Tietojenkäsittelytoimi: Eurooppalaista kansalaisaloitetta koskeva viestintäkampanja
Rekisterinpitäjä: Euroopan komissio, pääsihteeristö, yksikkö SG.A.1 ”Politiikan prioriteetit ja työohjelma”
Rekisteriviite: DPR-EC-09286
1. Johdanto
Euroopan komissio on sitoutunut suojaamaan henkilötietoja ja kunnioittamaan yksityisyyden suojaa. Henkilötietoja kerätessään ja käsitellessään se soveltaa Euroopan parlamentin ja neuvoston asetusta (EU) 2018/1725 luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta.
Tässä tietosuojaselosteessa selitetään, miksi henkilötietojasi kerätään, miten niitä käsitellään ja suojataan, mihin niitä käytetään ja mitä oikeuksia sinulla on henkilötietojesi käsittelyn yhteydessä. Lisäksi annetaan henkilötietojen käsittelystä vastaavan rekisterinpitäjän, komission tietosuojavastaavan ja Euroopan tietosuojavaltuutetun yhteystiedot.
Tällä sivulla kuvataan tietojenkäsittelytoimi ”Eurooppalaista kansalaisaloitetta koskeva viestintäkampanja”, josta vastaa Euroopan komission pääsihteeristön A.1-yksikkö (’SG.A.1-yksikkö’).
2. Miksi ja miten henkilötietoja käsitellään?
Eurooppalaista kansalaisaloitetta koskevan viestintäkampanjan toteuttaa Euroopan komissio kansalaisaloiteasetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2019/788) 18 artiklan 1 kohdan mukaisesti. Ko. kohdassa todetaan, että komissio ”tiedottaa eurooppalaisesta kansalaisaloitteesta, sen tavoitteista ja toiminnasta viestintätoimilla ja tiedotuskampanjoilla, joilla se osaltaan edistää kansalaisten aktiivista osallistumista unionin politiikkaan.”
SG.A.1-yksikkö kerää ja käsittelee kansalaisaloitteen sidosryhmiin kuuluvien tai muiden asiasta kiinnostuneiden kansalaisten (myös alaikäisten) yhteystietoja, jotta heitä voidaan pyytää osallistumaan viestintäkampanjan muihin toimiin, kuten kohdennettuihin kuulemisiin, videokilpailuihin tai muihin yleisöaktiviteetteihin, tai kutsua esiintyjiksi tapahtumiin, mainoksiin, audiovisuaalisiin julkaisuihin yms.
Useimmissa tapauksissa henkilötietojesi käsittely liittyy johonkin aiempaan tietojenkäsittelyyn, joka on yhteydessä viestintäkampanjaan, esimerkiksi johonkin seuraavista:
- Jos olet kansalaisaloitteen järjestäjä tai kansalaisaloiteasetuksen täytäntöönpanoon osallistuvan kansallisen viranomaisen palveluksessa oleva virkamies, henkilötietojesi käsittely kuvataan komission tietosuojavastaavan rekisterin selosteessa DPR-EC-00068.
- Jos olet kansalaisaloitelähettiläs tai jos olet kertonut kansalaisaloitteisiin liittyvistä kokemuksistasi videolla, muussa julkaisussa tai yleisöaktiviteettien yhteydessä, henkilötietojesi käsittely kuvataan komission tietosuojavastaavan rekisterin selosteessa DPR-EC-09286 ja kyseisen aktiviteetin omassa tietosuojaselosteessa.
- Jos olet osallistunut eurooppalaiseen kansalaisaloitteeseen liittyneeseen viestintätapahtumaan puhujana, henkilötietojesi käsittely kuvataan komission tietosuojavastaavan rekisterin selosteessa DPR-EC-01063 ja kyseisen tapahtuman tietosuojaselosteessa.
- Jos olet osallistunut eurooppalaiseen kansalaisaloitteeseen liittyneeseen kohdennettuun kuulemiseen, henkilötietojesi käsittely kuvataan komission tietosuojavastaavan rekisterin selosteessa DPR-EC-01011 ja kyseisen kuulemisen tietosuojaselosteessa.
- Jos olet itse ottanut yhteyttä komissioon kansalaisaloitteeseen liittyvässä asiassa, henkilötietojesi käsittely kuvataan komission tietosuojavastaavan rekisterin selosteessa DPR-EC-01386.
Henkilötietojasi käsitellään edellä mainituissa tapauksissa tapauskohtaisen tietosuojaselosteen mukaisesti, ja joissakin tapauksissa käsittelyyn tarvitaan sinun suostumuksesi.
On myös mahdollista, että SG.A.1-yksikkö tai sen toimeksisaajat ovat katsoneet sinun kuuluvan johonkin kansalaisaloitesidosryhmään sellaisten tietojen perusteella, joita on saatu komission tai viranomaisten tietokannoista, komission paikallistoimistojen tai virastojen kumppaneilta tai muista julkisista lähteistä.
Henkilötietoja ei käytetä automatisoituun päätöksentekoon, kuten profilointiin.
3. Millä oikeudellisilla perusteilla henkilötietoja käsitellään?
Kansalaisaloiteasetuksen 18 artiklan 1 kohdan mukaan komissio ”tiedottaa eurooppalaisesta kansalaisaloitteesta, sen tavoitteista ja toiminnasta viestintätoimilla ja tiedotuskampanjoilla, joilla se osaltaan edistää kansalaisten aktiivista osallistumista unionin politiikkaan”.
Tässä tapauksessa kansalaisaloitesidosryhmien yhteystietojen kerääminen ja käsittely perustuu asetuksen (EU) 2018/1725 5 artiklan 1 kohdan a alakohtaan, koska katsotaan, että se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai unionin toimielimelle tai elimelle kuuluvan julkisen vallan käyttämiseksi.
Tietyt viestintäkampanjassa tehtävät henkilötietojen käsittelytoimet voivat kuitenkin edellyttää henkilön itsensä nimenomaista suostumusta asetuksen (EU) 2018/1725 5 artiklan 1 kohdan d alakohdan mukaisesti. Tällaisia toimia ovat esimerkiksi kertomukset kansalaisaloitteisiin liittyvistä kokemuksista, audiovisuaaliset sisällöt, markkinointi- ja koulutusaineistot, jotka sisältävät henkilökohtaisia lausuntoja, ja kansalaisaloitelähettiläiden osallistuminen tiedotustapahtumiin EU-maissa tai EU:n tasolla.
4. Mitä henkilötietoja kerätään ja käsitellään?
Jotta sinut voidaan kutsua osallistumaan eurooppalaisia kansalaisaloitteita koskevaan viestintätapahtumaan, videokilpailuun, muuhun yleisöaktiviteettiin tai kohdennettuun kuulemiseen kansalaisaloitesidosryhmän edustajana, voidaan käsitellä seuraavia tietoja: sinulta, viranomaisten tai komission tietokannoista, komission tai komission virastojen paikallisilta kumppaneilta tai julkisista lähteistä saadut yhteystiedot, etunimi, sukunimi, ammatti/tehtävänimike, organisaation/aloitteen nimi (jos olet eurooppalaisen kansalaisaloitteen järjestäjä), kiinnostuksen kohteet, kansalaisuus/kielet, puhelinnumero, sähköpostiosoite, äänitteelle tai videolle tallennettu ääni ja kuva sekä valokuvat / visuaalinen aineisto.
Jos suostut toimimaan kansalaisaloitelähettiläänä, edellä mainittujen tietojen lisäksi käsitellään seuraavia sinua koskevia tietoja: komission ja toimeksisaajien tekemät arvioinnit, joiden perusteella sinut on valittu kansalaisaloitelähettilääksi, allekirjoittamasi kansalaisaloitelähettilään sopimus, kansalaisaloitesivustolla julkaistut lyhyt henkilökuva ja valokuvat, komissiolle ja toimeksisaajille lähetetyissä viesteissä ilmaistut mielipiteet, sosiaalisen median käyttäjätunnukset sekä toimeksisaajan sosiaalisessa mediassa ja muualla toteuttamista tiedotustoimista laaditut raportit, jotka perustuvat julkisiin tai sinun itsesi antamiin tietoihin.
Jos suostut kertomaan kansalaisaloitteisiin liittyvistä kokemuksistasi viestintäkampanjan yhteydessä, käsiteltäviin tietoihin kuuluvat myös lyhyt henkilökuva, ääni-, kuva- ja videotallenteet, ikä, sukupuoli, kiinnostuksen kohteet, kansalaisuus/kielet, puhelinnumero, sähköpostiosoite, sosiaalisen median käyttäjätunnukset, kansalaisuus/kielet sekä komissiolle ja toimeksisaajille lähetetyissä viesteissä ilmaistut mielipiteet.
5. Kuinka kauan henkilötietoja säilytetään?
SG.A.1-yksikkö säilyttää yhteystietosi niin kauan kuin on tarpeen, jotta tietojen keräämisen tai jatkokäsittelyn tarkoitus täyttyy, eli enintään 5 vuoden ajan siitä, kun tiedot on saatu, tai viimeisestä kansalaisaloitteisiin liittyvästä yhteydenotostasi komissioon sen mukaan, kumpi ajankohta on myöhäisempi. Tiedot poistetaan kuitenkin aikaisemmin, jos ilmoitat, että et ole enää tekemisissä kansalaisaloitteiden kanssa (esim. jos työtehtäväsi ovat vaihtuneet).
Tallennettuja kertomuksia kansalaisaloitteisiin liittyvistä kokemuksista säilytetään enintään 3 vuoden ajan tallennuspäivästä. Tällaisten tallenteiden tallentamisen yhteydessä kerättyjä tai laadittuja asiakirjoja (raportit, kirjeenvaihto, rahoitustiedot yms.) säilytetään 10 vuoden ajan. Julkaistut markkinointi-, audiovisuaali- ja koulutusaineistot säilytetään pitkään.
Huomaa, että muiden viestintäkampanjaan liittyvien käsittelytoimien yhteydessä henkilötietojen säilytysajat voivat olla erilaiset, ja ne kerrotaan kyseisten toimien omissa tietosuojaselosteissa.
6. Miten henkilötiedot suojataan?
Kaikki sähköisessä muodossa olevat henkilökohtaiset tiedot (sähköpostiviestit, asiakirjat, tietokannat, verkkoon ladatut tiedot, audiovisuaalinen sisältö yms.) tallennetaan Euroopan komission tai sen toimeksisaajien palvelimille. Kaikessa tietojen käsittelyssä sovelletaan komission päätöstä (EU, Euratom) 2017/46 viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa.
Kun komission toimeksisaajat käsittelevät tietoja komission lukuun, niiden on noudatettava erityistä sopimuslauseketta sekä yleisen tietosuoja-asetuksen (GDPR-asetus (EU) 2016/679) salassapitovelvoitteita. Palvelimet, joilla Netcompany – Intrasoft S.A:n ja European Citizen Action Servicen tietokannat sijaitsevat ja joilla ne tietoja käsittelevät, sijaitsevat poikkeuksetta Euroopan unionin alueella.
Komissio suojaa henkilötietoja useilla teknisillä ja hallinnollisilla toimenpiteillä. Teknisillä toimenpiteillä pyritään varmistamaan verkkoturvallisuus ja pienentämään tietojen häviämisen, muuttamisen ja luvattoman käytön riskiä. Toimenpiteissä otetaan huomioon tietojen käsittelystä johtuvat riskit ja käsiteltävien tietojen luonne. Hallinnollisilla toimenpiteillä varmistetaan, että pääsy henkilötietoihin on vain valtuutetuilla henkilöillä, joilla on perusteltu tarve saada tiedot käsittelyä varten.
7. Kenellä on pääsy henkilötietoihisi ja kenelle tietoja luovutetaan?
Henkilötietoihin voivat tutustua niiden käsittelystä vastaavat komission työntekijät, muut tiedonsaantitarpeen perusteella valtuutetut työntekijät ja toimeksisaajien (Netcompany – Intrasoft S.A ja European Citizen Action Service) valtuutetut työntekijät. Heidän on noudatettava luottamuksellisuussääntöjä ja tarvittaessa myös muita salassapitosopimuksia.
Julkisesti saatavilla olevat yhteystiedot voidaan jakaa muille kansalaisaloitesidosryhmille.
8. Mitä oikeuksia sinulla on henkilötietojesi käsittelyn suhteen, ja miten voit käyttää oikeuksiasi?
Sinulla on ’rekisteröidyn’ oikeudet, joista säädetään asetuksen (EU) 2018/1725 III luvussa (14–25 artikla). Niihin kuuluvat muun muassa oikeus saada pääsy omiin henkilötietoihin, oikeus saada ne oikaistuiksi tai tarvittaessa poistetuiksi, oikeus siirtää ne järjestelmästä toiseen sekä oikeus rajoittaa niiden käsittelyä.
Sinulla on oikeus vastustaa henkilötietojesi käsittelyä, joka suoritetaan lainmukaisesti asetuksen (EU) 2018/1725 5 artiklan 1 kohdan a alakohdan nojalla.
Jos olet antanut suostumuksesi siihen, että rekisterinpitäjä voi tämän tietojenkäsittelytoimen yhteydessä käsitellä henkilötietojasi, voit peruuttaa suostumuksesi milloin tahansa ilmoittamalla siitä rekisterinpitäjälle. Suostumuksen peruutus ei vaikuta ennen peruutusta suoritetun henkilötietojen käsittelyn lainmukaisuuteen.
Voit oikeuksiasi koskevissa asioissa ottaa yhteyttä rekisterinpitäjään tai riitatilanteessa tietosuojavastaavaan. Tarvittaessa voit ottaa yhteyttä myös Euroopan tietosuojavaltuutettuun (ks. kohta ”Yhteystiedot”).
Ilmoita oikeuksia koskevissa yhteydenotoissa, mistä käsittelytoimesta on kyse (eli ilmoita rekisteriviite, joka mainitaan tämän tietosuojaselosteen kohdassa ”Mistä saa lisätietoja?”).
9. Yhteystiedot
- Rekisterinpitäjä
Jos haluat käyttää asetuksen (EU) 2018/1725 mukaisia oikeuksiasi, jos sinulla on kysymyksiä, kommentteja tai ongelmia, tai jos haluat tehdä valituksen henkilötietojesi keräämisestä ja käytöstä, ota yhteyttä rekisterinpitäjään eli (Euroopan komissio, pääsihteeristö, yksikkö SG.A.1 ”Politiikan prioriteetit ja työohjelma”): SG-ECI-mailing@ec.europa.eu
- Komission tietosuojavastaava
Jos asia koskee asetuksen (EU) 2018/1725 mukaista henkilötietojen käsittelyä, voit ottaa yhteyttä komission tietosuojavastaavaan: DATA-PROTECTION-OFFICER@ec.europa.eu.
- Euroopan tietosuojavaltuutettu (EDPS)
Jos katsot, että rekisterinpitäjän suorittama henkilötietojesi käsittely on johtanut asetuksen (EU) 2018/1725 mukaisten oikeuksiesi loukkaamiseen, voit tehdä kantelun Euroopan tietosuojavaltuutetulle: edps@edps.europa.eu.
10. Mistä saa lisätietoja?
Komission tietosuojavastaava pitää julkista rekisteriä kaikista Euroopan komission suorittamista henkilötietojen käsittelytoimista, jotka on dokumentoitu ja joista on tehty ilmoitus tietosuojavastaavalle. Rekisteriin pääsee seuraavasta linkistä: http://ec.europa.eu/dpo-register.
Tässä asiakirjassa kuvattu tietojenkäsittelytoimi on kirjattu tietosuojavastaavan rekisteriin viitteellä DPR-EC-09286.