Procedura realizacji praw osób, których dane dotyczą
- PG Investments Sp. z o.o. (dalej: Administrator), informuje osobę, której dane osobowe przetwarza, o prawach, które jej przysługują na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO).
- Każda osoba, której dane osobowe dotyczą, posiada następujące prawa:
- prawo do cofnięcia zgody – może cofnąć wyrażoną przez siebie zgodę w każdym momencie i bez podawania przyczyny. Przy czym wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed je wycofaniem ( 7 RODO);
- prawo dostępu – może żądać od Administratora informacji o przetwarzaniu jej danych osobowych, tj. potwierdzenia, czy przetwarzane są jej dane osobowe. Jeżeli dane o osobie są przetwarzane, jest ona uprawniona do uzyskania dostępu do nich, uzyskania ich kopii oraz do uzyskania informacji: o celach przetwarzania, kategoriach danych osobowych, informacji o odbiorcach lub kategoriach odbiorców, którym dane zostały lub zostaną ujawnione (w szczególności
o odbiorcach w państwach trzecich i organizacjach międzynarodowych), o okresie przechowywania danych lub o kryteriach ich ustalania, o przysługujących prawach związanych z przetwarzaniem jej danych osobowych, o możliwości wniesienia skargi do organu nadzorczego, o źródle pozyskania danych osobowych, jeżeli nie zostały pozyskane bezpośrednio od osoby, której dane dotyczą oraz o profilowaniu i zautomatyzowanym przetwarzaniu decyzji (art. 15 RODO); - prawo do sprostowania – może sprostować dane osobowe jej dotyczące. Jeżeli osoba uzyska informację o tym, że jej dane osobowe przetwarzane są przez Administratora w sposób nieprawidłowy, są nieaktualne lub niekompletne, ma ona prawo żądać ich niezwłocznego sprostowania lub uzupełnienia (art. 16 RODO);
- prawo do usunięcia danych – może żądać usunięcia jej danych osobowych, przy czym, jeżeli osoba wyraziła zgodę na przetwarzanie jej danych osobowych, żądanie usunięcia ma taki sam skutek jak cofnięcie zgody (art. 17 RODO);
- prawo do ograniczenia przetwarzania – może żądać ograniczenia przetwarzania danych osobowych (art. 18 RODO). Co oznacza, że ma prawo do żądania zaprzestania przetwarzania przez Administratora jej danych osobowych,
w sytuacjach, gdy:
- kwestionuje prawidłowość danych osobowych na okres, w którym Administratora będzie weryfikował ich prawidłowość,
- kwestionuje zgodność z prawem przetwarzania danych osobowych przez Administratora,
- Administrator nie potrzebuje już tych danych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony jego roszczeń,
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu podjęcia decyzji przez Administratora co do zasadności sprzeciwu;
W wypadku spełnienia tego prawa, Administrator ma prawo przechowywać dane za zgodą osoby, której dane dotyczą lub w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony prawi inne osoby fizycznej lub prawnej lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego;
- prawo do wniesienia sprzeciwu – może wnieść sprzeciw wobec przetwarzania jej danych osobowych w prawnie uzasadnionych celach Administratora;
- prawo do przenoszenia – może przenieść swoje dane osobowe, tj. otrzymać
w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe, które dostarczyła Administratorowi, jeżeli ich przetwarzanie odbywa się na podstawie zgody, lub zażądać przesłania tych danych osobowych innemu, wskazanemu przez osobę, której dane dotyczą, administratorowi (art. 20 RODO).
- Realizację praw osób, których dane osobowe dotyczą, wykonuje osoba upoważniona przez Administratora.
Tabela przedstawia odpowiednią reakcję na stosowne żądanie osoby, której dane dotyczą.
L. p. |
Prawo |
Warunki realizacji |
Wyłączenie od realizacji |
1. |
Dostępu do informacji o przetwarzaniu danych osobowych (art. 15 ust. 1 RODO) |
Jeżeli zapytanie dotyczy informacji: 1) potwierdzenia, że dane osobowe o tej osobie są przetwarzane, 2) o celach przetwarzania, 3) o kategoriach przetwarzanych danych osobowych, 4) o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych, 5) o okresach retencji danych osobowych, 6) o prawie do żądania od administratora, 7) sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania, 8) o prawie wniesienia skargi do organu nadzorczego, 9) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle, 10) o zautomatyzowanym podejmowaniu decyzji, 11) w przypadku transferu danych osobowych do państw trzecich – o stosowanych zabezpieczeniach związanych z przekazaniem danych osobowych. |
1) Jeżeli wniosek dotyczy informacji nieuwzględnionych 2) jeżeli ujawnienie określonej informacji wpłynie w sposób negatywny na prawa
|
2. |
Otrzymania kopii danych osobowych (art. 15 ust. 3 RODO) |
Kopia danych osobowych, które są przetwarzane. Druga i kolejna kopia – po uiszczeniu stosowanej opłaty administracyjnej. O konieczności uiszczenia opłaty trzeba poinformować i umożliwić osobie wywiązać się z obowiązku. Termin na uiszczenie opłaty – 7 dni. |
Druga i kolejne kopie: 1) jeżeli administrator ustalił opłatę za jej udostepnienie i wezwał osobę, której dane osobowe dotyczą, do jej uiszczenia, a osoba opłaty nie uiściła, 2) jeżeli udostępnienie wpłynie w sposób negatywny na prawa 3) jeżeli żądanie jest ewidentnie nieuzasadnione lub nadmierne, |
3. |
Sprostowania |
1) Jeżeli Administrator jest w posiadaniu innych danych osobowych niż podaje osoba, której dane dotyczą, 2) jeżeli osoba oświadcza, że dane osobowe znajdujące się u Administratora są nieaktualne lub nieprawdziwe, 3) jeżeli osoba oświadcza, że dane osobowe są niekompletne, a Administrator ma cel |
1) Jeżeli osoba podaje zakres danych osobowych nieprzetwarzanych przez Administratora i nie ma on celu lub podstawy prawnej do przetwarzania tych dodatkowych danych, 2) jeżeli do zmiany wymagane jest odpowiednie oświadczenie, a osoba wezwana do jego przedstawienia, tego nie dokonała, 3) jeżeli dodatkowe dane są nadmierne w stosunku do realizowanego celu. |
4. |
Usunięcia danych osobowych |
1) Jeżeli Administrator nie ma już celu do ich przetwarzania, 2) jeżeli administrator nie ma żadnej ważnej podstawy prawnej do przetwarzania danych osobowych, w tym jeżeli osoba, której dane osobowe dotyczą, cofnęła zgodę na przetwarzanie jej danych osobowych lub skutecznie wniosła sprzeciw, 3) jeżeli usunięcie nakazują przepisy prawa, 4) jeżeli dane osobowe zostały upublicznione – usunięcie wszelkich linków do tych danych osobowych i ich kopii. |
1) Jeżeli Administrator posiada ważny cel 2) jeżeli przetwarzanie danych osobowych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, 3) jeżeli przetwarzanie danych osobowych jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji, 4) jeżeli usunięcie wszystkich linków nie jest możliwe po podjęciu wszystkich rozsądnych działań z uwzględnieniem dostępnej technologii |
5. |
Ograniczenie przetwarzania danych osobowych (art. 18 RODO) |
1) Jeżeli osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający sprawdzić prawidłowość tych danych, 2) jeżeli przetwarzanie jest niezgodne z prawem, 3) jeżeli Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń, 4) jeżeli osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. |
Jeżeli ograniczenie jest wnioskowane wraz z wnioskiem
Jeżeli Administrator odmawia realizacji prawa, powinien wskazać przyczynę odmowy oraz jej skutki, tj. czy i jak będą one później przetwarzane przez Administratora. |
6. |
Powiadomienie o sprostowaniu lub usunięciu |
Poinformowanie odbiorców: 1) jeżeli Administrator dokonał sprostowania, usunięcia lub ograniczenia przetwarzania ujawnionych danych osobowych, 2) poinformowanie osoby, której dane osobowe dotyczą, na jej wniosek |
Jeżeli poinformowanie odbiorców będzie niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. |
7. |
Przenoszenia danych osobowych |
Jeżeli jednocześnie: 1) dane osobowe są przetwarzane na podstawie zgody lub umowy zawartej z tą osobą, 2) dane osobowe są przetwarzane w sposób zautomatyzowany lub elektronicznie, 3) dane osobowe zostały dostarczone przez osobę, której dotyczą lub wynikają z zachowań lub aktywności tej osoby. |
1) Jeżeli którykolwiek 2) jeżeli realizacja prawa negatywnie wpłynie na prawa i wolności innych; 3) jeżeli nie ma możliwości przekazania danych osobowych do innego administratora wskazanego przez osobę, której dotyczą, 4) jeżeli administrator wskazany przez osobę, której dane osobowe dotyczą, odmawia przyjęcia danych osobowych – wówczas prawo należy zrealizować wobec osoby, której dane osobowe dotyczą. |
8. |
Sprzeciwu |
1) Jeżeli dane osobowe są przetwarzane na podstawie prawnie uzasadnionego interesu Administratora 2) jeżeli dane osobowe są przetwarzane na podstawie prawnie uzasadnionego interesu Administratora |
Jeżeli Dane Osobowe są przetwarzane w celu innym niż marketing i Administrator podtrzymuje swoją ocenę, zgodnie z którą jego interes uzasadnia jego pierwszeństwo przed prawami |
9. |
Niepodlegania zautomatyzowanemu podejmowaniu decyzji |
Decyzja podejmowana przez Administratora spełnia łącznie poniższe warunki: 1) jest podejmowana wyłącznie w sposób zautomatyzowany, bez udziału pracownika lub przedstawiciela Administratora lub gdy jego udział jest tylko techniczny 2) wywołuje wobec osoby skutki prawne lub podobnie na nią wpływa. |
1) Jeżeli decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, 2) jeżeli decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator 3) jeżeli decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą. Jeżeli decyzja jest podejmowana |
- Na każdy wniosek o realizację praw złożony przez osobę, której dane osobowe dotyczą, musi zostać udzielona odpowiedź niezwłocznie, lecz nie później niż w ciągu miesiąca. W wyjątkowych sytuacjach można przedłużyć ten termin, informując o tym osobę, której dane osobowe dotyczą.
- Przedłużenie terminu do realizacji praw RODO może zostać dokonane o maksymalnie dwa miesiące z uwagi na:
1) skomplikowany charakter żądania,
2) liczbę żądań złożonych przez tę osobę.
- W ciągu miesiąca od złożenia wniosku, kierowana jest odpowiedź do osoby, która złożyła wniosek, jednocześnie podając jej następujące informacje:
- o realizacji jej prawa,
- o odmowie realizacji jej prawa wraz z informacją o przyczynie odmowy oraz
o możliwości złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych i jego danymi kontaktowymi, - ewentualnie o przedłużeniu terminu do realizacji wniosku wraz z informacją
o przyczynie odmowy oraz o możliwości złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych i jego danymi kontaktowymi.
- Jeżeli zachodzą wątpliwości co do intencji lub zamierzonego celu wniosku, należy skontaktować się z osobą, której dane dotyczą, celem ich wyjaśnienia. Kontakt powinien zostać dokonany na piśmie lub elektronicznie. W przypadku ustnego wyjaśnienia – należy sporządzić stosowną notatkę.
- Przy realizacji prawa wynikających z RODO, z którymi wiąże się ujawnienie danych osobowych w odpowiedzi na wniosek, należy upewnić się, że podczas ich przekazywania do osoby, której dane dotyczą lub do innego administratora wskazanego przez tą osobę, dane osobowe są odpowiednio zabezpieczone,
w szczególności poprzez tajemnicę korespondencji oraz zaszyfrowania danych osobowych na ich elektronicznym nośniku poprzez zabezpieczenie ich indywidualnym hasłem. Hasło musi został wysłane do osoby, której dane dotyczą inna ścieżką komunikacji niż e-mail.
- Można nałożyć opłatę za realizację prawa, jeżeli osoba złożyła drugi lub kolejny wniosek o prawo otrzymania kopii danych osobowych – w wysokości administracyjnych kosztów wydania kopii.
- Można odmówić realizacji prawa, jeżeli:
- wniosek został złożony w zakresie przekraczającym prawa RODO, zgodnie
z powyższą tabelą, - Administrator nałożył opłatę za jego realizację i poinformował o tym osobę, której dane osobowe dotyczą, a osoba ta tej opłaty nie uiściła,
- żądania osoby są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na ich ustawiczny charakter.
- Wnioski powinny zostać złożone na dedykowany w tym celu e-mail(kontakt@pawelgorski.biz), przy czym, jeżeli osoba, której dane dotyczą złożyła inną ścieżką swój wniosek, to taki wniosek obligatoryjnie także wymaga rozpatrzenia.
- Jeżeli wniosek został złożony ustnie (osobiście lub telefonicznie), należy odebrać od osoby składającej wniosek – imię i nazwisko oraz co najmniej jedną daną kontaktową oraz treść żądania. Informacje należy utrwalić na piśmie lub elektronicznie.
- Przed realizacją wniosku należy potwierdzić tożsamość osoby wnioskującej. Potwierdzenie tożsamości odbywa się z użyciem danych osobowych przetwarzanych przez Administratora o osobie, której dane dotyczą.
Potwierdzenie tożsamości może być:
1) uproszczone – polegające na potwierdzeniu imienia i nazwiska osoby wnioskującej,
2) pełne – polegające na potwierdzeniu imienia i nazwiska osoby wnioskującej oraz na weryfikacji tożsamości poprzez zadanie osobie po ½ pytania z zakresu tego, kim ta osoba jest oraz co ta osoba posiada.
- Potwierdzenie tożsamości uproszczone może zostać zastosowane wobec realizacji wniosków o:
1) prawo do zapomnienia,
2) prawo do cofnięcia zgody,
3) prawo do złożenia sprzeciwu,
4) prawo do informacji,
5) prawo do ograniczenia przetwarzania.
- Potwierdzenie tożsamości pełne jest obowiązkowe wobec realizacji wniosków o:
1) prawo dostępu do danych osobowych,
2) prawo do otrzymania kopii danych osobowych,
3) prawo do przeniesienia danych osobowych,
4) prawo do sprostowania.
- Jeżeli prawo ma zostać zrealizowane poprzez wysłanie określonych informacji lub danych osobowych na posiadany już wcześniej adres korespondencyjny tradycyjny lub elektroniczny osoby, której dane osobowe dotyczą, można odstąpić od pełnego potwierdzenia tożsamości i ograniczyć je tylko do weryfikacji uproszczonej.
- Jeżeli osoba, której dane osobowe dotyczą, składa taki sam wniosek o to samo prawo przed upływem 6 miesięcy od rozpatrzenia poprzedniego wniosku i od czasu ostatniej realizacji takiego samego wniosku nie zmieniły się żadne okoliczności przetwarzania danych osobowych tej osoby, możliwym jest:
1) odmówienie realizacji prawa i poinformowanie, że zakres czynności przetwarzania lub zakres danych osobowych nie uległ zmianie,
2) nałożenie rozsądnej opłaty, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań.