Niniejsza Instrukcja określa zasady postępowania, mające na celu zagwarantowanie prawidłowej realizacji praw osób fizycznych, których dane osobowe są przetwarzane przez Miejski Zakład Komunalny Sp. z o. o. w Stalowej Woli, ul. Komunalna 1, 37-450 Stalowa Wola.
Możliwość uzyskania przez osobę, której dane dotyczą, od administratora informacji o przetwarzaniu danych jej dotyczących, stanowi przejaw realizacji prawa dostępu do danych, zagwarantowany w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO” oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku.
1. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ (ART. 15-21 RODO)
Prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO)
Prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO)
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich. Osoba, której dane dotyczą ma prawo uzyskać informację czy jej dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej. Dodatkowo – jeżeli zajdzie taka potrzeba – ma prawo do uzyskania kopii swoich danych, przy czym pierwsza kopia wydawana jest bezpłatnie, przy kolejnych administrator ma prawo pobrać opłatę w wysokości uwzględniającej koszty udzielenia odpowiedzi.
Prawo do sprostowania danych (art. 16 RODO)
Prawo do sprostowania danych (art. 16 RODO)
Osoba, której dane dotyczą, ma prawo żądania od administratora sprostowania dotyczących jej danych osobowych, jeżeli są one nieprawidłowe lub niekompletne.
Prawo do usunięcia danych/prawo do bycia zapomnianym (art. 17 RODO)
Prawo do usunięcia danych/prawo do bycia zapomnianym (art. 17 RODO)
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek je usunąć, jeżeli zachodzi jedna z następujących okoliczności:
• brak podstawy prawnej do przetwarzania danych (np. cofnięcie zgody na ich wykorzystanie);
• zebrane dane nie są już potrzebne do celów, w których zostały one zgromadzone;
• dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego;
• wniesienie sprzeciwu przez osobę, której dane dotyczą;
• dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
Istnieją również sytuacje, w których osoby fizyczne nie mogą skorzystać z prawa do bycia zapomnianym, w zakresie w jakim przetwarzanie jest niezbędne. Mowa tu o następujących przypadkach:
• w celu korzystania z prawa do wolności wypowiedzi i informacji;
• do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonywania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• w celu profilaktyki zdrowotnej (np. medycyna pracy, czy zapewnienie opieki zdrowotnej);
• do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;
• do ustalenia, dochodzenia lub obrony roszczeń.
Prawo do ograniczenia przetwarzania (art. 18 RODO)
Prawo do ograniczenia przetwarzania (art. 18 RODO)
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
• osoba, której dane dotyczą, kwestionuje ich prawidłowość;
• przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się ich usunięciu, żądając w zamian ograniczenia ich wykorzystywania;
• administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą do ustalenia, dochodzenia lub obrony roszczeń;
• osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania, ograniczenie przetwarzania trwa do czasu ustalenia czy prawnie uzasadnione podstawy po stronie administratora, są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Prawo do przenoszenia danych (art. 20 RODO)
Prawo do przenoszenia danych (art. 20 RODO)
Osoba, której dane dotyczą ma prawo do przenoszenia danych pomiędzy różnymi podmiotami (administratorami). Jeśli prośba taka zostanie wystosowana, administrator ma obowiązek przekazać osobie komplet zgromadzonych danych na jej temat w formie, która będzie możliwa do odczytania. Osoba, której dane dotyczą może później bez przeszkód przekazać te informacje innemu administratorowi.
Prawo do sprzeciwu (art. 21 RODO)
Prawo do sprzeciwu (art. 21 RODO)
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e lub f, w tym profilowania na podstawie tych przepisów. Administrator w takim przypadku nie ma prawa do przetwarzania danych osobowych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do dalszego ich przetwarzania.
2. REALIZACJA WNIOSKÓW DOTYCZĄCA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ
Osobie, której dane dotyczą, przysługuje na jej wniosek prawo do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w sytuacji ich przetwarzania prawo do informacji o:
• celu i podstawie prawnej ich przetwarzania;
• kategorii danych osobowych i danych, które są przetwarzane;
• odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
• okresie przechowywania danych osobowych lub, gdy nie jest to możliwe, o kryteriach służących określeniu tego okresu;
• możliwości wniesienia wniosku do administratora o sprostowanie lub usunięcie danych osobowych, lub ograniczenie przetwarzania danych osobowych dotyczących tej osoby;
• prawie wniesienia do Prezesa UODO (uodo.gov.pl) skargi w przypadku naruszenia praw osoby w wyniku przetwarzania jej danych osobowych;
• źródle pochodzenia danych.
Realizacja żądań osoby, której dane dotyczą jest bezpłatna. Wyjątek stanowią żądania nadmiarowe lub częste, w takiej sytuacji administrator ma prawo pobrać opłatę w wysokości uwzględniającej koszty udzielenia odpowiedzi. Wniosek rozpatruje się zgodnie z zasadami rozpatrywania wniosków o realizację praw związanych z przetwarzaniem danych przyjętych przez Spółkę:
1) wniosek w zakresie realizacji praw osoby, której dane dotyczą, powinien zawierać:
• dane wnioskodawcy: imię, nazwisko, dane kontaktowe;
• opis zgłaszanego żądania;
• informację o preferowanej formie odpowiedzi, w przypadku, kiedy osoba, której dotyczą wnioskuje o inną formę odpowiedzi niż zgłoszone żądanie;
• podpis wnioskodawcy.
2) weryfikacja wniosku;
• czy administrator posiada dane niezbędne do realizacji żądania, między innymi możliwość jednoznacznej weryfikacji wnioskodawcy, dane kontaktowe itp.;
• czy administrator przetwarza dane osobowe wnioskodawcy;
• czy przepisy szczególne wyłączają obowiązek informacyjny;
• czy żądania osoby fizycznej, której dane dotyczą nie są ewidentnie nieuzasadnione lub nadmiarowe.
3) postępowanie administratora w zależności od wyniku weryfikacji wniosku:
• pozytywna ocena wniosku – administrator udziela informacji, których żąda wnioskodawca;
• negatywna ocena wniosku – administrator informuje wnioskującego
o powodach niespełnienia żądania;
• żądanie nadmiarowe lub częste – administrator dokonuje wyboru postępowania:
• odmowa udzielenia informacji – administrator informuje
o powodach niespełnienia żądania;
• wezwanie do wniesienia opłaty – administrator wzywa osobę, której dane dotyczą do wniesienia opłaty za udzielenie informacji;
• uzyskanie informacji o wniesieniu opłaty – weryfikacja uiszczonej wpłaty;
• administrator udziela żądanych informacji;
Wniosek dotyczący żądania osoby fizycznej w zakresie realizacji praw, powinien być skierowany do Miejskiego Zakładu Komunalnego Sp. z o. o. w Stalowej Woli:
• pisemnie na adres: 37-450 Stalowa Wola, ul. Komunalna 1, z dopiskiem „ochrona danych” lub
• drogą e-mail na adres: iod@mzk.stalowa-wola.pl
Odpowiedzi na wniosek udziela się bez zbędnej zwłoki, jednakże nie później niż
w terminie jednego miesiąca od dnia otrzymania wniosku. W wyjątkowych sytuacjach,
tj. z uwagi na skomplikowany charakter żądania lub dużą liczbę żądań termin na udzielenie odpowiedzi może zostać przedłużony o kolejne dwa miesiące. W takim przypadku w terminie jednego miesiąca od otrzymania żądania informuje się osobę, której dane dotyczą, o przedłużeniu terminu z podaniem przyczyn opóźnienia.