Dopełniając wymogów art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 27.04.2016, str. 1, z późn.zm.), zwanego dalej „RODO”, Spółka „Koleje Małopolskie” sp. z o. o. informuje, co następuje.
Oznaczenie Administratora danych osobowych.
- Administratorem danych osobowych osób dokonujących zgłoszenie (Sygnalistów) jest spółka: „Koleje Małopolskie” sp. z o. o. z siedzibą w Krakowie, adres: ul. Wodna 2, 30-556 Kraków, KRS 0000500799 (Administrator).
- Z Administratorem danych można kontaktować się na wyżej podany adres korespondencyjny lub na adres mailowy: sekretariat@kolejemalopolskie.com.pl.
Inspektor Ochrony Danych.
- Administrator powołał inspektora ochrony danych, z którym kontakt jest możliwy pod adresem: iod@kolejemalopolskie.com.pl lub na wyżej podany adres korespondencyjny.
Cel oraz podstawy prawne przetwarzania danych osobowych.
- Dane osobowe Sygnalisty, będą przetwarzane w celu przyjęcia zgłoszenia oraz przeprowadzenia postępowania zgodnie z ustawą z dnia 14 czerwca 2024 roku o ochronie sygnalistów (podstawa prawna przetwarzania: art. 6 ust. 1 lit. c RODO - przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze).
- Jeżeli dane Sygnalisty będą danymi wrażliwymi w rozumieniu art. 9 ust. 1 RODO, będą one przetwarzane w celu przyjęcia zgłoszenia oraz przeprowadzenia postępowania zgodnie z ustawą z dnia 14 czerwca 2024 roku o ochronie sygnalistów, przy czym podstawa prawna przetwarzania w tym przypadku to: art. 9 ust. 2 lit. g RODO - przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego.
- Dane osobowe mogą być przetwarzane także w celu dochodzenia lub obrony roszczeń (podstawa prawna przetwarzania: art. 6 ust. 1 lit. f RODO lub art. 9 ust. 2 lit. f RODO).
- Po otrzymaniu zgłoszenia Administrator przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia oraz przeprowadzenia postępowania zgodnie z ustawą z dnia 14 czerwca 2024 roku o ochronie sygnalistów. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia oraz przeprowadzenia postępowania, nie są zbierane, a w razie podania ich przez Sygnalistę, będą niezwłocznie usuwane.
Odbiorcy danych osobowych.
- Dane osobowe Sygnalisty udostępniane są Komisji oraz osobom wyznaczonym do wsparcia Komisji, zgodnie z obowiązującą u Administratora Procedurą dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych „Koleje Małopolskie” spółka z ograniczoną odpowiedzialnością w Krakowie, chyba że Sygnalista wyraża wyraźną zgodę na ujawnienie danych innym osobom lub podmiotom.
- Ponadto, dane osobowe będą udostępniane w razie konieczności wyłącznie podmiotom uprawnionym do ich przetwarzania na podstawie przepisów prawa, w szczególności odrębnym administratorom, tj. właściwym organom, w przypadku podejmowania działań następczych.
Okres przechowywania danych.
- Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia wewnętrznego lub podjęciem działań następczych, a także dokumenty związane z powyższym, będą co do zasady przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub po zakończeniu postępowań zainicjowanych działaniami następczymi.
- Dane osobowe mogą być przechowywane dłużej jedynie w sytuacji, kiedy w okresie wskazanym powyżej nie upłynie termin przedawnienia roszczeń związanych ze zgłoszeniem. W takim przypadku, dane zostaną usunięte lub zanonimizowane niezwłocznie po upływie okresu przedawnienia potencjalnych roszczeń.
Prawa osób, których dane dotyczą.
- Osobom, których dane dotyczą, przysługuje prawo (w określonych sytuacjach):
- dostępu do danych, w tym uzyskania kopii danych (art. 15 RODO),
- do sprostowania lub uzupełnienia danych (art. 16 RODO),
- do usunięcia danych (art. 17 RODO – w przypadkach tam wskazanych),
- do ograniczenia przetwarzania danych (art. 18 RODO - przy czym prawo do ograniczenia przetwarzania nie ma zastosowania w odniesieniu do przechowywania, w celu zapewnienia korzystania ze środków ochrony prawnej lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego),
- do zgłoszenia sprzeciwu (art. 21 RODO - gdy przetwarzanie następuje na podstawie art. 6 ust. 1 lit. f RODO – uzasadniony interes Administratora),
- do wniesienia skargi do organu nadzorczego (art. 77 RODO - w przypadku uznania, że przetwarzanie ich danych osobowych narusza przepisy RODO).
Jednocześnie Administrator informuje, że nie przysługuje prawo:
- do przenoszenia danych (art. 20 RODO - przysługuje ono w przypadku, kiedy przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO lub na podstawie umowy w myśl art. 6 ust. 1 lit. b RODO oraz odbywa się w sposób zautomatyzowany).
- Aby zrealizować powyższe prawa, należy skontaktować się z Administratorem lub z IOD wyznaczonym u Administratora.
Wymóg podania danych.
- Podanie danych jest dobrowolne – ale niezbędne dla realizacji celu, w jakim zostają zebrane (dokonanie zgłoszenia, przyjęcie zgłoszenia oraz dokonanie działań następczych).
Zautomatyzowane przetwarzanie danych.
- Dane nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji, w tym profilowania.
Przekazywanie danych poza obszar EOG.
Dane nie będą przekazywane poza obszar Europejskiego Obszaru Gospodarczego.