Wytyczne dotyczące ochrony danych dla organizatorów europejskiej inicjatywy obywatelskiej
Podstawowe zasady
Gromadząc deklaracje poparcia dla swojej inicjatywy, organizatorzy przetwarzają dane osobowe na potencjalnie dużą skalę. Za przetwarzanie tych danych osobowych odpowiada przedstawiciel grupy organizatorów (lub podmiot prawny utworzony specjalnie w celu zarządzania inicjatywą) – pełni on rolę administratora danych.
Jeżeli gromadzenie lub przekazywanie zgromadzonych deklaracji poparcia odbywa się za pośrednictwem centralnego systemu zbierania deklaracji online, Komisja Europejska ogranicza odpowiedzialność organizatorów i w przypadku takich operacji przetwarzania danych pełni rolę współadministratora danych.
Jeżeli grupa organizatorów zbierze wymaganą liczbę deklaracji poparcia, deklaracje te są przekazywane właściwym organom krajowym do weryfikacji i poświadczenia. W przypadku tych operacji przetwarzania danych administratorami danych są organy krajowe.
Administrator danych musi przestrzegać i zapewniać przestrzeganie zobowiązań i przepisów w zakresie ochrony danych ustanowionych w ogólnym rozporządzeniu o ochronie danych (RODO).
Najważniejsze terminy
Zajrzyj do glosariusza terminów związanych z ochroną danych w kontekście europejskiej inicjatywy obywatelskiej.
Przeprowadzania jakich operacji przetwarzania danych oczekuje się od organizatorów na podstawie rozporządzenia EIO?
- Przetwarzanie deklaracji poparcia sygnatariuszy
Aby poprzeć inicjatywę, sygnatariusze muszą wypełnić formularz deklaracji poparcia, w którym przekazują zbiór swoich danych osobowych. W przypadku deklaracji poparcia podpisanych online za pomocą identyfikacji elektronicznej dane te są importowane z krajowego systemu identyfikacji elektronicznej.
Jeżeli uda się zebrać wymaganą liczbę deklaracji poparcia dla danej inicjatywy, deklaracje te są przekazywane właściwym państwom członkowskim do weryfikacji i poświadczenia. Dane osobowe zebrane w deklaracjach poparcia nie mogą być wykorzystane w żadnym innym celu, na przykład do poparcia inicjatyw innych niż ta, na potrzeby której zostały przekazane, czy przekazania zebranych danych jakiejkolwiek innej organizacji.
- Przetwarzanie adresów e-mail sygnatariuszy
Dopuszcza się także nieobowiązkowe gromadzenie adresów e-mail sygnatariuszy, którzy wyrazili chęć otrzymywania dalszych informacji na temat postępów w realizacji podpisanej przez nich inicjatywy.
Adresy e-mail nie mogą być zbierane jako część formularzy deklaracji poparcia, ale mogą być zbierane równolegle, o ile potencjalni sygnatariusze zostaną poinformowani, że ich prawo do poparcia inicjatywy nie jest zależne od wyrażenia zgody na zbieranie adresów e-mail.
Te adresy e-mail można wykorzystać tylko do informowania sygnatariuszy, którzy sobie tego życzą, o postępach w realizacji podpisanej przez nich inicjatywy. Nie można ich wykorzystać w innych celach, np. do przekazywania sygnatariuszom ofert handlowych czy informacji na temat innej inicjatywy. Adresy e-mail nie są weryfikowane przez państwa członkowskie.
- Przetwarzanie danych osobowych darczyńców inicjatywy
Ponadto w rozporządzeniu w sprawie europejskiej inicjatywy obywatelskiej przewidziano pewne przepisy dotyczące przetwarzania danych darczyńców inicjatywy.
Sposób, w jaki te dane mogą być przetwarzane, określono w art. 17, 18 oraz w art. 19 ust. 1 i 3 rozporządzenia w sprawie europejskiej inicjatywy obywatelskiej.
Administrowanie danymi: scenariusze zbierania i przekazywania deklaracji poparcia
Istnieją dwa szeroko rozumiane scenariusze:
Scenariusz 1:
- zbieranie deklaracji poparcia za pośrednictwem zarządzanego przez Komisję centralnego systemu zbierania deklaracji online (współadministrowanie przez Komisję i przedstawiciela grupy organizatorów)
- przekazanie deklaracji poparcia właściwym organom państw członkowskich do celów weryfikacji odbywa się w ramach opracowanej przez Komisję usługi wymiany plików (współadministrowanie przez Komisję i przedstawiciela grupy organizatorów).
Scenariusz 2:
- zbieranie deklaracji poparcia odbywa się przy użyciu formularzy papierowych (wyłączna kontrola przedstawiciela grupy organizatorów)
- przekazanie deklaracji poparcia właściwym organom państw członkowskich do celów weryfikacji odbywa się z wykorzystaniem własnych środków grupy organizatorów (wyłączne administrowanie przez przedstawiciela grupy organizatorów) ALBO w ramach opracowanej przez Komisję usługi wymiany plików (współadministrowanie przez Komisję i przedstawiciela grupy organizatorów).
Uwaga:
- Organizatorzy mogą zdecydować o zbieraniu deklaracji poparcia w formie papierowej i online lub za pomocą tylko jednej z tych metod.
- W celu zbierania deklaracji poparcia online organizatorzy muszą korzystać z centralnego systemu zbierania deklaracji on-line.
- Jeżeli organizatorzy zbierają deklaracje poparcia online za pomocą centralnego systemu zbierania deklaracji online i równolegle w formie papierowej, do tych różnych metod zbierania deklaracji mogą mieć zastosowanie różne przepisy.
Pytania i odpowiedzi dotyczące ochrony danych dla organizatorów
- Centralny system zbierania deklaracji online – jakie są zobowiązania Komisji i przedstawiciela grupy organizatorów jako współadministratorów?
- Zbieranie deklaracji w formie papierowej – jakie są zobowiązania przedstawiciela grupy organizatorów jako wyłącznego administratora danych?
- „Dane wrażliwe” – kiedy dane sygnatariuszy kwalifikują się jako szczególna kategoria danych?
- Bezpieczeństwo – jakie kroki należy podjąć w przypadku gromadzenia danych sygnatariuszy w formie papierowej?
- Bezpieczeństwo – jakie są wymogi w przypadku zbierania papierowych deklaracji poparcia – dobrowolnie lub na podstawie umowy – przez podmioty prowadzące kampanie?
- Kiedy i w jaki sposób należy przeprowadzić ocenę skutków dla ochrony danych?
- Jak przygotować rejestr czynności przetwarzania danych?
- Jaką rolę pełni inspektor ochrony danych (IOD)?
- Jakie informacje należy przekazać obywatelom w przypadku gromadzenia ich danych?
- Co należy zrobić w przypadku rozpatrywania wniosków dotyczących przetwarzania danych składanych przez sygnatariuszy?
- Jak się zachować w przypadku naruszenia ochrony danych osobowych?
- Jakie są zobowiązania administratora danych?
- Przekazywanie zgromadzonych deklaracji poparcia państwom członkowskim do celów weryfikacji – kto jest administratorem danych?
- Przekazywanie zgromadzonych deklaracji poparcia państwom członkowskim do celów weryfikacji – jakie są zalecenia dotyczące bezpieczeństwa?
- Przekazywanie zgromadzonych deklaracji poparcia państwom członkowskim do celów weryfikacji – jakie są role i obowiązki w przypadku korzystania z opracowanej przez Komisję usługi wymiany plików?
- Jakie są ograniczenia czasowe zatrzymywania danych?
- Z którym krajowym organem nadzorczym należy się skontaktować w kwestiach związanych z przetwarzaniem danych osobowych?
- Wspieranie i finansowanie – o czym należy pamiętać, przetwarzając dane osobowe?
Pytania i odpowiedzi dotyczące ochrony danych dla sygnatariuszy
Zob. odpowiednia sekcja FAQ.
Przepisy, których należy przestrzegać przy przetwarzaniu danych osobowych
- Rozporządzenie w sprawie europejskiej inicjatywy obywatelskiej i jego szczegółowe przepisy dotyczące ochrony danych (zob. art. 19).
- W przypadku przedstawicieli: ogólne rozporządzenie o ochronie danych (RODO) i odpowiednie przepisy krajowe
- W przypadku Komisji Europejskiej: rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje UE (EUDPR).
Kontakty na szczeblu krajowym
- Dane kontaktowe organów krajowych odpowiedzialnych za weryfikację i poświadczenie deklaracji poparcia są dostępne tutaj.
- Dane kontaktowe krajowych organów ochrony danych są dostępne tutaj.
Polityka prywatności Komisji Europejskiej w kontekście europejskiej inicjatywy obywatelskiej
Oświadczenia o ochronie prywatności wykorzystywane do celów różnych operacji przetwarzania realizowanych przez Komisję Europejską w kontekście wdrażania instrumentu europejskiej inicjatywy obywatelskiej są opublikowane na specjalnej stronie internetowej poświęconej polityce prywatności.
ZASTRZEŻENIE PRAWNE
Te wytyczne mają za zadanie lepiej wyjaśnić unijne wymogi ochrony danych mające zastosowanie do operacji przetwarzania przewidzianych w rozporządzeniu (UE) 2019/788 w sprawie europejskiej inicjatywy obywatelskiej (rozporządzenie EIO). Moc prawną mają wyłącznie teksty rozporządzenia w sprawie europejskiej inicjatywy obywatelskiej, ogólnego rozporządzenia o ochronie danych (RODO) oraz rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje UE. Te wytyczne nie mogą zastępować mających zastosowanie ram prawnych, w tym – w stosownych przypadkach – wiążących umów takich jak umowy o współadministrowaniu.
Te wytyczne zapewniają praktyczne informacje dla organizatorów inicjatyw obywatelskich i nie należy ich rozumieć jako powodujące powstanie jakiegokolwiek możliwego do egzekwowania prawa czy uzasadnionych oczekiwań. W szczególności te wytyczne pozostają bez uszczerbku dla odpowiedzialności przedstawiciela grupy organizatorów jako administratora danych zgodnie z art. 5 ust. 2 RODO za przestrzeganie i zapewnianie przestrzegania zobowiązań i przepisów ustanowionych w RODO.
Wiążąca interpretacja przepisów UE leży w wyłącznej kompetencji Trybunału Sprawiedliwości Unii Europejskiej. Opinie wyrażone w tych wytycznych nie przesądzają o stanowisku, jakie Komisja może zająć przed Trybunałem Sprawiedliwości.
Ponieważ te wytyczne odzwierciedlają stan wiedzy na czas ich przygotowywania, należy je traktować jako stale udoskonalane dynamiczne narzędzie, a ich treść może być w każdej chwili zmieniona.