- Naszym obowiązkiem jest zapewnić osobom, których dane dotyczą przestrzeganie ich praw, przysługujących w związku z przetwarzaniem ich danych osobowych. Realizacja praw osób spoczywa na osobach odpowiedzialnych za poszczególne czynności przetwarzania danych, które decydują o sposobie załatwienia wniosków osób fizycznych w tym zakresie. Niemniej jednak w ramach naszej organizacji każda osoba, która przetwarza dane osobowe może spotkać się z takim wnioskiem, stąd też ważne, by znać prawa, jakie osoby, których dane dotyczą mogą wykonywać.
- Niniejszy paragraf opisuje kluczowe elementy związane z wykonywaniem praw osób, których dane dotyczą, jednak w przypadku realizacji takich praw przez te osoby wobec Spółki, osoby odpowiedzialne za ich realizację winny bezwzględnie stosować przepisy art. 16-22 RODO.
- Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
- uzyskania wyczerpującej informacji o przetwarzaniu danych, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy,
- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych,
- uzyskania informacji, od kiedy przetwarza się dane jej dotyczące, do kiedy planowane jest ich przetwarzanie oraz podania w powszechnie zrozumiałej formie treści tych danych,
- uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że Administrator Danych Osobowych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,
- uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
- uzyskania informacji o prawie wniesienia skargi do organu nadzorczego,
- uzyskania informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
- żądania sprostowania danych nieprawidłowych,
- żądania usunięcia dotyczących jej danych, jeśli wystąpiły okoliczności z art. 17 ust. 1 RODO (prawo do bycia zapomnianym),
- żądania ograniczenia przetwarzania, w przypadkach opisanych w art. 18 ust. 1 RODO,
- przenoszenia danych zgodnie z art. 20 RODO,
- gdy przetwarzanie danych odbywa się ze względu na prawnie uzasadniony interes Spółki, wniesienia:
- pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,
- sprzeciwu wobec przetwarzania jej danych, gdy Administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
- W przypadku żądania udzielenia informacji na temat przetwarzanych danych osobowych na pisemny wniosek pochodzący od osoby, której dane dotyczą, odpowiedź musi nastąpić
w terminie 30 dni od daty jego otrzymania. Odpowiedź może być udzielona na piśmie lub w innej formie wskazanej przez wnioskodawcę.
- Osoba, której dane dotyczą, może się zwracać z wnioskiem o udzielenie informacji, nie częściej niż raz na 6 miesięcy. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Spółka pobierze opłatę w rozsądnej wysokości, wynikającej z kosztów administracyjnych.
- W sytuacji wniesienia przez osobę sprzeciwu wobec przetwarzania jej danych, informacja
o wniesieniu sprzeciwu przekazywana jest do Koordynatora ds. ochrony danych osobowych. Dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Koordynatora ds. ochrony danych osobowych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
- Osoba, której dane dotyczą, ma prawo żądania od Spółki niezwłocznego usunięcia dotyczących jej danych osobowych, a Spółka ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeśli spełnione są przesłanki wystosowania takiego żądania. Jeżeli w toku działalności Spółka upubliczni takie dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Nie dotyczy to przekazania danych w celu wykonania przepisów prawa lub dochodzenia roszczeń.
- Realizacja prawa do przenoszenia danych może mieć miejsce jedynie w przypadku przetwarzania danych na podstawie zgody lub w celu wykonania umowy. W takim przypadku osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu dane osobowe jej dotyczące, które dostarczyła Spółce.
ZADANIA OSÓB ODPOWIEDZIALNYCH ZA OCHRONĘ DANYCH
- Za bezpieczeństwo danych odpowiadają:
- Administrator Danych Osobowych,
- Inspektor Ochrony Danych, jeśli został ustanowiony, w wobec braku jego powołania Koordynator ds. ochrony danych osobowych,
- Administrator Systemu Informatycznego,
- pracownicy upoważnieni do przetwarzania danych osobowych.
- Zadania IOD/ Koordynatora ds. ochrony danych osobowych obejmują:
- uczestniczenie w tworzeniu, wdrażaniu i interpretowaniu dokumentacji ochrony danych osobowych standardów, zaleceń oraz procedur, dotyczących przetwarzania danych osobowych,
- koordynowanie działań w zakresie ochrony danych osobowych,
- monitorowanie przestrzegania przepisów prawa w zakresie danych osobowych, a także Polityki i Instrukcji,
- informowanie Administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów prawa,
- ścisłą współpracę z ASI w zakresie ustalenia zasad i nadzoru nad poprawnością przetwarzania danych osobowych w systemach informatycznych,
- zapoznanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami o ochronie danych osobowych poprzez przeprowadzenie szkoleń,
- prowadzenie Rejestru Czynności Przetwarzania,
- opiniowanie umów dotyczących powierzenia podmiotom trzecim przetwarzania danych osobowych,
- podejmowanie odpowiednich działań w przypadku wykrycia naruszeń lub podejrzenia naruszenia zabezpieczeń,
- uczestnictwo w ocenie skutków dla ochrony danych osobowych,
- kontakt z organem nadzoru,
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO.
- Zadania ASI obejmują:
- rejestrowanie i wyrejestrowywanie użytkowników systemu,
- dokonywanie zmiany uprawnień użytkowników systemu,
- przestrzeganie opracowanych dla systemu procedur bezpieczeństwa,
- utrzymanie systemu informatycznego w sprawności technicznej,
- przeciwdziałanie dostępowi osób nieupoważnionych do systemu informatycznego, w którym przetwarzane są dane osobowe,
- konfigurowanie urządzeń i oprogramowania służących do przetwarzania danych osobowych, według zapotrzebowania,
- aktualizowanie i konfigurowanie oprogramowania antywirusowego,
- reagowanie na naruszenia bezpieczeństwa i usuwanie ich skutków,
- nadzorowanie właściwego użytkowania oraz serwisowania urządzeń i oprogramowania,
- prowadzenie dziennika pracy systemu, który zawiera opisy wszelkich zdarzeń istotnych dla działania systemu informatycznego, w szczególności w przypadku awarii – opis awarii, przyczyna awarii, szkody wynikłe na skutek awarii, sposób usunięcia awarii, opis systemu po awarii, wnioski,
- w przypadku konserwacji systemu – opis podjętych działań, wnioski,
- wykonywanie kopii bezpieczeństwa informatycznych baz, w których przetwarzane są dane osobowe oraz systemów informatycznych,
- prowadzenie dokumentacji technicznej systemów,
- informowanie ADO lub IOD o wszelkich zdarzeniach związanych lub mogących mieć wpływ na bezpieczeństwo systemu teleinformatycznego.
- Pracownicy, niezależnie od stosunku prawnego regulującego podstawę ich zatrudnienia, zobowiązani są do:
- zachowania w tajemnicy danych osobowych, do których mają dostęp, a także sposobów zabezpieczenia tych danych, zarówno w trakcie jak i po ustaniu tego stosunku,
- przestrzegania przepisów wewnętrznych obowiązujących w Spółce wiążących się z ochroną danych osobowych, w tym Polityki i Instrukcji,
- zgłaszania zauważonych incydentów bezpieczeństwa związanych z ochroną danych osobowych.