PROCEDURA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ, WSKAZANYCH W ART. 15 – 21

PROCEDURA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ, WSKAZANYCH W ART. 15 – 21 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) w Powiatowym Centrum Pomocy Rodzinie w Oświęcimiu

§ 1. ZASADY OGÓLNE
  1. Niniejsza procedura zawiera opis zasad stosowanych przez  Powiatowe Centrum Pomocy Rodzinie w Oświęcimiu jako Administratora danych osobowych (dalej zwane: ADO) w celu zapewnienia realizacji praw osób, których dane osobowe przetwarza ADO, wskazanych w art. 15 – 21 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO.
  2. ADO ma obowiązek reagowania na wszelkie żądania osób w zakresie ich praw, określonych w art. 15- 22 RODO.
  3. ADO rozpatruje żądania osób, których dane dotyczą (podmiotu danych), z należytą starannością, uwzględniając stosowane przepisy prawa oraz prawa i wolności innych osób, których dane mogą dotyczyć.
  4. W przypadku braku możliwości identyfikacji wnioskodawcy lub zaistnienia wątpliwości co do jego tożsamości, w celu zachowania bezpieczeństwa przetwarzanych danych osobowych, ADO może zażądać dodatkowych danych potwierdzających tożsamość wnoszącego.
  5. Realizacja praw podmiotu danych nie może naruszać praw osób trzecich, w tym celu ADO zapewnia środki ochrony praw tych osób. Przede wszystkim zabronione jest podejmowanie przy realizacji uprawnień podmiotu danych takich działań, w efekcie których dojdzie do nieuprawnionego ujawnienia danych osób trzecich.
  6. ADO jest obowiązany odpowiadać na żądania podmiotów danych i przekazać takim osobom informacje o podjętych w związku z takim żądaniem działaniach niezwłocznie, nie później jednak niż w terminie miesiąca od otrzymania żądania.
  7. Jeżeli w związku z żądaniem podmiotu danych nie są podejmowane żadne działania, ADO informuje podmiot danych, że działania nie zostaną podjęte, wyjaśnia z jakiego powodu, a także poucza o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
  8. ADO jest obowiązany podejmować działania w związku z żądaniami podmiotów danych nieodpłatnie. 9. Pobranie opłaty w rozsądnej wysokości za realizację żądania podmiotu danych jest możliwe jedynie wtedy, gdy żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter. W takim przypadku na ADO ciąży obowiązek wykazania tych okoliczności.
§ 2. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ (art. 15 – 21 RODO)
  1. Każda osoba, której dane dotyczą, jest uprawniona do wniesienia do Administratora żądania o zrealizowanie praw, o których mowa w art. 15 – 21 RODO, tj.:
  • prawo dostępu do danych,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu wobec przetwarzania danych osobowych.
  1. Prawo dostępu do danych przysługujące osobie, której dane dotyczą:
  • Osoba, której dane dotyczą, ma prawo uzyskać od ADO informację, czy przetwarza on dane jej dotyczące, a w przypadku zaistnienia takiego przetwarzania osoba ta ma prawo dostępu do swoich danych oraz uzyskania informacji obejmujących:
  1. cele przetwarzania,
  2. kategorie zebranych danych osobowych,
  3. wyszczególnienie odbiorców, którym zostaną lub zostały ujawnione dane osobowe,
  4. planowany okres przechowywania danych lub kryteria ustalania tego okresu,
  5. poinformowanie o prawie do sprostowania danych, usunięcia danych lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania,
  6. prawie do wniesienia skargi do organu nadzorczego,
  7. źródła danych, jeśli dane pochodzą z innego źródła niż od osoby, której dane dotyczą,
  8. poinformowanie o występowaniu zautomatyzowanego podejmowania decyzji, w tym profilowania, a także znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
  9. przekazanie informacji o odpowiednich zabezpieczeniach związanych z przekazaniem, jeśli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej.
  • Prawo dostępu do danych obejmuje także uzyskania informacji o zabezpieczeniach w przypadku przekazywania danych do państwa trzeciego (art. 15 ust. 2 RODO).
  • Prawo dostępu do danych obejmuje wszystkie dane które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, łącznie z danymi zaobserwowanymi i wywnioskowanymi na jej temat.
  • Jeżeli ADO przetwarza duże ilości informacji o osobie, której dane dotyczą, przed podaniem informacji, może żądać aby osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie (motyw 63 RODO).
  • Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (motyw 61 RODO).
  • Żądanie realizacji praw dotyczy także danych zarchiwizowanych już przez ADO.
  • Podmiot danych ma także prawo do uzyskania kopii danych.
  • Prawo do uzyskania kopii nie może niekorzystnie wpływać na prawa i wolności innych. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji.
  • ADO może dostarczyć osobie, której dane dotyczą kopię posiadanych danych osobowych. Za każdą kolejną kopię danych osobowych Administrator może pobrać opłatę w wysokości wynikającej z kosztów administracyjnych.
  1. Prawo do sprostowania danych:
  • Osoba, której dane dotyczą może wnieść do Administratora żądanie dotyczące niezwłocznego sprostowania danych jej dotyczących, jeśli stwierdzi, że dane są nieprawidłowe.
  • Podmiot danych może także wnieść (np. w formie dodatkowego oświadczenia) żądanie uzupełnienia danych, jeśli uzna, że są niekompletne.
  • Uzupełnienie danych nie może obejmować danych, które byłyby nadmierne, tj. takich, które nie spełniałyby wskazanej wyżej przesłanki niezbędności – stanowiłoby to naruszenie zasady minimalizacji danych. Przedmiotem uzupełnienia nie mogą być też dane, które są nieprawidłowe. Należy weryfikować czy realizacja prawa z art. 16 RODO nie naruszy innych zasad wskazanych w art. 5 RODO.
  • ADO ma obowiązek poinformować o sprostowaniu danych osobowych, którego dokonał w ramach żądania podmiotu danych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
  • „Ujawnienia” danych należy rozumieć szeroko jako jakąkolwiek możliwość zapoznania się z danymi osobowymi. ADO ma obowiązek informować osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

W związku z czym należy:

  1. określić i udokumentować krąg odbiorców danych,
  2. zidentyfikować i udokumentować możliwość informowania odbiorców danych o sprostowaniu danych,
  3. określić i udokumentować sposób informowania odbiorców danych o sprostowaniu danych,
  4. określić i udokumentować sposób informowania na żądanie podmiotu danych o odbiorcach.
  5. Prawo do usunięcia danych („prawo do bycia zapomnianym”):
  • Osoba, której dane dotyczą ma prawo wniesienia do Administratora żądania usunięcia dotyczących jej danych osobowych, jeśli zachodzi jedna z poniższych okoliczności:
  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
  2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,
  3. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na mocy art. 21 ust. 1 lub ust. 2 RODO,
  4. dane osobowe były przetwarzane niezgodnie z prawem,
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega ADO.
  • Jeśli Administrator upublicznił dane osobowe osoby wnoszącej o usunięcie danych, ma on obowiązek – uwzględniając dostępną technologię oraz koszt realizacji – podjąć działania w celu poinformowania innych administratorów przetwarzających te dane osobowe o fakcie, że osoba, której dane dotyczą, złożyła żądanie o usunięcie przez tych administratorów wszelkich łącz do tych danych, kopie danych lub ich replikacje (powielenia).
  • ADO niezwłocznie realizuje prawo osoby do usunięcia danych, chyba że zaistnieje jedna z poniżej wyszczególnionych przesłanek:
  1. przetwarzanie danych osobowych jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji,
  2. przetwarzanie danych osobowych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  3. przetwarzanie danych osobowych jest niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) RODO (profilaktyka zdrowotna lub medycyna pracy) oraz art. 9 ust. 2 i) RODO (ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych) oraz art. 9 ust. 3 RODO (dane przetwarzane w celu profilaktyki zdrowotnej lub medycyny pracy przetwarzane są przez osobę zobowiązaną do zachowania tajemnicy zawodowej),
  4. przetwarzanie danych osobowych jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
  5. przetwarzanie danych osobowych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
  • ADO informuje o usunięciu danych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. 
  1. Prawo do ograniczenia przetwarzania
  • Osoba, której dane dotyczą może wnieść do Administratora danych żądanie o ograniczenie przetwarzania dotyczących jej danych osobowych w następujących przypadkach:
  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,
  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
  3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
  4. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
  • Jeżeli przetwarzanie zostało ograniczone to dane osobowe można przetwarzać, z wyjątkiem przechowywania:
  1. wyłącznie za zgodą osoby, której dane dotyczą,
  2. w celu ustalenia, dochodzenia lub obrony roszczeń,
  3. w celu ochrony praw innej osoby fizycznej lub prawnej,
  4. z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
  • Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia.
  1. Prawo do przenoszenia danych:
  • Osoba, której dane dotyczą, jest uprawniona do wniesienia żądania przeniesienia danych jej dotyczących.
  • Prawo do przenoszenia danych przysługuje wyłącznie, gdy:
  1. przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych osobowych w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO lub
  2. na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO oraz c) przetwarzanie odbywa się w sposób zautomatyzowany.
  • Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym (np..csv), powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące.
  • Wykonując prawo do przenoszenia danych osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
  • Wykonanie prawa do przeniesienia danych nie wyklucza wniesienia żądania o usunięcie danych osobowych.
  • Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych.
  • Należy zdefiniować zakres danych dostarczonych ADO, które podlegać będą przekazaniu. – Dane wywnioskowane i wywiedzione przez ADO z danych przekazanych przez podmiot danych nie wchodzą w zakres prawa do przenoszenia danych.
  • Prawo do przeniesienia danych nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
  1. Prawo do sprzeciwu:
  • Osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych, jeśli przetwarzanie jest oparte na:
  1. art. 6 ust. 1 lit. e) RODO (przetwarzanie w interesie publicznym lub w ramach sprawowania władzy publicznej) lub
  2. art. 6 ust. 1 lit. f) RODO (prawnie uzasadnione interesy realizowane przez administratora).
  • Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
  • Do czasu rozpatrzenia sprzeciwu, nawet jeżeli nie zgłoszono żądania ograniczenia przetwarzania, należy rozważyć taką możliwość i konieczność.
  • O prawie do sprzeciwu należy poinformować odrębnie (najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, którym mowa w art. 21 ust. 1 i 2 RODO, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji).
  • ADO nie może przetwarzać danych osobowych względem, których wniesiono sprzeciw, chyba że wykaże on istnienie ważnych prawnie uzasadnionych postaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

§ 3. ZASADY REALIZACJI PRAW

  1. Sposób składania wniosków o realizację praw:
  • W celu zapewnienia udostępnienia danych jedynie osobom, których dane dotyczą dopuszcza się trzy kanały komunikacji:
  1. elektroniczny – z podpisem kwalifikowanym lub potwierdzony profilem zaufanym ePUAP, jeśli wniosek wpłynie „zwykłym mailem” można zażądać ponownego złożenia wniosku w dopuszczonym trybie;
  2. tradycyjny – w formie papierowej opatrzony własnoręcznym podpisem;
  3. ustnie (nie dotyczy kontaktu telefonicznego) – należy taką osobę wylegitymować w celu potwierdzenia tożsamości i sporządzić notatkę z podpisem wnioskodawcy. Notatka winna być włączona w akta sprawy
  4. Osoba, której dane dotyczą, składa do Administratora wniosek o realizację prawa w formie pisemnej lub elektronicznej z uwzględnieniem wymogów dotyczących korespondencji, tj.:
  1. wskazania imienia, nazwiska wnioskodawcy,
  2. adresu lub innego kanału komunikacji,
  3. innych danych umożliwiających bezsprzeczną identyfikację tożsamości osoby, której dane dotyczą.
  1. W związku z powołaniem Inspektora Ochrony Danych (IOD), który pełni rolę punktu kontaktowego dla osób, których dane dotyczą, osoby te mogą kontaktować się bezpośrednio z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.
  2. Obsługa wniosków:
  • Każdy wniosek o realizację praw osób wpływający do Administratora musi zostać zarejestrowany w systemie korespondencji i zgodnie z instrukcją kancelaryjną przekazywany dalej celem zadekretowania.
  • Po otrzymaniu żądania IOD:
  1. rejestruje wniosek,
  2. weryfikuje rodzaj żądania i w razie wątpliwości prosi osobę, żądającą o podanie dodatkowych informacji umożliwiających sprecyzowanie żądania,
  3. ustala w ramach jakiej kategorii podmiotów (np. kandydaci do pracy, pracownicy, byli pracownicy, klienci, pełnomocnicy) należy identyfikować zgłaszającego,
  4. ustala w ramach, których procesów przetwarzania danych (wskazanych w rejestrze czynności) dane zgłaszającego (tej kategorii podmiotów) mogą być przetwarzane (może to być jeden lub więcej procesów przetwarzania danych).
  1. W przypadku braku możliwości zidentyfikowania osoby, której dane dotyczą, w miarę możliwości ADO informuje o tym wnioskodawcę. W takich przypadkach zastosowania nie mają art. 15–20 RODO, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.
  2. Obowiązuje zakaz przekazywania informacji zwrotnej przed zweryfikowaniem tożsamości. Prosząc o dodatkowe dane np. w celu sprecyzowania żądania, w celu identyfikacji lub weryfikacji tożsamości należy wyraźnie poinformować osobę żądającą o celu pozyskania tych dodatkowych informacji (można wyznaczyć dodatkowy termin na ich przekazanie oraz wskazać, że bez tych informacji realizacji praw w całości lub w części nie będzie możliwa).
  3. Przy realizacji praw podmiotu należy przestrzegać zasad ogólnych RODO, w tym w zakresie minimalizacji danych a także reguł bezpieczeństwa np. przekazując kopie danych.
  4. Weryfikacja tożsamości nie może prowadzić do gromadzenia danych w sposób nadmierny i powinna być adekwatna do poziomu ryzyka.
  5. Należy zawsze weryfikować podstawę umocowania, gdy osoba żądająca wskazuje, że działa w imieniu innego podmiotu.
  6. Sprawdzeniu podlega możliwość zrealizowania żądania, w tym czy nie zachodzą przesłanki wyłączające możliwość realizacji żądania, ewentualnie przesłanki pobrania opłaty, czas oraz środki potrzebne na realizację żądania a także kto będzie odpowiedzialny za techniczną obsługę żądania.
  7. Jeżeli żądanie jest zasadne należy przekazać odpowiedź podmiotowi, który wniósł żądanie, wskazując sposób realizacji żądania.
  8. Projekty odpowiedzi przygotowują pracownicy poszczególnych komórek organizacyjnych, merytorycznie odpowiedzialnych za przetwarzanie danych w przedmiotowej sprawie. Pracownik komórki organizacyjnej odpowiada za poprawność danych i identyfikację wnioskodawcy oraz wskazanie podstawy prawnej, na podstawie, której przetwarzane są dane osobowe.
  9. Decyzję dotyczącą sposobu realizacji wniosku podejmuje Administrator danych.
  10. Termin realizacji żądań:
  • ADO bez zbędnej zwłoki – nie później niż w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO.
  • W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.
  • W terminie miesiąca od otrzymania żądania ADO informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. 4) Jeżeli ADO nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do Prezesa UODO oraz skorzystania ze środków ochrony prawnej przed sądem.
  • Sposób realizacji odpowiedzi:
  • Odpowiadając na żądanie należy uwzględnić sposób zgłoszenia żądania.
  • Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
  • Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną (art. 15 ust. 3 RODO).
  • Informacje powinny być przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.