Prawo do usunięcia danych

Prawo do usunięcia danych – „bycia zapomnianym”

 

Procedura bezpieczeństwa przetwarzania danych osobowych

Data wprowadzenia: 25.05.2018 r.

Numer procedury
I.10.

Realizacja prawa do usunięcia danych
(„do bycia zapomnianym”) osoby,której dane dotyczą

Nr wersji procedury: 1.0 
 Ilość stron: 3

 

1.  Uczestnicy procedury:
  • wnioskodawca;
  • osoba upoważniona do przetwarzania danych osobowych;
  • Administrator Systemu Informatycznego;
  • Administrator danych.
 2.  Wymagane dokumenty:
  • wniosek osoby, której dane dotyczą, o usunięcie danych osobowych („bycia zapomnianym”);
  • ewidencja udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą;
  • odpowiedź na wniosek.
 3.  Przesłanki warunkujące żądanie usunięcia danych („do bycia zapomnianym”):
  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych „zwykłych” lub „szczególnych kategorii” i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania jej danych osobowych:
    • w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi Danych,
    • do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora Danych, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem,
    • opartych na profilowaniu;

      i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
    • na potrzeby marketingu bezpośredniego, w tym profilowania;
  • dane osobowe są przetwarzane niezgodnie z prawem;
  • dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego oferowanych dziecku, które ukończyło 16 lat.

W przypadku upublicznienia danych osobowych Administratora Danych ma obowiązek usunąć te dane osobowe, podejmując w tym celu rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich repliki.

 4.  Nieskuteczność żądania:

Żądanie usunięcia danych („bycia zapomnianym”) jest nieskuteczne w zakresie w jakim przetwarzanie jest niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi Danych;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego:
    • profilaktyki zdrowotnej, medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa lub zgodnie z umową z pracownikami służby zdrowia,
    • interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa, które przewiduje odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową,

z zastrzeżeniem warunków i zabezpieczeń, że dane osobowe będą przetwarzane przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi  zachowania  tajemnicy  zawodowej  na  mocy  prawa  lub   przepisów ustanowionych przez właściwe organy krajowe;

  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub dla celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • do ustalenia, dochodzenia lub obrony roszczeń.
 5.  Procedura:
  • rejestracja wniosku w Ewidencji udzielanych informacji w sprawach dotyczących praw osób, których dane dotyczą;
  • ustalenie zasadności żądania;
  • w przypadku żądania uzasadnionego (pkt 3):
    • powiadomić Administratora danych o konieczności usunięcia danych,
    • na podstawie decyzji Administratora danych usunąć dane i powiadomić innych administratorów w przypadku upublicznienia danych,
    • przygotować odpowiedź na żądanie i przedstawić ją do podpisu Administratorowi danych,
    • wysłać odpowiedź wnioskodawcy i poinformować go o odbiorcach danych,
    • poinformować odbiorców danych o decyzji usunięcia danych;
  • w przypadku żądania nieuzasadnionego (pkt 4):
    • powiadomić Kierownika Administratora danych o nieskuteczności żądania, z określeniem przyczyny,
    • przygotować odpowiedź na żądanie wnioskodawcy i przedstawić ją do podpisu Administratorowi danych,
    • wysłać odpowiedź wnioskodawcy.

 

Zobacz także

AKTUALNOŚCI