Procedura realizacji praw osób, których dane dotyczą w Miejskim Ośrodku Kultury w Konstantynowie Łódzkim


1 Wprowadzenie
Niniejsza Polityka w sprawie realizacji praw osób, których dane dotyczą (“Polityka”) należy czytać łącznie z Polityką ochrony danych osobowych w Miejskim Ośrodku Kultury w Konstantynowie Łódzkim, w której zawarto wymogi dotyczące przetwarzania danych osobowych obowiązujące w Miejskim Ośrodku Kultury w Konstantynowie Łódzkim (MOK).
1.1 ZAKRES
Niniejsza Polityka jest skierowane do wszystkich pracowników i zleceniobiorców oraz współpracowników Miejskiego Ośrodka Kultury w Konstantynowie Łódzkim („Pracownicy”).
1.2 CELE
Celem niniejszej Polityki jest wypełnienie obowiązku zagwarantowania praw osób, których dane dotyczą, określonych w przepisach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (ogólne rozporządzenie o ochronie danych “RODO”).
Niniejsza Polityka przedstawia kluczowe zasady związane z identyfikacją, analizą i reakcją na żądania osób, których dane dotyczą, wynikające z ich praw, w tym prawa do przenoszenia, dostępu, sprostowania i usunięcia danych osobowych, prawa do ograniczenia przetwarzania, prawa do sprzeciwu oraz prawa do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu.
Pracownicy ŁOG muszą być w stanie zidentyfikować rodzaj żądania osoby, której dane dotyczą, oraz skierować takie żądanie do właściwej jednostki organizacyjnej.
2 Zapewnienie przestrzegania wymogów regulacyjnych
Artykuł 12 RODO określa wymogi dotyczące trybów wykonania praw przez osoby, których dane dotyczą, a także przepisy określające sposób komunikowania się administratora danych w związku z wykonaniem wymienionych praw.
Zgodnie z przepisami określonymi w RODO prawa osób, których dane dotyczą, obejmują:
(i) Prawo do uzyskiwania informacji (Artykuły 13 i 14);
(ii) Prawo dostępu (Artykuł 15);
(iii) Prawo do sprostowania danych (Artykuł 16);
(iv) Prawo do usunięcia danych („prawo do bycia zapomnianym”) (Artykuł 17)
(v) Prawo do ograniczenia przetwarzania (Artykuł 18);
(vi) Prawo do przenoszenia danych (Artykuł 20);
(vii) Prawo do sprzeciwu (Artykuł 21);
(viii) Prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu (Artykuł 22).

3 Główne założenia
Celem RODO jest zagwarantowanie osobom, których dane dotyczą, większej kontroli nad dotyczącymi ich danymi osobowymi, poprzez zapewnienie im możliwości wykonania następujących praw:

Prawa do przenoszenia danych
Osoba, której dane dotyczą, może zażądać od MOK:
(a) otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dotyczących jej danych osobowych, które dostarczyła MOK i/lub
(b) przesłania swoich danych osobowych innemu administratorowi. Może mieć to miejsce na przykład w przypadku, gdy właściciel nieruchomości wpisanej do ewidencji gruntów i budynków prowadzonej przez MOK starający się o przyznanie kredytu bankowego zażąda przekazania danych z ewidencji gruntów i budynków, danych kontaktowych, danych nieruchomości, zmian własnościowych do banku.
Prawa dostępu do danych
Osoba, której dane dotyczą, może zażądać od MOK otrzymania potwierdzenia, czy przetwarzane są dotyczące jej dane osobowe, oraz w takim przypadku uzyskania szczegółowych informacji dotyczących przetwarzania jej danych osobowych (np. podania przyczyny przetwarzania jej danych osobowych, kategorii przetwarzanych danych osobowych, okresu przechowywania danych, odbiorców lub kategorii odbiorców, źródeł danych osobowych, zabezpieczeń przyjętych w przypadku przekazania danych poza Europejski Obszar Gospodarczy, itd.). Sytuacja taka może mieć miejsce w przypadku pracownika MOK, który chce wiedzieć jakie dane osobowe są przetwarzane przez jego pracodawcę, a zatem występuje z żądaniem przekazania informacji o kategoriach przetwarzanych danych osobowych, osobach uprawnionych do otrzymywania jej danych osobowych, gdy są one przekazywane poza Europejski Obszar gospodarczy, itd.
Kopię przetwarzanych danych osobowych należy udostępnić osobie, której dane dotyczą.
Jeśli żądanie zapewnienia dostępu do danych przekazane jest drogą elektroniczną, informacje żądane przez osobę, której dane dotyczą, zostaną przekazane w powszechnie używanej formie elektronicznej.
Prawa do sprostowania danych
Osoba, której dane dotyczą, ma prawo zażądać od MOK poprawienia błędów w jej danych osobowych, a także uzupełnienia niekompletnych danych osobowych. Sytuacja taka może na przykład miejsce, gdy władający nieruchomością otrzymuje informację, w których umieszczane jest niepoprawne imię (np. Janusz zamiast Jan) i w związku z powyższym występuje do MOK z prośbą o poprawienie jego imienia w firmowej bazie danych.
Prawa do usunięcia danych („prawo do bycia zapomnianym”)
Osoba, której dane dotyczą, może wystąpić do MOK z żądaniem usunięcia jej danych osobowych, gdy ich dalsze przetwarzanie traci uzasadnienie. Sytuacja taka może na przykład dotyczyć byłego pracownika MOK, który nie ma już żadnych związków z MOK (np. wszystkie płatności zostały uregulowane, nie toczy się żadne postępowanie sądowe, itd.) i w związku z tym żąda usunięcia wszystkich jego danych osobowych z systemów MOK. Oznacza to, że po otrzymaniu żądania MOK – jako były pracodawca – może być zobowiązany do usunięcia wszystkich dane osobowe dotyczące byłego pracownika.
Prawa do ograniczenia przetwarzania
Osoba, której dane dotyczą, może zażądać od MOK ograniczenia czynności przetwarzania wykonywanych na jego danych osobowych i ograniczenia tych czynności do przechowywania danych lub przetwarzania w celu ustalenia, dochodzenia i ochrony roszczeń prawnych. Może to dotyczyć na przykład byłego zleceniobiorcy MOK, który nie posiada już żadnej obowiązującej umowy zlecenia z MOK, jednak który jest stroną rozpoczynającego się postępowania sądowego z udziałem MOK. W takim przypadku, ponieważ MOK do obrony w postępowaniu potrzebuje jedynie danych osobowych byłego zleceniobiorcy, były zleceniobiorca może zażądać ograniczenia przetwarzania i prowadzenia go w stopniu bezwzględnie koniecznym do udziału w takim postępowaniu sądowym.
Prawa do sprzeciwu
Gdy przetwarzanie jest: (i) niezbędne do wykonania zadania realizowanego w interesie publicznym lub w związku z wykonaniem decyzji organów władzy lub (ii) jest wykonywane w związku z prawnie uzasadnionym interesem MOK (należy pamiętać, że dla organów administracji publicznej jest to sytuacja bardzo wyjątkowa), osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu jej danych osobowych.
W takim przypadku MOK musi zaprzestać przetwarzania, chyba że przedstawi istotnie prawnie uzasadnione dowody, które są nadrzędne względem interesów, praw i wolności osoby, której dane dotyczą lub gdy przetwarzanie danych osobowych jest dla niego niezbędne dla ustalenia, dochodzenia i ochrony roszczeń prawnych.
Prawa do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu
Osoba, której dane dotyczą, ma prawo do niepodlegania decyzji opartej jedynie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, jeśli taka decyzja wywołuje skutki prawne wobec osoby fizycznej lub w podobny sposób istotnie na nią wpływa.
W takim przypadku osoba, której dane dotyczą, ma prawo uzyskania interwencji
ludzkiej ze strony MOK w celu wyrażenia własnego stanowiska i zakwestionowania decyzji MOK. Sytuacja taka może mieć na przykład miejsce w przypadku całkowicie zautomatyzowanego procesu oceny i wyboru potencjalnych pracowników, w którym nie uczestniczą specjaliści z działu kadr. Osoba ubiegająca się o pracę ma wówczas prawo uzyskania interwencji działu kadr w celu zakwestionowania decyzji o nieprzyjęciu do pracy.
Przepisy dotyczące praw osób, których dane dotyczą, można zaklasyfikować jako przepisy ogólne – które stosuje się w odniesieniu do wszystkich praw osób, których dane dotyczą – lub przepisy szczególne stosowane tylko do określonych praw osób.

4 Środki wdrażające
4.1 INWENTARYZACJA DANYCH OSOBOWYCH
W celu zapewnienia odpowiedniej reakcji na żądanie osoby, której dane dotyczą, Pracownicy muszą rozumieć jakie dane osobowe są wykorzystywane (rodzaje i kategorie), w taki sposób są one wykorzystywane (procesy i cele, zbieranie, udostępnianie i przekazywanie), oraz gdzie są przechowywanie (źródła).
Należy zwrócić uwagę, że MOK może przechowywać dane osobowe w formie uporządkowanej i/lub nieuporządkowanej.
Przykłady uporządkowanych zbiorów danych obejmują:
(i) Ewidencja osób zapisanych na warsztaty, zajęcia;
(ii) dokumentacja pracownicza prowadzona w ramach dedykowanego i bardzo szczegółowego systemu zarządzania kadrami; i
(iii) akta osobowe w dziale kadr prowadzone w postaci papierowej z wewnętrznym indeksowaniem lub stanowiące część większego systemu akt w formie papierowej prowadzonego i zarządzanego przez dział kadr.

Przykłady nieuporządkowanych zbiorów danych obejmują:
(i) pliki poczty elektronicznej zawierające korespondencję wewnętrzną lub zewnętrzną Pracowników MOK, niepowiązanych z określoną osobą fizyczną, w których przetwarzane są dane osobowe.

4.2 KANAŁY KOMUNIKACJI
MOK jest zobowiązany do zapewnienia niezwłocznej reakcji na żądanie osoby, której dane dotyczą (tj. w możliwie najkrótszym czasie) przestrzegając wymogów prawa oraz maksymalnie jednego miesiąca od dnia otrzymania żądania.
Odpowiedź przygotowana w ciągu wymienionego jednego miesiąca może być sporządzona w trzech wariantach:
(i) Żądanie zostaje spełnione i w zależności od wykonywanego prawa osoba, której dane dotyczą, otrzymuje pozytywną odpowiedź;
(ii) Jeśli żądanie osoby, której dane dotyczą jest złożone, MOK może wydłużyć czas rozpatrywania żądania o dalsze dwa miesiące. Jednakże żądanie osoby, której dane dotyczą musi zostać spełnione maksymalnie w ciągu trzech miesięcy od pierwotnego dnia jego otrzymania.
(iii) Jeśli żądanie nie może zostać spełnione, MOK informuje osobę, której dane dotyczą, o przyczynach niepodjęcia działań oraz o możliwości złożenia skargi do organu nadzorczego i dochodzenia zadośćuczynienia na drodze sądowej.
W celu zapewnienia szybkiej reakcji na żądanie osoby, której dane dotyczą, MOK udostępnia osobom, których dane dotyczą (np. petentom, pracownikom, itd.) przygotowane kanały komunikacji służące do wykonania ich praw, to jest:
a) Adres e-mail: mok@konstantynow.pl, na który można składać wszelkie wnioski i żądania dotyczące realizacji praw, o których mowa w niniejszej Polityce;
b) Formularz „Wniosku o realizację praw osoby, której dotyczą dane osobowe” na stronie www.mok.org.pl, za pomocą którego można składać wszelkie wnioski i żądania dotyczące realizacji praw, o których mowa w niniejszej Polityce;
c) Udostępnione na stronie internetowej wwww.mok.org.pl oraz w sekretariacie MOK wzory wniosków o realizację praw osób, których dane dotyczą,
d) Telefon kontaktowy 42 211 17 63 pod którym można uzyskać wszelkie informacje dotyczące realizacji praw osób, których dane dotyczą w MOK.

5 Procesy i procedury
5.1 PRZYJĘCIE I IDENTYFIKACJA ŻĄDANIA OSOBY, KTÓREJ DANE DOTYCZĄ
Osoby, których dane dotyczą, mogą wykorzystać różne kanały (np. centra kontaktowe, wydziały skarg, agentów, itd.) do przekazania żądania wykonania ich praw.
Po przyjęciu żądania rozpoczyna się bieg jednomiesięcznego terminu, w którym należy przygotować odpowiedź dla osoby, której dane dotyczą.
Postępowanie zgodnie z następującymi krokami jest zatem bardzo istotne:
(i) Po przyjęciu żądania Pracownik ocenia, czy żądanie dotyczy wykonania prawa osoby, której dane dotyczą, czy też stanowi inny rodzaj żądania (np. skargę, roszczenie itd.).
(ii) Jeśli stanowi ono rzeczywiście żądanie wykonania prawa osoby, której dane dotyczą, Pracownik przyjmujący żądanie identyfikuje komórkę odpowiedzialną za przeprowadzenie analizy i spełnienie żądania, tj. właściwą komórkę organizacyjną, która jest odpowiedzialna za kontakt z występującą z żądaniem osobą, której dane dotyczą (na przykład, żądania pracowników dotyczące sprostowania lub usunięcia ich danych osobowych należy kierować do kompetentnej osoby w dziale kadr; podczas gdy żądania właściciela nieruchomości muszą zostać przekazane właściwemu wydziałowi ewidencyjnemu).
MOK wymaga standaryzowanego zbioru informacji, który należy przekazać komórce odpowiedzialnej w danym przypadku za reakcję na żądanie. W tym celu należy zastosować wzór określony w Załączniku nr 1 niniejszej Polityki (“Formularz identyfikacyjny”).

Formularz identyfikacyjny należy wypełnić i przekazać właściwej komórce w ciągu maksymalnie trzech dni od przyjęcia żądania osoby, której dane dotyczą.

Informacje na temat żądania osoby, której dane dotyczą, oraz rozpoczęcia procesu związanego z przygotowaniem odpowiedzi, należy także przekazać Inspektorowi Danych Osobowych w ŁOG.

5.2 OCENA ŻĄDANIA OSOBY, KTÓREJ DANE DOTYCZĄ
Po uzyskaniu informacji na temat żądania osoby, której dane dotyczą – oraz otrzymaniu formularza identyfikacyjnego – osoba odpowiedzialna we właściwej jednostce organizacyjnej musi dokonać oceny zasadności żądania oraz możliwości jego spełnienia.
W celu szybkiego rozpatrzenia żądania osoby, której dane dotyczą, ocenę taką należy przygotować maksymalnie w ciągu pięciu dni od uzyskania informacji o żądaniu i/lub otrzymania formularza identyfikacyjnego.
W pierwszej kolejności Dyrektor MOK musi sprawdzić i potwierdzić tożsamość osoby, której dane dotyczą i która wystąpiła z żądaniem.
W przypadku uzasadnionych wątpliwości jednostki organizacyjnej co do tożsamości osoby, której dane dotyczą i która wystąpiła z żądaniem, w celu zidentyfikowania osoby, której dane dotyczą należy uzyskać od niej dodatkowe informacje. Informacje te mogą dotyczyć posiadanego dokumentu tożsamości, adresu, daty urodzin, nr PESEL, lub innego unikalnego identyfikatora osoby. Jeśli zidentyfikowanie danej osoby jest niemożliwe, MOK może odmówić spełnienia żądania.
Po zidentyfikowaniu osoby, której dane dotyczą, Dyrektor MOK ocenia zasadność żądania oraz określa możliwość jego zaakceptowania i spełnienia lub odrzucenia.
Z wyjątkiem prawa dostępu i prawa do sprostowania danych (które są wykonywane w każdym przypadku), wykonanie pozostałych praw uzależnione jest od tego, czy istnieją zweryfikowane podstawy nakazujące ich wykonanie. W Załączniku nr 2 do niniejszej Polityki wyszczególniono czynniki, które należy uwzględnić przy ocenie żądań związanych z prawem osoby, której dane dotyczą.
Ogólnie zaleca się porównanie żądania osoby, której dane dotyczą z rejestrem czynności związanych z przetwarzaniem w celu określenia podstawy prawnej przetwarzania danych osobowych (np. zgoda indywidualna, wykonanie zobowiązań umownych, prawnie uzasadniony interes, itd.) oraz zebrania wszystkich informacji potrzebnych do przeprowadzenia analizy.
Jeśli zasadność żądania budzi wątpliwości, sprawę należy skonsultować z Inspektorem Ochrony Danych w MOK.

5.3 REAKCJA NA ŻĄDANIE OSOBY, KTÓREJ DANE DOTYCZĄ
Jeśli żądanie, z którym wystąpiła osoba, której dane dotyczą, okaże się bezzasadne, w ciągu jednego miesiąca od otrzymania żądania Dyrektor MOK informuje osobę, której dane dotyczą, o przyczynach niepodjęcia działań oraz o możliwości złożenia skargi do Urzędu Ochrony Danych Osobowych i dochodzenia zadośćuczynienia na drodze sądowej.
Jeśli żądanie, z którym wystąpiła osoba, której dane dotyczą będzie uzasadnione, w celu przedstawienia szybkiej odpowiedzi należy niezwłocznie podjąć następujące działania:

5.3.1 Odszukanie właściwych danych osobowych
Po otrzymaniu uzasadnionego żądania osoby, której dane dotyczą, Dyrektor MOK rozpoczyna przeszukiwanie odpowiednich systemów, w których znajdują się dane osobowe, w celu ustalenia, czy zawierają one dane osobowe, których dotyczy żądanie.
Należy przeanalizować wszystkie dane osobowe, które są przechowywane w uporządkowanej formie.
MOK wyszukuje dane osobowe we wszystkich możliwych źródłach takich jak bazy danych i aplikacje. Złożoność i długość wyszukiwania zależy od architektury rozwiązań IT wykorzystywanej w MOK.
Przeszukiwanie powinno także obejmować identyfikację zbiorów danych osobowych przechowywanych w nieuporządkowanej formie, na przykład jako kopia zapasowa, archiwa w formie papierowej, dysk sieciowy, oraz serwery poczty elektronicznej i serwery komunikatora. W takim przypadku można rozważyć wykorzystanie specjalistycznego narzędzia pozwalającego na przeszukiwanie źródeł danych w firmie, na przykład serwerów sieciowych, systemów przechowywania danych, laptopów i danych w chmurze. Narzędzia takie mogą mieć wartość dodaną, ponieważ zapewniają zaawansowane możliwości filtrowania, na przykład słowa klucze, wyszukiwanie terminologii, operatory logiczne, wieloznaczniki, wyszukiwanie wg sąsiedztwa (tzw. proximity search),oraz wyrażenia regularne, w połączeniu z obecnością/brakiem atrybutów na poziomie obiektu.
Przykładowy schemat postępowania w przypadku otrzymania żądania wygląda następująco:
(i) Przeanalizuj rejestr czynności związanych w przetwarzaniem danych osobowych prowadzony przez MOK;
(ii) Zidentyfikuj informacje niezbędne do określenia zakresu wyszukiwania (np. systemy i aplikacje IT) oraz podmioty, które muszą zostać zaangażowane (np. podmioty przetwarzające);
(iii) Wykonaj szczegółowe przeszukiwanie systemów, w których znajdują się dane osobowe, uwzględniając zarówno dane uporządkowane (np. aplikacje, bazy danych, itd.), jak i dane nieuporządkowane (np. serwery poczty elektronicznej, foldery sieciowe, systemy plików, itd.).

Przeszukiwanie może obejmować także źródła danych, w których dane osobowe nie powinny się znajdować, dzięki czemu możliwe jest zidentyfikowanie niewłaściwego wykorzystania danych osobowych i w razie konieczności skorygowanie takiego użycia.
Czynności związane z wyszukiwaniem należy zakończyć w ciągu piętnastu dni od momentu potwierdzenia zasadności żądania.

5.3.2 Przygotowanie odpowiedzi dla osoby, której dane dotyczą
Po zakończeniu badania (obejmującego zarówno ocenę zasadności żądania, jak i wyszukiwanie właściwych danych osobowych) Dyrektor MOK musi określić czynności, które należy przedsięwziąć w celu spełnienia danego żądania.
Przed wysłaniem odpowiedzi osobie, której dane dotyczą, należy przeprowadzić analizę zgromadzonych informacji w celu ustalenia, czy nie znajdują się wśród nich informacje poufne MOK wydobyte podczas przeszukiwania systemów, które nie stanowią danych osobowych i w związku z tym nie powinny zostać ujawnione w odpowiedzi.
Ponadto, należy zachować szczególną ostrożność podczas usuwania danych osobowych należących do innych osób, które to dane nie stanowią danych osobowych osoby występującej z żądaniem.
W tym zakresie przed przekazaniem odpowiedzi osobom, których dane dotyczą, właściwy Wydział musi ustalić, czy dane nie są wyłączone z obowiązku informacyjnego oraz czy ich treść nie została nieumyślnie połączona z danymi osobowymi innych osób.
O podjętych czynnościach Dyrektor MOK informuje Inspektora Ochrony Danych w MOK, który następnie kontaktuje się z osobą, której dane dotyczą, i przekazuje jej przygotowaną odpowiedź. W Załączniku nr 3 do niniejszej Polityki wyszczególniono elementy, które w zależności od rodzaju prawa osoby, której dane dotyczą, należy uwzględnić przy przygotowaniu odpowiedzi.

5.3.3 Koszty
Wszystkie formy kontaktu oraz czynności podjęte w związku z wykonaniem praw osoby, której dane dotyczą i która wystąpiła z żądaniem są bezpłatne.
W przypadku wykazania, że żądanie osoby, której dane dotyczą, jest bezpodstawne lub zbyt rozbudowane, w szczególności gdy powtarza się wielokrotnie, MOK może zdecydować o:
(i) nałożeniu uzasadnionej opłaty wynikającej z kosztów administracyjnych poniesionych w związku ze spełnieniem żądania; lub
(ii) odmowie podjęcia działań w odpowiedzi na żądanie.

5.3.4 Rejestr żądań osoby, której dane dotyczą
Inspektor Ochrony Danych w MOK prowadzi centralny rejestr żądań osób, których dane dotyczą. Rejestr zawiera co najmniej nazwisko osoby, której dane dotyczą i która wystąpiła z żądaniem, datę otrzymania żądania przez MOK oraz datę przekazania odpowiedzi.

6 Względy praktyczne w obszarze działalności MOK
Jeśli jesteś Pracownikiem MOK powinieneś:
• Po otrzymaniu żądania, należy ocenić, czy żądanie można faktycznie uznać za żądanie wykonania prawa osoby, której dane dotyczą, czy też stanowi ono inny rodzaj żądania (np. skargę, roszczenie, itd.).
• Jeśli żądanie wiąże się z wykonaniem prawa osoby, której dane dotyczą, należy wypełnić formularz identyfikacyjny oraz określić Wydział odpowiedzialny na przeanalizowanie i spełnienie żądania.
• Należy ustalić, czy dostępna jest wystarczająca ilość informacji potrzebnych do zidentyfikowania osoby, której dane dotyczą i która wystąpiła z żądaniem.
• Niezbędne jest dokonanie oceny zasadności żądania i oszacuj, czy może ono zostać zaakceptowane i spełnione (np. porównaj żądanie z rejestrem czynności związanych z przetwarzaniem i w razie konieczność konsultacja się z Inspektorem Ochrony Danych).
• W systemach, które mogą przechowywać dane osobowe należy wyszukać dane osobowe zarówno w formie uporządkowanej, jak i nieuporządkowanej.
• Następnie należy podjąć działania niezbędne do przygotowania odpowiedzi na żądanie osoby, której dane dotyczą.
• Przed przekazaniem odpowiedzi osobie, której dane dotyczą, konieczne jest ustalenie, czy zgromadzone dane odpowiadają zakresowi żądania oraz czy ich treść nie została nieumyślnie połączona z danymi osobowymi innych osób.
• Po zakończeniu wszystkich czynności niezbędnych do spełnienia żądania osoby, której dane dotyczą, należy się skontaktować z lokalnym Inspektorem Ochrony Danych, który przekaże przygotowaną odpowiedź osobie, której dane dotyczą.

ZAŁĄCZNIK nr 1
FORMULARZ IDENTYFIKACYJNY
1. Podmiot, do którego osoba, której dane dotyczą, wystąpiła z żądaniem: Miejski Ośrodek Kultury w Konstantynowie Łódzkim
2. Występująca z żądaniem osoba, której dane dotyczą:
Imię: ____________________________
Nazwisko: __________________________
Miejsce urodzenia: ________________________________ Data urodzenia: _____________________
Występuje jako:
☐ pracownik
☐ właściciel/władający/posiadacz nieruchomości
☐ strona poszkodowana
☐ inne _________________________
Jeśli dotyczy, numer księgi wieczystej: ________________
3. Przedmiot żądania
☐ Prawo dostępu do danych
☐ Prawo do sprostowania danych
☐ Prawo do usunięcia danych
☐ Prawo do ograniczenia przetwarzania
☐ Prawo do przenoszenia danych
☐ Prawo do sprzeciwu
☐ Prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu

4. Inne uwagi
______________________________________________________________________

ZAŁĄCZNIK nr 2
Czynniki, które należy uwzględnić przy ocenie żądania osoby, której dane dotyczą

A. Ocena żądania związanego z prawem do przenoszenia danych
Jeśli osoba, której dane dotyczą, wykonuje swoje prawo do przenoszenia danych, a zatem żąda przekazania dotyczących jej danych osobowych lub przekazania tych danych osobowych innemu administratorowi danych, Dyrektor MOK musi ocenić zasadność takiego żądania w odniesieniu do kilku elementów.
W szczególności, prawo do przenoszenia danych podlega wykonaniu tylko w przypadku, gdy przetwarzanie:
(i) oparte jest na zgodzie; lub
(ii) jest niezbędne do wykonania zobowiązań umownych lub do wykonania czynności przedumownych; i
(iii) jest przeprowadzane za pomocą środków zautomatyzowanych.
B. Ocena żądania związanego z prawem do usunięcia danych
Jeśli osoba, której dane dotyczą, wykonuje swoje prawo do usunięcia danych, a zatem żąda usunięcia dotyczących jej danych osobowych, Dyrektor MOK musi ocenić zasadność takiego żądania dokonując dwóch różnych kontroli.
Pierwsza kontrola dotyczy danych osobowych, które mają zostać usunięte. Można je usunąć tylko gdy:
(i) Dane osobowe nie są już potrzebne do celów, dla których zostały zgromadzone lub przetwarzane w inny sposób (np. wygaśnięcie stosunku umownego, zakończenie stosunku pracy, itd.).
(ii) Osoba, której dane dotyczą, cofnie zgodę, na podstawie której przetwarzano dane, i brak jest dalszej podstawy prawnej do przetwarzania danych (np. klient cofa zgodę na przetwarzanie jego danych osobowych w celu profilowania);
(iii) Osoba, której dane dotyczą, sprzeciwi się przetwarzaniu jej danych osobowych i brak jest nadrzędnych i prawnie uzasadnionych powodów do kontynuowania przetwarzania (np. klient sprzeciwi się przetwarzaniu jej danych osobowych dla celów marketingu bezpośredniego);
(iv) Dane osobowe były przetwarzane nielegalnie (np. MOK przetwarzał dane osobowe zleceniobiorcy nie przedstawiając mu informacji o polityce prywatności, a zatem złamał zasadę przejrzystości);
(v) Dane osobowe należy usunąć w związku z wymogiem prawnym (np. dane osobowe trzeba usunąć po przyjęciu nowych przepisów europejskich dotyczących skrócenia czasu przechowywania danych podatkowych); lub
(vi) Dane osobowe zostały zgromadzone w związku z ofertą usług społeczeństwa informacyjnego skierowaną bezpośrednio do dziecka.
W przypadku wystąpienia co najmniej jednej z wymienionych powyżej sytuacji, należy przeprowadzić drugą kontrolę w celu ustalenia, czy przetwarzanie jest wciąż niezbędne dla MOK. Danych osobowych nie można usunąć, jeśli przetwarzanie jest niezbędne do:
(i) wykonania prawa do swobodnego wyrażania opinii i informacji;
(ii) spełnienia obowiązku prawnego, który wymaga dalszego przetwarzania danych osobowych;
(iii) celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, jeśli usunięcie danych osobowych może uniemożliwić lub poważnie utrudnić czynności archiwizacyjne, naukowe lub statystyczne.
W takim przypadku jeśli MOK zamierza dalej przetwarzać dane osobowe w wymienionych powyżej celach, musi ocenić możliwość zrealizowania tych celów przy przetwarzaniu danych, które nie pozwalają lub przestały pozwalać na identyfikację osób, których dane dotyczą, i rozważyć przyjęcie zabezpieczeń chroniących prawa i wolności osób, których dane dotyczą, przez wdrożenie środków technicznych i organizacyjnych, które będą w szczególności gwarantowały realizację zasady minimalizacji danych (takich jak na przykład pseudonimizacja danych osobowych); lub
(iv) w celu ustalenia, dochodzenia i ochrony roszczeń prawnych, których stroną jest MOK.
Żądanie usunięcia danych może zostać spełnione tylko, gdy spełniona jest jedna z wymienionych powyżej podstaw i żaden z wymienionych powyżej warunków uniemożliwiających usunięcie.
C. Ocena żądania związanego z ograniczeniem przetwarzania
Jeśli osoba, której dane dotyczą, wykonuje swoje prawo do ograniczenia przetwarzania, a zatem żąda ograniczenia przetwarzania dotyczących jej danych osobowych, Dyrektor MOK musi ocenić zasadność takiego żądania sprawdzając, czy występuje co najmniej jedna z poniższych sytuacji:
(i) osoba, której dane dotyczą, podważa poprawność jej danych osobowych;
(ii) przetwarzanie jest nielegalne i osoba, której dane dotyczą, żąda ograniczenia ich wykorzystania, a nie usunięcia jej danych osobowych;
(iii) osoba, której dane dotyczą, żąda ograniczenia przetwarzania jej danych osobowych do ustalenia, dochodzenia lub ochrony roszczeń prawnych w sytuacji, gdy MOK nie potrzebuje już tych danych osobowych (np. w związku z wygaśnięciem stosunku umownego);
(iv) osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu jej danych osobowych i żąda ograniczenia przetwarzania na czas niezbędny do ustalenia, czy istnieją prawnie uzasadnione podstawy do dalszego przetwarzania mimo jej żądania związanego z prawem do sprzeciwu.
D. Ocena żądania związanego z prawem do sprzeciwu
Jeśli osoba, której dane dotyczą, wykonuje swoje prawo do sprzeciwu, a zatem żąda zaprzestania przetwarzania jej danych osobowych, Dyrektor MOK musi najpierw ustalić, czy dane osobowe są przetwarzane w związku z prawnie uzasadnionym interesem MOK. Prawo to można wykonać tylko, gdy przetwarzanie opiera się na tej podstawie prawnej.
Po zweryfikowaniu tej kwestii Dyrektor MOK musi ustalić, czy dane osobowe są przetwarzane:
(i) dla celów marketingu bezpośredniego, który obejmuje profilowanie w zakresie odpowiadającym marketingowi bezpośredniemu lub
(ii) do celów badań naukowych lub historycznych lub do celów statystycznych. W takim przypadku należy przeprowadzić dalszą analizę w celu dokonania oceny sytuacji osoby, której dane dotyczą.
W zależności od celu przetwarzania, osoba, której dane dotyczą, otrzyma odpowiedź o różnej treści.
E. Ocena żądania związanego z prawem do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu
Jeśli osoba, której dane dotyczą, wykonuje swoje prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywołują wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływają, Dyrektor MOK musi ustalić, czy zautomatyzowana decyzja jest:
(i) niezbędna do zawarcia lub wykonania umowy pomiędzy MOK i osobą, której dane dotyczą;
(ii) oparta na wyrażonej w sposób wyraźny zgodzie osoby, której dane dotyczą; lub
(iii) dozwolona przez prawo UE lub Państwa Członkowskiego, któremu podlega podmiot prawny wchodzący w skład Grupy i które precyzuje środki niezbędne do zabezpieczenia praw i wolności oraz uzasadnionych interesów osoby, której dane dotyczą.
W przypadku wystąpienia jednej z wymienionych powyżej przesłanek, MOK może nie spełnić żądania osoby, której dane dotyczą.
W drugiej kolejności Dyrektor MOK musi ocenić, czy zautomatyzowana decyzja została oparta na danych wrażliwych. W tym ostatnim przypadku MOK może nie spełnić żądania osoby, której dane dotyczą, tylko w następujących sytuacjach:
(i) osoba, której dane dotyczą, udzieliła wyraźnej zgody na przetwarzanie swoich danych osobowych w jednym lub kilku określonych celach; lub
(ii) przetwarzanie jest niezbędne do realizacji istotnego interesu publicznego, w oparciu o przepisy prawa UE lub Państwa Członkowskiego, i musi być proporcjonalne do realizowanego celu, spełniać wymogi w zakresie ochrony danych osobowych, a także gwarantować odpowiednie środki zabezpieczające podstawowe prawa i interesy osoby, której dane dotyczą; i
(iii) wdrożono odpowiednie środki zabezpieczające prawa i wolności oraz uzasadnione interesy osoby, której dane dotyczą.

Załącznik nr 3
Czynniki, które należy uwzględnić przy przygotowaniu odpowiedzi na żądanie osoby, której dane dotyczą

A. Spełnienie żądania związanego z prawem do przenoszenia danych
Jeśli osoba, której dane dotyczą, wystąpiła żądaniem przeniesienia danych, Dyrektor MOK z udziałem Inspektora Ochrony Danych:
(i) przekazuje dane osobowe bezpośrednio osobie, której dane dotyczą;
(ii) przekazuje dane osobowe innemu administratorowi danych.
W kontekście przenoszenia danych osobowych, żądanie przeniesienia danych może dotyczyć tylko danych osobowych osoby, której danej dotyczą i która wystąpiła z żądaniem. Oznacza to, że wszystkie dane, które są anonimowe lub nie dotyczą występującej z żądaniem osoby, nie są objęte procedurą przeniesienia. Z kolei dane pseudonimowane, które można wyraźnie powiązać z występującą z żądaniem osobą, której dane dotyczą (np. gdy taka osoba przedstawi odpowiedni identyfikator), podlegają przeniesieniu.
Ponadto, żądanie przeniesienia danych może obejmować tylko dane osobowe, które występująca z żądaniem osoba, której dane dotyczą, przekazała MOK. Oznacza to, że osoba, której dane dotyczą, może otrzymać dane osobowe, które w sposób aktywny i świadomy przekazała MOK (np. adres e-mail, nazwę użytkownika, wiek, itd), oraz dane osobowe należące do osoby, której dane dotyczą, zgromadzone przez MOK w wyniku korzystania przez osobę, której dane dotyczą, z określonych usług lub urządzeń (np. historia wyszukiwania, dane z monitoringu ruchu sieciowego, dane lokalizacyjne, itd.). Natomiast dane wywnioskowane i dane wywiedzione, które zostały wytworzone przez MOK na podstawie danych osobowych dostarczonych przez osobę, której dane dotyczą, są wyłączone z żądania przeniesienia danych, a zatem ich przeniesienie nie dojdzie do skutku.
Zestawione dane osobowe należy przekazać w powszechnie używanym formacie nadającym się do odczytu maszynowego. Może to być przenośna pamięć masowa lub stosowany powszechnie format pliku np. MS Word lub MS Excel.
Należy podjąć kroki gwarantujące, że urządzenie z danymi/plik mają odpowiednie zabezpieczenia, na przykład zabezpieczenie dostępu hasłem.

B. Spełnienie żądania związanego z prawem dostępu
Jeśli osoba, której dane dotyczą, wykonuje przysługujące jej prawo dostępu, Dyrektor MOK z udziałem Inspektora Ochrony Danych:
(i) potwierdza przetwarzanie danych osobowych należących do osoby, której dane dotyczą; i
(ii) przekazuje osobie, której dane dotyczą, kopię następujących informacji (jeśli dotyczy):
(a) cel przetwarzania,
(b) kategorie przetwarzanych danych osobowych,
(c) odbiorców lub kategorie odbiorców, którym dane osobowe zostały lub będą ujawnione, w szczególności dotyczy to państw spoza Unii i organizacji międzynarodowych,
(d) gdy jest to możliwe, okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
(e) informacje o prawie do sprostowania lub usunięcia danych osobowych lub prawie do ograniczenia przetwarzania lub prawie sprzeciwu,
(f) informacje o prawie wniesienia skargi do organu nadzorczego,
(g) w przypadku, gdy dane osobowe nie zostały przekazane przez osobę, której dane dotyczą, wszelkie dostępne informacje związane z ich źródłem,
(h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
(i) jeśli dane osobowe są przekazywane poza EOG, informacje o rodzaju zabezpieczeń wdrożonych w celu takiego przekazania danych.
Jeśli jest to możliwe MOK zapewnia osobie, której dane dotyczą, zdalny dostęp do systemu bezpieczeństwa, dzięki któremu osoba, której dane dotyczą, może mieć bezpośredni dostęp do swoich danych osobowych.
Jeśli osoba, której dane dotyczą, zażąda przekazania tych informacji w formie papierowej, pierwszą kopię dokumentów otrzymuje bezpłatnie. Za kolejne kopie MOK może pobrać opłaty wynikające z kosztów administracyjnych, ustalonych przez Dyrektora MOK w drodze Zarządzenia
C. Spełnienie żądania związanego z prawem do sprostowania danych
Jeśli osoba, której dane dotyczą wystąpi z żądaniem sprostowania jej danych osobowych, Dyrektor MOK podejmuje właściwe działania w celu poprawienia danych osobowych należących do osoby występującej z takim żądaniem, które zostały zidentyfikowane jako błędne i/lub niekompletne.
Po zakończeniu czynności sprostowania Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje osobę, której dane dotyczą, o zakończeniu procesu związanego ze sprostowaniem danych, a jeśli dane osobowe były ujawniane osobom trzecim, informację tę przekazuje także każdemu odbiorcy, któremu ujawniono takie dane osobowe, chyba że okaże się niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
Na żądanie osoby, której dane dotyczą, Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje taką osobę o odbiorcach, którzy otrzymali jej dane osobowe.

D. Spełnienie żądania związanego z prawem do usunięcia danych
Jeśli osoba, której dane dotyczą wystąpi z żądaniem usunięcia jej danych osobowych, Dyrektor MOK podejmuje działania w celu usunięcia, ze wszystkich systemów przechowywania, danych osobowych należących do osoby występującej z takim żądaniem, które zostały zidentyfikowane jako możliwe do usunięcia.
Dyrektor MOK z udziałem Inspektora Ochrony Danych ustali także, czy MOK upublicznił dane osobowe. W takim przypadku, uwzględniając dostępne technologie i koszty wykonania, MOK podejmuje odpowiednie działania w celu poinformowania innych administratorów danych – którzy przetwarzają dane osobowe wskazane do usunięcia – o tym, że osoba, której dane dotyczą, wystąpiła z żądaniem usunięcia wszystkich powiązań do jej danych, lub kopii lub danych uzyskanych w wyniku powielania jej danych osobowych.
Po zakończeniu czynności usuwania danych, Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje osobę, której dane dotyczą, o zakończeniu procesu związanego z usuwaniem danych, a jeśli dane osobowe były ujawniane osobom trzecim, informację tę przekazuje także każdemu odbiorcy, któremu ujawniono takie dane osobowe, chyba że okaże się niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Na żądanie osoby, której dane dotyczą, Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje taką osobę o odbiorcach, którzy otrzymali jej dane osobowe.

E. Spełnienie żądania związanego z prawem do ograniczenia przetwarzania
Jeśli osoba, której dane dotyczą, wykonuje prawo do ograniczenia przetwarzania danych osobowych, Dyrektor MOK podejmuje odpowiednie działania w celu przyjęcia odpowiednich środków operacyjnych, które wyizolują lub wyodrębnią dane osobowe dotyczące takiej osoby, co uniemożliwi dalsze przetwarzanie tych danych w celach, których ograniczenia zażądała osoba, której dane dotyczą.
Po ograniczeniu przetwarzania dane osobowe można tylko przechowywać. Czynności przetwarzania można przeprowadzać (zawieszając ograniczenie) tylko w wyjątkowych przypadkach:
(i) za zgodą osoby, której dane dotyczą lub
(ii) w celu ustalenia, dochodzenia lub ochrony roszczeń lub
(iii) w celu zapewnienia ochrony praw innych osób fizycznych lub prawnych lub
(iv) ze względu na istotny interes publiczny w Unii Europejskiej lub Państwie Członkowskim.
Przed zawieszeniem ograniczenia, Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje osobę, której dane dotyczą o zamiarze zawieszenia ograniczenia.
Po zakończeniu czynności związanych z ograniczeniem przetwarzania danych, Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje osobę, której dane dotyczą, o zakończeniu procesu związanego z ograniczeniem przetwarzania danych, a jeśli dane osobowe były ujawniane osobom trzecim, informację tę przekazuje także każdemu odbiorcy, któremu ujawniono takie dane osobowe, chyba że okaże się niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Na żądanie osoby, której dane dotyczą, Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje taką osobę o odbiorcach, którzy otrzymali jej dane osobowe.
F. Spełnienie żądania związanego z prawem sprzeciwu
Jeśli osoba, której dane dotyczą sprzeciwi się przetwarzaniu, Dyrektor MOK musi podjąć właściwe kroki w celu zaprzestania przetwarzania, postępując zgodnie z poniższym schematem.
Jeśli przetwarzanie wykonywane jest dla celów marketingu bezpośredniego, właściwy Wydział musi natychmiast zaprzestać przetwarzania wykonywanego w tym celu (np. w przypadku, gdy zleceniobiorca sprzeciwia się przetwarzaniu jego danych osobowych w celach marketingowych, należy podjąć odpowiednie kroki, w wyniku których określone dane osobowe zostaną zablokowane lub usunięte z repozytoriów i nie będą wykorzystywane w planowanych czynnościach marketingowych lub kampaniach promocyjnych).
Jeśli dane osobowe są przetwarzane w celach innych niż marketing bezpośredni, przed zaprzestaniem przetwarzania właściwy Dyrektor MOK ustala, czy:
(i) MOK ma ważny powód, dla którego musi kontynuować przetwarzanie danych, i który jest nadrzędny względem praw osoby, której dane dotyczą; lub
(ii) MOK musi dalej przetwarzać dane w celu ustalenia, dochodzenia lub ochrony roszczeń.
Jeśli żadne z wymienionych powyżej okoliczności nie występują, Dyrektor MOK podejmuje odpowiednie kroki w celu natychmiastowego zaprzestania przetwarzania.
Po ograniczeniu przetwarzania, Dyrektor MOK – działając przez Inspektora Ochrony Danych – informuje osobę, której dane dotyczą o wynikach przeprowadzonej oceny (tj. zaprzestaniu przetwarzania lub jego kontynuowaniu).

G. Ocena żądania związanego z prawem do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu
Jeśli osoba, które dane dotyczą, wykonuje prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu, Dyrektor MOK podejmuje odpowiednie kroki w celu ochrony praw osób, której dane dotyczą, w tym zapewnić interwencję ludzką oraz możliwość wyrażenia przez takie osoby własnego stanowiska i zakwestionowania automatyzowanej decyzji. Na przykład, Dyrektor MOK może poprosić specjalistę ds. IT o analizę kryteriów wykorzystanych do podjęcia decyzji oraz zdecydować o przeprowadzeniu ręcznej analizy.