Powrót do strony głównej „Wytyczne dotyczące ochrony danych dla organizatorów”
Wytyczne dotyczące ochrony danych – pytanie 5
Bezpieczeństwo – jakie są wymogi w przypadku zbierania papierowych deklaracji poparcia – dobrowolnie lub na podstawie umowy – przez podmioty prowadzące kampanie?
Ze względu na to, że deklaracje poparcia są zwykle zbierane w sposób zdecentralizowany, zbieraniem zajmują się – dobrowolnie lub na podstawie umowy – podmioty prowadzące kampanie niebędące organizatorami inicjatywy. Te podmioty należy uznać za podmioty przetwarzające dane i powinny one działać na podstawie pisemnej umowy z przedstawicielem.
Umowa z „podmiotem prowadzącym kampanię” jest zatem umową między administratorem a podmiotem przetwarzającym w rozumieniu art. 28 RODO i powinna ona obejmować wszystkie aspekty wymienione w tym artykule.
Orientacyjne taka umowa w tym kontekście może również zawierać następujące elementy:
- upoważnienie podmiotu prowadzącego kampanię przez przedstawiciela do zbierania deklaracji poparcia (i adresów e-mail sygnatariuszy) w odniesieniu do danej inicjatywy w imieniu przedstawiciela
- instrukcje przedstawiciela dotyczące rozpatrywania ewentualnych pytań i wniosków dotyczących ochrony danych ze strony sygnatariuszy/ osób, których dane dotyczą
- zobowiązanie podmiotu prowadzącego kampanię do poszanowania polityki ochrony danych organizatorów oraz w szczególności do:
- zbierania deklaracji poparcia (i adresów e-mail sygnatariuszy) wyłącznie zgodnie z instrukcjami organizatorów i tylko w formie ustalonej przez tych organizatorów
- wstrzymania się od gromadzenia innych danych
- poinformowania sygnatariuszy o treści inicjatywy i ich prawach zgodnie z oświadczeniem o ochronie prywatności
- poinformowania sygnatariuszy, że przekazanie adresów e-mail nie jest obowiązkowe i że ich prawo do poparcia inicjatywy nie jest zależne od wyrażenia zgody na zbieranie adresów e-mail
- przechowywania zebranych deklaracji poparcia (i adresów e-mail) w bezpiecznym miejscu do czasu przekazania ich organizatorom inicjatywy
- przekazania zebranych deklaracji poparcia i adresów e-mail w sposób bezpieczny, np. przesyłką poleconą lub zaufaną firmą kurierską, i tylko organizatorom inicjatywy
- potwierdzenie przez podmiot prowadzący kampanię, że:
- przeczytał i zrozumiał postanowienia oświadczenia o ochronie prywatności zdefiniowane w załączniku III do rozporządzenia w sprawie europejskiej inicjatywy obywatelskiej oraz zapoznał się z treścią inicjatywy, a także z materiałami wykorzystywanymi przez organizatorów do informowania o inicjatywie (tj. strona internetowa lub inne istotne dokumenty lub informacje)
- zna swoje obowiązki związane z gromadzeniem danych.
Odniesienia:
- art. 28 i 32 RODO