- PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ (art. 15 – 21 RODO)
Każda osoba, której dane dotyczą, jest uprawniona do wniesienia do Uniwersyteckiego Szpitala klinicznego nr 1 w Lublinie żądania o zrealizowanie praw, o których mowa w art. 15 – 21 RODO, tj.:
-
- prawo dostępu do danych,
- prawo do sprostowania danych,
- prawo do usunięcia danych („prawo do bycia zapomnianym”),
- prawo do ograniczenia przetwarzania,
- prawo do przenoszenia danych,
- prawo do sprzeciwu wobec przetwarzania danych osobowych.
1. Prawo dostępu do danych przysługujące osobie, której dane dotyczą
- Osoba, której dane dotyczą, ma prawo uzyskać od ADO informację, czy przetwarza on dane jej dotyczące, a w przypadku zaistnienia takiego przetwarzania osoba ta ma prawo dostępu do swoich danych oraz uzyskania informacji obejmujących:
-
- cele przetwarzania,
- kategorie zebranych danych osobowych,
- wyszczególnienie odbiorców, którym zostaną lub zostały ujawnione dane osobowe,
- planowany okres przechowywania danych lub kryteria ustalania tego okresu,
- poinformowanie o prawie do sprostowania danych, usunięcia danych lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania,
- prawie do wniesienia skargi do organu nadzorczego,
- źródła danych, jeśli dane pochodzą z innego źródła niż od osoby, której dane dotyczą,
- poinformowanie o występowaniu zautomatyzowanego podejmowania decyzji, w tym profilowania, a także znaczeniu i przewidywanych konsekwencjach takiego
-
przetwarzania dla osoby, której dane dotyczą,
-
-
- przekazanie informacji o odpowiednich zabezpieczeniach związanych z przekazaniem, jeśli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej.
-
- Prawo dostępu do danych obejmuje także uzyskania informacji o zabezpieczeniach
w przypadku przekazywania danych do państwa trzeciego (art. 15 ust. 2 RODO). - Prawo dostępu do danych obejmuje wszystkie dane które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, łącznie z danymi zaobserwowanymi
i wywnioskowanymi na jej temat. - Jeżeli ADO przetwarza duże ilości informacji o osobie, której dane dotyczą, przed podaniem informacji, może żądać aby osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie (motyw 63 RODO).
- Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (motyw 61 RODO).
- Żądanie realizacji praw dotyczy także danych zarchiwizowanych już przez ADO.
- Podmiot danych ma także prawo do uzyskania kopii danych.
- Prawo do uzyskania kopii nie może niekorzystnie wpływać na prawa i wolności innych. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji.
- USK1 może dostarczyć osobie, której dane dotyczą kopię posiadanych danych osobowych. Za każdą kolejną kopię danych osobowych USK1 może pobrać opłatę w wysokości wynikającej
z kosztów administracyjnych.
2. Prawo do sprostowania danych
- Osoba, której dane dotyczą może wnieść do USK1 żądanie dotyczące niezwłocznego sprostowania danych jej dotyczących, jeśli stwierdzi, że dane są nieprawidłowe.
- Podmiot danych może także wnieść (np. w formie dodatkowego oświadczenia) żądanie uzupełnienia danych, jeśli uzna, że są niekompletne.
- Uzupełnienie danych nie może obejmować danych, które byłyby nadmierne, tj. takich, które nie spełniałyby wskazanej wyżej przesłanki niezbędności – stanowiłoby to naruszenie zasady minimalizacji danych. Przedmiotem uzupełnienia nie mogą być też dane, które są nieprawidłowe. Należy weryfikować czy realizacja prawa z art. 16 RODO nie naruszy innych zasad wskazanych w art. 5 RODO.
- ADO ma obowiązek poinformować o sprostowaniu danych osobowych, którego dokonał
w ramach żądania podmiotu danych, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. - „Ujawnienia” danych należy rozumieć szeroko, jako jakąkolwiek możliwość zapoznania się
z danymi osobowymi. ADO ma obowiązek informować osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda. W związku z czym należy:
- określić i udokumentować krąg odbiorców danych,
- zidentyfikować i udokumentować możliwość informowania odbiorców danych
o sprostowaniu danych, - określić i udokumentować sposób informowania odbiorców danych o sprostowaniu danych,
- określić i udokumentować sposób informowania na żądanie podmiotu danych
o odbiorcach.
3. Prawo do usunięcia danych („prawo do bycia zapomnianym”)
- Osoba, której dane dotyczą ma prawo wniesienia do USK1 żądania usunięcia dotyczących jej danych osobowych, jeśli zachodzi jedna z poniższych okoliczności:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na mocy art. 21 ust. 1 lub ust. 2 RODO,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega ADO.
- Jeśli USK1 upublicznił dane osobowe osoby wnoszącej o usunięcie danych, ma on obowiązek – uwzględniając dostępną technologię oraz koszt realizacji – podjąć działania w celu poinformowania innych administratorów przetwarzających te dane osobowe o fakcie, że osoba, której dane dotyczą, złożyła żądanie o usunięcie przez tych administratorów wszelkich łącz do tych danych, kopie danych lub ich replikacje (powielenia).
- ADO niezwłocznie realizuje prawo osoby do usunięcia danych, chyba że zaistnieje jedna
z poniżej wyszczególnionych przesłanek:- przetwarzanie danych osobowych jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji,
- przetwarzanie danych osobowych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub
w ramach sprawowania władzy publicznej powierzonej administratorowi, - przetwarzanie danych osobowych jest niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) RODO (profilaktyka zdrowotna lub medycyna pracy) oraz art. 9 ust. 2 i) RODO (ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych) oraz art. 9 ust. 3 RODO (dane przetwarzane w celu profilaktyki zdrowotnej lub medycyny pracy przetwarzane są przez osobę zobowiązaną do zachowania tajemnicy zawodowej),
- przetwarzanie danych osobowych jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania,
- przetwarzanie danych osobowych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
- ADO informuje o usunięciu danych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
4. Prawo do ograniczenia przetwarzania
- Osoba, której dane dotyczą może wnieść do Administratora danych żądanie o ograniczenie przetwarzania dotyczących jej danych osobowych w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
- Jeżeli przetwarzanie zostało ograniczone to dane osobowe można przetwarzać, z wyjątkiem przechowywania:
- wyłącznie za zgodą osoby, której dane dotyczą,
- w celu ustalenia, dochodzenia lub obrony roszczeń,
- w celu ochrony praw innej osoby fizycznej lub prawnej,
- z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
- Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia.
5. Prawo do przenoszenia danych
- Osoba, której dane dotyczą, jest uprawniona do wniesienia żądania przeniesienia danych jej dotyczących.
- Prawo do przenoszenia danych przysługuje wyłącznie gdy:
- przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych osobowych
w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO lub - na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO oraz
- przetwarzanie odbywa się w sposób zautomatyzowany.
- przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych osobowych
- Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym (np. .csv), powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące.
- Wykonując prawo do przenoszenia danych osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez USK1 bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
- Wykonanie prawa do przeniesienia danych nie wyklucza wniesienia żądania o usunięcie danych osobowych.
- Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych.
- Należy zdefiniować zakres danych dostarczonych ADO, które podlegać będą przekazaniu.
- Dane wywnioskowane i wywiedzione przez ADO z danych przekazanych przez podmiot danych nie wchodzą w zakres prawa do przenoszenia danych.
- Prawo do przeniesienia danych nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
6. Prawo do sprzeciwu
- Osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych, jeśli przetwarzanie jest oparte na:
- art. 6 ust. 1 lit. e) RODO (przetwarzanie w interesie publicznym lub w ramach sprawowania władzy publicznej) lub
- art. 6 ust. 1 lit. f) RODO (prawnie uzasadnione interesy realizowane przez administratora).
- Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
- Do czasu rozpatrzenia sprzeciwu, nawet jeżeli nie zgłoszono żądania ograniczenia przetwarzania, należy rozważyć taką możliwość i konieczność.
- O prawie do sprzeciwu należy poinformować odrębnie (najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, którym mowa w art. 21 ust. 1 i 2 RODO, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji).
- ADO nie może przetwarzać danych osobowych względem, których wniesiono sprzeciw, chyba że wykaże on istnienie ważnych prawnie uzasadnionych postaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
- ZASADY REALIZACJI PRAW
1. Sposób składania wniosków o realizację praw
- W celu zapewnienia udostępnienia danych jedynie osobom, których dane dotyczą dopuszcza się trzy kanały komunikacji:
- elektroniczny – z podpisem kwalifikowanym lub potwierdzony profilem zaufanym ePUAP, jeśli wniosek wpłynie „zwykłym mailem” można zażądać ponownego złożenia wniosku w dopuszczonym trybie;
- tradycyjny – w formie papierowej opatrzony własnoręcznym podpisem;
- ustnie (nie dotyczy kontaktu telefonicznego) – należy taką osobę wylegitymować
w celu potwierdzenia tożsamości i sporządzić notatkę z podpisem wnioskodawcy. Notatka winna być włączona w akta sprawy
- Osoba, której dane dotyczą, składa do USK1 wniosek o realizację prawa w formie pisemnej lub elektronicznej z uwzględnieniem wymogów dotyczących korespondencji, tj.:
- wskazania imienia, nazwiska wnioskodawcy,
- adresu lub innego kanału komunikacji
- innych danych umożliwiających bezsprzeczną identyfikację tożsamości osoby, której dane dotyczą.
- W związku z powołaniem w USK1 Inspektora Ochrony Danych (IOD), który pełni rolę punktu kontaktowego dla osób, których dane dotyczą, osoby te mogą kontaktować się bezpośrednio z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.