Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016, s. 1) (dalej: „RODO”) – Instytut Ochrony Środowiska - Państwowy Instytut Badawczy (dalej: „IOŚ-PIB”) jako administrator danych osobowych przekazuje poniżej informacje dotyczące przetwarzania danych osobowych w zakresie niezbędnym do administrowania polską częścią Rejestru Unii (dalej: Rejestr), o którym mowa w art. 3 pkt 17 ustawy z dnia 12 czerwca 2015 r. o systemie handlu uprawnieniami do emisji gazów cieplarnianych (Dz. U. 2020 poz. 136 i 284) (dalej: ustawa o systemie handlu).
Administratorem zbieranych danych osobowych (dalej „administrator danych”) jest IOŚ-PIB, , z siedzibą przy ul. Słowiczej 32, 02-170 Warszawa, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000032034. W imieniu IOŚ-PIB działa Dyrektor.
W zakresie przedmiotowego zbioru danych osobowych (tj. danych zbieranych na potrzeby administrowania Rejestrem) adresem do korespondencji administratora danych jest: ul. Słowicza 32, 02-170 Warszawa.
Z inspektorem ochrony danych w IOŚ-PIB można się kontaktować kierując korespondencję na adres e-mail: iodo@ios.edu.pl lub adres korespondencyjny administratora danych.
Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. (c) lub (e) RODO, w celu realizacji przez IOŚ-PIB procedury należytej staranności przy identyfikacji posiadaczy rachunków lub potencjalnych posiadaczy rachunków w Rejestrze. Procedura identyfikacji ww. podmiotów wykonywana jest w ramach zadania wskazanego w art. 3 ust. 2 pkt 2 ustawy z dnia 17 lipca 2009 r. o systemie zarządzania emisjami gazów cieplarnianych i innych substancji (Dz. U. 2020 poz. 1077), polegającego na zarządzaniu zbiorem rachunków w Rejestrze.
Dane przetwarzane są również w celu:
Odbiorcami danych osobowych są Komisja Europejska oraz podmioty wymienione w art. 80 ust. 3 rozporządzenia delegowanego Komisji (UE) nr 2019/1122 z dnia 12 marca 2019 r. uzupełniającego dyrektywę 2003/87/WE Parlamentu Europejskiego i Rady w odniesieniu do funkcjonowania rejestru Unii (Dz. Urz. UE L 177/3 z 2.7.2019 r.) (dalej: RR).
Z zastrzeżeniem art. 79 ust. 2 i art. 80 RR administrator danych nie udostępnia informacji zgromadzonych w Rejestrze, w tym informacji dotyczących: posiadaczy, upoważnionych przedstawicieli oraz przeprowadzonych transakcji znajdujących się w Rejestrze Unii. Administrator danych udostępnia informacje zgromadzone w Rejestrze w zakresie wskazanym w przepisach prawa, w celu realizacji obowiązków informacyjnych w nich określonych.
W celu sprawdzenia autentyczności dokumentów i weryfikacji informacji przedkładanych przez osoby prawne oraz osoby fizyczne składające wniosek o otwarcie rachunku lub aktualizację danych w Rejestrze Unii, administrator danych może przedstawiać uzyskane dokumenty i informacje krajowym administratorom, o których mowa w art. 3 pkt. 2 RR oraz organom publicznym w kraju i za granicą.
Administrator danych przetwarza dane osobowe w zakresie niezbędnym do obsługi rachunków w Rejestrze i udostępnia je wyłącznie na wniosek podmiotów wskazanych w art. 80 ust. 3 RR.
Administrator danych może ujawniać dane osobowe, w zakresie imienia i nazwiska oraz adresu korespondencyjnego, podmiotom świadczącym usługi pocztowe lub kurierskie.
Dane osobowe pochodzą z formularza wniosku o wpis danych do Rejestru Unii oraz z dokumentów stanowiących załączniki do wniosku.
Zakres zbieranych i przetwarzanych danych osobowych obejmuje dane osobowe przedłożone na podstawie RR.
W przypadku komunikowania się przez posiadacza lub jego upoważnionych przedstawicieli z IOŚ-PIB (np. za pośrednictwem poczty e-mail, faksu, telefonu) w celu uzyskania pomocy lub w innych sprawach, administrator danych zarejestruje związane z tym faktem informacje, w tym udzielone przez niego odpowiedzi. W szczególności administrator danych w celu zapewnienia bezpieczeństwa funkcjonowania Rejestru Unii rezerwuje sobie prawo rejestracji rozmów telefonicznych oraz przechowywania ich zapisu.
Dane osobowe będą przechowywane przez okres niezbędny do realizacji obowiązków ustawowych ciążących na administratorze danych, co najmniej przez okres pięciu lat od zamknięcia rachunku w Rejestrze Unii.
Dane osobowe usuwa się z Rejestru Unii po pięciu latach od zamknięcia rachunku lub po pięciu latach od zakończenia prowadzonych z osobą fizyczną stosunków gospodarczych, o których mowa w art. 3 pkt. 13 dyrektywy (UE) 2015/849. Do celów prowadzenia dochodzeń i śledztw, wykrywania i ścigania przestępstw, dla celów administracji podatkowej lub egzekwowania prawa, audytu i nadzoru finansowego w odniesieniu do działalności obejmującej uprawnienia lub pranie pieniędzy, finansowanie terroryzmu, inne poważne przestępstwa lub nadużycia na rynku, w których rachunek w Rejestrze Unii mógłby stanowić narzędzie, lub naruszenia przepisów unijnych lub krajowych zapewniających funkcjonowanie systemu EU ETS, IOŚ-PIB może przetwarzać dane osobowe po zakończeniu świadczenia usług do końca okresu odpowiadającego maksymalnemu terminowi przedawnienia dla tych przestępstw określonemu w krajowych przepisach.
Zgodnie z postanowieniami Załącznika IV ust. 8 oraz Załącznika VIII ust. 5 RR oraz w celu minimalizacji przetwarzania danych na podstawie art. 5 ust. 1 lit. (c) i RODO Administrator przewiduje niszczenie informacji z rejestru karnego oraz duplikatów dowodów osobistych po dokonaniu otwarcia rachunku lub przypisaniu osoby do rachunku.
IOŚ-PIB dokłada wszelkich starań aby zapewnić, że dane osobowe przez niego przetwarzane są dokładne, aktualne i prawdziwe z wyłączeniem przetwarzania w celach archiwizacyjnych i przetwarzania danych historycznych, tj. przypadków, gdy osoba nie jest aktywnym użytkownikiem Rejestru.
Osoba, której dane dotyczą ma prawo dostępu do treści swoich danych (), otrzymania ich kopii oraz prawo do sprostowania danych (w sytuacji, gdy są nieprawidłowe lub niekompletne), a także w uzasadnionych przypadkach ich usunięcia lub ograniczenia przetwarzania (prawo to ograniczone jest na gruncie art. 17 ust. 3 lit (b), (d) i (e) RODO).
Wniesienie żądania ograniczenia przetwarzania danych osobowych przez upoważnionego przedstawiciela Rejestru Unii może skutkować obowiązkiem (po stronie posiadacza rachunku) niezwłocznego wskazania innej osoby w miejsce osoby żądającej ograniczenia przetwarzania jej danych osobowych.
Osoba, której dane dotyczą ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO.
Osoba, której dane dotyczą ma prawo wniesienia sprzeciwu, zgodnie z art. 80 ust. 8 akapit 3 RR.
W ramach przetwarzania danych osobowych przez IOŚ-PIB nie dochodzi do zautomatyzowanego podejmowania decyzji ani do profilowania, o których mowa w art. 22 ust. 1 RODO.
Podanie danych osobowych wynika z art. 9 ust. 4 ustawy o systemie handlu. Konsekwencją niepodania danych osobowych będzie brak możliwości uzyskania dostępu lub odebranie dostępu do rachunku w Rejestrze, a w szczególnych przypadkach - odmowa otwarcia rachunku.
Posiadacz zobowiązany jest uzyskać upoważnienie do udostępniania i przetwarzania danych osobowych dotyczących wyznaczonych przez siebie upoważnionych przedstawicieli.
Niniejsze zasady zachowania poufności informacji mogą ulec zmianie w przypadku zmiany przepisów prawa określających wymagania w zakresie udostępniania informacji zgromadzonych w Rejestrze Unii albo przepisów dotyczących ochrony danych osobowych.
Data publikacji: 17.04.2023 r.