PRAWO DOSTĘPU DO DANYCH OSOBOWYCH DLA Przedszkola Integracyjnego Nr 89

Najważniejsze zasady:

 

1.    Jeżeli do jednostki wpłynie wniosek o udostępnienie danych osobowych, wniosek ten w wersji elektronicznej prześlij niezwłocznie bezpośrednio do Inspektora Ochrony Danych grzybowski@coreconsulting.pl

2.    Inspektor zobowiązany jest zweryfikować, czy nie ma wątpliwości co do tożsamości osoby składającej wniosek (tj. czy dane podane we wniosku zgadzają się z danymi posiadanymi przez jednostkę w swojej dokumentacji lub w systemach):

a.    jeżeli wniosek wpłynie mailem – IODO weryfikuje wspólnie z przedstawicielami jednostki oraz osobami odpowiedzialnymi za IT, czy dla maila, z którego wysłany jest wniosek przypisana jest osoba fizyczna z tymi samymi danymi, które są ujęte w treści wniosku;

b.    jeżeli wniosek wpłynął pisemnie – złożony osobiście /przesyłką poleconą / kurierem – IODO odpowiada na wniosek na adres e-mail przypisany w dokumentacji lub w systemach informatycznych do danej osoby, a jeżeli takiego adresu e-mail jednostka nie posiada, wówczas IODO odpowiada na adres korespondencyjny tej osoby zgodnie z informacjami w dokumentacji lub w systemach jednostki;

c.    w przypadku wniosku złożonego telefonicznie – IODO weryfikuje, czy numer z którego dzwoniła osoba, jest numerem, który jednostka ma już przypisany wcześniej do danej osoby;

Jeżeli IODO ma jakiekolwiek wątpliwości, co do tożsamości wnioskodawcy zapewnia potwierdzenie treści wniosku z wnioskodawcą innym kanałem komunikacji.

3.    Inspektor we współpracy z pracownikami jednostki zapewnia wypełnienie formularza udostępnienia danych, który stanowi Załącznik nr 1 do niniejszej procedury;

4.    Inspektor lub na jego polecenie pracownik jednostki, który przyjął wniosek, zobowiązany jest przesłać do osoby fizycznej zgłaszającej wniosek dokument odpowiedzi.

 

PEŁNA INFORMACJA I REGUŁY DZIAŁANIA

 

Zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

a)    cele przetwarzania;

b)    kategorie odnośnych danych osobowych;

c)    informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d)    w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e)    informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f)     informacje o prawie wniesienia skargi do organu nadzorczego;

g)    jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle;

h)    informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

Z wnioskiem takim mogą wystąpić petenci, rodzice we własnym imieniu, ale również w imieniu i na rzecz swojego dziecka. W praktyce funkcjonowania jednostki należy oczekiwać, że tego rodzaju sytuacje będą miały miejsce rzadko, zapewne kilka razy w roku

 

W przypadku wpłynięcia stosownego wniosku do jednostki będzie ona generalnie zobowiązana do udzielenia stosownych informacji niezwłocznie nie później jednak niż w terminie miesiąca od daty wpłynięcia wniosku.

 

W przypadku wpłynięcia takiego wniosku jednostka powinna zidentyfikować obszary, gdzie przetwarza dane osobowe dotyczące danej osoby fizycznej (obszary te zostały opisane w pliku, który stanowi Załącznik nr 1 do niniejszej Procedury). Dla efektywnego procedowania wniosku istotne jest, aby stosować rozwiązania informatyczne, które pozwalają na zidentyfikowanie jakie informacje są przypisane w systemach do danej osoby fizycznej. Istotne jest również, aby w przypadku dokumentacji papierowej możliwe było efektywne odnalezienie informacji o danej osobie.

 

Kluczowa jest również dobra współpraca pomiędzy Inspektorem Ochrony Danych, a pracownikiem jednostki dedykowanym do współpracy z IODO w obszarze ochrony danych osobowych.

 

Prawo do udostępnienia danych obejmuje generalnie wszystkie dane osobowe z obszaru działalności całej jednostki (czyli nie tylko dane o podopiecznych, ale również np. informacje dotyczące pracownika czy kontrahenta jednostki).

 

W przypadku otrzymania przez pracownika jednostki żądania do udostępnienia danych osobowych pracownik, który otrzymał żądanie powinien niezwłocznie skontaktować się z Inspektorem Ochrony Danych Odobowych Tomasz.grzybowski@coreconsulting.pl) i w ramach tego kontaktu przesłać do Inspektora pełną treść żądania, ze wszystkimi szczegółami dotyczącymi kontaktu z daną osobą. Inspektor ma prawo żądać od pozostałych pracowników jednostki udzielenia niezwłocznie informacji ,o tym jakie dane osobowe jednostka posiada (globalnie) o danej osobie.

 

Dane takie powinny zostać wyeksportowane z systemów informatycznych oraz przepisane z dokumentacji papierowej przez poszczególnych pracowników jednostki do pliku z powszechnie stosowanym rozszerzeniem (np. XLSX, DOCX lub ODT). Osoba odpowiedzialna za wyeksportowanie danych do pliku przesyła następnie ten plik do Inspektora Ochrony Danych Osobowych.

 

Inspektor Ochrony Danych Osobowych zapewnia wypełnienie dokumentu, który stanowi Załącznik nr 1 do niniejszego procedury, oraz zapewnia zestawienie informacji otrzymanych od poszczególnych pracowników jednostki. Następnie Inspektor zapewnia wysyłkę tak przygotowanych dokumentów do osoby, której dane dotyczą, która zgłosiła wniosek o udostępnienie danych. Inspektor może taką wysyłkę zrealizować samodzielnie, lub przez osoby wyznaczone mu do pomocy, jak również za pośrednictwem osoby, która przyjęła dany wniosek.

 

Przesłanie informacji powinno odbyć się domyślnie za pośrednictwem korespondencji e-mail na adres posiadany przez jednostkę w swoich systemach lub dokumentacji. Na zasadzie wyjątku – jeżeli jednostka nie ma adresu e-mail danej osoby, informacja powinna zostać wysłana listem poleconym lub przesyłką kurierską za zwrotnym potwierdzeniem odbioru – na adres zamieszkania, który jednostka posiada w swoich systemach lub dokumentacji.

 

W sytuacji, w której jedna i ta sama osoba fizyczna zwróci się kolejno o kilka kopii dokumentów dot. przetwarzania jej danych osobowych – jednostka ma prawo pobrać opłatę za każdą kolejną kopię w “rozsądnej wysokości wynikającej z kosztów administracyjnych”. Wysokość tej opłaty powinna zostać skalkulowana przez jednostkę i może obejmować koszty pracy osób odpowiedzialnych za dodatkowe działania oraz koszty wydruków.

 

UWAGA! Zgodnie z indywidualną interpretacją podatkową Dyrektora Krajowej Informacji Skarbowej z dnia 9 maja 2018 roku (nr 0114-KDIP4.4012.216.2018.1.MP) opłata za wydanie kopii dokumentów dot. przetwarzania danych osobowych podlega opodatkowaniu VAT jako usługa według stawki 23%.