IOD/RODO

REGULAMIN REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

1. Celem procedury jest określenie jednolitych zasad i procedur w celu zapewnienia realizacji praw osób, których dane osobowe przetwarza CSR „Słowianka” Sp. z o.o., jako Administrator w rozumieniu RODO.

2. Procedura określa zasady realizacji praw osób, których dane dotyczą określonych w Rozdziale III RODO tj.:

– prawo do udzielenia informacji;

– prawo dostępu do danych osobowych;

– prawo do sprostowania i uzupełnienia danych osobowych;

– prawo do usunięcia danych osobowych;

– prawo do sprzeciwu;

– prawo do ograniczenia przetwarzania danych osobowych;

– prawo do przenoszenia danych;

– prawo do cofnięcia zgody;

– prawo do bycia poinformowanym o naruszeniu ochrony w zakresie przetwarzania danych.

3. Osobą odpowiedzialną za koordynowanie i zapewnianie prawidłowości działań związanych z realizacją Procedury jest Inspektor Ochrony Danych Osobowych.

4. Osoby kierujące poszczególnymi działami są odpowiedzialne za realizację praw osób, których dane dotyczą.

5. Prezes CRS przekazuje wniosek do Inspektora, który koordynuje jego realizację poprzez przekazanie do Kierownika właściwej komórki organizacyjnej oraz uzgadnia sposób załatwienia sprawy. Odpowiedź przygotowują pracownicy poszczególnych komórek organizacyjnych merytorycznie odpowiedzialnych za przetwarzanie danych osobowych. Po załatwieniu sprawy komórka organizacyjna przekazuje wniosek i odpowiedź w sprawie do Inspektora Ochrony Danych Osobowych.

6. Rejestr wszystkich wniosków i odpowiedzi prowadzi Inspektor Ochrony Danych Osobowych.

7. Żądanie Osoby, której dane dotyczą może zostać zgłoszone:

– w formie ustnej w siedzibie Administratora (w punkcie obsługi klienta);

– pisemnie na adres korespondencyjny Administratora ul. Słowiańska 14, 66-400 Gorzów Wielkopolski

– drogą pisemną w postaci elektronicznej za pośrednictwem poczty elektronicznej na adres e-mail:  iod@slowianka.pl;

8. Aby nie dopuścić do naruszenia praw i wolności spowodowanych naruszeniem bezpieczeństwa danych osobowych żądanie nie może być realizowane za pośrednictwem rozmowy telefonicznej uniemożliwiającej weryfikację tożsamości wnioskodawcy.

9. Wzór wniosku stanowi załącznik nr 1 do niniejszej Procedury.

10. Wzór wniosku Administrator udostępni w punkcie obsługi klienta oraz na stronie internetowej.

11. Przed realizacją żądania w zakresie przysługujących praw osobie fizycznej, dokonuje się weryfikacji jej tożsamości. W przypadku zaistnienia uzasadnionych wątpliwości w zakresie tożsamości tej osoby, osoba załatwiająca sprawę uprawniona jest do żądania dodatkowych informacji od osoby składającej wniosek w celu potwierdzenia jej tożsamości.

12. Administrator udziela informacji o działaniach podjętych na skutek złożonego żądania każde bez zbędnej zwłoki, jednakże nie później niż w terminie miesiąca od daty otrzymania wezwania. W przypadku zaistnienia konieczności, termin, o którym mowa w zdaniu poprzedzającym może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań w danym okresie. Administrator w terminie miesiąca poinformuje jednak o tym fakcie osobę, której dane dotyczą wskazując przyczyny opóźnienia.

13. Odpowiedzi udziela się w tej samej formie, w której żądanie zostało zgłoszone, chyba że wnioskodawca zażąda udzielenia odpowiedzi w innej formie.

14. W przypadku gdy żądanie osoby, której dane są przetwarzane nie może zostać uwzględnione Administrator poinformuje tę osobę, w terminie, o którym mowa w ust. 12 o odmowie realizacji żądania wraz z podaniem przyczyny oraz poinformuje o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

15. Czynności Administratora podejmowane w odpowiedzi na zgłoszone żądania są wolne od opłat. W przypadku, gdy żądanie osoby jest oczywiście nieuzasadnione lub nadmierne, Administrator może odmówić działań lub pobrać za nie określoną opłatę w wysokości uwzględniającej koszty udzielenia odpowiedzi. Jednocześnie Administrator informuje osobę wnoszącą żądanie o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Prawo do bycia poinformowanym o przetwarzaniu danych

1. Administrator podczas pozyskiwania danych jest zobowiązany udzielić osobie, której dane dotyczą wszelkich niezbędnych informacji, o których mowa:

– w art. 13 RODO – w sytuacji, gdy dane zbierane są od osoby, której dane dotyczą

– w art. 14 RODO – w sytuacji, gdy dane zostały pozyskane od osoby, której nie dotyczą

2. W przypadku, o którym mowa w ust. 1 powyżej, informacje przekazywane są podczas pozyskiwania danych osobowych, poprzez ich zamieszczenie bezpośrednio na formularzach, w umowie lub w innych dokumentach, w których Osoba, której dane dotyczą, wpisuje swoje dane osobowe lub jako załącznik (odnośnik) do takich formularzy, umów lub innych dokumentów – w postaci stosownych klauzul informacyjnych lub odrębnych dokumentów zwanych „polityką prywatności”. Stosowne klauzule informacyjne zostaną nadto umieszczone na stronie internetowej Administratora.

3. W przypadku, o którym mowa w ust. 1 lit. b) powyżej, Informacje przekazywane są Osobie, której dane dotyczą, w możliwie najkrótszym terminie, nie dłuższym niż 30 (trzydzieści) dni od dnia pozyskania danych osobowych, z zastrzeżeniem następujących przypadków:

– jeżeli pozyskane dane osobowe mają służyć komunikacji z Osobą, której dane dotyczą – informacje przekazywane są najpóźniej przy pierwszej komunikacji z tą osobą;

– jeżeli pozyskane dane osobowe mają być ujawnione innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

4. W celu wykazania realizacji obowiązku informacyjnego, należy zapewnić, aby Osoba, której dane dotyczą, mogła potwierdzić otrzymanie Informacji. W tym celu, w przypadku przekazania Informacji w formie papierowej – Osoba, której dane dotyczą, podpisuje stosowne oświadczenie o otrzymaniu Informacji.

5. Inspektor odpowiedzialny jest za wybór i sformułowanie stosownej Klauzuli Informacyjnej w odniesieniu do określonego zbioru danych/procesu przetwarzania. Obowiązek ten dotyczy w szczególności sytuacji, w których podejmowane są nowe działania, które wiązałyby się z przetwarzaniem danych osobowych.

6. W zakresie wyboru i sformułowania Klauzuli Informacyjnej Inspektor współpracuje z Kierownikiem danej komórki organizacyjne.

7. Inspektor dokonuje cyklicznych przeglądów Klauzul Informacyjnych – nie rzadziej niż raz na pół roku w celu weryfikacji, czy ich brzmienie wciąż odpowiada faktycznemu celowi i zakresowi przetwarzania oraz czy spełnia ono wymóg przejrzystości w odniesieniu do kategorii osób, do których dana Klauzula Informacyjna jest kierowana. Z przeglądu sporządzana jest notatka.

8. W przypadku konieczności zmiany Klauzuli Informacyjnej, w szczególności, gdyby zmieniła się:

– podstawa prawna lub cel przetwarzania;

– odbiorcy danych osobowych;

– okres przechowywania danych;

– zakres praw przysługujących Osobom, których dane są przetwarzane;

9. Inspektor dokonuje stosownej zmiany Klauzuli Informacyjnej. Osoby, których dane dotyczą, są powiadamiane o zmianie Klauzuli Informacyjnej.

Prawa realizowane na wniosek

  • Prawo dostępu do danych

1. Każda osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora informacji, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do tych danych oraz następujących informacji:

    – cele przetwarzania;

    – kategorie odnośnych danych osobowych;

    – informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

    – w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

    – informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego Osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

    – informacje o prawie wniesienia skargi do organu nadzorczego;

    – jeżeli dane osobowe nie zostały zebrane od Osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

    – informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania.

    2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, Osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem

    3. Administrator, na żądanie Osoby, której dane dotyczą, dostarcza jej również kopię danych osobowych podlegających przetwarzaniu. Za wszelki kolejne kopie, o które zwróci się osoba, której dane dotyczą Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

    • Prawo do sprostowania i uzupełnienia danych

    1. Każda Osoba, której dane dotyczą, ma prawo żądania od Administratora sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, Osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych.

    2. Wnioskujący o sprostowanie powinien wykazać, że przetwarzane dane są nieprawdziwe. W tym celu należy przedstawić dokument, z którego wynikałaby niezgodność przetwarzanych danych ze stanem faktycznym.

    3. Administrator dokonuje sprostowania lub uzupełnienia w sposób odpowiadający okolicznościom danego procesu przetwarzania, np. poprzez przedstawienie Osobie, której dane dotyczą, dodatkowego formularza do wypełnienia.

    4. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16 RODO (prawo do sprostowania danych), art. 17 ust. 1 RODO (prawo do usunięcia danych) i art. 18 RODO (prawo do ograniczenia przetwarzania), każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje Osobę, której dane dotyczą, o tych odbiorcach, jeżeli Osoba, której dane dotyczą, tego zażąda.

    • Prawo do usunięcia danych
    1. Każda Osoba, której dane dotyczą, ma prawo żądania od Administratora usunięcia dotyczących jej danych osobowych, jeżeli zachodzi jedna z następujących okoliczności:
    2. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
    3. osoba, której dane dotyczą, cofnęła zgodę będąca podstawą do przetwarzania danych zgodnie z art. 6 ust. 1 lit. a) RODO, a brak jest innej podstawy przetwarzania;
    4. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania danych;
    5. dane osobowe są przetwarzane niezgodnie z prawem;
    6. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie polskim;
    7. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku
    8. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16 RODO (prawo do sprostowania danych), art. 17 ust. 1 RODO (prawo do usunięcia danych) i art. 18 RODO (prawo do ograniczenia przetwarzania), każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje Osobę, której dane dotyczą, o tych odbiorcach, jeżeli Osoba, której dane dotyczą, tego zażąda
    • Prawo do sprzeciwu
    1. Każda Osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – w przypadku gdy Administrator przetwarza dane na następujących podstawach:
    2. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
    3. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności Osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy Osoba, której dane dotyczą, jest dzieckiem; c) w tym profilowania na podstawie przepisów art. 6 ust.1 lit. e) i f) RODO wymienionych powyżej w punktach a) oraz b).
    4. Administratorowi nie wolno przetwarzać danych, o których mowa powyżej, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. W razie zaistnienia powyższych przesłanek kierownik komórki organizacyjnej zobowiązany jest przedstawić stosowną notatkę zawierającą uzasadnienie decyzji.
    5. Każda Osoba, której dane dotyczą, ma prawo wnieść sprzeciw w przypadku, gdy jej dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
    • Prawo do ograniczenia przetwarzania
    1. Każda Osoba, której dane dotyczą ma prawo żądania od Administratora ograniczenia przetwarzania jej danych osobowych, w przypadku gdy:
    2. kwestionuje ona prawidłowość danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
    3. przetwarzanie jest niezgodne z prawem, a Osoba sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
    4. Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne Osobie do ustalenia, dochodzenia lub obrony roszczeń;
    5. Osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania danych,– do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu.
    6. W przypadku wykonania żądania realizacji prawa, o którym mowa w ust. 1 powyżej, Administrator dokonuje oznaczenia danych objętych żądaniem i zaprzestaje ich przetwarzania w inny sposób niż ich przechowywanie, chyba że:
    7. osoba, której dane dotyczą, wyrazi zgodę na inny sposób przetwarzania danych;
    8. jest to niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń;
    9. jest niezbędne w celu ochrony praw innej osoby fizycznej lub prawnej;
    10. z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.
    11. W przypadku uchylenia ograniczenia przetwarzania danych osobowych, Administrator informuje o tym Osobę, której dane dotyczą.
    12. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16 RODO (prawo do sprostowania danych), art. 17 ust. 1 RODO (prawo do usunięcia danych) i art. 18 RODO (prawo do ograniczenia przetwarzania), każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje Osobę, której dane dotyczą, o tych odbiorcach, jeżeli Osoba, której dane dotyczą, tego zażąda
    • Prawo do przenoszenia danych
    1. Każda Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony Administratora, jeżeli:
    2. przetwarzanie odbywa się na podstawie zgody lub na podstawie niezbędności do wykonania umowy, której stroną jest Osoba, której dane dotyczą, lub do podjęcia działań na żądanie tej Osoby przed zawarciem umowy, oraz
    3. przetwarzanie odbywa się w sposób zautomatyzowany.
    4. Jeżeli jest to technicznie możliwe, na żądanie Osoby, której dane dotyczą, Administrator przesyła dane bezpośrednio innemu administratorowi.
    • Prawo do cofnięcia zgody
    1. Osoba, której dane dotyczą ma prawo w każdym momencie wycofać zgodę.
    2. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
    3. Wycofanie zgody nie powinno być uzależnione od jakichkolwiek okoliczności.
    • Prawo do bycia poinformowanym o naruszeniu ochrony w zakresie przetwarzania danych osobowych
    1. W przypadku wystąpienia incydentów naruszających bezpieczeństwo przetwarzania danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, bez zbędnej zwłoki zawiadamia się osobę, której takie dane dotyczą o takim naruszeniu.
    2. Zawiadomienie, o którym mowa powyżej powinno być sporządzone w formie jasnej i czytelnej. Ponadto powinno zawierać informacje opisujące charakter naruszenia ochrony danych osobowych oraz zawierać co najmniej imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych Osobowych, opis możliwych konsekwencji naruszenia ochrony danych osobowych, opis zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniom ochrony danych.
    3. Szczegółowe zasady dotyczące postepowania z incydentami zawiera Instrukcja Postępowania z Incydentami Naruszeń stanowiąca załącznik nr 5 do Polityki.