Operacja przetwarzania danych osobowych: Przetwarzanie adresów e-mail sygnatariuszy zebranych za pośrednictwem centralnego systemu zbierania deklaracji online ustanowionego przez Komisję
Administrator danych: wspólna administracja, w której uczestniczy Komisja Europejska (administrator odpowiedzialny za operację przetwarzania: dział SG.A.1 „Priorytety Polityczne i Program Prac”), z jednej strony, i przedstawiciel grupy organizatorów inicjatywy lub w stosownych przypadkach utworzonego przez nich podmiotu prawnego, z drugiej strony
Numer w rejestrze: DPR-EC-03486
1. Wstęp
Europejska inicjatywa obywatelska (zwana dalej również „EIO”) to instrument demokracji uczestniczącej pozwalający obywatelom proponować konkretne zmiany prawne w każdej dziedzinie, w której Komisja Europejska (zwana dalej „Komisją”) posiada uprawnienia do przedkładania wniosków ustawodawczych. Ramy prawne dotyczące tego instrumentu przedstawiono w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2019/788 z dnia 17 kwietnia 2019 r. w sprawie europejskiej inicjatywy obywatelskiej (zwanym dalej „rozporządzeniem w sprawie EIO”).
Aby można było przedłożyć Komisji ważną europejską inicjatywę obywatelską, grupa organizatorów musi zebrać wśród obywateli UE co najmniej 1 mln deklaracji poparcia, przy czym należy osiągnąć określone wymagane progi w co najmniej siedmiu państwach członkowskich. Osoby udzielające poparcia europejskiej inicjatywie obywatelskiej mogą również podać swój adres e-mail, jeżeli chcą otrzymywać od Komisji i grupy organizatorów informacje o postępach w realizacji danej inicjatywy.
To oświadczenie o ochronie prywatności dotyczy przetwarzania adresów e-mail sygnatariuszy podanych w opisanym powyżej celu za pośrednictwem centralnego systemu zbierania deklaracji online (dalej zwanego „systemem COCS”), który ustanowiła i którym zarządza Komisja.
Nad operacjami przetwarzania adresów e-mail wspólną kontrolę sprawują, z jednej strony, Komisja, a z drugiej strony, przedstawiciel grupy organizatorów danej inicjatywy lub w stosownych przypadkach podmiotu prawnego utworzonego przez tę grupę (dalej zwanych również „organizatorami inicjatywy”). Zakres odpowiedzialności i zadań odpowiednio Komisji i organizatorów jest określony w sposób przejrzysty w umowie o wspólnym administrowaniu danymi. Najważniejsze elementy tej umowy o wspólnym administrowaniu zostały opublikowane na stronie: https://citizens-initiative.europa.eu/how-it-works/data-protection_en
Komisja Europejska jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności osób, których dane dotyczą. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych. Podobnie organizatorzy inicjatywy podlegają przepisom dotyczącym przetwarzania danych osobowych określonym w ogólnym rozporządzeniu o ochronie danych (RODO).
W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób wykorzystywane są pozyskiwane informacje oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podano w nim również dane kontaktowe odpowiednich administratorów danych, u których można dochodzić swoich praw, inspektorów ochrony danych i Europejskiego Inspektora Ochrony Danych.
2. Dlaczego i jak przetwarzamy dane osobowe?
Celem przetwarzania danych osobowych zgodnie z rozporządzeniem w sprawie EIO jest wdrożenie rozporządzenia (UE) 2019/788 w sprawie europejskiej inicjatywy obywatelskiej, a tym samym umożliwienie obywatelom UE skorzystania z przyznanego im w art. 11 ust. 4 Traktatu o Unii Europejskiej prawa do bezpośredniego zwrócenia się do Komisji o przedłożenie wniosku ustawodawczego dotyczącego unijnego aktu prawnego w celu wprowadzenia w życie Traktatów.
W tym kontekście adresy e-mail sygnatariuszy zbiera się po to, aby Komisja i organizatorzy inicjatywy mogli ich informować o postępach w realizacji danej inicjatywy. Sygnatariusze muszą udzielić na to wyraźnej zgody.
Poza tym dane mogą być przetwarzane w kontekście działań wspierających operacje przetwarzania, takich jak rozpatrywanie wniosków osób, których dane dotyczą, wyrywkowe kontrole jakości technicznej, operacje wymagane w związku z utrzymaniem systemu informatycznego oraz wszelkie operacje wymagane zgodnie z prawem.
Przetwarzane dane osobowe mogą zostać ponownie wykorzystane na potrzeby postępowań przed sądami UE, sądami krajowymi, Europejskim Rzecznikiem Praw Obywatelskich lub Europejskim Trybunałem Obrachunkowym.
Dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.
3. Na jakiej podstawie prawnej przetwarzamy dane osobowe?
Przetwarzanie w tym celu jest wyraźnie przewidziane w rozporządzeniu w sprawie EIO (art. 18 ust. 2). Ponieważ jednak podanie adresu e-mail nie jest obowiązkowe przy udzielaniu poparcia inicjatywie, jest ono zatem oparte na odrębnej i wyraźnej zgodzie sygnatariusza, zgodnie z art. 5 ust. 1 lit. d) rozporządzenia (UE) 2018/1725 (i art. 6 ust. 1 lit. a) RODO).
Adresy e-mail jako takie nie kwalifikują się jako dane wrażliwe, których przetwarzanie jest co do zasady zakazane zgodnie z art. 10 ust. 1 rozporządzenia (UE) 2018/1725 (oraz art. 9 ust. 1 RODO). Jednak w zależności od przedmiotu każdej z inicjatyw, której obywatel udzieli poparcia, połączenie danych osobowych z tematem inicjatywy może jednak ujawnić informacje na temat zdrowia, przekonań politycznych, filozoficznych lub religijnych, życia seksualnego lub orientacji seksualnej, pochodzenia rasowego lub etnicznego, a nawet członkostwa w związkach zawodowych. Dane obywateli mogą więc zostać uznane za wrażliwe ze względu na wrażliwy charakter danej inicjatywy.
Zgodnie z art. 10 ust. 2 lit. a) rozporządzenia (UE) 2018/1725 (oraz art. 9 ust. 2 lit. a) RODO) nawet jeśli dane mogą zostać zakwalifikowane jako należące do szczególnej kategorii danych, ich przetwarzanie jest nadal dozwolone z następujących powodów: „osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach (...)”.
4. Jakie dane osobowe gromadzimy i przetwarzamy?
Adresy e-mail sygnatariuszy zbieramy po to, aby informować ich o postępach w realizacji danej inicjatywy. Sygnatariusze muszą udzielić na to wyraźnej zgody.
Ponadto w celu sprawnego przetwarzania, gromadzimy niektóre (meta)dane dotyczące elektronicznego przesłania adresu e-mail, takie jak język wyszukiwarki, adres IP, dane o połączeniu, data i godzina wprowadzenia danych do formularza w formie elektronicznej. Te (meta)dane są przechowywane przez okres nieprzekraczający sześciu miesięcy. Ponadto przy składaniu deklaracji poparcia automatycznie generowany jest niepowtarzalny identyfikator. Identyfikator zostanie zniszczony po upływie okresu przechowywania adresu e-mail.
5. Jak długo przechowujemy dane osobowe?
Standardowy okres zatrzymywania danych wynosi 1 miesiąc od wycofania inicjatywy lub 12 miesięcy od zakończenia okresu zbierania deklaracji lub od przedłożenia inicjatywy Komisji, zależnie od przypadku.
Ten standardowy okres zatrzymywania zostaje przedłużony, jeżeli Komisja określi, w drodze komunikatu, działania, jakie zamierza podjąć w odniesieniu do danej europejskiej inicjatywy obywatelskiej zgodnie z art. 15 ust. 2 rozporządzenia w sprawie EIO. W takiej sytuacji dane muszą zostać zniszczone nie później niż trzy lata po dacie opublikowania takiego komunikatu.
Pozostaje to bez uszczerbku dla prawa do rezygnacji w dowolnym momencie z otrzymywania informacji na temat postępów w realizacji danej inicjatywy.
Można zrezygnować z subskrypcji, klikając na opcję rezygnacji z subskrypcji w otrzymanym e-mailu dotyczącym postępów w realizacji inicjatywy lub wysyłając wiadomość e-mail na adres SG-ECI-mailing@ec.europa.eu. Adres e-mail użytkownika zostanie usunięty z listy w odpowiednim czasie.
6. Jak chronimy i zabezpieczamy dane osobowe?
Wszystkie dane osobowe w formacie elektronicznym są przechowywane na serwerach Komisji. Wszystkie operacje przetwarzania danych prowadzone są zgodnie z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.
Komisja Europejska wprowadziła szereg środków technicznych i organizacyjnych służących ochronie danych osobowych. Środki techniczne obejmują odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, modyfikowania danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem oraz charakterem przetwarzanych danych osobowych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp na potrzeby danej operacji przetwarzania.
7. Kto ma dostęp do danych osobowych i komu są one ujawniane?
Do danych osobowych przechowywanych w systemie COCS mają dostęp wyłącznie specjalnie do tego upoważnieni urzędnicy Komisji zgodnie z zasadą ograniczonego dostępu. Pracownicy ci muszą przestrzegać zobowiązań regulaminowych, a także – w razie potrzeby – dodatkowych zasad zachowania poufności.
Organizatorzy inicjatywy mogą użyć adresów e-mail sygnatariuszy do wysyłania im wiadomości za pomocą specjalnej funkcji w systemie COCS, ale nie mają oni dostępu do danych osobowych sygnatariuszy.
8. Jakie prawa przysługują osobom, których dane dotyczą, i jak można ich dochodzić?
Zgodę na przetwarzanie swojego adresu e-mail można wycofać w dowolnym momencie poprzez powiadomienie któregokolwiek z administratorów danych. Wycofanie zgody nie będzie miało wpływu na zgodność z prawem operacji przetwarzania danych dokonanych przed wycofaniem zgody.
Poza tym sygnatariusze jako „osoby, których dane dotyczą” mają szczególne prawa na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725 (i rozdziału III RODO), w szczególności prawo dostępu do swoich danych osobowych i ich sprostowania, jeżeli dane osobowe są nieprawidłowe lub niekompletne. W niektórych przypadkach osoby, których dane dotyczą, mają prawo usunąć swoje dane osobowe, ograniczyć ich przetwarzanie, wyrazić sprzeciw wobec ich przetwarzania, a także prawo do przenoszenia danych.
Aby skorzystać z tych praw, należy skontaktować się z którymkolwiek z administratorów danych lub (zwłaszcza w przypadku konfliktu) z inspektorem ochrony danych. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Dane kontaktowe tych organów podano poniżej w punkcie 9.
Korzystając z tych praw w odniesieniu do konkretnej operacji przetwarzania, należy w przesłanym wniosku podać opis tej operacji (tj. numer w rejestrze podany w punkcie 10 poniżej).
Wszelkie wnioski o dostęp do danych osobowych będą rozpatrywane w ciągu jednego miesiąca od otrzymania wniosku. Wszelkie inne wnioski wchodzące w zakres art. 18-25 rozporządzenia (UE) 2018/1725 (oraz rozdziału III RODO) będą rozpatrywane w terminie 15 dni roboczych. Termin ten można przedłużyć maksymalnie o kolejne dwa miesiące z uwagi na skomplikowany charakter wniosku lub liczbę wniosków.
9. Dane kontaktowe
Administratorzy danych
W przypadku gdy osoby, których dane dotyczą, chcą dochodzić swoich praw na podstawie rozporządzenia (UE) 2018/1725 i RODO lub mają uwagi, pytania lub zastrzeżenia, bądź też chcą złożyć skargę dotyczącą gromadzenia i wykorzystania danych osobowych, powinny skontaktować się z administratorami danych.
- W przypadku Komisji należy skontaktować się z administratorem danych odpowiedzialnym za operację przetwarzania:
Komisja Europejska
Sekretariat Generalny
Dyrekcja A - „Strategia, Lepsze Stanowienie Prawa i Ład Korporacyjny”
Dział A.1 „Priorytety Polityczne i Program Prac”
B – 1049 Bruksela
Tel. +32 2 29 92165
E-mail: SG-ECI-mailing@ec.europa.eu
- W przypadku przedstawiciela grupy organizatorów lub w stosownych przypadkach podmiotu prawnego utworzonego przez taką grupę dane kontaktowe można znaleźć w rejestrze europejskich inicjatyw obywatelskich online oraz w systemie COCS, na stronie poświęconej konkretnej inicjatywie. Zob.: https://citizens-initiative.europa.eu/find-initiative_en.
Inspektorzy ochrony danych Komisji Europejskiej
- Inspektor ochrony danych Komisji Europejskiej
W kwestiach związanych z przetwarzaniem danych osobowych można skontaktować się z inspektorem ochrony danych (DATA-PROTECTION-OFFICER@ec.europa.eu).
- Inspektor ochrony danych grupy organizatorów (w stosownych przypadkach)
Jeżeli grupa organizatorów wyznaczyła inspektora ochrony danych, można skontaktować się z nim, korzystając z danych kontaktowych dostępnych w rejestrze europejskich inicjatyw obywatelskich online oraz w systemie COCS, na stronie poświęconej konkretnej inicjatywie. Zob.: https://citizens-initiative.europa.eu/home_en.
Urzędy ds. ochrony danych
- Europejski Inspektor Ochrony Danych (EIOD)
Osoby, których dotyczą dane, mają prawo wnieść skargę do Europejskiego Inspektora Ochrony Danych (edps@edps.europa.eu), jeżeli uznają, że ich prawa wynikające z rozporządzenia (UE) 2018/1725 zostały naruszone w wyniku przetwarzania danych osobowych przez administratora danych.
- Krajowe urzędy ds. ochrony danych
Jeżeli sygnatariusz uważa, że jego dane zostały przetworzone niezgodnie z prawem, przysługuje mu prawo do wniesienia skargi do właściwego krajowego organu ds. ochrony danych, w szczególności w państwie członkowskim miejsca zwykłego pobytu, miejsca pracy lub miejsca domniemanego naruszenia. Dane kontaktowe krajowych organów ochrony danych są dostępne na tej stronie: https://citizens-initiative.europa.eu/find-initiative_en.
10. Gdzie można uzyskać dalsze informacje?
Inspektor ochrony danych w Komisji publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Rejestr ten jest dostępny pod adresem: https://ec.europa.eu/info/about-european-commission/service-standards-and-principles/transparency/data-processing-register_en.
Ta konkretna operacja przetwarzania została wpisana do rejestru publicznego inspektora ochrony danych pod następującym numerem: DPR-EC-03486.
