Procedura realizacji praw osób fizycznych w zakresie ochrony danych osobowych

W OSIEDLA RODZINNE RUSIN SPÓŁKA KOMANDYTOWA W IWINACH

1. Osiedla Rodzinne Rusin Spółka komandytowa, ul. Św. Jacka 181, 52-116 Iwiny, zwana dalej Administratorem, zapewnia realizację praw osób fizycznych określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”), tj.:
A. prawa do dostępu do danych,
B. prawa do sprostowania danych,
C. prawa do usunięcia danych,
D. prawa do ograniczenia przetwarzania,
E. prawa do przenoszenia danych,
F. prawa do sprzeciwu,
G. prawa do cofnięcia zgody,
H. prawa do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
2. Osoba fizyczna, która zawarła lub zamierza zawrzeć umowę z Administratorem może zgłosić żądanie w zakresie realizacji praw wskazanych w A – H.
3. Administrator zapewnia obsługę zgłaszanych żądań oraz realizację praw osób fizycznych na zasadach opisanych w niniejszej procedurze.

§ 1.

Podstawowe definicje:

1) Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem jest spółka Osiedla Rodzinne Rusin.
2) Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
3) Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4) Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
5) Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

§ 2.

Zgłaszanie i obsługa praw osób fizycznych

1. Żądania osób fizycznych w zakresie realizacji praw wskazanych w ust. 1 lit. A-H Preambuły mogą być kierowane do Administratora z dopiskiem DANE OSOBOWE:
1) drogą pisemną na adres: ul. Św. Jacka 181, Iwiny 52-116.
2) drogą mailową na adres biuro@osiedlerodzinne.pl.
2. Zgłoszenie żądania osoby fizycznej w zakresie realizacji praw winno zawierać:
1) dane dot. osoby fizycznej: imię, nazwisko, której zgłoszenie dotyczy oraz osoby zgłaszającej,
2) opis zgłaszanego żądania wraz ze wskazaniem ewentualnych zastrzeżeń,
3) podpis osoby zgłaszającej żądanie w przypadku zgłoszeń pisemnych,
4) pełnomocnictwo, jeśli w imieniu zgłaszającego żądanie działa pełnomocnik.
3. Stosowne informacje powinny być udzielone prostym i zrozumiałym językiem, w łatwo dostępnej formie.
4. Informacji udziela się na piśmie lub w inny sposób, w tym elektronicznie. Można udzielić ich ustnie, jeśli tego zażąda osoba, której dane dotyczą, należy wówczas w inny sposób potwierdzić jej tożsamość.
5. Administrator udziela osobie, której dane dotyczą, informacji o podjętych działaniach bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania żądania.
6. W przypadku skomplikowanego żądania lub znacznej liczby zgłoszonych żądań, Administrator, w terminie jednego miesiąca od otrzymania żądania osoby fizycznej, poinformuje osobę fizyczną, której dane dotyczą, o przedłużeniu terminu o maksymalnie kolejne dwa miesiące wraz z podaniem przyczyn opóźnienia.
7. W przypadku, gdy żądanie osoby fizycznej nie może zostać uwzględnione Administrator poinformuje osobę fizyczną w ww. terminach o odmowie realizacji żądania wraz z podaniem przyczyn.
8. Jeżeli Administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie o którym mowa wskazanych w ust. 1 lit. A-H Preambuły, może żądać dodatkowych informacji do potwierdzenia jej tożsamości.
9. Czynności Administratora podejmowane w odpowiedzi na zgłoszone żądania są wolne od opłat z zastrzeżeniem § 2 ust. 8 i § 3 A.4.
10. Jeżeli żądania osoby fizycznej są ewidentnie nieuzasadnione lub nadmierne,
a w szczególności ustawiczne, Administrator ma prawo:
1) pobrać rozsądną opłatę biorąc pod uwagę koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądań,
2) odmówić podjęcia działań.
11. Administrator informuje, iż w niektórych przypadkach, nawet w przypadku realizacji prawa do usunięcia danych, w celach ewidencyjnych lub sfinalizowania zgłoszenia żądania, zachowa określone informacje, które zostały zainicjowane przed zgłoszeniem określonego żądania.

§ 3.

Zasady realizacji praw osób fizycznych

A. Prawo dostępu do danych (art. 15 RODO)
1. Prawo dostępu do danych obejmuje:
1) prawo dostępu do tych danych;
2) prawo do informacji o:
a) celu przetwarzania,
b) kategorii przetwarzanych danych,
c) okresie, przez który dane mają być przechowywane, a gdy podanie go nie jest możliwe, kryteriach ustalania tego okresu,
d) przysługujących podmiotowi danych uprawnieniach do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania jej danych, wniesienia sprzeciwu wobec przetwarzania,
e) prawie wniesienia skargi do organu nadzorczego,
f) źródle pozyskania danych osobowych danej osoby jeśli nie zostały zebrane od osoby, której dane dotyczą.
3) prawo do informacji, czy:
a) Administrator podejmuje wobec podmiotu danych zautomatyzowane decyzje,
w tym m.in. w oparciu o profilowanie, a jeśli tak, to również informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
b) dane zostały już lub mają zostać ujawnione odbiorcom danych, a jeśli tak, to również informacje o tych odbiorcach, przy czym w przypadku szczególnym, tj. gdy są one przekazywane do państwa trzeciego lub organizacji międzynarodowej, także
o odpowiednich zabezpieczeniach związanych z ich przekazaniem.
4) prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu.
2. W przypadku osób fizycznych, których dane Administrator przetwarza – prawo dostępu do danych realizowane jest poprzez przekazanie żądanych informacji na piśmie lub drogą elektroniczną. W przypadku przekazywania informacji drogą elektroniczną Administrator zapewni, że przesyłane dane będą zabezpieczone w odpowiedni sposób zapewniający bezpieczeństwo.
3. Administrator zapewnia, że podczas obsługi realizacji praw związanych z dostępem do danych, nie narusza praw innych osób, w tym tajemnic handlowych, własności intelektualnej oraz praw autorskich chroniących oprogramowanie.
4. Administrator dostarcza osobie, której dane dotyczą, kopie danych ulegających przetwarzaniu. Za kolejne kopie, o które ta osoba się zwróci, Administrator może pobrać opłatę w wysokości kosztów administracyjnych.
5. Za realizację żądań osób fizycznych wskazanych w ust. 1 lit. A-H Preambuły, odpowiedzialna jest osoba wyznaczona przez Administratora do spraw związanych
z wdrażaniem i koordynowaniem ochrony danych osobowych u Administratora.

B. Prawo do sprostowania danych (art. 16 RODO)
1. Prawo do sprostowania danych obejmuje:
1) żądanie niezwłocznego poprawienia nieprawidłowych danych,
2) żądanie uzupełnienia niekompletnych danych, w tym poprzez przedstawienie brakującego oświadczenia,
3) żądanie aktualizacji danych.
2. Administrator weryfikuje, czy żądanie sprostowania danych nie prowadzi do ujawnienia danych nieprawidłowych lub nie prowadzi do nadmierności zbieranych danych – w takim przypadku należy odmówić spełnienia żądania.
3. W przypadku uwzględnienia wniosku o sprostowanie danych Administrator poinformuje
o tym odbiorców danych, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku.

C. Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO)
1. Prawo do usunięcia danych obejmuje:
a) prawo do żądania niezwłocznego usunięcia danych,
b) prawo do bycia zapomnianym – w przypadku upublicznienia danych przez Administratora.
2. Osoba, której dane dotyczą, ma prawo żądać usunięcia danych, jeżeli:
a) dane nie są już niezbędne do realizacji celów, w których zostały zebrane lub w inny sposób przetwarzane,
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy do tego, aby dane te dalej przetwarzać,
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania,
d) dane osobowe były przetwarzane niezgodnie z prawem,
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie państwa członkowskiego, któremu podlega Administrator,
f) dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego w stosunku do dziecka.
3. Administrator, który upublicznił dane osobowe, w przypadku zgłoszenia przez osobę, której dane dotyczą, żądania ich usunięcia, biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by informować administratorów, którzy przetwarzają takie dane, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych bądź ich replikacje.
4. Administrator może odmówić spełnienia żądania realizacji prawa do usunięcia danych, w szczególności w zakresie w jakim przetwarzanie danych jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji,
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii Europejskiej lub prawa krajowego (np. w zakresie przetwarzania dokumentów pracowniczych),
c) gdy przetwarzanie jest niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego (np. medycyna pracy),
d) gdy przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych i historycznych lub statystycznych, o ile prawdopodobnie jest, że usunięcie danych uniemożliwi lub poważnie utrudni realizację celów przetwarzania,
e) gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
5. W przypadku uwzględnienia wniosku o usunięcie danych Administrator poinformuje
o tym odbiorców danych, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku.

D. Prawo do ograniczenia przetwarzania (art. 18 RODO)
1. Osoba fizyczna, której dane dotyczą, ma prawo żądać ograniczenia przetwarzania
w następujących przypadkach:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
2. W przypadku uwzględnienia żądania ograniczenia przetwarzania Administrator zapewnia, że dane osobowe, w odniesieniu do których ograniczono przetwarzanie, zostaną zabezpieczone, w taki sposób, że użytkownicy systemu nie będą mieli do tych danych dostępu, oraz że nie będą podlegały dalszemu przetwarzaniu ani modyfikacjom.
3. Środki techniczne zastosowane w ust. 2 znajdą także zastosowanie w przypadku, gdy organ nadzorczy, w ramach swoich uprawnień naprawczych zobowiąże Administratora do ograniczenia przetwarzania określonych danych osobowych (czasowego lub całkowitego).
4. Przed uchyleniem ograniczenia przetwarzania osoba, która żądała ograniczenia, musi zostać o tym powiadomiona.
5. W przypadku ograniczenia przetwarzania dane osobowe będą przetwarzane wyłącznie
w zakresie ich przechowywania. Przetwarzanie danych w innym celu jest możliwe wyłącznie:
a) gdy osoba fizyczna wyrazi zgodę na inny cel przetwarzania,
b) w celu ustalenia, dochodzenia lub obrony roszczeń,
c) w celu ochrony praw innej osoby fizycznej lub prawnej,
d) z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.
6. W przypadku uwzględnienia wniosku o sprostowanie danych Administrator poinformuje
o tym odbiorców danych, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku.

E. Prawo do przenoszenia danych (art. 20 RODO)
1. Prawo do przenoszenia danych obejmuje:
a) prawo do otrzymania danych od Administratora,
b) prawo do przesłania danych innemu administratorowi bez utrudnień ze strony Administratora,
c) prawo do przesłania danych bezpośrednio pomiędzy administratorami, bez pośrednictwa osoby, której dane dotyczą (o ile jest to technicznie możliwe).
2. Prawo do przenoszenia danych przysługuje jedynie w przypadku, gdy przetwarzanie danych odbywa się na podstawie zgody osoby fizycznej lub umowy oraz w sposób zautomatyzowany.
3. W przypadku uwzględnienia wniosku dot. przeniesienia danych, dane zostaną udostępnione w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
4. Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych.

F. Prawo do sprzeciwu (art. 21 RODO)
1. Osoba fizyczna ma prawo do sprzeciwu – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania danych osobowych, gdy Administrator przetwarza dane wykonując zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e) RODO) albo na podstawie przesłanki prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) RODO), w tym profilowania na podstawie tych przepisów.
2. Administrator może odmówić zaprzestania przetwarzania danych osobowych, powołując się na:
a) istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą,
b) istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.
3. Osoba, której dane dotyczą, może wnieść sprzeciw wobec przetwarzania danych w celach marketingu bezpośredniego. Żądanie osoby fizycznej podlega niezwłocznemu
i bezwarunkowemu uwzględnieniu. Administrator zapewni, że dane osobowe nie będą już przetwarzane w tym w tym celu.

G. Prawo do cofnięcia zgody (art. 7 RODO)
1. W przypadku, gdy podstawą przetwarzania danych osobowych jest zgoda osoby fizycznej, ma ona prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych.
2. Cofnięcie zgody nie wpływa na wcześniejszą zgodność z prawem przetwarzania danych.

H. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 RODO)
1. Osoba fizyczna ma prawo, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec danej osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu nie ma zastosowania w szczególności, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą której dane dotyczą
a administratorem,
b) jest dozwolona prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. Administrator, aby chronić prawa, wolności i prawnie uzasadnione interesy osoby, której dane dotyczą, przewiduje prawo do uzyskania przez tę osobę, interwencji ludzkiej ze strony Administratora, do wyrażenia własnego stanowiska oraz do zakwestionowania decyzji,
o której mowa w ust. 1.

§ 4.

Postanowienia końcowe

Niniejsza procedura obowiązuje od dnia 01.01.2022 r.