Biuletyn Informacji Publicznej Centrum Usług Informatycznych w Białymstoku

Realizacja praw osób, których dane dotyczą

Formularz wniosku (w załączeniu) – można wnosić:

  • tradycyjnie w formie papierowej:
  1. w sekretariacie CUI (ul. Warszawska 13 lok. 7U, Białystok I piętro)
  2. przesłanie listownie na adres: ul. Warszawska 13 lok. 7U, 15-062 Białystok
  • elektronicznie na Elektroniczną Skrzynkę Podawczą za pośrednictwem ePUAP jako załącznik do pisma ogólnego do podmiotu publicznego – w postaci wypełnionego formularza wniosku lub skanu wniosku - na adres skrytki: /CUIwB/skrytka opatrzonego:
  1. kwalifikowanym podpisem elektronicznym,
  2. profilem zaufanym,
  3. podpisem osobistym.
  • elektronicznie na adres poczty e-mail: iod@cui.bialystok.pl, podpisując plik kwalifikowanym podpisem elektronicznym,
  • ustnie (nie dotyczy kontaktu telefonicznego). Wówczas celem potwierdzenia danych osoby, jest okazanie dokumentu tożsamości i sporządzenie notatki z podpisem wnioskodawcy.

Przy wniesieniu żądania ustnie – niezbędny jest do okazania dokument tożsamości celem weryfikacji danych

Dowolny

Działania podejmowane na mocy art. 15–22 i 34 Rozporządzenia 2016/679 są wolne od opłat. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej we wniosku, informacji udziela się powszechnie stosowaną drogą elektroniczną. Prawo do uzyskania kopii, nie może niekorzystnie wpływać na prawa i wolności innych. – (art. 15 ust. 3 Rozporządzenia 2016/679). Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Administrator może:

  • pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań,
  • odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na Administratorze danych - (art. 12 ust. 5 rozporządzenia 2016/679).

Wszystkie komórki organizacyjne CUI oraz podmioty z którymi Administrator zawarł umowę powierzenia danych osobowych.

Zgodnie z żądaniem osoby o preferowanej formie odpowiedzi wskazanej we wniosku. W przypadku wniesienia żądania ustnie, sporządzenie notatki z podpisem wnioskodawcy.

Zgodnie z art. 12 ust. 3 Rozporządzenia 2016/679 bez zbędnej zwłoki, nie dłużej jednak niż w terminie miesiąca od otrzymania żądania, Administrator udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. W razie potrzeby termin ten może być przedłużony o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań, wówczas w terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych) oraz skorzystania ze środków ochrony prawnej przed sądem - (art. 77, art. 78, art. 12 ust. 3 i 4 Rozporządzenia 2016/679).

  • Z uwagi na brak możliwości pewnej weryfikacji tożsamości informujemy, że w rozmowie telefonicznej nie będziemy realizować praw osób, których dane dotyczą wynikających z art. 15-22 rozporządzenia 2016/679.
  • Jeżeli wniosek będzie budził uzasadnione wątpliwości co do tożsamości osoby składającej wniosek z zakresu art. 15-22 rozporządzenia 2016/679, Administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

I. PRAWO DOSTĘPU PRZYSŁUGUJĄCE OSOBIE, KTÓREJ DANE DOTYCZĄ (Art. 15)

  • Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
  1. cele przetwarzania;
  2. kategorie odnośnych danych osobowych;
  3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  5. informacje o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  6. informacje o prawie wniesienia skargi do organu nadzorczego;
  7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  • Informacje dotyczące odpowiednich zabezpieczeń związanych z przekazaniem, o których mowa w art. 46 rozporządzenia 2016/679, jeśli dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej.
  • Administrator może dostarczyć osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, Administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną na adres mailowy tej osoby.
  • Prawo do uzyskania kopii, o której mowa w ust. 2, nie może niekorzystnie wpływać na prawa i wolności innych.

 

II. PRAWO DO SPROSTOWANIA DANYCH (Art. 16)

Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

III. PRAWO DO USUNIĘCIA DANYCH („PRAWO DO BYCIA ZAPOMNIANYM”) (Art. 17)

  • Osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
  2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) rozporządzenia 2016/679 i nie ma innej podstawy prawnej przetwarzania,
  3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia 2016/679 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 Rozporządzenia 2016/679 wobec przetwarzania;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega Administrator;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 Rozporządzenia 2016/679.
  • Jeżeli Administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek je usunąć, to - biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
  • Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
  1. do korzystania z prawa do wolności wypowiedzi i informacji;
  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3 rozporządzenia 2016/679;
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 Rozporządzenia 2016/679, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  5. do ustalenia, dochodzenia lub obrony roszczeń.

 

IV. PRAWO DO OGRANICZENIA PRZETWARZANIA (Art. 18)

  • Osoba, której dane dotyczą, ma prawo żądania od Administratora ograniczenia przetwarzania w następujących przypadkach:
  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający Administratorowi sprawdzić prawidłowość tych danych;
  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  3. Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 rozporządzenia 2016/679 wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
  • Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
  • Przed uchyleniem ograniczenia przetwarzania Administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

 

V. PRAWO DO PRZENOSZENIA DANYCH (Art. 20)

  • Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi, oraz ma prawo przesłać te dane osobowe innemu Administratorowi danych bez przeszkód ze strony Administratora, któremu dostarczono te dane osobowe, jeżeli:
  1. przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) Rozporządzenia 2016/679 oraz
  2. przetwarzanie odbywa się w sposób automatyzowany.
  • Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez Administratora bezpośrednio innemu Administratorowi, o ile jest to technicznie możliwe.
  • Wykonanie prawa, o którym mowa w ust. 1 pozostaje bez uszczerbku dla art. 17 Rozporządzenia 2016/679. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi.
  • Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.

 

VI. PRAWO DO SPRZECIWU (Art. 21)

  • Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) Rozporządzenia 2016/679, w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  • Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
  • Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
  • Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
  • W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.
  • Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 Rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

 

VII. PRAWO BY NIE PODLEGAĆ DECYZJI, KTÓRA OPIERA SIĘ WYŁĄCZNIE NA ZAUTOMATYZOWANYM PRZETWARZANIU, W TYM PROFILOWANIU (art.22)

  • Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
  • Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
  1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
  2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
  3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
  • W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
  • Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia 2016/679, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

 

Objaśnienia dot. ograniczenie prawa dostępu do informacji o fakcie przetwarzania danych przez Administratora danych, zgodnie z ustawą z dnia 10 maja 2018r. o ochronie danych osobowych: art. 5

  • Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 ust. 1-3 Rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków:
  1. uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub naruszy ochronę informacji niejawnych.
  • W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1 i 3 Rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, Administrator wykonujący zadanie publiczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis art. 64 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, stosuje się odpowiednio.
  • W przypadkach, o których mowa w ust. 1 i 2, Administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
  • Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa w art. 15 ust. 1-3 Rozporządzenia 2016/679.

 

 art. 5a

  • Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, w przypadku, gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu:
  1. zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;
  2. ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności: 
  1. realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,
  2. wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych,
  3. przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi,
  4. ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,
  5. prowadzenie kontroli, w tym kontroli celno-skarbowych.
  • W przypadku, o którym mowa w ust. 1, Administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 Rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.
  • Inspektor Ochrony Danych CUI Pan Mateusz Nowicki, tel. 85 869 6283;
  • Zastępca Inspektora Ochrony Danych w CUI Pani Aneta Kuberska, tel. 85 869 6759.

Podstawa prawna:

  1. rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – „rozporządzenie 2016/679” - (Dz. Urz. UE L 2016, 119, str. 1, Dz. Urz. UE L 2018, 127, str. 2 oraz Dz. Urz. UE L 2021, 74, str. 35).
  2. ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych;
  3. ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

Dokumenty do pobrania

Metryka strony
Rejestr zmian
Powrót na początek strony