Операция по обработване: Обработване на данни на поддръжници, събрани като част от изявления за подкрепа чрез централната система на Комисията за събиране на изявления за подкрепа онлайн
Администратор на лични данни: Съвместно администриране на личните данни от, от една страна, Европейската комисия (оперативен администратор на лични данни – отдел SG.A.1 „Политически приоритети и работна програма“) и, от друга страна, представителя на групата на организаторите на инициативата или, когато е приложимо, юридическото лице, създадено от групата
Номер на записа: DPR-EC-03486
1. Въведение
Европейската гражданска инициатива (наричана по-нататък също „ЕГИ“) е инструмент за демокрация на участието, който дава възможност на гражданите да предлагат конкретни законодателни промени във всяка област, в която Европейската комисия (наричана по-нататък също „Комисията“) има правомощия да предлага законодателство. Нормативната уредба, приложима за този инструмент, е определена в Регламент (ЕС) 2019/788 на Европейския парламент и на Съвета от 17 април 2019 г. относно гражданската инициатива (наричан по-нататък също „Регламента относно ЕГИ“).
За да подкрепите дадена гражданска инициатива, трябва да предоставите редица лични данни като част от изявление за подкрепа на инициативата. Групата на организаторите на дадена европейска гражданска инициатива трябва да събере поне 1 милион изявления за подкрепа от гражданите на ЕС, като в най-малко 7 държави трябва да бъдат достигнати определени прагове, и тези изявления за подкрепа трябва да бъдат валидирани и удостоверени от държавите членки, за да може да внесе в Комисията валидна инициатива.
Настоящата декларация за поверителност се отнася до обработването на Вашите лични данни, събрани като част от изявления за подкрепа на европейска гражданска инициатива чрез централната система за събиране на изявления за подкрепа онлайн, създадена и управлявана от Комисията.
Операциите по обработване на Вашите данни се извършват при съвместно администриране на личните данни от, от една страна, Комисията и, от друга страна, представителя на групата на организаторите на съответната инициативата или, когато е приложимо, юридическото лице, създадено от такава група (наричани по-нататък също „организатори на инициатива“). Освен това, ако данните Ви, предоставени в изявление за подкрепа, се изпратят за проверка и удостоверяване до компетентните органи на отговорна държава членка, тези органи стават администратори на лични данни по отношение на извършваното от тях обработване.
Съответните отговорности и задължения на Комисията и организаторите се посочват по прозрачен начин в споразумение за съвместно администриране. Основните елементи на споразумението за съвместно администриране са публично достъпни на следния адрес: https://citizens-initiative.europa.eu/how-it-works/data-protection_bg
Комисията е поела ангажимент да защитава Вашите лични данни и да зачита неприкосновеността на личния Ви живот. Комисията събира и обработва лични данни в съответствие с Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни. Организаторите на инициатива и органите на държавите членки подлежат на правилата относно обработването на лични данни, посочени в Общия регламент относно защитата на данните (ОРЗД).
В настоящата декларация за поверителност се обясняват причината за обработването на личните Ви данни, начинът, по който събираме и обработваме лични данни и гарантираме тяхната защита, как се използва информацията и какви са правата Ви във връзка с личните Ви данни. В нея са посочени и координатите за връзка с отговорните администратори на лични данни, пред които можете да упражните правата си, с длъжностното(ите) лице(а) по защита на данните и с Европейския надзорен орган по защита на данните.
Настоящата декларация за поверителност допълва и се основава на текста на декларацията за поверителност в приложение III към Регламента относно ЕГИ, която е неразделна част от нея (вижте точка 10 по-долу).
Забележка: настоящата декларация за поверителност не обхваща обработването на личните Ви данни, предоставени в изявление за подкрепа на хартиен носител. В този случай събирането и обработването на Вашите данни (до изпращането им на държавите членки за проверка) се извършва изцяло при администриране на личните данни от страна на представителя на групата на организаторите. Този администратор на лични данни отговаря за това – в момента на събирането на Вашите данни — да Ви бъде предоставена съответната декларация за поверителност, която включва поне съществените елементи на стандартната декларация за поверителност, посочена в приложение III към Регламента относно ЕГИ. В случай че последващото изпращане на събраните изявления за подкрепа до държавите членки за проверка се извърши от Комисията чрез нейната услуга за обмен на файлове при съвместно администриране на личните данни с представителя, Комисията няма да има достъп до Вашите данни и няма да е в състояние да Ви предостави допълнителна декларация за поверителност. В настоящата декларация за поверителност е посочена само съответната информация относно приложимите в този случай срокове за съхранение на данните.
2. Защо и как обработваме личните Ви данни?
Общата цел на обработването на Вашите данни, за което се отнася настоящата декларация за поверителност, е прилагането на Регламент (ЕС) 2019/788 относно европейската гражданска инициатива и съответно осигуряване на възможност гражданите на ЕС да упражняват правото, предоставено им с член 11, параграф 4 от Договора за Европейския съюз, да се обръщат директно към Комисията с искане за представяне на предложение за правен акт на Съюза за целите на прилагането на Договорите.
Вашите данни могат да бъдат обект на следните основни операции по обработване:
- събиране на Вашето изявление за подкрепа чрез онлайн формуляра или електронна идентификация и последващото му съхранение в системата за събиране на изявления за подкрепа онлайн;
- изпращане на Вашето изявление за подкрепа до държавите членки за проверка;
- проверка и удостоверяване на Вашето изявление за подкрепа от държавата членка, на която сте гражданин (тази операция по обработване се извършва при администриране от страна на компетентния орган на държавата членка).
В тази връзка могат да бъдат разграничени следните по-конкретни цели:
- да Ви се предостави възможност да подкрепяте европейски граждански инициативи онлайн;
- Вашето изявление за подкрепа да се изпрати по сигурен начин до компетентната държава членка за проверка;
- да се предостави възможност на компетентните органи на държавата членка (администратори на лични данни за тази операция по обработване) да проверят Вашето изявление за подкрепа, за да може Комисията да потвърди валидността на подкрепената от Вас европейска гражданска инициатива, когато бъде внесена за разглеждане.
Освен това Вашите данни могат да бъдат обработвани в контекста на поддържащи операции, като например разглеждане на искания на субекти на данни, технически проверки за качество, операции във връзка с поддръжката на ИТ системата и всяка подобна операция, която може да е предвидена по закон.
Обработените лични данни могат да бъдат използвани повторно за целите на процедури пред съдилищата на ЕС, националните съдилища, Европейския омбудсман или Европейската сметна палата.
Личните Ви данни няма да бъдат използвани за автоматизирано вземане на решения, включително профилиране.
3. На какво(и) правно(и) основание(я) обработваме личните Ви данни?
Обработваме Вашите данни, предоставени като част от изявление за подкрепа, за да можете да изразите подкрепата си за дадена европейска гражданска инициатива. Обработването на Вашите данни служи за постигането на напредък по конкретна инициатива, за да може в крайна сметка въпросите, повдигнати в нейните рамки, да стигнат до вниманието на институциите на Съюза. Тъй като по този начин Европейската гражданска инициатива подобрява демократичното функциониране на Съюза, обработването служи на обществения интерес в съответствие с член 5, параграф 1, буква а) от Регламент (ЕС) 2018/1725 и член 6, параграф 1, буква д) от ОРЗД.
Освен това съгласно член 10 и член 12, параграф 3 от Регламента относно ЕГИ Комисията е длъжна съответно да създаде и осигури функционирането на централна система за събиране на изявления за подкрепа онлайн, за да предостави възможност за събиране на изявления за подкрепа онлайн, и да изпраща на държавите членки за проверка изявленията за подкрепа, събрани чрез централната система за събиране на изявления за подкрепа онлайн, ако изискваният брой изявления за подкрепа е достигнат (вижте също член 12, параграф 2). Като осигурява възможност за обработването, извършвано чрез централната система за събиране на изявления за подкрепа онлайн (включително изпращането до държавите членки), Комисията изпълнява правно задължение и следователно обработването е законосъобразно и въз основа на член 5, параграф 1, буква б) от Регламент (ЕС) 2018/1725 и член 6, параграф 1, буква в) от ОРЗД.
Данните, които предоставяте като част от изявление за подкрепа, не могат сами по себе си да бъдат квалифицирани като чувствителни данни, чието обработване по принцип е забранено съгласно член 10, параграф 1 от Регламент (ЕС) 2018/1725 и член 9, параграф 1 от ОРЗД. В същото време връзката между Вашите данни и подкрепяната инициатива може да разкрие информация за Вашето здраве, политически, философски или религиозни убеждения или вярвания, политическа принадлежност, сексуален живот или сексуална ориентация, расов или етнически произход или дори членство в синдикална организация в зависимост от предмета на съответната инициатива. Следователно данните Ви могат да са чувствителни поради темата на съответната инициатива.
В съответствие с член 10, параграф 2, буква ж) от Регламент (ЕС) 2018/1725 и член 9, параграф 2, буква ж) от ОРЗД, въпреки че данните Ви могат да бъдат квалифицирани като специална категория данни, тяхната обработка е разрешена поради следната причина: обработването е необходимо по причини от важен обществен интерес на основание на правото на Съюза, което е пропорционално на набелязаната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.
В това отношение в съображение (12) от Регламента относно ЕГИ се пояснява: Въпреки че личните данни, обработвани съгласно настоящия регламент, могат да включват чувствителни данни, предвид естеството на европейската гражданска инициатива като инструмент за демокрация на участието е оправдано да се изисква предоставянето на лични данни с оглед на подкрепата за дадена инициатива и тези данни да бъдат обработвани, доколкото е необходимо, за да може изявленията за подкрепа да се проверят съгласно националното право и практика.
4. Какви лични данни събираме и впоследствие обработваме?
За целите на регистрирането на Вашата подкрепа за дадена гражданска инициатива събираме различни възможни набори от данни в зависимост от избрания от Вас начин на подкрепа и Вашето гражданство.
При попълване на формуляра за изявление за подкрепа онлайн се събира един от двата възможни набора данни, както е посочено в приложение III към Регламента относно ЕГИ:
Набор А:
- гражданство,
- пълни собствени имена,
- фамилни имена,
- адрес на пребиваване (улица, номер, пощенски код, град, държава),
- дата на раждане.
Набор Б:
- гражданство,
- пълни собствени имена,
- фамилни имена,
- личен идентификационен номер/номер на документ за самоличност,
- вид на личния идентификационен номер или на документа за самоличност.
Съгласно член 9, параграф 4 от Регламента относно ЕГИ държавите членки могат да избират кой набор от данни да използват — А или Б. Към 1 януари 2020 г. (датата на началото на прилагането на Регламента относно ЕГИ) набор А бе избран от 9 държави членки (Германия, Гърция, Дания, Ирландия, Люксембург, Нидерландия, Словакия, Финландия и Франция), а набор Б — от 18 държави членки (Австрия, Белгия, България, Естония, Испания, Италия, Кипър, Латвия, Литва, Малта, Полша, Португалия, Румъния, Словения, Унгария, Хърватия, Чехия и Швеция).
Държавите членки могат да променят този избор в бъдеще, без това да бъде отразено в настоящата декларация за поверителност.
Ако подкрепите ЕГИ, като използвате средство за електронна идентификация, Вашите лични данни се импортират от националната система за електронна идентификация. Съответните данни са определени съгласно Регламента относно електронната идентификация и удостоверителните услуги (Регламент (ЕС) № 910/2014), както следва:
- настоящо фамилно име (или имена),
- настоящо собствено име (или имена),
- дата на раждане,
- уникален идентификатор.
В този случай се събират и данни за Вашето гражданство въз основа на националната система за електронна идентификация, която използвате за автентификация.
Освен това с цел ефективно обработване събираме някои (мета)данни, свързани с електронното предаване/изпращане на изявленията за подкрепа, а именно Вашия IP адрес, данни за връзката, време на електронното въвеждане на данните във формуляра в системата за събиране на изявления за подкрепа онлайн. Тези (мета)данни се съхраняват за максимален срок от шест месеца. Освен това при изпращането на изявление за подкрепа автоматично се генерира уникален идентификатор. Идентификаторът се унищожава в края на срока за събиране на изявления за подкрепа. Ако субектът на данни е предоставил и електронен адрес, идентификаторът се унищожава в края на срока на съхранение на електронния адрес.
5. Колко време съхраняваме личните Ви данни?
Стандартният срок на съхранение е 21 месеца от началото на срока за събиране.
Стандартният срок на съхранение се намалява в следните случаи:
- той изтича един месец след внасянето на инициативата в Комисията в съответствие с член 13 от Регламента относно ЕГИ и
- той изтича един месец след оттеглянето, ако инициативата бъде оттеглена след началото на периода на събиране, както е посочено в член 7 от Регламента относно ЕГИ.
Стандартният срок на съхранение се удължава, ако това е необходимо за целите на съдебно или административно производство, свързано със съответната инициатива. В този случай данните се унищожават в срок от един месец след датата, на която производството приключи с окончателно решение.
В контекста на пандемията от COVID-19 стандартните срокове за съхранение на данни, определени в член 19, параграф 5 от Регламента относно ЕГИ, бяха удължени за инициативи, чийто срок за събиране на данни беше удължен въз основа на Регламент (ЕС) 2020/1042 — максималният срок на удължаване е 12 месеца.
Гореописаните срокове за съхранение на данните се прилагат също така за:
- съхранението на изявления за подкрепа, събрани на хартиен носител и качени от организаторите на ЕГИ в системата на услугата на Комисията за обмен на файлове с оглед изпращането им до държавите членки за проверка, и
- държавите членки, в случай че те проверяват събраните изявления за подкрепа.
6. Как съхраняваме и гарантираме защитата на личните Ви данни?
Всички лични данни се съхраняват в електронен формат на сървърите на Комисията. Всички операции по обработване на данни се извършват в съответствие с Решение (ЕС, Евратом) 2017/46 на Комисията от 10 януари 2017 г. относно сигурността на комуникационните и информационните системи в Европейската комисия.
За да защити личните Ви данни, Комисията е въвела редица технически и организационни мерки. Техническите мерки включват подходящи действия по отношение на сигурността онлайн и риска от загуба на данни, от промяна на данните или от неразрешен достъп, като се вземат предвид свързаният с обработването риск и естеството на обработваните лични данни. Организационните мерки включват предоставяне на достъп до личните данни единствено на оправомощени лица със законна необходимост да получат достъп до информацията (принцип „необходимост да се знае“) за целите на операцията по обработване.
7. Кой има достъп до личните Ви данни и на кого се предоставят те?
Само служители на Комисията, упълномощени специално въз основа на принципа „необходимост да се знае“, имат достъп до Вашите данни, когато те се съхраняват в централната система за събиране на изявления за подкрепа онлайн. Тези служители работят при спазване на законоустановените изисквания, а при необходимост — и на допълнителни споразумения за поверителност.
В случай че за съответната инициатива е събран необходимият брой изявления за подкрепа, Комисията (по искане на организаторите) ги изпраща на компетентните органи на отговорните държави членки за проверка и удостоверяване в съответствие с член 12, параграф 2 и параграф 3 от Регламента относно ЕГИ.
8. Какви са правата Ви и как можете да ги упражните?
В качеството си на „субект на данните“ разполагате с конкретни права, предвидени в глава ІІІ (членове 14—25) от Регламент (ЕС) 2018/1725 и глава III от ОРЗД, и по-специално право на достъп до Вашите лични данни и право на коригиране, ако личните Ви данни са неточни или непълни. В някои случаи имате право да поискате личните Ви данни да бъдат изтрити, да ограничите обработването им и да възразите срещу обработването им.
Що се отнася до правото на възражение срещу обработването на личните Ви данни, упражняването на това право трябва да се основава на съображения, свързани с Вашата конкретна ситуация.
Можете да упражните правата си, като се свържете с който и да е от съвместните администратори на лични данни или (по-специално в случай на конфликт) — с длъжностното(ите) лице(а) по защита на данните. При необходимост можете да се обърнете и към Европейския надзорен орган по защита на данните. Координатите за връзка с тях са посочени в точка 9 по-долу.
Ако желаете да упражните правата си в контекста на една или няколко конкретни операции по обработване, посочете в искането си тяхното описание (т.е. номерата на записите в съответствие с посоченото в точка 10 по-долу).
Всяко искане за достъп до лични данни се разглежда в срок от един месец от неговото получаване. Всяко друго искане, което попада в обхвата на членове 18—25 от Регламент (ЕС) 2018/1725 и глава III от ОРЗД, ще бъде разгледано в срок от 15 работни дни. При необходимост този срок може да бъде удължен с още два месеца, като се вземат предвид сложността и броят на исканията.
9. Координати за връзка
Администратори на лични данни
Ако желаете да упражните правата си съгласно Регламент (ЕС) 2018/1725 и ОРЗД, ако имате коментари, въпроси или опасения или ако желаете да подадете жалба относно събирането и използването на личните Ви данни, моля, свържете се с един от съвместните администратори на лични данни.
- Що се отнася до Комисията, моля, използвайте следните координати за връзка с оперативния администратор на лични данни:
European Commission
Secretariat-General
Directorate A ‘Strategy, Better Regulation & Corporate Governance’
Unit A.1 ‘Policy Priorities & Work Programme’
B – 1049 Brussels
Тел. +32 2 29 92165
Ел. адрес: SG-ECI-mailing@ec.europa.eu
- Що се отнася до представителя на групата на организаторите или, когато е приложимо, юридическото лице, създадено от такава група, техните координати за връзка могат да бъдат намерени в онлайн регистъра на ЕГИ, както и в централната система за събиране на изявления за подкрепа онлайн, на страниците, посветени на съответната инициатива. Вижте: https://citizens-initiative.europa.eu/find-initiative_bg
В случай че Вашите данни, посочени в изявление за подкрепа, се изпратят за проверка и удостоверяване до компетентните органи на отговорна държава членка, тези органи стават администратори на лични данни по отношение на извършваното от тях обработване. Можете да се обърнете към тях с Вашите коментари, въпроси или искания относно обработването на данните Ви, като използвате координатите за връзка, посочени на следния адрес: https://citizens-initiative.europa.eu/how-it-works/data-protection_bg
Длъжностни лица по защита на данните
- Длъжностно лице по защита на данните (ДЛЗД) на Комисията
По въпроси, свързани с обработването на личните Ви данни, можете да се свържете с длъжностното лице по защита на данните на електронен адрес DATA-PROTECTION-OFFICER@ec.europa.eu.
- Длъжностно лице по защита на данните в групата на организаторите (ако има такова)
В случай че групата на организаторите е определила длъжностно лице по защита на данните, можете да се свържете и с това лице, като използвате координатите за връзка, посочени в онлайн регистъра на ЕГИ, както и в централната система за събиране на изявления за подкрепа онлайн, на страниците, посветени на съответната инициатива. Вижте: https://citizens-initiative.europa.eu/find-initiative_bg
Органи за защита на данните
- Европейски надзорен орган по защита на данните (ЕНОЗД)
Ако считате, че правата Ви съгласно Регламент (ЕС) 2018/1725 са били нарушени в резултат на обработването на личните Ви данни от администратора на лични данни, имате право да подадете жалба пред Европейския надзорен орган по защита на данните (edps@edps.europa.eu).
- Национални органи за защита на данните
Освен това имате право да подадете жалба до компетентен национален орган за защита на данните, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако смятате, че личните Ви данни са обработвани незаконосъобразно. Координати за връзка с националните органи за защита на данните ще намерите на следния адрес: https://citizens-initiative.europa.eu/how-it-works/data-protection_bg
10. Къде можете да намерите допълнителна информация?
В приложение III към Регламента относно ЕГИ са посочени основните елементи на декларацията за поверителност във връзка с изявленията за подкрепа, събрани чрез централната система за събиране на изявления за подкрепа онлайн, както следва:
В съответствие с Регламент (ЕС) 2018/1725 и Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) личните ви данни, предоставени с този формуляр, ще се използват само за подкрепа на инициативата и ще се предоставят на компетентните национални органи с цел проверка и удостоверяване. Имате право да поискате от Европейската комисия и от представителя на групата на организаторите на инициативата или, когато е приложимо, от учреденото от нея юридическо лице достъп до личните ви данни, както и коригиране, изтриване и ограничаване на обработването на личните ви данни. Вашите данни ще се съхраняват от Европейската комисия за максимален срок на съхранение, съответстващ на по-краткия от следните два срока: един месец след внасянето на инициативата в Европейската комисия или 21 месеца след началото на срока за събиране на изявления за подкрепа. Те могат да бъдат съхранявани след изтичането на тези срокове в случай на административни или съдебни производства, за максимален срок от един месец след датата на приключване на тези производства. Без да се засягат други административни или съдебни правни средства за защита, имате право да подадете по всяко време жалба до Европейския надзорен орган по защита на данните или до орган за защита на данните, по-специално в държавата членка на обичайното ви местопребиваване, място на работа или място на предполагаемото нарушение, ако считате, че личните ви данни са обработвани незаконосъобразно. Европейската комисия и представителят на групата на организаторите на тази инициатива или, когато е приложимо, учреденото от нея юридическо лице са съвместни администратори по смисъла на Регламент (ЕС) 2018/1725 и на Общия регламент относно защитата на данните и може да се свържете с тях, като използвате информацията, посочена в този формуляр. Информацията за връзка с длъжностното лице по защита на данните на групата на организаторите (ако има такова) се намира на адреса на уебсайта на инициативата в регистъра на Европейската комисия, посочен в точка 4 от този формуляр. Информацията за връзка с длъжностното лице по защита на данните на Европейската комисия, с националния орган, който ще получава и обработва личните ви данни, с Европейския надзорен орган по защита на данните и с националните органи за защита на данните се намира на следния адрес: http://ec.citizens-initiative.europa.eu/public/data-protection.
Длъжностното лице по защита на данните (ДЛЗД) на Комисията публикува регистър на всички операции по обработване на лични данни от страна на Комисията, които са били документирани и са му били съобщени. За достъп до регистъра използвайте следния адрес: http://ec.europa.eu/dpo-register.
Тази конкретна операция по обработване е включена в публичния регистър на ДЛЗД под следния номер на запис: DPR-EC-03486.