CEL I ZAKRES

Procedura opisuje sposób postępowania obowiązujący w firmie Mańka Wojciech Systemy Nagłośnień Akustyka z siedzibą w Będzinie, 42-500 Będzin, ul.Mariana Kantora Mirskiego 21A, NIP:6250017737, REGON: 271859620 w zakresie wpływających żądań podmiotów danych (osoby, właściciele danych osobowych, które firma przetwarza), zgodnie z przysługującymi im prawami w zakresie RODO.

Mańka Wojciech Głośniki Systemy Nagłośnień Akustykapowinna podjąć wszelkie niezbędne działania w odpowiedzi na żądania osób, których dane dotyczą, wymagane przez obowiązujące przepisy dotyczące prywatności. Jeżeli osoba, której dane dotyczą, złoży wniosek, który nie dotyczy albo wykracza poza zakres prawa przysługującego jej na podstawie obowiązujących przepisów, firma  nie jest zobowiązana do udzielenia odpowiedzi, ale może to zrobić według własnego uznania.

 

WYMAGANIA OGÓLNE

  1. Prawa przysługujące osobom –  podmiotom danych na podstawie przepisów RODO obejmują:
  2. Prawo do dostępu do przetwarzanych danych (prawo do żądania informacji o przetwarzaniu oraz kopii danych osobowych ( zgodnie z art. 15 RODO).
  3. Prawo do sprostowania danych osobowych – prawo do żądania poprawienia lub uaktualnienia danych osobowych ( zgodnie z art. 16 RODO).
  4. Prawo do usunięcia danych osobowych „prawo do bycia zapomnianym” ( zgodnie z art. 17 RODO).
  5. Prawo do ograniczenia przetwarzania danych osobowych ( zgodnie z art. 18 RODO).
  6. Prawo do przenoszenia danych ( zgodnie z art. 20 RODO).
  7. Prawo do sprzeciwu wobec przetwarzania danych osobowych ( zgodnie z art. 21 RODO).
  8. Prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa ( zgodnie z art. 22 RODO).

 

SPOSÓB POSTĘPOWANIA

 

Składanie Żądań

  1. Żądania mogą być składane przez osoby, których dane dotyczą:
  2. w formie pisemnej – list na adres siedziby firmy,
  3. ustnie – bezpośrednio w firmie ,
  4. mailowo – pod adresem e-mail: rodo@akustyka.com.pl
  5. Wszystkie osoby składające pisemnie żądania lub zapytania ustne powinny zostać poproszone o wypełnienie oficjalnego formularza wniosku dotyczącego zgłoszenia żądania (załącznik do procedury) w formie papierowej (formularz należy wydrukować i dostarczyć do siedziby firmy). W przypadku odmowy opisania żądania na formularzu, wnioskodawca powinien zostaćskierowany do Właściciela firmy, w celu ustalenia indywidualnego toku postępowania
  6. Jeżeli wniosek wpłynie w formie listu, musi zostać zeskanowany i przesłany do Właściciela i/lub Inspektora Ochrony Danych Osobowych, a do adresata wysyła się „Wniosek”, z prośbą o wypełnienie oraz odesłanie.
  7. W przypadku osób domagających się realizacji ich praw podczas kontaktu telefonicznego, pracownicy firmy powinni poinformować osoby o dopuszczalnych sposobach zgłaszania żądań WYŁĄCZNIE w formie pisemnej, umożliwiającej weryfikację tożsamości osób zgłaszających żądanie.
  8. Każdy otrzymany wniosek powinien zostać przekazany do Inspektora Ochrony Danych Osobowych i/lub Właściciela.
  9. W przypadku otrzymania kilku lub wielu żądań w krótkim czasie (żądania zbiorcze mogą być
    realizowane przez: podmioty zajmujące się obsługą roszczeń w imieniu wielu osób np.: kancelarie prawne), każde pojedyncze żądanie w ramach wniosku zbiorczego musi być rozpatrywane indywidualnie.
  10. W przypadku wpływu żądania zbiorczego, należy wziąć pod uwagę następujące zasady postępowania:
  11. żądanie, które jest zakładane jako część żądania zbiorczego, ma taki sam status jak wniosek indywidualny;
  12. cel realizowany w drodze żądania, nie ma wpływu na jego priorytet;
  13. jeżeli wniosek zostanie złożony przez osobę trzecią w imieniu podmiotu danych, firma ma prawo upewnić się, że osoba trzecia jest upoważniona do złożenia wniosku;
  14. firma ma prawo upewnić się co do tożsamości osoby reprezentującej podmioty danych;
  15. firma musi odpowiedzieć na żądanie, nawet jeśli nie przetwarza żadnych danych dotyczących osoby wnioskodawcy. W takich przypadkach odpowiedź może być bardzo krótka oraz powinna ograniczać się do wskazania, że firma nie przetwarza żadnych danych osobowych dotyczących wnioskodawcy, poza tymi, które zostały przekazane w związku z rozpatrywaniem żądania.
  16. Zasady weryfikacji tożsamości osób zgłaszających żądanie:
  17. firma ma prawo (w celu spełnienia obowiązków prawnych) upewnić się co do tożsamości osoby składającej żądanie lub reprezentującej podmioty danych (w przypadku żądań zbiorowych);
  18. dane osobowe powinny zostać ujawnione wyłącznie osobie, której dane dotyczą. Aby uniknąć przekazywania danych osobowych do niewłaściwej osoby, przez przypadek lub w wyniku oszustwa, firma powinna podjąć działania w celu upewnienia się, że tożsamość wnioskodawcy jest potwierdzona;
  19. nie należy zakładać, że za każdym razem osoba składająca wniosek jest tym, za kogo się podaje. Należy pamiętać, aby za każdym razem należy poprosić osobę składającą wniosek o dokument potwierdzający tożsamość. Wyznaczony pracownik firmy odpowiedzialny za rozpoznanie Wniosku powinien poprosić o wystarczającą ilość informacji, aby skutecznie ocenić, czy osoba składająca wniosek jest osobą, której dane osobowe dotyczą lub osobą upoważnioną do złożenia żądania w jej imieniu;
  20. w wypadku złożenia żądania w formie listu lub na adres e – mail wskazany przez Właściciela pracownik, kontaktuje się z osobą pod wskazanym wcześniej przez nią numerem telefonu, w celu potwierdzenia jej imienia i nazwiska oraz adresu zamieszkania, jak również potwierdzenia faktu złożenia żądania. W wypadku osobistej wizyty – weryfikacja tożsamości opiera się o kontrolę danych osobowych zawartych w dowodzie osobistym lub innym dokumencie ze zdjęciem.
  21. w wypadku składania żądania telefonicznie – pracownik firmy Mańka Wojciech Głośniki Systemy Nagłośnień Akustyka informuje podmiot praw o konieczności wypełnienia formularza i przeslania go jedną z dwóch zaakceptowanych form. Weryfikacja tożsamości występuje jak powyżej.
  22. w wypadku osoby reprezentującej podmioty danych (w przypadku żądań zbiorowych) weryfikacja tożsamości odbywa się na podstawie weryfikacji upoważnienia, które powinien posiadać w imieniu osób zgłaszających żądanie. Ponadto wyznaczony pracownik powinien skontaktować się z każdą osobą zgodnie z punktem 3.1.6.1 niniejszej procedury.

 

Ocena żądania

Mańka Wojciech Głośniki Systemy Nagłośnień Akustyka, który otrzymał pisemne żądanie dokonuje jego rejestracji w elektronicznym „Rejestrze żądań”, rejestrując: datę wpływu, dane osoby składającej żądanie, a także opis żądania. Następnie dokonuje przekazania skanu pisma lub e-maila Właścicielowi i/lub Inspektorowi.

  1. Właściciel i/lub Inspektor zapoznają się z żądaniem. Jeśli nie zostało opisane na formularzu wyznaczają pracownika, który kontaktuje się z osobą przekazującą żądanie z prośbą o uzupełnienie formularza. Jednocześnie jest przekazywana informacja, że jeżeli osoba składająca żądanie
    nie uzupełni brakujących informacji w ciągu 30 dni, to sprawa zostanie zamknięta.
  2. Właściciel i/lub Inspektor mogą również zobowiązać pracownika do przeprowadzenia weryfikacji tożsamości osoby składającej żądanie, zgodnie z zapisami niniejszej procedury.


Odrzucenie wniosku

  1. Na podstawie decyzji podjętej przez Właściciela i/lub Inspektora firma może odrzucić wniosek jeżeli:
  2. odpowiednie dane osobowe nie znajdują się w posiadaniu lub przetwarzaniu firmy;
  3. po przeprowadzeniu wstępnej weryfikacji żądania jest nadal zobowiązana do udzielenia odpowiedzi na wniosek;
  4. wniosek jest identyczny lub bardzo podobny do tego, który ostatnio został złożony,
    (tj. jeżeli wniosek się powtórzył);
  5. wniosek jest ewidentnie bezpodstawny;
  6. żądanie jest niekompletne, a firma poprosiła o uzupełnienie brakujących informacji, jednak podmiot danych nie odpowiedział na zapytanie w ciągu 30 dni;
  7. taką możliwość przewidują obowiązujące przepisy dotyczące ochrony danych osobowych, np. ujawnienie informacji mogłoby zaszkodzić procesom zapobiegania lub wykrywania przestępstw.
  8. Przyczyny odrzucenia wniosku powinny być udokumentowane w „Rejestrze żądań”.
  9. Jeżeli firma na podstawie powyższego postępowania nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – pisemnie (mail lub list) informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz
    o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem ( 12 ust. 4 RODO).


Zasady odpowiedzi na żądanie

  1. Właściciel i/lub Inspektorwskazują pracownika, który jest odpowiedzialny za wyszukanie danych osoby, która zgłosiła żądanie. Chodzi o szczegółowe ustalenie zakresu danych, które posiada firma, miejsc i form w jakich są przechowywane (dokumentacja papierowa, elektronicznie – w których programach i w jakich zakresach), a także sposobu ich przetwarzania, łącznie z archiwizacją.
  2. Wyszukiwanie danych oparte jest na informacjach dostarczonych w żądaniu, „Rejestrze przetwarzania danych” i dokumentacji firmy. Na przykład: gdy osoba, której dane dotyczą, jest dawnym pracownikiem firmy Mańka Wojciech Głośniki Systemy Nagłośnień Akustyka, to wyszukiwanie danych obejmuje systemy, w których przetwarzane są dane osobowe pracowników i byłych pracowników.

UWAGA !W proces realizacji praw podmiotów danych należy włączyć właścicieli biznesowych i osoby odpowiedzialne za systemy informatyczne, wysyłając im e-mail z konkretnymi instrukcjami postępowania, a także odwołać się do ich obowiązków zawartych w „Umowach powierzenia – przetwarzania”.

  1. Należy przeszukać określone systemy i archiwa papierowe w celu określenia zakresu przetwarzanych danych. W razie potrzeby należy wnioskować o przeprowadzenie podobnego przeszukania
    u zewnętrznych dostawców. Przeszukanie systemów i archiwów powinno odbywać się zgodnie
    z zasadami opisanymi w niniejszej procedurze.
  2. Firma powinna podjąć działania w celu wyszukania żądanych informacji. Przeprowadzone
    wyszukiwanie nie powinno być nierozsądne ani nieproporcjonalne w stosunku do prawnego
    i faktycznego znaczenia przekazania podmiotowi żądanych informacji.
  3. Każda decyzja w sprawach związanych z realizacją prawa dostępu do danych powinna odzwierciedlać fakt, że wspomniane prawo ma fundamentalne znaczenie dla ochrony danych
    Aby zastosować powyższy wyjątek, ciężar dowodu, że podjęto wszelkie uzasadnione
    kroki w celu realizacji praw podmiotów danych, spoczywa na firmie jako Administratorze
    Danych Osobowych. W szczególności odnosi się to do konieczności uzasadnienia nieproporcjonalność działań, które należałoby podjąć, aby zrealizować wniosek osoby, której dane dotyczą.
  4. Jeżeli wniosek otrzymany od osoby, której dane dotyczą, jest niezwykle szeroki, np. nie jest
    ograniczony do konkretnej kategorii danych osobowych lub operacji przetwarzania, ale dotyczy
    wszystkich danych osobowych dotyczących tej osoby, firma może żądać dookreślenia od podmiotu danych dokładnego zakresu wniosku, aby uczynić go bardziej proporcjonalnym.
  5. Wyznaczony pracownik powinien współpracować z wnioskodawcą, prowadząc stosowną komunikację dotyczącą żądanych informacji.
  6. Jeżeli firma nie może przetworzyć żądania podmiotu danych, ponieważ odnalezienie odpowiednich informacji lub wykonanie wymaganych działań wiązałoby się z nieproporcjonalnym nakładem pracy lub kosztami, należy rozważyć, czy są inne działania, które może podjąć w celu ochrony praw lub wolności osoby, której dane dotyczą. Na przykład, jeśli podmiot danych zażądał usunięcia swoich danych osobowych i nie jest technicznie możliwe trwałe usunięcie danych, firma powinna rozważyć, czy może wdrożyć jakiekolwiek techniczne lub organizacyjne środki w celu ograniczenia lub zablokowania dalszego przetwarzania danych jako środka realizacji żądania np.: częściowa anonimizacja danych
    w systemach IT.
  7. Firma powinna zawsze brać pod uwagę dostępne środki mitygujące, zamiast odmawiać realizacji wniosku z powołaniem się na przesłankę nadmiernego lub niewspółmiernego wysiłku.
  8. Jeśli żądanie wymaga pomocy strony działającej w imieniu firmy Technodruk Spółka z Ograniczoną Odpowiedzialnością(np. usługodawcy), firmabędzie, co do zasady, prawnie odpowiadać za rozpatrzenie wniosku, chyba że obowiązujące przepisy dotyczące ochrony danych osobowych stanowią inaczej.
  9. Gdy dane związane z wnioskodawcą są przetwarzane przez dostawców usług (podmioty przetwarzające), firma musi zaangażować odpowiednie podmioty przetwarzające. Na podstawie postanowień umownych dostawcy są zobowiązani do dostarczenia pełnej informacji o wnioskodawcy zgodnie z dodatkowymi instrukcjami, dotyczącymi konkretnego żądania osoby.


Odpowiedź na żądanie

  1. Każdorazowo odpowiedź na żądanie jest sporządzana przez wyznaczonego pracownika, w oparciu o decyzję podjętą przez Właściciela i/lub Inspektora. Odpowiedź jest sporządzana w formie pisemnej, a data jej wysłania podlega pisemnemu udokumentowaniu w „Rejestrze żądań”.
  2. Zgodnie z art. 15 RODO osoby fizyczne mają prawo dostępu do swoich danych osobowych
    i informacji uzupełniających. Prawo dostępu umożliwia jednostkom zapoznanie się z zakresem
    i zasadami przetwarzania jego danych osobowych i samodzielną ocenę zgodności przetwarzania
    z prawem.
  3. Osoby fizyczne mają prawo do:
  4. potwierdzenia, że ich dane są przetwarzane;
  5. dostępu do swoich danych osobowych;
  6. innych informacji uzupełniających.
  7. W przypadku gdy wnioski są oczywiście bezpodstawne lub nieproporcjonalne, w szczególności gdy
    się powtarzają, firma może:
  8. naliczyć rozsądną opłatę, biorąc pod uwagę koszty administracyjne związane z dostarczeniem
    informacji; lub
  9. odmówić odpowiedzi.
  10. Prawo do sprostowania zgodnie z art.. 16 RODO polega na tym, że osoby fizyczne mają prawo
    do sprostowania danych osobowych, jeśli są one niedokładne lub niekompletne. Jeżeli firma ujawniła dane osobowe innym podmiotom, należy skontaktować się z każdym odbiorcą i poinformować go
    o sprostowaniu – chyba że okaże się to niemożliwe lub wymaga nieproporcjonalnego wysiłku.
  11. Firma Mańka Wojciech Głośniki Systemy Nagłośnień Akustykabędzie zobowiązana do ograniczenia przetwarzania danych osobowych w następujących okolicznościach:
  12. jeśli osoba kwestionuje dokładność danych osobowych, należy ograniczyć przetwarzanie, dopóki firma nie sprawdzi dokładności tych danych osobowych;
  13. jeżeli osoba sprzeciwiła się przetwarzaniu (tam, gdzie było to konieczne do wykonania zadania interesu publicznego lub w celu uzasadnionego interesu), a firma rozważa, czy uzasadnione interesy organizacji są nadrzędne wobec interesów podmiotu danych;
  14. gdy przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu i żąda ograniczenia przetwarzania danych;
  15. Jeżeli FIRMA ujawni dane osobowe innym podmiotom, wtedy musi skontaktować się z każdym odbiorcą
    i poinformować go o ograniczeniu przetwarzania danych osobowych chyba że okaże się to niemożliwe lub wymagałoby nieproporcjonalnego wysiłku. Na prośbę osoby, której dane dotyczą, firma musi również poinformować ją o tych odbiorcach. Firma musi również poinformować osobę, której dane dotyczą, o fakcie zniesienia ograniczenia przetwarzania.
  16. Prawo do przeniesienia danych ma zastosowanie, gdy spełnione są łącznie wszystkie przesłanki wymienione poniżej:
  17. dane osobowe zostały przekazane firmie przez podmiot danych;
  18. przetwarzanie danych odbywa się na podstawie zgody osoby lub w celu wykonania umowy;
  19. przetwarzanie odbywa się w sposób zautomatyzowany (tj. w systemach informatycznych).
  20. Firma musi dostarczyć dane osobowe w postaci uporządkowanej, w powszechnie używanym formacie nadającym się do odczytu maszynowego. Formaty, o których mowa obejmują m.in. pliki CSV i Excel. Odczyt maszynowy oznacza, że informacje są zapisane w taki sposób, że oprogramowanie może wyodrębnić określone elementy danych. Umożliwia to innym podmiotom korzystanie z danych.
  21. Informacje muszą być dostarczone bezpłatnie.
  22. Jeśli osoba zażąda przekazania danych bezpośrednio do innego podmiotu, firma powinna spełnić takie żądanie tylko wtedy, gdy jest to technicznie możliwe.
  23. Firma nie musi przyjmować ani utrzymywać systemów przetwarzania, które są technicznie kompatybilne z innymi podmiotami.
  24. Jeżeli dane osobowe dotyczą więcej niż jednej osoby, należy zastanowić się, czy przekazanie informacji naruszałoby prawa jakiejkolwiek innej osoby.
  25. Osobom fizycznym zgodnie z RODO przysługuje prawo do sprzeciwu odnoszącego się do:
  26. przetwarzania danych osobowych w oparciu o uzasadnione interesy lub w celu wykonania zadania
    w interesie publicznym/ w celu sprawowania władzy publicznej (w tym profilowania);
  27. marketingu bezpośredniego (w tym profilowania);
  28. przetwarzania w celach naukowych i badań historycznych lub statystycznych.


Termin odpowiedzi oraz dostarczenie odpowiedzi

  1. Firma musi odpowiedzieć na żądanie bez zbędnej zwłoki, jednak nie dłużej niż w ciągu miesiąca.
  2. Okres ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W takim przypadku, w ciągu jednego miesiąca od otrzymania wniosku należy wyjaśnić pisemnie osobie fizycznej, dlaczego przedłużenie jest konieczne.
  3. Przekazywane informacje muszą być jasne, proste, zwięzłe i łatwo dostępne. Mogą być dostarczone
    elektronicznie lub listem (zgodnie z życzeniem osoby zgłaszającej żądanie).
  4. W przypadku wniosków o:
  5. informacje o przetwarzaniu szczególnych danych osobowych;
  6. inne dane z kategorii szczególnych danych;
  7. „prawo do bycia zapomnianym”,

należy podjąć dodatkowe środki bezpieczeństwa w celu identyfikacji i potwierdzenia tożsamości wnioskodawcy, na przykład:

  1. przekazać dane osobiście do wnioskodawcy;
  2. w przypadku wrażliwych informacji, należy przekazać informacje wnioskodawcy osobiście lub
    za pośrednictwem Poczty Polskiej lub firmy kurierskiej za potwierdzeniem odbioru,
  3. Podjęte środki należy każdorazowo udokumentować.


NAKŁADANIE OPŁAT

  1. Zgodnie z art. 12 ust. 5 RODO informacje dostarczone zgodnie z realizacją praw podmiotów danych, wszelkie powiadomienia i działania podejmowane na podstawie art. 15 – 22 i 34 RODO są udzielane bezpłatnie. W przypadku, gdy wnioski podmiotu danych są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na ich powtarzalny charakter, firma może:
  2. naliczyć rozsądną opłatę, biorąc pod uwagę koszty administracyjne związane
    z dostarczeniem informacji lub komunikacji lub podjęciem żądanego działania. Opłata powinna być uzależniona od kosztów realizacji prawa. W sytuacji, gdy wydrukowanie
    i przesłanie dużej ilości kopii danych kosztuję sumę X, firma może przenieść ciężar jej uiszczenia na podmiot danych), lub
  3. odmówić podjęcia działań na żądanie.
  4. Administrator ponosi ciężar wykazania oczywiście bezzasadnego lub nadmiernego charakteru Zgodnie z powyższym, co do zasady, nie może obciążać osób fizycznych za złożenie wniosku o dostęp do danych, chociaż przepisy dotyczące ochrony danych osobowych czasami zezwalają administratorom na pobieranie niewielkiej opłaty za rozpatrzenie wniosku.
  5. Firma może pobrać rozsądną opłatę za:
  6. obsługę wniosków, które mają charakter powtarzalny;
  7. obsługę oczywiście nieuzasadnionych żądań;
  8. dostarczanie wnioskodawcy kolejnych kopii danych osobowych, o które wielokrotnie proszono w krótkim czasie.