BIP/RODO
ZASADY REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ W MIEJSKIEJ BIBLIOTECE PUBLICZNEJ im. TADEUSZA STĘPOWSKIEGO W OSTRÓDZIE
Szanowni Państwo
Informujemy, iż od dnia 25 maja 2018 r. do przetwarzania Pani/Pana danych osobowych w Miejskiej Bibliotece Publicznej im. Tadeusza Stępowskiego w Ostródzie (dalej: MBP) ma zastosowanie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane powszechnie RODO.
RODO chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.
Pani/Pana prawa, jako osoby której dane dotyczą, wynikają z RODO, a niniejszy dokument ma na celu zapoznanie Panią/Pana:
- z tymi prawami,
- oraz ze sposobem ich realizacji przez MBP.
Na treść niniejszego dokumentu składają się następujące zagadnienia:
- wyjaśnienie treści definicji, które pomogą Pani/Panu we właściwej interpretacji zapisów niniejszego dokumentu;
- wskazanie Pani/Panu praw jakie przysługują na mocy RODO wraz z ich krótką charakterystyką;
- opis zasad realizacji w MBP Pani/Pana praw wynikających z RODO (terminy, sposób realizacji).
Ad. 1 Wyjaśnienie treści definicji
W celu właściwej interpretacji informacji zawartych w niniejszym dokumencie prosimy o zapoznanie się z podstawowymi definicjami pojęć:
- administrator – to MBP reprezentowana przez Dyrektora, który decyduje o celach i sposobach przetwarzania danych osobowych;
- dane osobowe – to zgodnie z definicją z art. 4 pkt 1 RODO wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
- osoba, której dane dotyczą
- to właśnie Pani/Pan w sytuacji, gdy korzystacie Państwo z usług oferowanych przez MBP;
- to Pani/Pan jako pracownik MBP, osoba zatrudniona na podstawie umowy cywilno-prawnej, osoba odbywająca staż, czy praktykę;
- podmiot przetwarzający – to zgodnie z definicją z art. 4 pkt 8 RODO osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
- Inspektor ochrony danych – to osoba, z którą może się Pani/Pan kontaktować we wszystkich sprawach związanych z przetwarzaniem Pani/Pana danych osobowych oraz z wykonywaniem praw przysługujących Pani/Panu na mocy RODO i opisanych w niniejszym dokumencie
Dane i kontakt Inspektora ochrony danych są dostępne: na stronie www. bibliotekaostroda.pl w zakładce „O NAS – RODO”, na tablicy ogłoszeń MBP oraz w Klauzulach informacyjnych dotyczących przetwarzania danych osobowych.
- przetwarzanie – zgodnie z definicją z art. 4 pkt 2 RODO oznacza operację lub zestaw operacji takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- zasady przetwarzania danych osobowych – to zasady określone w art. 5 i art. 25 RODO, które stosuje MBP przetwarzając Pani/Pana dane osobowe: tzn. zgodność z prawem, rzetelność i przejrzystość, zasada ograniczenia celu przetwarzania, minimalizacji danych, prawidłowości danych, ograniczenia przechowywania, integralności i poufności, zasada rozliczalności, zasada ochrony danych w fazie projektowania i zasada domyślnej ochrony danych;
- odbiorca – to zgodnie z art. 4 pkt 9 RODO osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców (przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania);
- organ nadzorczy – to zgodnie z art. 4 pkt 21 RODO niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO. W Polsce od dnia 25.05.2018 r. jest to Prezes Urzędu Ochrony Danych Osobowych;
- państwo trzecie – państwo nie będące członkiem Unii Europejskiej oraz nie należące do Europejskiego Obszaru Gospodarczego (EOG obejmuje państwa należące do UE oraz Norwegię, Islandię i Lichtenstein);
- profilowanie – zgodnie z art. 4 pkt 4 RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Ad. 2 Prawa jakie przysługują Pani/Panu na mocy RODO:
- a) art. 13 UST. 1 i 2 RODO – Prawo do informacji na temat przetwarzania Pani/Pana danych osobowych w MBP:
– w zakresie wynikającym z art. 13 RODO – w sytuacji kiedy to Pani/Pan przekazuje nam swoje dane osobowe pracownicy MBP przekazują Pani/Panu informacje zawarte w art. 13 ust. 1 i 2 RODO w momencie zbierania danych osobowych lub przy okazji odpowiedzi na Pani/Pana korespondencję, która wpłynęła do MBP. Informacja o celu i zasadach przetwarzania Pani/Pana danych znajduje się na stronie www. bibliotekaostroda.pl w zakładce „O NAS-RODO” oraz na tablicy ogłoszeń MBP.
– informacje te nie są przekazywane w sytuacji, gdy nimi już Pani/Pan dysponuje;
- b) w zakresie wynikającym z art. 14 1 i 2 RODO – kiedy Pani/Pana dane osobowe trafiają do MBP z innych źródeł (np. od innych administratorów) informacje muszą być Pani/Panu przekazane:
– w rozsądnym terminie po uzyskaniu Pani/Pana danych osobowych – najpóźniej w ciągu miesiąca,
– albo jeżeli dane osobowe mają być stosowane do komunikacji z Panią/Panem – najpóźniej przy pierwszej takiej komunikacji,
– albo jeżeli Pani/Pana dane osobowe mają być ujawnione innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Informacje z art. 14 ust. 1 i 2 RODO nie są przekazywane, gdy już nimi Pani/Pan dysponuje oraz w innych przypadkach wskazanych w art. 14 ust. 5 RODO (w szczególności gdy pozyskiwanie lub ujawnianie Pani/Pana danych osobowych jest wyraźnie uregulowane przepisem prawa),
art. 15-21 RODO – Prawa realizowane na Pani/Pana wniosek:
- prawo dostępu do Pani/Pana danych osobowych (art. 15 RODO):
- polega na tym, iż może Pani/Pan wystąpić do MBP z pytaniem czy biblioteka przetwarza Pani /Pana dane osobowe, a jeśli tak może Pani/Pan uzyskać informacje w zakresie wynikającym z art. 15 ust. 1-3 RODO (m. in. na temat: jaki jest cel przetwarzania i okres przechowywania danych osobowych, jakie dane osobowe są przetwarzane, kim są odbiorcy danych osobowych, informacje o przysługujących prawach),
- oprócz informacji, o których mowa powyżej, mogą też Państwo otrzymać kopię danych osobowych (czyli informację o danych osobowych) we wskazanym przez siebie formacie, np. jeżeli Pani/Pan zwraca się o kopie danych drogą elektroniczną, to również drogą elektroniczną otrzyma Pani/Pan odpowiedź, chyba że we wniosku wskaże nam Pani/Pan format jakiego oczekuje. Prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób, których dane dotyczą;
- prawo do sprostowania Pani/Pana danych osobowych (art. 16 RODO):
- prawo to polega na tym, że może Pani/Pan wystąpić do MBP o sprostowanie swoich danych osobowych lub ich uzupełnienie, z tym zastrzeżeniem, że wszelkie aktualizacje danych muszą być ograniczone celem ich przetwarzania, np. nie może Pani/Pan żądać uzupełnienia o dane, które byłyby niezgodne z celem przetwarzania,
- prawo to nie będzie mogło być stosowane do danych osobowych, w odniesieniu do których tryb ich sprostowania lub uzupełnienia określają odrębne przepisy prawa, np. procedura sprostowania błędów i omyłek zawartych w decyzji administracyjnej w trybie art. 113 Kodeksu postępowania administracyjnego,
- prawo do usunięcia Pani/Pana danych, tzw. „prawo do bycia zapomnianym” (art. 17 RODO):
- w ramach tego prawa może Pani/Pan żądać niezwłocznego usunięcia swoich danych osobowych, jeśli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO,
- art. 17 ust. 3 RODO wymienia okoliczności, kiedy prawo do usunięcia danych nie będzie mogło być zrealizowane (i tak co do zasady MBP nie będzie mogła usunąć Pani/Pana danych osobowych z uwagi, iż w większości przypadków podstawą prawną ich przetwarzania są przepisy prawa, z których wynika m.in. obowiązek przechowywania dokumentacji (archiwizacji) przez okres wynikający z Jednolitego Rzeczowego Wykazu Akt, ustawy o Narodowym Zasobie Archiwalnym i archiwach),
- prawo do ograniczenia przetwarzania (art. 18 RODO) – prawo to polega na konieczności ograniczenia przetwarzania danych wyłącznie do ich przechowywania,
- może Pani/Pan skorzystać z tego prawa tylko w ściśle określonych przypadkach wskazanych w art. 18 ust. 1 RODO, tj:
- kwestionuje Pani/Pan prawidłowość swoich danych osobowych,
- sprzeciwia się Pani/Pan usunięciu danych osobowych, których przetwarzanie jest niezgodne z prawem,
- MBP nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne Pani/Panu do ustalenia, dochodzenia lub ochrony roszczeń,
- wniosła Pani/Pan sprzeciw na mocy art. 21 ust. 1 RODO,
- przed uchyleniem ograniczenia przetwarzania MBP przekaże Pani/Panu informacje w tym zakresie,
- może Pani/Pan skorzystać z tego prawa tylko w ściśle określonych przypadkach wskazanych w art. 18 ust. 1 RODO, tj:
- prawo do bycia poinformowanym o sprostowaniu lub usunięciu danych lub o ograniczeniu przetwarzania (art. 19 RODO):
- jeżeli MBP zrealizuje Pani/Pana prawo do:
- sprostowania nieprawidłowych danych,
- uzupełnienia niekompletnych danych,
- usunięcia danych w ramach prawa do bycia zapomnianym,
- ograniczenia przetwarzania danych osobowych,
- to poinformuje każdego odbiorcę, któremu ujawnił dane osobowe o dokonanej zmianie, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku,
- MBP poinformuje również Panią/Pana o tych odbiorcach na Pani/Pana wniosek,
- jeżeli MBP zrealizuje Pani/Pana prawo do:
- prawo do przenoszenia danych (art. 20 RODO):
- z prawa do przenoszenia danych może Pani/Pan skorzystać jeżeli:
- przetwarzanie Pani/Pana danych osobowych odbywa się na podstawie Pani/Pana zgody lub w celu wykonania zawartej z Panią/Panem umowy,
- oraz w sposób zautomatyzowany (nie obejmuje danych przetwarzanych w postaci papierowej),
- w ramach tego prawa może Pani/Pan zażądać, by dane osobowe (które zostały przez Panią/Pana dostarczone) zostały przesłane przez MBP bezpośrednio innemu administratorowi, jeżeli jest to technicznie możliwe,
- realizacja przez MBP tego prawa będzie ograniczone do nielicznych przypadków, z uwagi na podstawy prawne przetwarzania danych osobowych (czyli głównie przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze, które nie daje Pani/Panu możliwości do skorzystania z prawa do przenoszenia danych),
- z prawa do przenoszenia danych może Pani/Pan skorzystać jeżeli:
- prawo do sprzeciwu (art. 21 RODO):
- w MBP prawo to będzie realizowane w nielicznych sytuacjach z uwagi na okoliczności uprawniające Panią/Pana do korzystania z tego prawa wynikające z art. 21 ust. 1 i 2 RODO,
- skutkiem wniesienia sprzeciwu jest zakaz dalszego przetwarzania danych osobowych, chyba że administrator wykaże, że istnieją ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec Pani/Pana interesów, praw i wolności.
art. 22 RODO – MBP w Ostródzie nie podejmuje wobec Pani/Pana decyzji wywołujących dla Pani/Pana określone skutki prawne lub w inny istotny sposób na Panią/Pana wpływające, które opierają się na zautomatyzowanym przetwarzaniu Pani/Pana danych osobowych, w tym profilowaniu.
- podczas realizacji obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO MBP jest zobligowana przekazać Pani/Panu informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu oraz o zasadach ich podejmowania, znaczeniu i konsekwencjach dla Pani/Pana, jeżeli takie przetwarzanie ma miejsce.
art. 34 RODO – Ma Pani/Pan również prawo do bycia poinformowanym o naruszeniu ochrony danych osobowych.
- prawo to jest realizowane z inicjatywy MBP w sytuacji, gdy w doszło do naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Pani/Pana praw lub wolności,
- MBP przekazuje Pani/Panu informacje wskazane w art. 34 ust. 2 RODO:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych,
- opis możliwych konsekwencji naruszenia ochrony Pani/Pana danych osobowych,
- opis zastosowanych lub proponowanych środków w celu zaradzenia naruszeniom ochrony danych,
- art. 34 ust. 3 RODO wskazuje okoliczności, kiedy MBP jest zwolniona z zawiadamiania Pani/Pana o zaistniałej sytuacji.
Ad. 3 Ogólne zasady realizacji Pani/Pana praw wynikających z RODO w MBP :
- W celu zapewnienia udostępnienia danych wskazach w art. 15-21 RODO jedynie osobom, których dane dotyczą, dopuszcza się trzy kanały komunikacji:
- elektroniczny – z podpisem kwalifikowanym lub potwierdzony profilem zaufanym e-PUAP, jeśli wniosek wpłynie „zwykłym mailem” MBP zwróci się o ponowne złożenie wniosku w dopuszczonym trybie;
- tradycyjny – w formie papierowej opatrzony własnoręcznym podpisem;
- ustnie – (nie dotyczy kontaktu telefonicznego) – po okazaniu dokumentu potwierdzającego tożsamość.
Jeżeli MBP będzie miała uzasadnione wątpliwości co do tożsamości osoby składającej wniosek z zakresu art. 15-21 RODO, może zażądać dodatkowych informacji ułatwiających identyfikację wnioskodawcy.
- Sposób i terminy Pani/Pana praw realizowanych na wniosek z art. 15-21 RODO
Rozpatrując Pani/Pana żądanie z art. 15-21 RODO MBP zobligowana jest udzielać Pani/Panu wszelkich informacji na zasadach i w terminach określonych w art. 12 RODO, tzn. bez zbędnej zwłoki, ale nie dłużej niż w ciągu miesiąca od otrzymania żądania, MBP udziela Pani/Panu informacji o działaniach podjętych w związku z Pani/Pana żądaniem, czyli:
– realizuje wniosek zgodnie z Pani/Pana żądaniem,
– albo informuje Panią/Pana o konieczności wydłużenia terminu realizacji jej wniosku o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań (MBP podaje przyczynę opóźnienia),
- Odmawia realizacji wniosku i informuje Panią/Pana:
– o powodach niepodjęcia działań,
– o możliwości wniesienia przez Panią/Pana skargi do Prezesa Urzędu Ochrony Danych Osobowych,
– o możliwości skorzystania przez Panią/Pana ze środków ochrony prawnej przed sądem.
Opłaty
- Co do zasady informacje podawane Pani/Panu przez Urząd na mocy art. 13 i art. 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15-21 i art. 34 RODO są wolne od opłat.
- Jeżeli okaże się, że Pani/Pana żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, MBP może:
- pobrać od Pani/Pana rozsądną opłatę, uwzględniając administracyjne koszty udzielania informacji, prowadzenia komunikacji lub podjęcia żądanych działań
- albo odmówić podjęcia działań w związku z Pani/Pana żądaniem.
- Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter spoczywa na MBP.
Zał. Wniosek o realizację praw >>>