Realizacja praw osób fizycznych w ochronie danych osobowych.
Zasady ogólne
1. Przedszkole jako administrtor danych osobowych wprowadza procedurę, określającą zasady rozpatrywania wniosków o realizację praw osób, których dane dotyczą.
2. Każda osoba, której dane dotyczą (podmiot danych) jest uprawniona do wniesienia żądania do administratora o zrealizowanie:
– prawa dostępu do danych (art. 15 RODO)
– prawa do sprostowania danych (art. 16 RODO)
– prawa do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO)
– prawa do ograniczenia przetwarzania (art. 18 RODO)
– prawa do sprzeciwu (art. 21 RODO)
– prawa do cofnięcia zgody (art. 7 RODO)
– prawa do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 RODO)
3. Administrator rozpatruje żądania osób, których dane dotyczą, z należytą starannością, uwzględniając stosowane przepisy prawa oraz prawa i wolności innych osób, których dane mogą dotyczyć.
Zgłaszanie i obsługa praw osób fizycznych
1. Osoba zainteresowana składa do administratora wniosek o realizację prawa w formie pisemnej lub elektronicznej z uwzględnieniem wymogów dotyczących korespondencji, tj. wskazania imienia i nazwiska wnioskodawcy, jego adresu lub innego kanału komunikacji, jak także innych danych umożliwiających bezsprzeczną identyfikację tożsamości osoby, której dane dotyczą. We wniosku, osoba zainteresowana powinna określić o realizację, których praw wnioskuje.
2. Prawo złożenia wniosku, ma osoba, której dane dotyczą lub rodzic (prawny opiekun) dziecka/ucznia.
3. Żądanie Osoby, której dane dotyczą, może zostać zgłoszone:
– w formie ustnej w siedzibie administratora
– pisemnie na adres siedziby administratora
– drogą elektroniczną na adres poczty elektronicznej
– poprzez skrzynkę ePUAP
4. W przypadku braku możliwości identyfikacji wnioskodawcy lub zaistnienia wątpliwości co do jego tożsamości, w celu zachowania bezpieczeństwa przetwarzanych danych osobowych, administrator może zażądać dodatkowych
danych potwierdzających tożsamość wnoszącego.
5. Wniosek ewidencjonuje się w Ewidencji udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą.
6. Sprawa zostaje skierowana do osoby odpowiedzialnej za dany zbiór danych osobowych.
7. Odpowiedź osobom, których dane dotyczą o sposobie rozpatrzenia wniosku udzielana jest w możliwie najkrótszym czasie. W sytuacji, gdy rozpatrzenie wniosku trwa dłużej niż 30 dni, administrator powiadamia o tym fakcie zainteresowaną osobę, podając przyczynę przedłużenia rozpatrzenia wniosku..
8. Jeśli osoba składająca wniosek nie jest usatysfakcjonowana decyzją administratora, ma ona prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Realizowane prawa
I. Prawo dostępu do danych (art. 15 RODO)
1. Osoba, której dane dotyczą, ma prawo uzyskać od administartora informację, czy przetwarza on dane jej dotyczące, a w przypadku zaistnienia takiego przetwarzania osoba ta ma prawo dostępu do swoich danych oraz uzyskania informacji obejmujących:
a) cele przetwarzania,
b) kategorie zebranych danych osobowych,
c) wyszczególnienie odbiorców, którym zostaną lub zostały ujawnione dane osobowe,
d) planowany okres przechowywania danych lub kryteria ustalania tego okresu,
e) poinformowanie o prawie do sprostowania danych, usunięcia danych lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania,
f) prawie do wniesienia skargi do organu nadzorczego,
g) źródła danych, jeśli dane pochodzą z innego źródła niż od osoby, której dane dotyczą,
h) poinformowanie o występowaniu zautomatyzowanego podejmowania decyzji, w tym profilowania, a także znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
i) przekazanie informacji o odpowiednich zabezpieczeniach związanych z przekazaniem, jeśli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej.
2. Administrator może dostarczyć osobie zainteresowanej (osobie, której dane dotyczą) kopię posiadanych danych osobowych. Za każdą kolejną kopię danych osobowych administrator może pobrać opłatę w wysokości wynikającej z kosztów administracyjnych.
II. Prawo do sprostowania danych (art. 16 RODO)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.
2. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
III. Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
2. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3; RODO
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
IV. Prawo do ograniczenia przetwarzania (art. 18 RODO)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.
V. Prawo do sprzeciwu (art. 21 RODO)
1. Osoba fizyczna ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów.
2. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
3. Przedszkole nie przetwarza danych osobowych dla potrzeb marketingiu bezpośredniego.,
4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1.
VI. Prawo do cofnięcia zgody (art. 7 RODO)
1. W przypadku, gdy podstawą przetwarzania danych osobowych jest zgoda osoby fizycznej, osoba fizyczna ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych.
2. Cofnięcie zgody nie wpływa na wcześniejszą zgodność z prawem przetwarzania danych.
VII. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 RODO)
1. Osoba fizyczna ma prawo, by nie podlegać decyzji, która opiera się wyłącznie na
zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec danej osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu nie ma zastosowania w szczególności, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą której dane dotyczą a administratorem,
b) jest dozwolona prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. Administrator zapewnia, że wdrożył właściwe środki ochrony praw , wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, ponadto osoba ta ma prawo do wyrażenia własnego stanowiska oraz do zakwestionowania tej decyzji.
4. Przedszkole nie podejmuje decyzji, które opierają sie wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym na profilowaniu.