ZASADY REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE, L 119 z 4.05.2016), zwanego dalej RODO, chroni podstawowe prawa i wolność osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, niniejszy dokument ma na celu zapoznanie osób, których dane przetwarzamy z tymi prawami oraz ze sposobem ich realizacji.
Prawa przysługujące osobom, których dane przetwarzane są przez Czysty Region Sp. z o.o. w Kędzierzynie-Koźlu, dalej Spółka, na mocy RODO:
1. art. 13 i art. 14 RODO prawo do informacji na temat przetwarzania danych osobowych
1) w zakresie wynikającym z art. 13 RODO – w sytuacji, kiedy dane przekazywane są przez osobę, której dotyczą:
· pracownicy Spółki przekazują informację zawarte w art. 13 ust. 1 i 2 RODO w momencie zbierania danych osobowych lub przy okazji odpowiedzi na korespondencję, która wpłynęła do Spółki
· informacje te nie są przekazywane w sytuacji, gdy dana osoba nimi już dysponuje;
· zakres informacji z art. 13 RODO został wskazany w załączniku nr 1
2) w zakresie wynikającym z art. 14 RODO – kiedy dane osobowe trafiają do Spółki z innych źródeł (np. od innych administratorów):
· informacje, o których mowa w art. 14 ust. 1 i 2 RODO muszą być przekazane:
Ø w rozsądnym terminie po uzyskaniu danych osobowych – najpóźniej w ciągu miesiąca;
Ø albo jeżeli dane osobowe mają być stosowane do komunikacji z dana osobą, najpóźniej przy pierwszej takiej komunikacji;
Ø albo jeżeli dane osobowe mają być ujawnione innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu;
· informacje z art. 14 ust. 1 i 2 RODO nie są przekazywane, gdy osoba, której dane dotyczą już nimi dysponuje oraz w innych przypadkach wskazanych w art. 14 ust. 5 RODO (w szczególności, gdy pozyskiwanie lub ujawnianie danych osobowych jest wyraźnie uregulowane przepisem prawa);
· zakres informacji z art. 14 RODO został wskazany w załączniku nr 2.
W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych.
2. art. 15-21 RODO prawa realizowane na wniosek osoby, której dane dotyczą:
1) art. 15 – prawo dostępu do Pani/Pana danych osobowych:
· polega na tym, iż osoba, której dane dotyczą może wystąpić z pytaniem, czy Spółka przetwarza określone dane osobowe, a jeśli tak – osoba, której dane dotyczą może uzyskać informacje w zakresie wynikającym z art. 15 ust. 1-3 RODO (m. in. na temat: jaki jest cel przetwarzania i okres przechowywania danych osobowych, jakie dane osobowe są przetwarzane, kim są odbiorcy danych osobowych, informacje o przysługujących prawach);
· oprócz informacji, o których mowa powyżej, możliwe jest otrzymanie kopi danych osobowych. Prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób, których dane dotyczą.
2) art. 16 prawo do sprostowania danych osobowych:
· prawo to polega na tym, że można wystąpić do Spółki o sprostowanie swoich danych osobowych lub ich uzupełnienie, z tym zastrzeżeniem, że wszelkie aktualizacje danych muszą być ograniczone celem ich przetwarzania, np. nie można żądać uzupełnienia o dane, które byłyby niezgodne z celem przetwarzania;
· prawo to nie będzie mogło być stosowane do danych osobowych, w odniesieniu do których tryb ich sprostowania lub uzupełnienia określają odrębne przepisy prawa, np. procedura sprostowania błędów i omyłek zawartych w decyzji administracyjnej w trybie art. 113 Kodeksu postępowania administracyjnego.
3) art. 17 prawo do usunięcia Pani/Pana danych, tzw. „prawo do bycia zapomnianym”:
· w ramach tego prawa można żądać niezwłocznego usunięcia swoich danych osobowych, jeśli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO;
· art. 17 ust. 3 RODO przewiduje również okoliczności, kiedy prawo do usunięcia danych nie będzie mogło być zrealizowane (i tak co do zasady Spółka nie będzie mogła usunąć danych osobowych z uwagi, iż w większości przypadków podstawą prawną ich przetwarzania są przepisy prawa, z których wynika m.in. obowiązek przechowywania dokumentacji (archiwizacji)
4) art. 18 prawo do ograniczenia przetwarzania:
· prawo to polega na konieczności ograniczenia przetwarzania danych wyłącznie do ich przechowywania;
· osoba, której dane dotyczą może skorzystać z tego prawa tylko w ściśle określonych przypadkach wskazanych w art. 18 ust. 1 RODO.
5) art. 19 prawo do bycia poinformowanym o sprostowaniu lub usunięciu danych, lub o ograniczeniu przetwarzania:
· jeżeli zrealizowane zostanie prawo osoby, której dane dotyczą do:
Ø sprostowania nieprawidłowych danych;
Ø uzupełnienia niekompletnych danych;
Ø usunięcia danych w ramach prawa do bycia zapomnianym;
Ø ograniczenia przetwarzania danych osobowych.
· Spółka informuje każdego odbiorcę, któremu ujawnił dane osobowe o dokonanej zmianie, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku;
· Spółka poinformuje osobę, której dane dotyczą o tych odbiorcach na wniosek danej osoby.
6) art. 20 prawo do przenoszenia danych:
· z prawa do przenoszenia danych można skorzystać jeżeli:
Ø przetwarzanie danych osobowych odbywa się na podstawie zgody lub w celu wykonania umowy;
Ø oraz w sposób zautomatyzowany (nie obejmuje danych przetwarzanych w postaci papierowej).
· w ramach tego prawa można zażądać, by dane osobowe (które zostały dostarczone) zostały przesłane przez Spółkę bezpośrednio innemu administratorowi, jeżeli jest to technicznie możliwe;
· realizacja tego prawa będzie ograniczona do nielicznych przypadków, z uwagi na podstawy prawne przetwarzania danych osobowych (czyli głównie przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, które nie daje możliwości do skorzystania z prawa do przenoszenia danych).
7) art. 21 prawo do sprzeciwu:
· prawo to będzie realizowane w nielicznych sytuacjach, skutkiem wniesienia sprzeciwu jest zakaz dalszego przetwarzania danych osobowych, chyba że administrator wykaże, że istnieją ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów osoby, której dane dotyczą, praw i wolności.
8) art. 22 RODO, Spółka nie podejmuje decyzji wywołujących określone skutki prawne lub w inny istotny sposób wpływających na osobę, której dane dotyczą opierające się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu.
· podczas realizacji obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO administrator jest zobligowany przekazać osobie, której dane dotyczą informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o zasadach ich podejmowania, znaczeniu i konsekwencjach, jeżeli takie przetwarzanie ma miejsce.
9) art. 34 RODO prawo do bycia poinformowanym o naruszeniu ochrony danych osobowych.
- prawo to będzie realizowane w sytuacji, gdyby doszło do naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane są przetwarzane.
- osobie, której dane są przetwarzane w sytuacji naruszenia ochrony danych osobowych przekazywane są informacje wskazane w art. 34 ust. 2 RODO:
Ø imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
Ø opis możliwych konsekwencji naruszenia ochrony danych osobowych;
Ø opis zastosowanych lub proponowanych przez administratora środków w celu zaradzenia naruszeniom ochrony danych.
- art. 34 ust. 3 RODO wskazuje okoliczności, kiedy administrator jest zwolniony z zawiadamiania osoby, której dane dotyczą o zaistniałej sytuacji.
Ogólne zasady realizacji praw wynikających z RODO w Czystym Regionie Sp. z o.o.
Sposoby komunikacji w sprawie wniosków z art. 15-21 RODO
1. Jeżeli osoba, której dane są przetwarzane chce skorzystać z uprawnień wskazach w art. 15-21 RODO należy złożyć wniosek (wzór zał. nr 3) podpisany własnoręcznie w sposób czytelny, dopiskiem – PRAWA OSÓB, na adres:
Czysty Region Sp. z o.o.
ul. Naftowa 7
47-230 Kędzierzyn-Koźle
lub elektronicznie na adres biuro@czysty-region.pl w tytule maila proszę wpisać PRAWA OSÓB.
2. Aby nie dopuścić do naruszenia praw lub wolności spowodowanej naruszeniem bezpieczeństwa danych osobowych, nie są realizowane żadne uprawnienia wynikające z art. 15-21 RODO w rozmowie telefonicznej.
3. Jeżeli administrator będzie miał uzasadnione wątpliwości co do tożsamości osoby składającej wniosek z zakresu art. 15-21 RODO, może zażądać dodatkowych informacji ułatwiających identyfikację wnioskodawcy.
Sposób i terminy praw realizowanych na wniosek z art. 15-21 RODO
1. Rozpatrując żądanie z art. 15-21 RODO administrator zobligowany jest udzielać wnioskodawcy wszelkich informacji na zasadach i w terminach określonych w art. 12 RODO.
2. Administrator bez zbędnej zwłoki, ale nie dłużej niż w ciągu miesiąca od otrzymania żądania, udziela informacji o działaniach podjętych w związku z żądaniem, czyli:
· realizuje wniosek zgodnie z żądaniem;
· lub informuje wnioskodawcę o konieczności wydłużenia terminu realizacji wniosku o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań (z podaniem przyczyn opóźnienia); Należy jednak pamiętać, że dopuszczalne przyczyny wydłużania terminu realizacji wniosków, są ściśle określone w przepisach RODO i są nimi wyłącznie „skomplikowany charakter żądania lub liczba żądań” (art. 12 ust. 3 RODO). A zatem, nie każda przyczyna, a szczególnie nie taka, która wynika z niewłaściwego przygotowania organizacyjnego administratora będzie podstawą do wydłużenia terminu.
· lub odmawia realizacji wniosku i informuje:
Ø o powodach niepodjęcia działań;
Ø o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Opłaty
1. Co do zasady informacje podawane na mocy art. 13 i art. 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15-21 i art. 34 RODO są wolne od opłat.
2. Jeżeli okaże się, że żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Administrator może:
· pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielania informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo
· odmówić podjęcia działań w związku z żądaniem.
3. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter spoczywa na Administratorze.