Procedura realizacji praw osób których dane dotyczą

§1
Podstawa prawna

Na podstawie art.15-21 Rozporządzenia parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1),

§ 2
Postanowienia ogólne

 

1. Celem procedury jest usystematyzowanie działań podejmowanych przez Inspektora Ochrony Danych Osobowych (IDO) w ramach realizacji praw osób, których dane są przetwarzane na mocy rozporządzenia, o którym mowa w §1.
2. Każda osoba, której dane dotyczą (podmiot danych), jest uprawniona do wniesienia żądania do Chorzowskiej Spółdzielni Mieszkaniowej  (ChSM) - Administratora danych - o zrealizowanie praw, o których mowa w art. 15 –21 RODO, tj.:
   1. dostępu do danych, 
   2. sprostowania danych,
   3. usunięcia danych („prawo do bycia zapomnianym”),
   4. ograniczenia przetwarzania,
   5. przenoszenia danych,
   6. sprzeciwu wobec przetwarzania danych osobowych.

§ 3
Realizacja wniosków

 

1. Wniosek o realizację praw może być złożony:
   tradycyjnie w formie papierowej opatrzony własnoręcznym podpisem, na adres siedziby ChSM, 41-500 Chorzów, ul. Kopalniana 4a,
   1. wypełniając wniosek o realizację praw osoby której dane dotyczą – załącznik nr 1,
   2. elektronicznie – w przypadku, gdy zostało złożone oświadczenie na otrzymywanie korespondencji drogą elektroniczną na adres: iod@chsm.com.pl lub sekretariat@chsm.com.pl
2. Każdy wniosek o realizację praw osób wpływający,  bezpośrednio do sekretariatu lub na skrzynki mailowe pracowników ChSM (wówczas jest drukowany przez pracownika   i niezwłocznie przekazywany do sekretariatu) musi zostać rejestrowany w dzienniku korespondencji i zgodnie z regulaminem obiegu dokumentów celem zadekretowania. 
3. Prezes Zarządu przekazuje wniosek do Inspektora ochrony danych osobowych, który koordynuje jego realizację poprzez  przekazanie do właściwych komórek organizacyjnych, w celu ustalenia, gdzie znajdują się dane osobowe wnioskodawcy oraz uzgadnia sposób załatwienia sprawy.
4. Odpowiedź przygotowuje Inspektor ochrony danych osobowych na podstawie danych przekazanych od pracowników poszczególnych komórek organizacyjnych, merytorycznie odpowiedzialnych za przetwarzanie danych w przedmiotowej sprawie. 
5. Inspektor doradza w zakresie terminu realizacji wniosku i innych elementów, m.in. czy żądanie jest możliwe do zrealizowania oraz czy nie zachodzą przesłanki wyłączające możliwość realizacji żądania, ewentualnie przesłanki pobrania opłaty.
6. Rejestr wszystkich wniosków prowadzi Inspektor ochrony danych osobowych.

§ 4
Prawo dostępu przysługujące osobie, której dane dotyczą

1. Prawo dostępu do danych obejmuje wskazanie informacji o:
   1. celach przetwarzania; 
   2. kategorii odnośnych danych osobowych; 
   3. odbiorcach lub kategorii odbiorców, 
   4. planowanym okresie przechowywania danych osobowych, (gdy jest to możliwe do określenia);
   5. przysługujących prawach; 
   6. prawie wniesienia skargi do organu nadzorczego; 
   7. źródle danych, jeżeli nie zostały zebrane od osoby, której dotyczą. 

§ 5
Prawo do sprostowania danych

1. Prawo do sprostowania danych obejmuje żądanie:
   1. poprawienia nieprawidłowych danych,
   2. uzupełnienia niekompletnych danych osobowych, 
   3. aktualizacji danych.

§ 6
Prawo do usunięcia danych

1. Osoba, której dane dotyczą, ma prawo żądania od ChSM niezwłocznego usunięcia dotyczących jej danych osobowych, a ChSM ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: 
   1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
   2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zarówno danych zwykłych jak i szczególnych kategorii danych, a jednocześnie nie ma innej podstawy prawnej ich przetwarzania; 
   3. osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania; 
   4. dane osobowe były przetwarzane niezgodnie z prawem; 
   5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega ChSM.

§ 7
Prawo do ograniczenia przetwarzania

1. Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania jej danych osobowych. 
2. Ograniczenie przetwarzania oznacza, że dane osobowe można jedynie przechowywać. Inne formy przetwarzania mogą mieć miejsce wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. 
3. Do ograniczenia może dojść w następujących przypadkach: 
   1. osoba kwestionuje prawidłowość danych osobowych; 
   2. osoba sprzeciwia się usunięciu danych osobowych, których przetwarzanie jest niezgodne z prawem;
   3. ChSM nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń; 
   4. osoba wniosła sprzeciw przetwarzania, na mocy art. 21 ust.1 RODO. 
4. Przed uchyleniem ograniczenia przetwarzania informuje się o tym osobę, która żądała ograniczenia. 

§ 8
Prawo do powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania

1. Po dokonaniu sprostowania, usunięcia danych osobowych lub ograniczenia przetwarzania informuje się o tym każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. 
2. Jeżeli osoba, której dane dotyczą, tego zażąda informuje się ją o odbiorcach określonych   w ust.1.

§ 9
Prawo do przenoszenia danych

1. Jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy, której stroną jest osoba, której dane dotyczą oraz przetwarzanie odbywa się w sposób zautomatyzowany osoba ta  ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Dotyczy to danych, które osoba składająca żądanie wcześniej dostarczyła. 
2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Chorzowską Spółdzielnię Mieszkaniową bezpośrednio innemu Administratorowi, o ile jest to technicznie możliwe   i osoba wykaże, iż ChSM, któremu mają zostać dane przekazane akceptuje taki sposób pozyskania danych. 
3. Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.
4. Realizacja prawa u Administratora będzie ograniczony z uwagi na podstawy prawne przetwarzania danych osobowych, głównie przez obowiązek prawny ciążący na Chorzowskiej Spółdzielni Mieszkaniowej. 

§ 10
Prawo do sprzeciwu

1. Prawo sprzeciwu ma zastosowanie dla danych przetwarzanych w oparciu o  art. 6 ust. 1 lit. e) lub f) Rozporządzenia. ChSM  nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
2. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1, oraz przedstawia się je jasno   i odrębnie od wszelkich innych informacji.

§11
Termin udzielenia odpowiedzi na żądanie

1. ChSM bez zbędnej zwłoki w terminie miesiąca od otrzymania żądania  udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie   art. 15-22 Rozporządzenia. 
2. W razie potrzeby termin, o którym mowa w ust. 1 można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania ChSM informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
3. Jeżeli ChSM nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie - najpóźniej w terminie miesiąca od otrzymania żądania -informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
4. Informacje podawane na mocy art. 13 i 14 Rozporządzenia oraz komunikacja i działania podejmowane na mocy art. 15-22 i 34 Rozporządzenia są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, ChSM może:
   1. pobrać opłatę w wysokości ustalonej na podstawie kalkulacji, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia  komunikacji lub podjęcia żądanych działań; albo 
   2. odmówić podjęcia działań w związku z żądaniem.

§12
Identyfikacja osoby, której dane dotyczą

1. Jeżeli ChSM będzie mógł wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. Dodatkowo, jeżeli ChSM będzie miał uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21 Rozporządzenia, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
2. Nie można przekazywać informacji zwrotnej przed zweryfikowaniem tożsamości osoby, której dane dotyczą.
3. W przypadku gdy osoba żądająca wskazuje, że działa w imieniu innego podmiotu należy zawsze weryfikować podstawę umocowania.

§13
Postanowienia końcowe

Aby ułatwić osobom fizycznym korzystanie z przysługujących im na mocy przepisów   o ochronie danych osobowych praw na stronie internetowej Chorzowskiej Spółdzielni Mieszkaniowej utworzono zakładkę „Polityka prywatności” w której umieszczono krótkie instrukcje realizacji praw oraz wzory dokumentów do pobrania. 
 

Załącznik nr 1 
- wniosek osoby fizycznej o realizację praw w zakresie danych osobowych