Procedura realizacji praw osób fizycznych

I. Preambuła:

 

  1. Wodociągi i Kanalizacja w Opolu Sp. z o.o. (dalej Administrator) zapewnia realizację praw osób fizycznych określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), tj.:

    • prawa do dostępu do danych;
    • prawa do sprostowania danych;
    • prawa do usunięcia danych;
    • prawa do ograniczenia przetwarzania;
    • prawa do przenoszenia danych;
    • prawa do sprzeciwu;
    • prawa do cofnięcia zgody.
  2. Osoba fizyczna, która zawarła lub zamierza zawrzeć umowę ze Spółką Wodociągi i Kanalizacja w Opolu, może zgłosić żądanie w zakresie realizacji praw wymienionych w pkt.1.
  3. Administrator zapewnia obsługę zgłaszanych żądań oraz realizację praw osób fizycznych na zasadach opisanych w przedmiotowej procedurze.

II. Zgłaszanie i obsługa praw osób fizycznych:

 

  1. Żądania osób fizycznych w zakresie realizacji praw wskazanych w pkt.1 Preambuły mogą być kierowane do Inspektora Ochrony Danych powołanego przez Administratora:

    • pisemnie na adres: Wodociągi i Kanalizacja w Opolu Sp. z o.o., 45-222 Opole ul. Oleska 64;
    • elektronicznie na adres e-mail: inspektor.ochrony.danych@wikopole.com.pl;
    • telefonicznie pod nr tel.: 77 443 56 06.

  2. Zgłoszenie żądania osoby fizycznej w zakresie realizacji praw winno zawierać:

    • dane osoby fizycznej, której zgłoszenie dotyczy oraz osoby zgłaszającej (imię i nazwisko);
    • opis zgłaszanego żądania wraz ze wskazaniem ewentualnych zastrzeżeń;
    • podpis osoby zgłaszającej (żądanie pisemne);
    • pełnomocnictwo, jeśli w imieniu zgłaszającego żądanie działa jego pełnomocnik;
    • informacje o preferowanej formie udzielenia odpowiedzi (jeżeli inna niż zgłoszone żądanie).
  3. Przed realizacją zgłoszenia żądania Administrator może poprosić osobę fizyczną, której dane dotyczą, o zweryfikowanie jej tożsamości.
  4. Administrator wdrożył środki organizacyjne i techniczne zapewniające obsługę zgłaszanych żądań oraz realizację praw osób fizycznych bez zbędnej zwłoki, w terminie jednego miesiąca od otrzymania zgłoszenia. W przypadku skomplikowanego żądania lub znacznej liczby innych zgłoszeń, Administrator poinformuje osobę fizyczną, której dane dotyczą, o przedłużeniu terminu o maksymalnie kolejne dwa miesiące wraz z podaniem przyczyn opóźnienia.
  5. W przypadku gdy żądanie osoby fizycznej nie może zostać uwzględnione, Administrator poinformuje o odmowie realizacji żądania wraz z uzasadnieniem, w terminach wskazanych w pkt.4.
  6. Czynności Administratora podejmowane w odpowiedzi na zgłoszone żądania są wolne od opłat. W wyjątkowych przypadkach nadmiernych kosztów realizacji żądania, Administrator ma prawo pobrać opłatę w wysokości uwzględniającej koszty udzielenia odpowiedzi.
  7. Administrator zastrzega sobie prawo do zachowania niektórych informacji w celach ewidencyjnych lub sfinalizowania zgłoszenia żądania, w szczególności zainicjowanych przed takim zgłoszeniem, nawet w przypadku realizacji prawa do usunięcia danych.

III. Zasady realizacji praw osób fizycznych:

 

  1. Prawo dostępu do danych (art.15 RODO), oprócz dostępu do tych danych oraz uzyskania ich kopii, obejmuje prawo do informacji:

    • o celu przetwarzania i kategorii przetwarzanych danych;
    • o okresie przechowywania danych i kryteriach ustalania zakresu czasowego;
    • o uprawnieniach do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych, wniesienia sprzeciwu wobec przetwarzania danych oraz wniesienia skargi do organu nadzorczego;
    • o źródle pozyskania danych osobowych jeśli nie zostały zebrane od osoby, której dane dotyczą;
    • o ewentualnych i zautomatyzowanych decyzjach Administratora, podjętych wobec podmiotu danych (w tym m.in. w oparciu o profilowanie), kryteriach ich podejmowania oraz znaczeniu i możliwych konsekwencjach przetwarzania danych osoby, której dotyczą;
    • o ujawnionych danych odbiorcom danych, zabezpieczeniach związanych z ich przekazaniem oraz informacji niezbędnych do identyfikacji odbiorców danych.
  2. W przypadku osób fizycznych, prawo dostępu do danych realizowane jest przez Administratora poprzez przekazanie żądanych informacji na piśmie lub drogą elektroniczną. Przekazanie informacji drogą elektroniczną odbywa się po uprzednim ich zabezpieczeniu i zaszyfrowaniu. Osoba fizyczna zobowiązana jest do wskazania innej drogi niż elektroniczna, celem przekazania klucza szyfru niezbędnego do otworzenia i dostępu do przekazanych danych. Brak alternatywnej drogi do przekazania klucza szyfru oznacza, że prawo dostępu do danych nie zostanie zrealizowane.
  3. Administrator zapewnia, że podczas obsługi praw związanych z dostępem do danych, nie narusza praw innych osób (w tym tajemnic handlowych, własności intelektualnej oraz praw autorskich chroniących oprogramowanie).

  4. Prawo do sprostowania danych (art.16 RODO) obejmuje:

    • żądanie poprawienia nieprawidłowych danych;
    • żądanie uzupełnienia niekompletnych danych;
    • żądanie aktualizacji danych.
  5. W przypadku uwzględnienia wniosku o sprostowanie danych, Administrator poinformuje o tym odbiorców danych, którym ujawnił dane osobowe, chyba że okaże się to niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku.
  6. Administrator weryfikuje czy żądanie sprostowania danych nie prowadzi do ujawnienia danych nieprawidłowych lub nadmierności zbieranych danych. W przypadku potwierdzenia takich okoliczności Administrator odmówi spełnienia żądania.

  7. Prawo do usunięcia danych (art.17 RODO) obejmuje:

    • prawo do żądania usunięcia danych;
    • prawo do bycia zapomnianym – w przypadku upublicznienia danych przez Administratora.

  8. Żądanie usunięcia danych jest uzasadnione jeżeli:

    • dane są niekompletne, nieaktualne lub nieprawdziwe;
    • dane nie są niezbędne do realizacji celu dla jakiego zostały zebrane;
    • wycofano zgodę na przetwarzanie danych oraz brak innej podstawy do ich dalszego przetwarzania;
    • wniesiono sprzeciw wobec przetwarzania prowadzonego na potrzeby marketingu bezpośredniego, wykonania zadania realizowanego w interesie publicznym lub na podstawie prawnie uzasadnionego interesu realizowanego przez Administratora albo stronę trzecią;
    • przetwarzanie danych odbyło się niezgodnie z prawem;
    • dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego na terenie Unii Europejskiej lub ustawodawstwie państwa członkowskiego;
    • dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego w stosunku do dziecka.
  9. W przypadku żądania usunięcia upublicznionych danych administratorzy, którzy przetwarzają te dane, otrzymują żądanie usunięcia wszelkich łącz do tych danych, ich kopii oraz replikacji.

  10. Administrator może odmówić spełnienia żądania realizacji prawa do usunięcia danych, w szczególności:

    • gdy przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymaganego na mocy prawa Unii Europejskiej lub prawa krajowego (np. w zakresie przetwarzania dokumentów pracowniczych lub realizacji obowiązującej umowy);
    • gdy przetwarzanie jest niezbędne z uwagi na interes z dziedziny zdrowia publicznego (np. medycyna pracy);
    • gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

  11. Prawo do ograniczenia przetwarzania danych (art.18 RODO) jest uzasadnione w następujących przypadkach:

    • osoba, której dane dotyczą, kwestionuje ich prawidłowość – na okres pozwalający Administratorowi na sprawdzenie i weryfikację danych;
    • przetwarzanie jest niezgodne z prawem oraz osoba, której dane dotyczą, sprzeciwia się usunięciu danych, żądając w zamian ograniczenia ich wykorzystywania;
    • Administrator nie potrzebuje danych dla celów ich przetwarzania jednak są one niezbędne osobie, której dotyczą do ustalenia, dochodzenia lub obrony roszczeń;
    • osoba, której dane dotyczą, wniosła sprzeciw na mocy art.21 ust.1 RODO wobec ich przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw osoby wnoszącej sprzeciw.
  12. W przypadku uwzględnienia żądania ograniczenia przetwarzania Administrator zapewnia, że dane nie będą podlegały dalszemu przetwarzaniu ani modyfikacjom oraz zostaną zabezpieczone w sposób uniemożliwiający dostęp użytkownikom systemu. Jeśli organ nadzorczy, w ramach swoich uprawnień naprawczych, zobowiąże Administratora do ograniczenia przetwarzania określonych danych osobowych (czasowego lub całkowitego), zastosowane zostaną tożsame środki techniczne dla zaspokojenia tego zobowiązania.

  13. W przypadku ograniczenia przetwarzania, dane będą przetwarzane wyłącznie w zakresie ich przechowywania. Przetwarzanie w innym celu jest możliwe wyłącznie:

    • gdy osoba fizyczna wyrazi zgodę na inny cel przetwarzania;
    • w celu ustalenia, dochodzenia lub obrony roszczeń;
    • w celu ochrony praw innej osoby fizycznej lub prawnej;
    • z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.

  14. Prawo do przenoszenia danych (art.20 RODO) obejmuje:

    • prawo do otrzymania danych od Administratora;
    • prawo do przesłania danych bez utrudnień ze strony Administratora;
    • prawo do przesłania danych bezpośrednio pomiędzy administratorami, bez pośrednictwa osoby, której dane dotyczą (jeśli technicznie możliwe).
  15. Prawo do przenoszenia danych przysługuje jedynie w przypadku, gdy przetwarzanie danych odbywa się na podstawie zgody osoby fizycznej lub umowy oraz w sposób zautomatyzowany. W przypadku uwzględnienia zgłoszenia żądania przeniesienia danych, dane zostaną udostępnione w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu maszynowego.
  16. Osoba fizyczna ma prawo do sprzeciwu wobec przetwarzania danych osobowych (art.21 RODO), gdy Administrator przetwarza dane na podstawie przesłanki prawnie uzasadnionego interesu (art.6 ust.1 lit.f RODO), w tym profilowania.

  17. Administrator może odmówić zaprzestania przetwarzania danych powołując się na:

    • istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą;
    • istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  18. W przypadku zgłoszenia sprzeciwu wobec przetwarzania danych w celach marketingu bezpośredniego, w tym profilowania w takim zakresie, żądanie osoby fizycznej podlega niezwłocznemu i bezwarunkowemu uwzględnieniu. Administrator zapewnia, że dane osobowe nie będą dłużej przetwarzane w takim celu.
  19. Osoba fizyczna ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych (art.7 RODO). Cofnięcie zgody nie wpływa na wcześniejszą zgodność z prawem przetwarzania danych.
  20. Osoba fizyczna ma prawo by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych bądź profilowaniu (art.22 RODO), a której skutki prawne w istotny sposób na nią wpływają. Prawo to nie ma zastosowania jeżeli decyzja:
    • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą a Administratorem;
    • jest dozwolona prawem Unii Europejskiej lub prawem państwa członkowskiego, które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
    • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

IV. Naruszenia bezpieczeństwa ochrony danych osobowych:

 

  1. W przypadku stwierdzenia naruszenia bezpieczeństwa ochrony danych osobowych, każda osoba fizyczna lub prawna, która powzięła taką informację, powinna zgłosić ten fakt Administratorowi w terminie 24 godzin od ustalenia naruszenia pod nr telefonu: 77 443 56 06.

  2. Zgłoszenie naruszenia bezpieczeństwa ochrony danych osobowych musi zawierać:

    • datę i godzinę, czas trwania oraz lokalizację zdarzenia;
    • dane osoby fizycznej lub reprezentującej osobę prawną zgłaszającą zdarzenie,
    • opis charakteru i okoliczności naruszenia ochrony danych osobowych, w tym informacji o systemie informatycznym, w którym wystąpiło naruszenie bezpieczeństwa danych;
    • kategorię oraz przybliżoną liczbę osób, których dotyczy naruszenie;
    • kategorię i przybliżoną liczbę wpisów/rekordów danych osobowych, których dotyczy naruszenie;
    • możliwe konsekwencje naruszenia bezpieczeństwa ochrony danych osobowych.
  3. W przypadku stwierdzenia naruszenia bezpieczeństwa ochrony danych osobowych, Administrator bez zbędnej zwłoki zgłasza je właściwemu organowi nadzorczemu zgodnie z obowiązującymi przepisami prawa, z wyjątkiem małego prawdopodobieństwa aby skutkowało ono wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator dokumentuje wszelkie naruszenia bezpieczeństwa ochrony danych osobowych aby móc wykazać przestrzeganie obowiązujących przepisów prawa.
  4. Jeżeli naruszenie bezpieczeństwa ochrony danych osobowych powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, z wyjątkiem sytuacji kiedy nie jest to wymagane obowiązującymi przepisami.

V. Postanowienia końcowe:

 

  1. Niniejsza procedura obowiązuje od dnia 25 maja 2018 r.
  2. Wszelkie zmiany procedury wchodzą w życie z chwilą umieszczenia tekstu ujednoliconego na stronie internetowej Spółki Wodociągi i Kanalizacja w Opolu: wikopole.com.pl.
  3. Organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych z siedzibą: 00-014 Warszawa, ul. Stanisława Moniuszki 1A, tel. 22 5310300, e-mail: kancelaria@uodo.gov.pl.

Sprawdź: Rozporządzenie PE i Rady UE nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)

Sprawdź: Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2019 poz.1781)

Zobacz: Ochrona danych osobowych – Klauzula informacyjna

Zobacz: Polityka prywatności

Przewijanie do góry