Databeskyttelse

Retningslinjer for databeskyttelse til initiativtagere til det europæiske borgerinitiativ

Hovedprincipper

Når initiativtagerne indsamler støttetilkendegivelser til deres borgerinitiativ, behandler de underskrivernes personoplysninger i et potentielt stort omfang. Repræsentanten for initiativtagergruppen (eller den retlige enhed, der specifikt er oprettet med henblik på at forvalte initiativet) er ansvarlig for behandlingen af disse personoplysninger og er den såkaldte dataansvarlige.

Hvis indsamlingen og/eller overførslen af støttetilkendegivelser udføres via det centrale onlineindsamlingssystem, hjælper Kommissionen med at lette initiativtagernes ansvar ved at fungere som fælles dataansvarlig for disse behandlinger af personoplysningerne.

Når initiativtagergruppen har indsamlet det krævede antal støttetilkendegivelser, skal den sende dem til de kompetente nationale myndigheder, som kontrollerer og attesterer dem. De nationale myndigheder har rollen som dataansvarlige, hvad angår disse behandlinger af personoplysninger.

Den dataansvarlige skal overholde og sikre overholdelse af databeskyttelsesforpligtelserne og -reglerne i den generelle databeskyttelsesforordning (GDPR).

Centrale begreber

Se ordlisten vedrørende databeskyttelse i forbindelse med det europæiske borgerinitiativ.

Hvilke databehandlingsaktiviteter forventes initiativtagerne at udføre i henhold til forordningen om det europæiske borgerinitiativ?

• Behandling af underskrivernes støttetilkendegivelser:

For at støtte et initiativ skal underskriveren udfylde en formular til støttetilkendegivelse, hvor vedkommende angiver en række personoplysninger. Hvis støttetilkendegivelsen underskrives online ved hjælp af eID, importeres disse data fra et nationalt eID-system.

Hvis et initiativ har indsamlet det krævede antal støttetilkendegivelser, skal de sendes til de pågældende EU-lande med henblik på kontrol og attestering. Personoplysninger, der indsamles som led i støttetilkendegivelserne, må ikke bruges til andre formål, som f.eks. støtte til andre borgerinitiativer end det, som de er afgivet til, eller til overførsel af de indsamlede data til andre organisationer.

• Behandling af underskrivernes e-mailadresser:

Det er også tilladt at foretage valgfri indsamling af e-mailadresser for de underskrivere, der ønsker at få yderligere information om forløbet af det initiativ, de har underskrevet.

E-mailadresser må ikke indsamles som en del af støttetilkendegivelsesformularen, men de kan indsamles samtidig, forudsat at underskriverne informeres om, at deres ret til at støtte et borgerinitiativ ikke er betinget af, at de giver deres samtykke til, at deres e-mailadresse indsamles.

Disse e-mailadresser må kun bruges til at informere de underskrivere, der ønsker det, om forløbet af det initiativ, de har givet deres støtte til. De må ikke bruges til andre formål såsom at give underskriverne kommercielle tilbud eller information om et andet initiativ. De er ikke underlagt EU-landenes kontrol.

• Behandling af sponsorerne af initiativets personoplysninger:

Desuden indeholder forordningen om det europæiske borgerinitiativ nogle regler for behandling af sponsorerne af initiativets persondata.

I artikel 17, 18, 19, stk. 1 og 3, i forordningen om det europæiske borgerinitiativ står der, hvordan disse data må behandles.

Dataansvar: Scenarier for indsamling og overførsel af støttetilkendegivelser

Der er to overordnede scenarier:

Scenarie 1

• Indsamlingen af støttetilkendegivelser sker via Kommissionens centrale onlineindsamlingssystem (fælles dataansvar mellem Kommissionen og repræsentanten for initiativtagergruppen).
• Indsendelsen af støttetilkendegivelser til EU-landenes kompetente myndigheder med henblik på kontrol sker via Kommissionens filudvekslingstjeneste (fælles dataansvar mellem Kommissionen og initiativtagergruppen).

Scenarie 2

• Indsamlingen af støttetilkendegivelser sker ved hjælp af papirformularer (repræsentanten for initiativtagergruppen er den eneste dataansvarlige)
• Indsendelsen af støttetilkendegivelser til EU-landenes kompetente myndigheder med henblik på kontrol foretages enten af initiativtagergruppen selv (repræsentanten for initiativtagergruppen er den eneste dataansvarlige) ELLER via Kommissionens filudvekslingstjeneste (Kommissionen og repræsentanten for initiativtagergruppen er fælles dataansvarlige).

Bemærk:

• Initiativtagerne kan vælge at indsamle støttetilkendegivelser både på papir og online eller ved kun at bruge én af disse indsamlingsmetoder.
• For at indsamle støttetilkendegivelser online skal initiativtagerne bruge det centrale onlineindsamlingssystem.
• Hvis initiativtagerne både indsamler støttetilkendegivelser online ved hjælp af det centrale onlineindsamlingssystem og på papir, kan der gælde forskellige regler for disse forskellige indsamlingsmetoder.

Spørgsmål og svar om databeskyttelse for initiativtagerne

1. Det centrale onlineindsamlingssystem: Hvilke forpligtelser har Kommissionen og repræsentanten for initiativtagergruppen som fælles dataansvarlige?
2. Indsamling på papirformularer: Hvilke forpligtelser har repræsentanten for initiativtagergruppen som eneste dataansvarlige?
3. "Følsomme oplysninger": Hvornår betragtes underskrivernes oplysninger som en særlig kategori af data?
4. Sikkerhed : Hvad skal man gøre, når man indsamler underskrivernes persondata på papir?
5. Sikkerhed: Hvilke krav gælder der, når støttetilkendegivelser i papirform indsamles af frivillige eller kontraktansatte kampagnemedarbejdere?
6. Hvornår og hvordan skal man foretage en databeskyttelsesvurdering?
7. Hvordan skal man udarbejde et databehandlingsregister?
8. Hvilken rolle har en databeskyttelsesrådgiver?
9. Hvilke informationer skal man give borgerne, når man indsamler deres personoplysninger?
10. Hvad skal man gøre, når man behandler anmodninger fra underskrivere vedrørende databehandling?
11. Hvad skal man gøre i tilfælde af brud på persondatasikkerheden?
12. Hvilket ansvar har man som dataansvarlig?
13. Hvem er dataansvarlig, når man sender de indsamlede støttetilkendegivelser til EU-landene til kontrol?
14. Hvad er sikkerhedsanbefalingerne, når man sender de indsamlede støttetilkendegivelser til EU-landene til kontrol?
15. Hvordan er roller og ansvar fordelt ved brug af Kommissionens filudvekslingstjeneste, når man sender de indsamlede støttetilkendegivelser til EU-landene til kontrol?
16. Hvor længe må oplysningerne gemmes?
17. Hvilken national tilsynsmyndighed skal man kontakte om spørgsmål vedrørende behandling af personoplysninger?
18. Hvad skal man være opmærksom på, hvad angår støtte og finansiering, når man behandler personoplysninger?

Spørgsmål og svar om databeskyttelse for underskriverne

Se det specifikke afsnit under Ofte stillede spørgsmål

Hvilke regler skal man overholde, når man behandler personoplysninger?

• Forordningen om det europæiske borgerinitiativ og dens specifikke bestemmelser om databeskyttelse (se artikel 19)
• Repræsentanten skal overholde: Den generelle databeskyttelsesforordning (GDPR) og de nationale bestemmelser på området
• Europa-Kommissionen skal overholde: Forordningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner(EUDPR).

Nationale kontaktoplysninger

• Kontaktoplysningerne for de nationale myndigheder, der er ansvarlige for at kontrollere og attestere støttetilkendegivelser, findes her.
• Kontaktoplysningerne for de nationale databeskyttelsesmyndigheder findes her.

Europa-Kommissionens politik for databeskyttelse i forbindelse med det europæiske borgerinitiativ

De erklæringer for databeskyttelse, der bruges i forbindelse med de forskellige databehandlingsaktiviteter, som Europa-Kommissionen udfører i forbindelse med gennemførelsen af det europæiske borgerinitiativ, offentliggøres på webstedet Politik for databeskyttelse.