2020-03-08

Informacje dla osób, których dane są przetwarzane

1. Prawo do informacji i kopii danych

Osoba, która chce się dowiedzieć, czy administrator przetwarza dane na jej temat, może zwrócić się do administratora o udzielenie informacji. Tego rodzaju wniosek nie wymaga uzasadnienia. Przepisy nie precyzują formy, w jakiej wniosek powinien być złożony, dlatego wniosek może przybrać formę dowolną; może to być wniosek pisemny , elektroniczny bądź zapytanie ustne. Administrator zobowiązany jest dokonać weryfikacji tożsamości osoby składającej wniosek by upewnić się że dane zostaną przekazane właściwej osobie.  Wydanie kopii przetwarzanych danych wnioskującej osobie jest nieodpłatne gdy jest to pierwszy wniosek, za kolejne kopie możliwa jest opłata.

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.

Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

2. Prawo do sprostowania danych

Osoba której dane dotyczą, ma prawo do do żądania dokonania korekty bądź usunięcia jej danych, jeśli są one nieprawdziwe, niepełne lub zostały zebrane w sposób sprzeczny z ustawą. Unijne rozporządzenie o ochronie danych nakłada na administratora obowiązek zapewnienia prawidłowości danych. Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. W przypadku rozbieżności między stanem faktycznym a treścią danych prawodawca unijny przyznał osobie, której dane dotyczą, uprawnienie do żądania od administratora sprostowania przetwarzanych danych, a w przypadku gdy dane są niekompletne, podmiot danych może domagać się ich uzupełnienia. Ciężar wykazania nieprawidłowości spoczywa na osobie, której dane dotyczą.

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.

Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

3. Prawo do bycia zapomnianym

W określonych w rozporządzeniu przypadkach prawodawca unijny przyznał osobie, której dane dotyczą, uprawnienie do żądania od administratora usunięcia danych jej dotyczących. Uprawnienie to, określane także mianem „prawa do bycia zapomnianym”.

Jeżeli osoba, której dane dotyczą:

  • stwierdzi, że dane nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
  • cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania,
  • wnosi sprzeciw wobec przetwarzania jej danych,
  • stwierdzi, że dane osobowe były przetwarzane niezgodnie z prawem,
  • stwierdzi, że dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega administrator,
  • stwierdzi, że dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego

to może zwrócić się do administratora z żądaniem usunięcia danych. Ciężar dowodu (wykazania nieprawidłowości, nielegalności przetwarzania bądź zbędności danych) ciąży na osobie, której dane dotyczą.

Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.

Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

4. Prawo do ograniczenia przetwarzania

Przepisy r.o.d.o. przewidują uprawnienie osoby, której dane dotyczą, do żądania od administratora ograniczenia ich przetwarzania. Jeżeli osoba, której dane dotyczą, kwestionuje prawidłowość danych, może zwrócić się do administratora z żądaniem ograniczenia przetwarzania danych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych.

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.

Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

5. Prawo do przenoszenia danych

Osoba, której dane dotyczą, może zwrócić się do administratora z wnioskiem o przeniesienie danych osobowych, jeżeli zamierza zmienić dostawcę usług. Przetwarzanie odbywa się w sposób zautomatyzowany, jeżeli czynności, które są wykonywane w ramach procesów przetwarzania, realizowane są przez systemy informatyczne lub inne mechanizmy pozwalające na automatyzację (wykonywanie czynności przez maszynę samoczynnie, bez każdorazowego działania człowieka). Dla możności skorzystania z prawa do przenoszenia danych prawodawca unijny wymaga łącznego spełnienia przesłanek dotyczących: podstawy przetwarzania (zgoda lub umowa) oraz sposobu przetwarzania (zautomatyzowany).

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania – powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.

Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

6. Prawo do sprzeciwu

Jeżeli osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych na swój temat, może wnieść do administratora sprzeciw. Sprzeciw nie przysługuje jednak w przypadku, gdy osoba wyraziła zgodę na przetwarzanie danych. Jeżeli osoba nie chce, aby administrator dalej przetwarzał jej dane, powinna cofnąć zgodę (choć skutek może być taki sam, to z punktu widzenia prawnego sprzeciw i odwołanie zgody to konstrukcje odmienne). Sprzeciw nie przysługuje również w przypadku, gdy:

  • podstawą przetwarzania danych osobowych jest konieczność realizacji umowy (art. 6 ust. 1 lit. b r.o.d.o.);
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c r.o.d.o.);
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d r.o.d.o.).

Administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Uzyskanie informacji o spełnieniu żądania podmiotu danych kończy postępowanie w tym zakresie.

Uzyskanie informacji o niespełnieniu żądania uprawnia podmiot danych do wniesienia skargi do organu nadzorczego zgodnie z art. 77 r.o.d.o.

7. Informacje o prawie wniesienia skargi do organu nadzorczego

Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78 RODO.

Każda osoba fizyczna  prawo  wniesienia  skargi  do  Prezesa  Urzędu  Ochrony  Danych  Osobowych, gdy  uzna  ,  iż  przetwarzanie  danych  osobowych  jej dotyczących  narusza przepisy RODO.

 

 

Przeczytaj o systemie i przetwarzanych w nim danych

Tożsamość administratora systemu
Administratorem Scentralizowanego Systemu Dostępu do Informacji Publicznej (SSDIP), który służy do udostępniania podmiotowych stron BIP, jest Minister Cyfryzacji, mający siedzibę w Warszawie (00-060) przy ul. Królewskiej 27, który zapewnia jego rozwój i utrzymanie. Minister Cyfryzacji, w ramach utrzymywania i udostępniania systemu SSDIP, zapewnia bezpieczeństwo publikowanych danych, wymagane funkcjonalności oraz rejestrowanie i nadawanie uprawnień redaktorów BIP osobom wskazanym we wnioskach podmiotów zainteresowanych utworzeniem własnych stron podmiotowych przy użyciu SSDIP zgodnie z art. 9 ust. 4 pkt 3 ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429).
Minister Cyfryzacji, jako administrator systemu SSDIP jest jednocześnie administratorem danych osób wnioskujących o dostęp do SSDIP w celu utworzenia podmiotowych stron BIP oraz osób wyznaczonych do ich redagowania.
Tożsamość administratora danych
Administratorem danych osobowych przetwarzanych w systemie SSDIP w zakresie osób wnioskujących o utworzenie podmiotowej strony BIP oraz osób wyznaczonych do ich redagowania (redaktorów podmiotowych stron BIP) jest Minister Cyfryzacji.

Administratorami danych publikowanych na podmiotowych stronach BIP utworzonych w ramach SSDIP są podmioty, które daną stronę podmiotową BIP utworzyły. Podmioty te decydują o treści danych, w tym treści i zakresie danych osobowych publikowanych na podmiotowych stronach BIP, ich rozmieszczeniu, modyfikacji i usuwaniu. Minister Cyfryzacji, jako Administrator systemu SSDIP, w odniesieniu do materiałów publikowanych na podmiotowych stronach BIP, jest podmiotem przetwarzającym. Może on ingerować w treść materiałów publikowanych na poszczególnych stronach podmiotowych BIP jedynie w przypadku, gdy właściwy podmiot, który daną stronę utworzył i nią zarządza utracił do niej dostęp lub z innych przyczyn utracił nad nią kontrolę.
Dane kontaktowe administratora systemu SSDIP
Z administratorem systemu SSDIP można się skontaktować poprzez adres email: kancelaria@cyfra.gov.pl lub pisemnie na adres siedziby administratora: ul. Królewska 27, 00-060 Warszawa.
Dane kontaktowe inspektora ochrony danych osobowych
Administrator systemu SSDIP wyznaczył inspektora ochrony danych, z którym może się Pani/Pan skontaktować poprzez email iod.mc@cyfra.gov.pl lub listownie - na adres ul. Królewska 27, 00-060 Warszawa. Z inspektorem ochrony danych można się kontaktować wyłącznie w sprawach dotyczących przetwarzania danych osobowych osób składających wnioski o udostepnienie SSDIP, redaktorów poszczególnych stron BIP, oraz incydentów bezpieczeństwa.
W sprawach przetwarzania danych osobowych zawartych w treści materiałów publikowanych w ramach poszczególnych stron podmiotowych, należy się kontaktować z inspektorem ochrony danych podmiotu, którego strona BIP dotyczy, ich redaktorem lub kierownictwem podmiotu, który daną stronę podmiotowa BIP utworzył.
Cele przetwarzania i podstawa prawna przetwarzania
Celem przetwarzania danych publikowanych na stronach podmiotowych BIP przez poszczególne podmioty jest udostępnienie informacji publicznej wytworzonej w urzędzie i dotyczącej działalności urzędu. Podstawę prawną publikacji stanowi wypełnienie obowiązku prawnego, o którym mowa w art. 8 oraz art. 9 ust 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej.
Celem udostępniania systemu SSDIP przez Ministra Cyfryzacji jest umożliwienie podmiotom zobowiązanym, o których mowa w art. 4 ust 1 i 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej, utworzenia i prowadzenia własnych stron BIP (co wynika z art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ww. ustawy).
Odbiorcy danych lub kategorie odbiorców danych
Dane osobowe w zakresie imienia, nazwiska, nr telefonu, nr faksu dotyczące redaktorów podmiotowych stron BIP oraz dane osobowe publikowane w ramach treści materiałów zamieszczanych na poszczególnych podmiotowych stronach BIP są danymi udostępnianymi publicznie bez żadnych ograniczeń, w tym Centralnemu Ośrodkowi Informatycznemu w Warszawie przy Alejach Jerozolimskich 132-136, któremu Ministerstwo Cyfryzacji powierzyło przetwarzanie danych przetwarzanych w ramach platformy SSDIP.
Okres przechowywania danych
Dane dotyczące osób wnioskujących o udostępnienie systemu SSDIP oraz dane osób wyznaczonych na redaktorów stron podmiotowych przechowywane są przez czas, w jakim osoby te pełniły swoje funkcje oraz przez okres wskazany w przepisach prawa po okresie, w którym osoby te przestały pełnić swoje funkcje.
Dane osobowe osób zawarte w materiałach publikowanych w ramach podmiotowych stron BIP przechowywane są przez okres ustalony przez osoby zarządzające treścią tych stron.
Prawa podmiotów danych
Osoby, których dane są przetwarzane w systemie głównym SSDIP, w tym osoby składające wnioski o przyznanie dostępu do SSDIP oraz osoby będące redaktorami podmiotowych stron BIP, mają prawo dostępu do swoich danych, prawo do sprzeciwu, prawo ograniczenia przetwarzania oraz prawo żądania ich sprostowania oraz usunięcia po okresie, o którym mowa powyżej. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora systemu tj. Ministra Cyfryzacji lub wyznaczonego inspektora ochrony danych na adres iod.mc@cyfra.gov.pl.
Osoby, których dane są publikowane w ramach treści materiałów zamieszczanych na podmiotowych stronach BIP maja prawo dostępu do danych, prawo do sprzeciwu, prawo do ograniczenia przetwarzania, prawo żądania ich sprostowania oraz usunięcia po okresie, w którym ich publikacja jest wymagana. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora danych podmiotu, którego dana strona BIP dotyczy, lub wyznaczonego przez niego inspektora ochrony danych.
Prawo wniesienia skargi do organu nadzorczego
Osobom, których dane są przetwarzane w systemie SSDIP lub na podmiotowych stronach BIP publikowanych przez poszczególne podmioty przysługuje prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych tj. do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z siedzibą w Warszawie przy ul. Stawki 2, 00-193 Warszawa.
Informacja o dobrowolności lub obowiązku podania danych
Przetwarzanie danych osobowych osób składających wnioski o dostęp do SSDIP oraz osób wyznaczonych do redakcji poszczególnych stron podmiotowych BIP jest niezbędne dla zapewnienia kontroli dostępu i wynika z przepisu prawa, tj. art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429) oraz § 15 ust. 2 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz. U. Nr 10, poz. 68), w związku z art. 20a ustawy z dnia 17 lutego o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700, 730, 848, 1590 i 2294) i przepisami rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247).
Publikowanie danych osobowych na stronie systemu SSDIP oraz na podmiotowych stronach BIP jest dopuszczalne tylko wtedy, jeśli wynika z przepisów prawa, lub jeśli administrator danych uzyskał zgodę tych osób na ich publikację.



Zapoznałem się..