Powrót do strony głównej „Wytyczne dotyczące ochrony danych dla organizatorów”
Wytyczne dotyczące ochrony danych – pytanie 2
Zbieranie deklaracji w formie papierowej – jakie są zobowiązania przedstawiciela grupy organizatorów jako wyłącznego administratora danych?
Dotyczy scenariusza 2, z wyjątkiem korzystania z opracowanej przez Komisję usługi wymiany plików
Przedstawiciel grupy organizatorów, który występuje jako wyłączny administrator danych, musi zapewnić przetwarzanie danych zgodnie z RODO, mającymi zastosowanie przepisami krajowymi oraz rozporządzeniem w sprawie europejskiej inicjatywy obywatelskiej i musi być w stanie wykazać tę zgodność.
Powinien on między innymi:
- przed rozpoczęciem przetwarzania danych ocenić wpływ operacji przetwarzania danych na prawa i wolności osób, których dane dotyczą, w tym ocenić, czy gromadzone dane mają charakter poufny (jeżeli dane sygnatariuszy są danymi wrażliwymi, należy powołać inspektora ochrony danych i przeprowadzić ocenę skutków dla ochrony danych)
- utworzyć i prowadzić rejestr czynności przetwarzania
- wprowadzić w życie odpowiednie środki w celu ochrony danych osobowych przed niezgodnymi z prawem formami przetwarzania (przypadkowym lub bezprawnym zniszczeniem lub przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem do nich, w szczególności w przypadku gdy przetwarzanie takich danych obejmuje ich przesyłanie za pomocą sieci itp.), środki te mogą się różnić w zależności od tego, czy deklaracje zbierane są w formie papierowej czy online
- poinformować sygnatariuszy o przetwarzaniu ich danych osobowych, o sposobach zapewnienia ochrony tych danych oraz o prawach sygnatariuszy
- zapewnić rozpatrywanie pytań i wniosków sygnatariuszy na podstawie rozporządzenia RODO
- zapewnić bezpieczeństwo danych podczas przekazywania państwom członkowskim zgromadzonych deklaracji poparcia w celu ich weryfikacji
- zapewnić, aby zebrane dane osobowe nie były wykorzystywane do celów innych niż te określone w rozporządzeniu w sprawie europejskiej inicjatywy obywatelskiej
- informować właściwy organ nadzorczy odpowiedzialny za ochronę danych o wszelkich naruszeniach ochrony danych osobowych co do zasady w ciągu 72 godzin od chwili powzięcia informacji o naruszeniu i współpracować z organami nadzorczymi odpowiedzialnymi za ochronę danych na ich wniosek
- zapewnić, aby wszystkie deklaracje poparcia i ich kopie zostały zniszczone po upływie odpowiednich okresów zatrzymywania danych.
Powyższa lista powstała w celach informacyjnych i nie zwalnia organizatorów z wypełniania zobowiązań mających bezpośrednie zastosowanie do nich na podstawie RODO.
Odniesienia:
- art. 5 ust. 7 i art. 19 rozporządzenia w sprawie europejskiej inicjatywy obywatelskiej
- art. 24 RODO