Procedura dotycząca realizacji praw osób fizycznych

I. CEL PROCEDURY

 

Celem procedury jest zapewnienie osobom fizycznym praw zagwarantowanych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), przez Zespół Szkół nr 4 im. Eugeniusza Kwiatkowskiego w Warszawie.

 

II. ZAKRES STOSOWANIA

 

1. Zespół Szkół nr 4 im. Eugeniusza Kwiatkowskiego w Warszawie przy ul. Szczęśliwicka 46, 02-353 Warszawa  zapewnia realizację praw osób fizycznych określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej Rozporządzenie RODO), tj.:
   1. prawa dostępu do danych,
   2. prawa do sprostowania danych,
   3. prawa do usunięcia danych,
   4. prawa do ograniczenia przetwarzania,
   5. prawa do przenoszenia danych,
   6. prawa do sprzeciwu,
   7. prawa do cofnięcia zgody,
   8. prawa by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
2. Osoba fizyczna, której dane osobowe są przetwarzane przez Zespół Szkół nr 4 im. Eugeniusza Kwiatkowskiego w Warszawie może zgłosić żądanie w zakresie realizacji praw wskazanych powyżej.
3. Zespół Szkół nr 4 im. Eugeniusza Kwiatkowskiego w Warszawie zapewnia obsługę zgłaszanych żądań oraz realizację praw osób fizycznych na zasadach opisanych w niniejszej procedurze, która stanowi załącznik do prowadzonego Rejestru Realizacji Żądań Podmiotu Danych.

III. PODSTAWOWE DEFINICJE

 

1. Administrator Danych Osobowych (ADO) – Zespół Szkół nr 4 im. Eugeniusza Kwiatkowskiego w Warszawie, której reprezentantem jest Dyrektor – p. Karina Zbirska. Zgodnie z definicją Administratora zawartą w art. 4 Rozporządzenia RODO Administrator „samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony Administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”.
2. Inspektor Ochrony Danych (IOD) w osobie Pani Kamili Kutyły-Szpindler – osoba powołana przez Dyrektora, któremu bezpośrednio podlega. Inspektor odpowiada za organizację ochrony danych osobowych.
3. Dane osobowe - oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
4. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
5. Podmiot Przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.

IV. ZGŁASZANIE I OBSŁUGA PRAW OSÓB FIZYCZNYCH

1. Żądania osób fizycznych w zakresie realizacji praw wskazanych we wstępie (pkt II, ppkt. a – h) mogą być kierowane do Administratora:

  a. drogą pisemną na adres:

Zespół Szkół nr 4 im. Eugeniusza Kwiatkowskiego w Warszawie

ul. Szczęśliwicka 46, 02-353 Warszawa

b. drogą e-mailową bezpośrednio do Inspektora Ochrony Danych Osobowych na adres:

iod@dbfo-ochota-waw.pl

c. osobiście w siedzibie Administratora.

2. Zgłoszenie żądania osoby fizycznej w zakresie realizacji praw winno zawierać:

1. dane dot. osoby fizycznej: imię, nazwisko, osoby której zgłoszenie dotyczy,
2. datę zgłoszenia żądania,
3. opis zgłaszanego żądania wraz ze wskazaniem ewentualnych zastrzeżeń,
4. podpis osoby zgłaszającej żądanie w przypadku zgłoszeń pisemnych,
5. pełnomocnictwo jeśli w imieniu zgłaszającego żądanie zgłasza pełnomocnik.

3. Przed realizacją zgłoszenia żądania Administrator może poprosić osobę fizyczną, której dane dotyczą o zweryfikowanie jej tożsamości.

4. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 Rozporządzenia RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

5. Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych) oraz skorzystania ze środków ochrony prawnej przed sądem.

6. Czynności Administratora podejmowane w odpowiedzi na zgłoszone żądania są wolne od opłat. Wyjątkowo – w przypadku, gdy żądania osoby fizycznej są ewidentnie nadmierne – Administrator ma prawo pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań.

 

V. ZASADY REALIZACJI PRAW OSÓB FIZYCZNYCH

 

1. Prawo dostępu do danych (art. 15 RODO):

1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

1. cele przetwarzania,
2. kategorie odnośnych danych osobowych,
3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
5. informacje o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
6. informacje o prawie wniesienia skargi do organu nadzorczego (PUODO),
7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 Rozporządzenia RODO, związanych z przekazaniem.

3. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.
4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.

2. Prawo do sprostowania danych (art. 16 RODO):

1. Prawo do sprostowania danych obejmuje:
   1. żądanie poprawienia nieprawidłowych danych,
   2. żądanie uzupełnienia niekompletnych danych (w tym poprzez przedstawienie dodatkowego oświadczenia),
   3. żądanie aktualizacji danych.
2. Wniosek o sprostowanie lub uzupełnienie danych osobowych może złożyć osoba, której dane dotyczą w sytuacji, kiedy Administrator przetwarza jej dane w niepoprawnym lub niekompletnym zakresie.

3. Zasadność złożonego wniosku oceniana jest przez Administratora danych. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na Administratorze. W niektórych przypadkach może okazać się, że spełnienie żądania sprostowania danych wymagać będzie od Administratora podjęcia dodatkowych działań – np. wtedy, kiedy osoba, której dane dotyczą nie jest w stanie samodzielnie wskazać, jakie powinny być prawidłowe informacje.
4. Administrator dokonuje oceny tego, czy konieczne jest uzupełnienie danych w oparciu o cel ich przetwarzania – zgodnie z wynikającą z art. 5 ust. 1 lit. c Rozporządzenia RODO zasadą minimalizacji danych. Nie jest bowiem wymagane uzupełnianie danych o bardziej szczegółowe informacje, jeśli nie są one konieczne. Administrator weryfikuje, czy żądanie sprostowania danych nie prowadzi ponadto do ujawnienia danych nieprawidłowych. W takim przypadku odmówią się spełnienie żądania.
5. W przypadku, kiedy wniosek jest zasadny, Administrator może przystąpić do jego wykonania. O zaktualizowaniu lub uzupełnieniu danych należy jednak poinformować także pozostałych odbiorców danych osobowych, jeśli zostały im udostępnione. Krok ten może zostać pominięty w przypadku, jeśli działanie takie będzie niemożliwe lub będzie wymagało niewspółmiernego wysiłku ze strony Administratora.
6. Na czas sprawdzania poprawności danych przez Administratora powinny być one przetwarzane w ograniczonym zakresie, co najczęściej skutkuje przerwą w ich wykorzystywaniu do momentu wyjaśnienia nieprawidłowości.
7. Sprostowanie danych osobowych może nastąpić z własnej inicjatywy osoby zainteresowanej, jeśli zauważy ona, że przetwarzane dane są nieprawidłowe, niekompletne lub nieaktualne. 

3. Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO):

1. Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

1. dane nie są już niezbędne do realizacji celu, w którym zostały zebrane,
2. osoba, której dane dotyczą, cofnęła zgodę, na podstawie której opierało się przetwarzanie i nie ma innej podstawy do tego, aby dane te dalej przetwarzać,
3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 Rozporządzenia RODO wobec przetwarzania,
4. dane osobowe były przetwarzane niezgodnie z prawem,
5. dane osobowe musza zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie państwa członkowskiego, któremu podlega Administrator, 8
6. dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego w stosunku do dziecka.

2. Administrator, który upublicznił dane osobowe, w przypadku żądania osoby usunięcia danych, której dotyczą, informuje Administratorów, którzy przetwarzają takie dane, że osoba której dane dotyczą, żąda by Administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych bądź ich replikacje.
3. Administrator może odmówić spełnienia żądania realizacji prawa do usunięcia danych, w zakresie w jakim przetwarzanie jest niezbędne:

1. do korzystania z prawa do wolności wypowiedzi i informacji,
2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator,
3. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 Rozporządzenia RODO, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
4. do ustalenia, dochodzenia lub obrony roszczeń.

4. Prawo do ograniczenia przetwarzania (art. 18 RODO):

1. Osoba fizyczna, której dane dotyczą, ma prawo żądać ograniczenia przetwarzania w następujących przypadkach:

1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych,
2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
3. Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 Rozporządzenia RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

2. W przypadku wykonania żądania realizacji prawa, o którym mowa w ust. 1 powyżej, Administrator dokonuje oznaczenia danych objętych żądaniem i zaprzestaje ich przetwarzania w inny sposób niż ich przechowywanie, chyba że:

1. osoba, której dane dotyczą, wyrazi zgodę na inny sposób przetwarzania danych,
2.  jest to niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń,
3. jest niezbędne w celu ochrony praw innej osoby fizycznej lub prawnej,
4. z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.

3. W przypadku uchylenia ograniczenia przetwarzania danych osobowych, Administrator informuje o tym osobę, której dane dotyczą.

5. Prawo do przenoszenia danych (art. 20 RODO):

1. Prawo do przenoszenia danych obejmuje:

1. prawo do otrzymania danych od Administratora, 
2. prawo do przesłania danych bez utrudnień ze strony Administratora,
3. prawo do przesłania danych bezpośrednio pomiędzy Administratorami, bez pośrednictwa osoby, której dane dotyczą (o ile jest to technicznie możliwe).

2. Prawo do przenoszenia danych przysługuje jedynie w przypadku, gdy przetwarzanie danych odbywa się na podstawie zgody osoby fizycznej lub umowy oraz w sposób zautomatyzowany.

3. W przypadku uwzględnienia wniosku dot. przeniesienia danych, dane zostaną udostępnione w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

6. Prawo do sprzeciwu (art. 21 RODO):

1. Osoba fizyczna ma prawo do sprzeciwu wobec przetwarzania danych osobowych, gdy Administrator przetwarza dane na podstawie art. 6 ust. 1 lit. e) lub f) Rozporządzenia RODO, w tym profilowania na podstawie tych przepisów.

2. Administrator może odmówić zaprzestania przetwarzania danych osobowych, powołując się na:

1. istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą,
2. istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.

3. W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

4. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 Rozporządzenia RODO, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym. 

7. Prawo do cofnięcia zgody (art. 7 RODO):

1. W przypadku, gdy podstawą przetwarzania danych osobowych jest zgoda osoby fizycznej, osoba fizyczna ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych.

2. Cofnięcie zgody nie wpływa na wcześniejszą zgodność z prawem przetwarzania danych.

3. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody jest równie łatwe jak jej wyrażenie.

4. Od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

8. Prawo by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 RODO):

Dane osobowe, które przetwarzane są w Zespole Szkół nr 4 im. Eugeniusza Kwiatkowskiego w Warszawie nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu. W związku z powyższym realizacja prawa nie ma miejsca.

 

VI. POSTANOWIENIA KOŃCOWE

 

1. Dokument dostępny jest do wglądu w Sekretariacie placówki.
2. Dokument widnieje w wersji elektronicznej do wglądu na stronie internetowej www.zs4.edupage.org  w zakładce Dokumenty/RODO.
3. Niniejsza procedura ma zastosowanie od dnia 1 września 2023 r.