Realizacja praw osób których dane dotyczą

ZASADY REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ W MIEJSKIM ZAKŁADZIE KOMUNIKACYJNYM SP. Z O.O. W KĘDZIERZYNIE-KOŹLU

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE, L 119 z 4.05.2016), zwanego dalej RODO, chroni podstawowe prawa i wolność osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, niniejszy dokument ma na celu zapoznanie osób, których dane przetwarzamy z tymi prawami oraz ze sposobem ich realizacji.

Prawa przysługujące osobom, których dane przetwarzane są w Miejskim Zakładzie Komunikacyjnym Sp. z o.o., zwanym dalej MZK, na mocy RODO:

  1. art. 13 i art. 14 RODO prawo do informacji na temat przetwarzania danych osobowych

1) w zakresie wynikającym z art. 13 RODO – w sytuacji kiedy dane przekazywane są przez osobę której dotyczą:

  • pracownicy MZK przekazują informację zawarte w art. 13 ust. 1 i 2 RODO w momencie zbierania danych osobowych lub przy okazji odpowiedzi na korespondencję, która wpłynęła do MZK;
  • informacje te nie są przekazywane w sytuacji, gdy dana osoba nimi już dysponuje;
  • zakres informacji z art. 13 RODO został wskazany w załączniku nr 1.

2) w zakresie wynikającym z art. 14 RODO – kiedy dane osobowe trafiają do MZK z innych źródeł (np. od innych administratorów):

  • informacje, o których mowa w art. 14 ust. 1 i 2 RODO muszą być przekazane:
    • w rozsądnym terminie po uzyskaniu danych osobowych – najpóźniej w ciągu miesiąca;
    • albo jeżeli dane osobowe mają być stosowane do komunikacji z dana osobą, najpóźniej przy pierwszej takiej komunikacji;
    • albo jeżeli dane osobowe mają być ujawnione innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu;
  • informacje z art. 14 ust. 1 i 2 RODO nie są przekazywane, gdy osoba której dane dotyczą już nimi dysponuje oraz w innych przypadkach wskazanych w art. 14 ust. 5 RODO (w szczególności gdy pozyskiwanie lub ujawnianie danych osobowych jest wyraźnie uregulowane przepisem prawa);
  • zakres informacji z art. 14 RODO został wskazany w załączniku nr 2.

W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

  1. art. 15-21 RODO prawa realizowane na wniosek osoby której dane dotyczą:

1) art. 15 – prawo dostępu do Pani/Pana danych osobowych:

  • polega na tym, iż osoba, której dane dotyczą może wystąpić z pytaniem czy MZK przetwarza określone dane osobowe, a jeśli tak – osoba , której dane dotyczą może uzyskać informacje w zakresie  wynikającym z art. 15 ust. 1-3 RODO (m. in. na temat: jaki jest cel przetwarzania i okres przechowywania danych osobowych, jakie dane osobowe są przetwarzane, kim są odbiorcy danych osobowych, informacje o przysługujących prawach);
  • oprócz informacji, o których mowa powyżej, możliwe jest otrzymanie kopi danych osobowych. Prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób, których dane dotyczą.

2) art. 16 prawo do sprostowania danych osobowych:

  • prawo to polega na tym, że można wystąpić do MZK o sprostowanie swoich danych osobowych lub ich uzupełnienie, z tym zastrzeżeniem, że wszelkie aktualizacje danych muszą być ograniczone celem ich przetwarzania, np. nie można żądać uzupełnienia o dane, które byłyby niezgodne z celem przetwarzania;
  • prawo to nie będzie mogło być stosowane do danych osobowych, w odniesieniu do których tryb ich sprostowania lub uzupełnienia określają odrębne przepisy prawa, np. procedura sprostowania błędów i omyłek zawartych w decyzji administracyjnej w trybie art. 113 Kodeksu postępowania administracyjnego.

3) art. 17 prawo do usunięcia Pani/Pana danych, tzw. „prawo do bycia zapomnianym”:

  • w ramach tego prawa można żądać niezwłocznego usunięcia swoich danych osobowych, jeśli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO;
  • art. 17 ust. 3 RODO przewiduje również okoliczności, kiedy prawo do usunięcia danych nie będzie mogło być zrealizowane (i tak co do zasady MZK nie będzie mógł usunąć danych osobowych z uwagi, iż w większości przypadków podstawą prawną ich przetwarzania są przepisy prawa, z których wynika m.in. obowiązek przechowywania dokumentacji (archiwizacji) przez okres wynikający z Jednolitego Rzeczowego Wykazu Akt, który został uzgodniony z Archiwum Państwowym na podstawie ustawy o narodowym zasobie archiwalnym i archiwach).

4) art. 18 prawo do ograniczenia przetwarzania:

  • prawo to polega na konieczności ograniczenia przetwarzania danych wyłącznie do ich przechowywania;
  • osoba, której dane dotyczą może skorzystać z tego prawa tylko w ściśle określonych przypadkach wskazanych w art. 18 ust. 1 RODO.

5) art. 19 prawo do bycia poinformowanym o sprostowaniu lub usunięciu danych, lub o ograniczeniu przetwarzania:

  • jeżeli zrealizowane zostanie prawo osoby, której dane dotyczą do:
    • sprostowania nieprawidłowych danych;
    • uzupełnienia niekompletnych danych;
    • usunięcia danych w ramach prawa do bycia zapomnianym;
    • ograniczenia przetwarzania danych osobowych.
  • MZK informuje każdego odbiorcę, któremu ujawnił dane osobowe o dokonanej zmianie, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku;
  • MZK poinformuje osobę, której dane dotyczą o tych odbiorcach na wniosek danej osoby.

6) art. 20 prawo do przenoszenia danych:

  • z prawa do przenoszenia danych można skorzystać jeżeli:
    • przetwarzanie danych osobowych odbywa się na podstawie zgody lub w celu wykonania umowy;
    • oraz w sposób zautomatyzowany (nie obejmuje danych przetwarzanych w postaci papierowej).
  • w ramach tego prawa można zażądać, by dane osobowe (które zostały dostarczone) zostały przesłane przez MZK bezpośrednio innemu administratorowi, jeżeli jest to technicznie możliwe;
  • realizacja tego prawa będzie ograniczona do nielicznych przypadków, z uwagi na podstawy prawne przetwarzania danych osobowych (czyli głównie przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, które nie daje możliwości do skorzystania z prawa do przenoszenia danych).

7) art. 21 prawo do sprzeciwu:

  • prawo to będzie realizowane w nielicznych sytuacjach, skutkiem wniesienia sprzeciwu jest zakaz dalszego przetwarzania danych osobowych, chyba że administrator wykaże, że istnieją ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów osoby, której dane dotyczą, praw i wolności.
  1. art. 22 RODO, MZK nie podejmuje decyzji wywołujących określone skutki prawne lub w inny istotny sposób wpływających na osobę, której dane dotyczą opierające się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu.
  •   podczas realizacji obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO  administrator jest zobligowany przekazać osobie, której dane dotyczą informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o zasadach ich podejmowania, znaczeniu i konsekwencjach, jeżeli takie przetwarzanie ma miejsce.
  1. art. 34 RODO prawo do bycia poinformowanym o naruszeniu ochrony danych osobowych.
  • prawo to będzie realizowane w sytuacji, gdyby doszło do naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane są przetwarzane.
  • osobie, której dane są przetwarzane w sytuacji naruszenia ochrony danych osobowych przekazywane są informacje wskazane w art. 34 ust. 2 RODO:
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych;
  • opis zastosowanych lub proponowanych przez administratora środków w celu zaradzenia naruszeniom ochrony danych.
  • art. 34 ust. 3 RODO wskazuje okoliczności, kiedy administrator jest zwolniony z zawiadamiania osoby, której dane dotyczą o zaistniałej sytuacji.
     

Ogólne zasady realizacji praw wynikających z RODO w MZK

Sposoby komunikacji w sprawie wniosków z art. 15-21 RODO

  1. Jeżeli osoba, której dane są przetwarzane chce skorzystać z uprawnień wskazach w art. 15-21 RODO należy złożyć wniosek (wzór zał. nr 3) podpisany własnoręcznie w sposób czytelny, na adres Miejski Zakład Komunikacyjny Sp. z o.o. ul. Kozielski 2, 47-224 Kędzierzyn-Koźle lub  elektronicznie na adres sekretariat@mzkkk.pl
  2. Aby nie dopuścić do naruszenia praw lub wolności spowodowanej naruszeniem bezpieczeństwa danych osobowych, nie będą realizowane żadne uprawnienia wynikające z art. 15-21 RODO w rozmowie telefonicznej.
  3. Jeżeli administrator będzie miał uzasadnione wątpliwości co do tożsamości osoby składającej wniosek z zakresu art. 15-21 RODO, może zażądać dodatkowych informacji ułatwiających identyfikację wnioskodawcy.

Sposób i terminy praw realizowanych na wniosek z art. 15-21 RODO

  1. Rozpatrując żądanie z art. 15-21 RODO administrator zobligowany jest udzielać wnioskodawcy  wszelkich informacji na zasadach i w terminach określonych w art. 12 RODO.
  2. Administrator bez zbędnej zwłoki, ale nie dłużej niż w ciągu miesiąca od otrzymania żądaniaudziela informacji o działaniach podjętych w związku z żądaniem, czyli:
    • realizuje wniosek zgodnie z żądaniem;
    • lub informuje wnioskodawcę o konieczności wydłużenia terminu realizacji wniosku o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań (z podaniem przyczyn opóźnienia);
    • lub odmawia realizacji wniosku i informuje:
      • o powodach niepodjęcia działań;
      • o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Opłaty

  1. Co do zasady informacje podawane na mocy art. 13 i art. 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15-21 i art. 34 RODO są wolne od opłat.
  2. Jeżeli okaże się, że żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Administrator może:
    • pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielania informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo
    • odmówić podjęcia działań w związku z żądaniem.
  3. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter spoczywa na Administratorze.

Zgodnie z art. 13 RODO informuję, iż:

  1. Administratorem Państwa danych osobowych jest Administratorem danych jest Miejski Zakład Komunikacyjny Sp. z o.o. ul. Kozielska 2, 47-224 Kędzierzyn-Koźle tel. 77 7835252  e-mail: sekretariat@mzkkk.pl ,zwany dalej: „Administratorem”.
  2. Informujemy, że Administrator powołał Inspektora Ochrony Danych Osobowych, z którym możesz skontaktować się pisząc na wskazany powyżej adres, lub za pośrednictwem poczty elektronicznej: iod@mzkkk.pl
  3. Państwa dane będą przetwarzane na podstawie art. 6 ust. 1 lit. c, f RODO, w jednym lub w kilku z poniżej określonych celów:
    a) wypełnianie obowiązków prawnych ciążących na Administratorze w zakresie przewidzianym przepisami prawa, w tym w celu obsługi wniosku o realizację prawa osoby, której dane dotyczą,
    b) realizacja prawnie uzasadnionych interesów Administratora, w szczególności takich jak: umożliwienie sprawnej obsługi wniosku, w tym komunikacji pomiędzy stronami, ustalenie lub dochodzenie roszczeń albo obrona przed roszczeniami.
  4. Dane po zrealizowaniu celu, dla którego zostały zebrane, będą przetwarzane do celów archiwalnych i przechowywane przez okres niezbędny do zrealizowania przepisów dotyczących archiwizowania danych obowiązujących u Administratora.
  5. Mają Państwo prawo do żądania od Administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo do wniesienia sprzeciwu wobec ich przetwarzania, na zasadach i w granicach określonych w rozdziale 3 RODO.
  6. Prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.
  7. Podanie danych osobowych jest dobrowolne, ale niezbędne do złożenia wniosku o realizacje prawa podmiotu danych.
  8. Dane osobowe nie będą przetwarzane w sposób opierający się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
  9. Odbiorcami Państwa danych będą podmioty upoważnione do odbioru danych osobowych na podstawie przepisów prawa lub zawartych z Administratorem umów, w tym podmioty zajmujące się obsługą informatyczną Administratora.