których Dane Osobowe dotyczą
- Podmiot informuje każdą osobę, której Dane Osobowe przetwarza, o prawach RODO opisanych poniżej.
- Każda osoba, której Dane Osobowe dotyczą, posiada następujące prawa:
- Prawo do cofnięcia zgody:
Osoba ma prawo cofnąć udzieloną wcześniej zgodę w dowolnym momencie i bez konieczności podawania przyczyny (zgodnie z art. 7 RODO).
- Prawo dostępu:
Osoba ma prawo żądać od Podmiotu informacji dotyczących przetwarzania jej danych osobowych. To obejmuje potwierdzenie faktu przetwarzania, dostęp do danych, ich kopii, a także informacje o celach przetwarzania, kategoriach danych, odbiorcach lub kategoriach odbiorców, okresie przechowywania, prawach związanych z przetwarzaniem, możliwości wniesienia skargi, źródle pozyskania danych oraz ewentualnym profilowaniu i zautomatyzowanym przetwarzaniu decyzji (zgodnie z art. 15 RODO).
- Prawo do sprostowania:
W przypadku, gdy osoba dowiaduje się, że jej dane są nieprawidłowe, nieaktualne lub niekompletne, ma prawo żądać ich sprostowania lub uzupełnienia (zgodnie z art. 16 RODO).
- Prawo do zapomnienia:
Osoba ma prawo żądać usunięcia swoich danych osobowych. Jeśli dane były przetwarzane na podstawie zgody, żądanie to będzie miało taki sam skutek jak cofnięcie zgody (zgodnie z art. 17 RODO).
- Prawo do Ograniczenia przetwarzania:
Osoba może żądać ograniczenia przetwarzania swoich danych osobowych (zgodnie z art. 18 RODO). Przetwarzanie zostanie ograniczone w sytuacjach, takich jak kwestionowanie prawidłowości danych, sprzeciw wobec zgodności z prawem przetwarzania, brak potrzeby danych, ale są one potrzebne do ustalenia, dochodzenia lub obrony roszczeń, lub gdy osoba wniosła sprzeciw wobec przetwarzania do czasu podjęcia decyzji przez Podmiot.
- Prawo do wniesienia sprzeciwu:
Osoba może wnieść sprzeciw wobec przetwarzania jej danych osobowych w przypadkach, gdy istnieje prawnie uzasadniony cel przetwarzania przez Podmiot.
- Prawo do przenoszenia:
Osoba ma prawo przenieść swoje dane osobowe, czyli otrzymać je w formacie nadającym się do odczytu maszynowego, jeżeli przetwarzanie odbywa się na podstawie zgody, lub zażądać przesłania tych danych innemu wskazanemu przez siebie administratorowi (zgodnie z art. 20 RODO).
- Koordynację realizacji praw osób, których Dane Osobowe dotyczą, nadzoruje Specjalista RODO, kierując poszczególne wnioski do odpowiednich Kierowników celem przygotowania wsadu do odpowiedzi na wniosek lub realizacji prawa, zwłaszcza do dziedziny IT.
- Obowiązek realizacji poszczególnych praw opisuje poniższa tabela:
Lp. |
Prawo |
Warunki realizacji |
Wyłączenia od realizacji |
1 |
Dostępu do informacji o przetwarzaniu Danych Osobowych (Art. 15 ust. 1 RODO) |
Jeżeli zapytanie dotyczy informacji, takich jak potwierdzenie przetwarzania, cele, kategorie danych, odbiorcy, okres retencji, prawa osoby, źródło danych, profilowanie, zabezpieczenia w transferze danych. |
Jeżeli wniosek dotyczy informacji nieuwzględnionych w wykazie, lub ujawnienie wpłynie negatywnie na prawa innych. |
2 |
Otrzymania kopii Danych Osobowych (Art. 15 ust. 3 RODO) |
Kopia danych podlegających przetwarzaniu. |
Jeżeli Podmiot ustalił opłatę za udostępnienie i osoba nie uiści opłaty, lub jeżeli udostępnienie kopii wpłynie negatywnie na prawa innych. |
3 |
Sprostowania (Art. 16 RODO) |
Osoba podaje inne dane, informuje o nieaktualności lub niekompletności danych, a Podmiot ma prawo i podstawę prawną do ich przetwarzania. |
Jeżeli osoba podaje dane nieprzetwarzane przez Podmiot lub do zmiany niezbędne jest oświadczenie, a osoba nie przedstawi tego oświadczenia po poinformowaniu. |
4 |
Usunięcia Danych Osobowych/do bycia zapomnianym (Art. 17 RODO) |
Brak celu przetwarzania, brak podstawy prawnej, cofnięcie zgody, skuteczny sprzeciw, nakaz prawny. |
Podmiot ma ważny cel i podstawę prawną, przetwarzanie jest niezbędne do dochodzenia roszczeń, korzystania z prawa do wolności wypowiedzi, usunięcie linków jest niemożliwe. |
5 |
Ograniczenia przetwarzania Danych Osobowych (Art. 18 RODO) |
Kwestionowanie prawidłowości danych, sprzeciw wobec usunięcia, niepotrzebność danych dla Podmiotu, sprzeciw wobec przetwarzania. |
Ograniczenie wnioskowane razem z wnioskiem o usunięcie, sprzeciwem lub cofnięciem zgody, a weryfikacja trwa krócej niż 5 dni, można od razu zrealizować wniosek. |
6 |
Powiadomienia o sprostowaniu lub usunięciu (Art. 19 RODO) |
Poinformowanie odbiorców o sprostowaniu, usunięciu lub ograniczeniu przetwarzania, poinformowanie osoby o odbiorcach na jej wniosek. |
Poinformowanie odbiorców niemożliwe lub wymaga nadmiernego wysiłku. |
7 |
Przenoszenia danych osobowych (Art. 20 RODO) |
Przetwarzanie na podstawie zgody lub umowy, zautomatyzowane przetwarzanie, dostarczenie danych przez osobę, której dotyczą. |
Warunki przenoszenia nie spełnione, negatywny wpływ na prawa innych, niemożność przekazania do innego administratora lub jego odmowa przyjęcia danych. |
8 |
Sprzeciwu (Art. 21 RODO) |
Przetwarzanie w celach marketingowych na podstawie uzasadnionego interesu, szczególna sytuacja osoby w przypadku innych celów, w których prawa i wolności osoby przewyższają interesy Podmiotu. |
Przetwarzanie innych niż marketing celów, Podmiot podtrzymuje ocenę, że jego interesy są ważniejsze od praw i wolności osoby. |
9 |
Niepodlegania zautomatyzowanemu podejmowaniu decyzji (Art. 22 RODO) |
Decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu, wpływająca na prawa osoby. |
Decyzja jest niezbędna do zawarcia lub wykonania umowy, dozwolona prawem, lub opiera się na wyraźnej zgodzie osoby. |
- W przypadku wątpliwości co do zrealizowania określonego wniosku, Specjalista RODO kieruje pytanie do Inspektora Ochrony Danych.
- Odpowiedź na każdy wniosek dotyczący praw osób, których Dane Osobowe są przetwarzane, musi być udzielona niezwłocznie, ale nie później niż w ciągu miesiąca. W sytuacjach wyjątkowych i po uzyskaniu akceptacji Inspektora Ochrony Danych, Specjalista RODO może przedłużyć ten termin, informując niezwłocznie osobę, której Dane Osobowe dotyczą, niezależnie od formy, w jakiej wniosek został złożony.
- Przedłużenie terminu realizacji praw RODO może wynieść maksymalnie dwa miesiące z powodu:
- skomplikowanego charakteru żądania,
- dużej liczby wniosków złożonych przez daną osobę.
- W ciągu miesiąca od złożenia wniosku Specjalista RODO przesyła odpowiedź do osoby składającej wniosek, informując ją o:
- zrealizowaniu jej prawa,
- odmowie zrealizowania jej prawa z podaniem przyczyny oraz informacją o możliwości złożenia skargi do PUODO i podstawowymi danymi kontaktowymi PUODO,
- przedłużeniu terminu realizacji wniosku z podaniem przyczyny oraz informacją o możliwości złożenia skargi do PUODO i podstawowymi danymi kontaktowymi PUODO.
- Każdy wniosek jest interpretowany zgodnie z życzeniem osoby, której Dane Osobowe dotyczą, niezależnie od jego dosłownego brzmienia. W przypadku wątpliwości co do intencji lub celu wniosku, Specjalista RODO kontaktuje się z osobą składającą wniosek w celu wyjaśnienia.
- Wszelki kontakt z osobą, której Dane Osobowe dotyczą, odbywa się z poszanowaniem zasady transparentności i w celu ułatwienia jej realizacji praw.
- Kontakt z osobą, której Dane Osobowe dotyczą, jest nawiązywany:
- na etapie wyjaśniania wniosku – przy użyciu najskuteczniejszego i najszybszego dostępnego sposobu w danym przypadku,
- na etapie realizacji wniosku – w formie pisemnej, chyba że osoba skontaktuje się elektronicznie i nie określi innej formy odpowiedzi – w takim przypadku kontakt również odbywa się elektronicznie.
- Podczas realizacji praw RODO, które wymagają ujawnienia Danych Osobowych w odpowiedzi na wniosek (szczególnie prawo do otrzymania kopii Danych Osobowych i prawo do przenoszenia Danych Osobowych), Specjalista RODO zapewnia, że Dane Osobowe są odpowiednio zabezpieczone, zwłaszcza poprzez tajemnicę korespondencji lub zaszyfrowanie Danych Osobowych.
- Jeśli osoba skontaktuje się elektronicznie lub wniosła o otrzymanie odpowiedzi drogą mailową, Specjalista RODO zabezpiecza Dane Osobowe indywidualnym hasłem.
- Hasło powinno składać się z dwunastu znaków i być przesłane do osoby, której Dane Osobowe dotyczą, za pomocą innej ścieżki komunikacji niż e-mail.
- W tym samym mailu można przekazać instrukcje dotyczące konstrukcji hasła, bez ujawniania samego hasła (np. informacja, że hasło składa się z numeru PESEL i drugiego imienia pisanej wielką literą, bez dodatkowych znaków po numerze PESEL).
- Specjalista RODO, po uzyskaniu akceptacji od Inspektora Ochrony Danych, może nałożyć opłatę za realizację prawa, gdy:
- osoba składa kolejny wniosek o prawo otrzymania kopii Danych Osobowych – w wysokości administracyjnych kosztów wydania kopii,
- żądanie jest ewidentnie nieuzasadnione lub nadmierne, szczególnie ze względu na jego ustawiczny charakter – w wysokości administracyjnych kosztów udzielenia informacji, kontaktów z wnioskodawcą i podjęcia żądanych działań.
- Specjalista RODO, po uzyskaniu akceptacji od Inspektora Ochrony Danych, może odmówić realizacji prawa, jeśli:
- wniosek wykracza poza zakres przewidziany w RODO, zgodnie z tabelą powyżej,
- podmiot nałożył opłatę za realizację, poinformował o tym osobę, której Dane Osobowe dotyczą, a ta nie uiściła opłaty,
- żądania osoby są ewidentnie nieuzasadnione lub nadmierne, szczególnie ze względu na ich ustawiczny charakter.
- Specjalista RODO opracowuje aktualny wzór formularza wniosku o prawa RODO i publikuje go na stronie internetowej Podmiotu oraz we wszystkich innych miejscach, gdzie osoby, których Dane Osobowe dotyczą, mogą oczekiwać jego uzyskania, wraz z instrukcją ścieżki składania wniosku.
- Bez względu na zastosowany formularz i ścieżkę składania wniosków, jeśli osoba, której Dane Osobowe dotyczą, odmawia złożenia wniosku dedykowaną ścieżką, każda osoba upoważniona jest zobowiązana do przyjęcia wniosku.
- Każdy pracownik, do którego osoba skierowała wniosek, ma obowiązek zanotować datę jego złożenia i przekazać go kierownikowi. W przypadku, gdy wniosek został złożony ustnie (osobiście lub telefonicznie), pracownik odbiera od osoby składającej wniosek jej imię i nazwisko oraz co najmniej jedną daną kontaktową (numer telefonu, adres e-mail, adres korespondencyjny) oraz treść żądania. Następnie te informacje są utrwalane papierowo lub elektronicznie i niezwłocznie przekazywane kierownikowi lub specjaliście RODO, na przykład mailowo.
- Jeśli pracownik przekazał wniosek swojemu kierownikowi, kierownik niezwłocznie przekazuje go specjaliście RODO.
- Specjalista RODO ma obowiązek potwierdzić tożsamość osoby wnioskującej przed realizacją wniosku.
- Potwierdzenie tożsamości osoby wnioskującej odbywa się przy użyciu danych osobowych przetwarzanych przez podmiot o tej osobie.
- Potwierdzenie tożsamości może być:
- uproszczone – polegające na potwierdzeniu imienia i nazwiska osoby wnioskującej,
- pełne – polegające na potwierdzeniu imienia i nazwiska osoby wnioskującej oraz na weryfikacji tożsamości poprzez zadanie osobie jednego lub, jeśli to możliwe ze względu na zakres informacji przetwarzanych o tej osobie, dwóch pytań związanych z jej tożsamością (np. numer PESEL, adres zamieszkania, adres e-mail podany do kontaktu, numer identyfikacyjny) oraz posiadaniem (np. korzystanie z określonych usług).
- Potwierdzenie tożsamości uproszczone może zostać zastosowane w realizacji wniosków dotyczących:
- prawa do zapomnienia,
- prawa do cofnięcia zgody,
- prawa do złożenia sprzeciwu,
- prawa do informacji,
- prawa do ograniczenia przetwarzania.
- Potwierdzenie tożsamości pełne jest obowiązkowe w realizacji wniosków dotyczących:
- prawa dostępu do danych osobowych,
- prawa do otrzymania kopii Danych Osobowych,
- prawa do przenoszenia Danych Osobowych,
- prawa do sprostowania.
- Jeśli dane mają być przekazane na adres korespondencyjny tradycyjny lub elektroniczny posiadany wcześniej przez osobę, można zrezygnować z pełnego potwierdzenia tożsamości, ograniczając je tylko do weryfikacji uproszczonej.
- Jeśli osoba składa identyczny wniosek o to samo prawo przed upływem 6 miesięcy od rozpatrzenia poprzedniego wniosku, a od czasu ostatniej realizacji nie zmieniły się żadne okoliczności przetwarzania jej danych osobowych, specjalista RODO może:
- odmówić realizacji prawa, informując, że zakres czynności przetwarzania lub zakres Danych Osobowych nie uległ zmianie,
- nałożyć rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań.
- Niniejsza Procedura RODO obowiązuje od 13 listopada 2023 roku.