Pokyny k ochraně osobních údajů určené organizátorům evropských občanských iniciativ
Hlavní zásady
Během shromažďování prohlášení o podpoře pro iniciativu zpracovávají organizátoři o signatářích poměrně velký objem osobních údajů. Za zpracování těchto osobních údajů odpovídá zástupce skupiny organizátorů (případně právní subjekt, jenž byl založen výhradně za účelem správy iniciativy), který tak zastává roli správce údajů.
Pokud se shromažďování prohlášení o podpoře či jejich předání provádí prostřednictvím centrálního online systému, nese za ně odpovědnost spolu s organizátory Evropská komise, jelikož má v souvislosti s tímto zpracováním dat roli společného správce údajů.
Jakmile skupina organizátorů požadovaný počet prohlášení o podpoře shromáždí, jsou tato prohlášení předložena příslušným vnitrostátním orgánům za účelem ověření a potvrzení jejich platnosti. V této fázi zpracování údajů se pak za správce údajů považují tyto vnitrostátní orgány.
Správce údajů musí zajistit, aby byly údaje zpracovávány v souladu s povinnostmi a pravidly obecného nařízeními o ochraně osobních údajů (GDPR), které musí také sám dodržovat.
Základní pojmy
Základní pojmy z oblasti ochrany údajů v souvislosti s evropskou občanskou iniciativou najdete v našem slovníčku.
Které operace zpracování údajů se od organizátorů očekávají podle nařízení o evropské občanské iniciativě?
- Zpracování prohlášení o podpoře získaná od signatářů:
Lidé, kteří chtějí podpořit určitou iniciativu, musí vyplnit prohlášení o podpoře, které obsahuje řadu osobních údajů. V případě prohlášení o podpoře podepsaných online pomocí elektronické identifikace (eID) se dané údaje importují z vnitrostátního systému elektronické identifikace.
Jakmile iniciativa získá požadovaný počet prohlášení o podpoře, jsou tato prohlášení předložena příslušným orgánům členských zemí za účelem ověření a potvrzení jejich platnosti. Osobní údaje shromážděné v prohlášení o podpoře nesmí být použity k žádnému jinému účelu, např. k podpoře jiných iniciativ, ani nesmí být ani předány jiné organizaci.
- Zpracování e-mailových adres signatářů:
Je povoleno shromažďovat e-mailové adresy těch signatářů, kteří si přejí být dále informováni o pokroku v realizaci iniciativy, kterou podepsali.
Není však povoleno shromažďovat e-mailové adresy jako součást formulářů prohlášení o podpoře. Lze je však shromažďovat u této příležitosti pod podmínkou, že jsou signatáři informováni o tom, že jejich právo na podporu iniciativy není podmíněno souhlasem s poskytnutím e-mailové adresy.
Tyto e-mailové adresy mohou být použity pouze za účelem informování signatářů o pokroku v realizaci iniciativy, kterou podepsali. Nelze je použít k žádným jiným účelům, jako je poskytování obchodních nabídek nebo informací o jiné iniciativě. E-mailové adresy nejsou ze strany členských států ověřovány.
- Zpracování osobních údajů sponzorů iniciativy:
Nařízení o evropské občanské iniciativě navíc stanoví pravidla ohledně zpracování údajů sponzorů iniciativy.
Jak lze tyto údaje zpracovávat, je stanoveno v článcích 17 a 18, čl. 19 odst. 1 a 3 nařízení o evropské občanské iniciativě.
Správa údajů: různé varianty shromažďování prohlášení o podpoře či jejich předání
V zásadě existují 2 obecné varianty:
Varianta č. 1
- Shromažďování prohlášení o podpoře se provádí prostřednictvím centrálního systému Komise pro online sběr podpisů (společná správa mezi Evropskou komisí na jedné straně a zástupcem skupiny organizátorů na straně druhé)
- Předložení shromážděných prohlášení o podpoře členským státům k ověření probíhá za pomoci služby Komise pro výměnu souborů (společná správa mezi Evropskou komisí na jedné straně a zástupcem skupiny organizátorů na straně druhé).
Varianta č. 2
- Shromažďování prohlášení o podpoře se provádí na papírových formulářích (zástupce skupiny organizátorů je jediným správcem údajů)
- Předložení shromážděných prohlášení o podpoře členským státům k ověření provádí buď skupina organizátorů sama (zástupce skupiny organizátorů je jediným správcem údajů), NEBO za pomoci služby Komise pro výměnu souborů (společná správa mezi Evropskou komisí na jedné straně a zástupcem skupiny organizátorů na straně druhé).
Upozornění:
- Organizátoři se mohou rozhodnout, že budou prohlášení o podpoře shromažďovat na papíře i online, nebo pouze jedním z těchto způsobů.
- Za účelem shromažďování prohlášení o podpoře online musí organizátoři používat centrální systém pro online sběr podpisů.
- Pokud organizátoři shromažďují prohlášení o podpoře online prostřednictvím centrálního systému a souběžně na papírových formulářích, mohou se na tyto různé způsoby vztahovat různá pravidla.
Otázky a odpovědi týkající se ochrany údajů ze strany organizátorů
- Centrální systém pro online sběr podpisů – jaké jsou povinnosti Komise a zástupce skupiny organizátorů jakožto společných správců údajů?
- Sběr podpisů na papírových formulářích – jaké jsou povinnosti zástupce skupiny organizátorů jakožto jediného správce údajů?
- „Citlivé údaje“ – kdy se osobní údaje signatářů považují za zvláštní kategorii údajů?
- Bezpečnost – jaká opatření byste měli přijmout při shromažďování údajů signatářů na papírových formulářích?
- Bezpečnost – jaké platí požadavky, když jsou papírová prohlášení o podpoře shromažďována dobrovolníky nebo smluvními účastníky kampaně?
- Kdy a jak byste měli provést posouzení vlivu na ochranu osobních údajů?
- Jak byste měli připravit záznam o zpracování údajů?
- Jaká je úloha pověřence pro ochranu osobních údajů?
- Jaké informace je třeba poskytnout občanům při shromažďování jejich údajů?
- Jak byste měli postupovat při vyřizování žádostí signatářů souvisejících se zpracováním údajů?
- Co byste měli dělat v případě porušení zabezpečení osobních údajů?
- Jaká je vaše odpovědnost jako správce údajů?
- Předložení shromážděných prohlášení o podpoře členským státům k ověření – kdo je správcem údajů?
- Předložení shromážděných prohlášení o podpoře členským státům k ověření – jaká jsou bezpečnostní doporučení?
- Předložení shromážděných prohlášení o podpoře členským státům k ověření – jaké jsou úkoly a povinnosti při využívání služby Komise pro výměnu souborů?
- Jaké jsou časové lhůty pro uchovávání údajů?
- Na který vnitrostátní dozorový úřad byste se měli obrátit v záležitostech týkajících se zpracování osobních údajů?
- Podpora a financování – čeho byste si měli být vědomi při zpracovávání osobních údajů?
Otázky a odpovědi týkající se ochrany údajů pro signatáře
Viz zvláštní oddíl v části Časté otázky
Kterými pravidly je třeba se při zpracování osobních údajů řídit?
- Nařízení o evropské občanské iniciativě a jeho zvláštní ustanovení o ochraně údajů (viz článek 19).
- Zástupce skupiny organizátorů: Obecné nařízení o ochraně osobních údajů (GDPR) spolu s příslušnými vnitrostátními předpisy
- Evropská komise: Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány EU (EUDPR)
Kontakty na vnitrostátní úrovni
- Kontaktní údaje vnitrostátních orgánů odpovědných za ověřování a potvrzování prohlášení o podpoře najdete zde.
- Kontaktní údaje vnitrostátních orgánů pro ochranu osobních údajů najdete zde.
Politika Evropské komise v oblasti ochrany osobních údajů v souvislosti s evropskou občanskou iniciativou
Prohlášení o ochraně soukromí, která se používají při různých operacích zpracování údajů prováděných Evropskou komisí v souvislosti s evropskou občanskou iniciativou, jsou zveřejněna na internetových stránkách věnovaných ochraně soukromí.
PROHLÁŠENÍ O VYLOUČENÍ ODPOVĚDNOSTI
Stávající pokyny mají přispět k lepšímu pochopení požadavků EU na ochranu údajů, které se vztahují na operace zpracování údajů stanovené v nařízení (EU) 2019/788 o evropské občanské iniciativě. Právní hodnotu mají pouze znění nařízení o evropské občanské iniciativě, obecného nařízení o ochraně osobních údajů (nařízení GDPR) a nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie (nařízení EUDPR). Tyto pokyny nemohou nahradit platný právní rámec, a to ani případné závazné dohody, jako jsou dohody o společné správě údajů.
Pokyny poskytují organizátorům občanských iniciativ praktické informace a neměly by vést ke vzniku žádného vymahatelného práva ani legitimního očekávání. Těmito pokyny není zejména dotčena odpovědnost zástupce skupiny organizátorů jakožto správce údajů podle čl. 5 odst. 2 nařízení GDPR, která se týká dodržování povinností a pravidel vyplývajících z nařízení GDPR a zajištění souladu s nimi.
Závazný výklad právních předpisů EU spadá do výlučné pravomoci Soudního dvora Evropské unie. Názory vyjádřenými v těchto pokynech není dotčen postoj, který by Komise mohla zaujmout před Soudním dvorem.
Jelikož tyto pokyny odrážejí situaci ve chvíli, kdy byly formulovány, měly by být považovány za „živý nástroj“, který je možné optimalizovat a jehož obsah může být bez předchozího upozornění pozměněn.