Operacja przetwarzania danych: Promowanie i umożliwienie działania europejskiej inicjatywy obywatelskiej (EIO) dzięki internetowej platformie współpracy (forum europejskiej inicjatywy obywatelskiej)
Administrator danych: Komisja Europejska
Administrator danych odpowiedzialny za operację przetwarzania: Dział SG.DSG1.A.1 „Priorytety Polityczne i Program Prac”
Numer w rejestrze: DPR-EC-00828
1. Wstęp
W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy, oraz jak zapewniamy ich ochronę, a także w jaki sposób pozyskiwane dane są wykorzystywane oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podano w nim również dane kontaktowe odpowiedniego administratora danych, u którego można dochodzić swoich praw, inspektora ochrony danych i Europejskiego Inspektora Ochrony Danych.
Komisja Europejska (zwana dalej „Komisją”) jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności osób, których dane dotyczą. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylające rozporządzenie (WE) nr 45/2001).
To oświadczenie o ochronie prywatności dotyczy operacji przetwarzania na internetowej platformie współpracy europejskiej inicjatywy obywatelskiej (dalej „Platforma”) wykonywanych przez dział SG.DSG1.A.1. „Priorytety Polityczne i Program Prac”.
Obsługę Platformy Komisja zleciła wykonawcy zewnętrznemu („operator platformy”). Wykonawcą tym jest EUROPEAN CITIZEN ACTION SERVICE, organizacja non-profit zarejestrowana zgodnie z prawem belgijskim, z siedzibą pod adresem: Avenue de la Toison d’or, 77, B-1060 Bruksela, Belgia. Operator platformy działa w imieniu Komisji jako przetwarzający dane w zakresie danych osobowych zarejestrowanych użytkowników.
2. Dlaczego i jak przetwarzamy dane osobowe?
Cel przetwarzania danych:
Platforma zapewnia wsparcie w przygotowaniu europejskich inicjatyw obywatelskich i pobudza dyskusje na ich temat oraz na temat samego tego instrumentu i jego wdrożenia [1].
Platforma służy obecnym i potencjalnym organizatorom inicjatyw obywatelskich, ekspertom, zainteresowanym stronom społeczeństwa obywatelskiego, Komisji i innym instytucjom, a w bardziej ogólnym ujęciu wszystkim obywatelom zainteresowanym europejską inicjatywą obywatelską.
Platforma ma pomagać (potencjalnym) organizatorom zainteresowanym wystąpieniem z inicjatywą obywatelską w znalezieniu partnerów w Europie w celu utworzenia wymaganej grupy organizatorów, w sformułowaniu treści inicjatywy wraz z bardziej doświadczonymi uczestnikami, w przygotowaniu kampanii, zdobyciu wiedzy o pozyskiwaniu funduszy i prowadzeniu kampanii, a także ma umożliwiać wymianę doświadczeń i najlepszych praktyk z innymi organizatorami. Platforma umożliwia również wszystkim zainteresowanym obywatelom uczestnictwo w dyskusjach na temat zarówno inicjatyw na różnych etapach jak i horyzontalnych aspektów funkcjonowania tego instrumentu, jakim jest europejska inicjatywa obywatelska. Mogą też śledzić te dyskusje.
Główne elementy platformy stanowią:
forum informacyjno-dyskusyjne, czyli dyskusje online i artykuły na blogu na tematy związane z europejską inicjatywą obywatelską służące wspieraniu interakcji między członkami społeczności zebranej wokół europejskiej inicjatywy obywatelskiej, wymianie informacji i najlepszych praktyk, identyfikacji partnerów itp.
przestrzeń edukacyjna zawierająca materiały pomocnicze na temat istotnych aspektów dotyczących poszczególnych etapów inicjatywy oraz
dział pomocy, czyli mechanizm odpowiadania na zapytania i udzielania bezpośredniego wsparcia.
Dane osobowe gromadzimy i wykorzystujemy, aby umożliwić połączenie i dalszą interakcję z platformą i innymi zarejestrowanymi użytkownikami oraz aby ułatwić budowanie społeczności oraz współpracę i wymianę informacji między użytkownikami. W szczególności nazwisko i ewentualne zdjęcie użytkownika pojawią się przy różnych wpisach, które użytkownik może zamieścić na platformie, a inni użytkownicy będą mogli zapoznać się z informacjami znajdującymi się na profilu tego pierwszego (z wyjątkiem adresu e-mail). Dane osobowe użytkownika mogą się również pojawiać w wynikach wyszukiwania prowadzonego przez innych użytkowników na podstawie kryteriów „kraj zamieszkania” i „obszar zainteresowań”.
Dane osobowe gromadzimy i przetwarzamy w następujący sposób:
Niektóre dane są przetwarzane w sposób zautomatyzowany. W szczególności:
Przy pierwszym połączeniu z platformą, gdy użytkownik rejestruje się jako zarejestrowany użytkownik platformy (poprzez kliknięcie odpowiedniej rubryki w formularzu internetowym), do profilu użytkownika automatycznie importowane są jego imię, nazwisko i adres e-mail z aplikacji EU Login (w której zarejestrowani użytkownicy musieli się najpierw zarejestrować i zalogować) [2];
Po rejestracji, nazwisko i ewentualne zdjęcie użytkownika będą automatycznie publikowane przy każdym jego wpisie, jaki opublikuje na platformie.
Użytkownik wprowadza, zapisuje i edytuje ręcznie w swoim profilu użytkownika dane osobowe i inne informacje (z wyjątkiem danych zaimportowanych z „EU Login”).
Przekazanie adresu e-mail osoby innemu zarejestrowanemu użytkownikowi wymaga wyraźnej zgody tej osoby.
Inne operacje przetwarzania danych użytkowników są przeprowadzane przez operatora platformy ręcznie (w formie elektronicznej). W szczególności dotyczy to następujących operacji:
rozpatrywanie wniosków dotyczących ochrony danych (w szczególności wniosków o usunięcie profilu użytkownika wysłanych mailem).
Przetwarzane dane osobowe mogą zostać ponownie wykorzystane na potrzeby postępowań przed sądami UE, sądami krajowymi, Europejskim Rzecznikiem Praw Obywatelskich lub Europejskim Trybunałem Obrachunkowym.
Dane osobowe nie będą wykorzystywane do celów zautomatyzowanego podejmowania decyzji, w tym do profilowania.
3. Na jakiej podstawie prawnej przetwarzamy dane osobowe?
Platforma jest wdrażana na mocy art. 4 ust. 2 rozporządzenia 2019/788 w sprawie europejskiej inicjatywy obywatelskiej.
W przypadku użytkownika zewnętrznego przetwarzanie obowiązkowo podanych przez niego danych jest zgodne z prawem na mocy art. 5 ust. 1 lit. a) i b) rozporządzenia (UE) 2018/1725 dotyczącego sytuacji, w której „przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej instytucji lub organowi Unii” oraz „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”.
Przetwarzanie dodatkowych danych dostarczonych fakultatywnie opiera się na zgodzie użytkownika, jest zatem zgodne z prawem na mocy art. 5 ust. 1 lit. d) rozporządzenia (UE) 2018/1725, czyli zapisu dotyczącego sytuacji, w której „osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
Przetwarzane dane użytkownika traktowane osobno nie należą do jednej z kategorii, których przetwarzanie jest zabronione na mocy art. 10 ust. 1 rozporządzenia (UE) 2018/1725 („szczególne kategorie danych osobowych”), chyba że występuje jedna z przyczyn wymienionych w art. 10 ust. 2 rozporządzenia (UE) 2018/1725. Jednak fakt podejmowania działań na platformie celem zorganizowania konkretnej inicjatywy może ujawniać poglądy polityczne. Dane osobowe mogą zostać zatem uznane za wrażliwe ze względu na politycznie wrażliwy charakter danej inicjatywy.
W zależności od tematyki i wrażliwego charakteru inicjatywy, przetwarzane dane osobowe mogą być uważane za ujawniające poglądy polityczne.
W tym przypadku przetwarzanie nie jest zabronione, ponieważ wynika z wyrażonej zgody na przetwarzanie danych osobowych w określonych celach zgodnie z art. 10 ust. 2 lit. a).
W przypadku administratora platformy, jego dane są przetwarzane na podstawie umowy, o której mowa w art. 5 ust. 1 lit. c) („operator platformy”) i art. 5 ust. 1 lit. a) i b) (pracownicy Komisji odpowiedzialni za europejską inicjatywę obywatelską lub za narzędzie informatyczne platformy) rozporządzenia 2018/1725.
4. Jakie dane osobowe gromadzimy i przetwarzamy?
Aby połączyć się z platformą jako zarejestrowany użytkownik (dotyczy to także administratorów platformy), należy najpierw zarejestrować się za pośrednictwem systemu uwierzytelniania EU Login Komisji Europejskiej.
Dane przekazane przy tej okazji objęte są oświadczeniem o ochronie prywatności wydanym przez Komisję Europejską w ramach systemu zarządzania uprawnieniami i tożsamością użytkowników (IAMS)[3].
Po ukończeniu rejestracji i identyfikacji za pośrednictwem systemu uwierzytelniania EU Login, przy pierwszym połączeniu z platformą utworzony zostanie profil użytkownika w bazie danych platformy, do którego automatycznie zostaną zaimportowane z bazy danych prowadzonej przez IAMS imię, nazwisko i adres e-mail.
Następnie, w celu uzupełnienia profilu użytkownika, zostaje on poproszony o podanie następujących danych osobowych/informacji (fakultatywne):
obywatelstwo
preferowany język
kraj zamieszkania
grupa wiekowa
płeć
obszar zainteresowań
zawód/funkcja
doświadczenie i uzasadnienie chęci korzystania z platformy
zdjęcie
Wpisy i komentarze na platformie oraz korespondencja z działem pomocy mogą również zawierać dane osobowe lub być za takie uważane.
5. Jak długo przechowujemy dane osobowe?
Dane osobowe przechowujemy wyłącznie przez okres konieczny do osiągnięcia celu, gromadzenia i przetwarzania danych. Stosuje się następujące terminy:
Informacje podane podczas rejestracji w systemie uwierzytelniania EU Login
Terminy przechowywania danych w systemie uwierzytelniania EU Login zostały określone w oświadczeniu o ochronie prywatności w systemie zarządzania tożsamością Komisji Europejskiej [4].
Dane podane w ramach profilu użytkownika (zarejestrowanego użytkownika, w tym administratora platformy)
Dane osobowe znajdujące się w profilu użytkownika, w tym wpisy i komentarze na platformie oraz korespondencja z działem pomocy, będą przechowywane w serwisie, dopóki użytkownik będzie aktywny, nie usunie samodzielnie danych ze swojego profilu i nie zażąda od administratora platformy usunięcia z niej swojego profilu użytkownika.
Po dwóch latach ciągłej nieaktywności profil użytkownika zostanie usunięty automatycznie bez potrzeby składania konkretnego wniosku o to.
W celu zapewnienia ciągłości funkcjonowania platformy i spójności jej zawartości, w przypadku ewentualnego usunięcia profilu użytkownika (na jego wniosek lub automatycznie po dwóch latach braku aktywności na platformie) jego wpisy i komentarze oraz korespondencja z działem pomocy będą nadal przechowywane na platformie, z zachowaniem anonimowości .
6. Jak chronimy i zabezpieczamy dane osobowe?
Komisja Europejska wprowadziła szereg środków technicznych i organizacyjnych służących ochronie danych osobowych. Środki techniczne obejmują m.in. odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, zmiany danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem danych osobowych oraz charakteru przetwarzanych danych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp w celu ich przetwarzania.
Wszystkie dane osobowe w formacie elektronicznym (wiadomości e-mail, dokumenty, bazy danych, przesłane zbiory danych itp.) są przechowywane na serwerach Komisji Europejskiej albo jej wykonawców (i podwykonawców).
Baza danych platformy jest bezpiecznie przechowywana w usłudze hostingowej Centrum Danych Komisji. Zespół IT regularnie instaluje poprawki i aktualizacje, aby zapewnić ochronę serwerów przed włamaniami i szkodliwym dostępem. Wszystkie operacje przetwarzania prowadzone z wykorzystaniem systemów teleinformatycznych Komisji Europejskiej podlegają decyzji Komisji (UE, Euratom) 2017/46 w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej z dnia 10 stycznia 2017 r.
7. Kto ma dostęp do danych osobowych i komu są one ujawniane?
Dostęp do danych osobowych mają pracownicy Komisji i operatora platformy odpowiedzialni za prowadzenie danej operacji przetwarzania danych. Dostęp jest ograniczony zgodnie z zasadą ograniczonego dostępu, a odpowiedni pracownicy muszą przestrzegać zobowiązań regulaminowych (w przypadku Komisji) oraz umownych (w przypadku podmiotu przetwarzającego dane) zasad poufności.
Imię i nazwisko użytkownika oraz ewentualne zdjęcie będą wyświetlane obok wszelkich treści publikowanych przez niego na platformie, a tym samym – widoczne dla wszystkich.
Dane i informacje zawarte w profilu użytkownika (z wyjątkiem adresu e-mail) będą widoczne dla wszystkich zarejestrowanych użytkowników.
Pełna treść profilu użytkownika wraz z adresem e-mail będzie widoczna dla administratorów platformy.
Adres e-mail, będący częścią profilu użytkownika, zostanie przekazany innym zarejestrowanym użytkownikom tylko wtedy, gdy użytkownik wyraźnie zgodzi się na przekazanie tych danych za pomocą specjalnej funkcji platformy:
Jeśli inny zarejestrowany użytkownik chce się skontaktować osobiście z danym użytkownikiem, może wypełnić formularz kontaktowy dostępny na platformie, podając imię i nazwisko użytkownika-odbiorcy oraz treść wiadomości, która ma zostać wysłana. Następnie dany użytkownik otrzyma wiadomość od tego użytkownika na swój adres e-mail, którego używa do logowania się do swojego konta EU Login. Jako nadawca wiadomości wyświetlony zostanie adres e-mail użytkownika, który nawiązuje kontakt. Wysłanie do niego odpowiedzi spowoduje przekazanie mu adresu e-mail odpowiadającego użytkownika.
W przypadku gdy to dany użytkownik zechce skontaktować się osobiście z innym użytkownikiem platformy, będzie musiał skorzystać z tej samej funkcji platformy i tym samym podać swój adres e-mail innemu użytkownikowi.
Informacje, które gromadzimy, nie zostaną przekazane żadnej osobie trzeciej, z wyjątkiem zakresu i celu, w jakim możemy tego dokonać na mocy prawa.
8. Jakie prawa przysługują osobom, których dane dotyczą, i jak mogą ich dochodzić?
Użytkownicy jako „osoby, których dane dotyczą” mają szczególne prawa na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725, w szczególności prawo dostępu do swoich danych osobowych i ich sprostowania, jeżeli dane osobowe są nieprawidłowe lub niekompletne . Użytkownicy mają prawo zażądać usunięcia swoich danych osobowych i ograniczenia ich przetwarzania, a także prawo wnieść sprzeciw wobec przetwarzania ich danych osobowych .
Przetwarzanie fakultatywnych danych osobowych podanych przez użytkownika w profilu użytkownika wynika z udzielonej przez niego zgody. Zgodę można wycofać w każdym momencie przez usunięcie odpowiednich informacji ze swojego profilu użytkownika lub kontaktując się z administratorem danych. Wycofanie zgody nie będzie miało wpływu na zgodność z prawem operacji przetwarzania danych dokonanych przed wycofaniem zgody.
Można skorzystać ze swoich praw, kontaktując się z administratorem danych lub przetwarzającym dane (operatorem platformy), a w przypadku konfliktu, z inspektorem ochrony danych i w razie konieczności – z Europejskim Inspektorem Ochrony Danych, korzystając z danych kontaktowych zamieszczonych poniżej w pkt 9.
W odniesieniu do informacji dostarczonych w toku rejestracji w systemie uwierzytelniania EU Login proszę sprawdzić szczegółowe oświadczenie o ochronie prywatności dotyczące systemu zarządzania tożsamością Komisji Europejskiej [4].
Aby skorzystać ze swoich praw w odniesieniu do jednej lub kilku konkretnych operacji przetwarzania, należy w przesłanym wniosku podać opis operacji (tj. ich numer w rejestrze podany pkt 9 poniżej).
Wszelkie wnioski o dostęp do danych osobowych zostaną rozpatrzone w ciągu jednego miesiąca po otrzymaniu wniosku. Wszelkie inne wnioski, o których mowa powyżej, zostaną rozpatrzone w ciągu 15 dni roboczych.
Można również korzystać bezpośrednio ze swoich praw dotyczących informacji dostarczonych w ramach profilu zarejestrowanego użytkownika: można samodzielnie, bezpośrednio sprawdzać, zmieniać, aktualizować i usuwać dane ze swojego profilu użytkownika w trybie online (z wyjątkiem danych zaimportowanych z systemu uwierzytelniania EU Login).
9. Dane kontaktowe
Aby skorzystać z praw przysługujących na podstawie rozporządzenia (UE) 2018/1725 bądź też aby przesłać uwagi, pytania lub zastrzeżenia, lub ewentualnie aby złożyć skargę w związku z gromadzeniem i wykorzystywaniem danych osobowych, należy skontaktować się z:
Administratorem danych odpowiedzialnym za operację przetwarzania:
European Commission
Secretariat General
Directorate A 'Strategy, Better Regulation & Corporate Governance'
Unit A.1 'Policy Priorities & Work Programme '
B – 1049 Brussels – Belgia
Tel.: +32 2 29 92165
Faks +32 (2) 29 66655
E-mail: SG-ECI-mailing@ec.europa.eu
Podmiot przetwarzający dane (operator platformy EIO)
EUROPEAN CITIZEN ACTION SERVICE,
Avenue de la Toison d’or, 77
B-1060 Brussels – Belgia
Email: ECIforum@ecas.org
Inspektor ochrony danych Komisji Europejskiej
W kwestiach związanych z przetwarzaniem danych osobowych na podstawie rozporządzenia (UE) 2018/1725 można skontaktować się z inspektorem ochrony danych (DATA-PROTECTION-OFFICER@ec.europa.eu).
Europejski Inspektor Ochrony Danych (EIOD)
Osoby, których dotyczą dane, mają prawo odwołać się (tj. wnieść skargę) do Europejskiego Inspektora Ochrony Danych (edps@edps.europa.eu), jeżeli uznają, że ich prawa wynikające z rozporządzenia (UE) 2018/1725 zostały naruszone w wyniku przetwarzania danych osobowych przez administratora danych.
10. Gdzie można znaleźć więcej informacji?
Inspektor ochrony danych Komisji publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Rejestr ten jest dostępny pod adresem: http://ec.europa.eu/dpo-register.
Przedmiotowa operacja przetwarzania została ujęta w rejestrze publicznym inspektora ochrony danych pod numerem: DPR-EC-00828.
Ogólne informacje o ochronie danych osobowych w kontekście wdrożenia europejskiej inicjatywy obywatelskiej można znaleźć na stronie: https://europa.eu/citizens-initiative/how-it-works/data-protection
[1] Więcej informacji na temat europejskiej inicjatywy obywatelskiej można znaleźć na stronie: https://europa.eu/citizens-initiative
[2] Zob. powiadomienie o przetwarzaniu danych DPO-839.4 System zarządzania uprawnieniami i tożsamością użytkowników (IAMS) na stronie http://ec.europa.eu/dpo-register oraz odpowiednie oświadczenie o ochronie prywatności „EU Login”.
[3] Zob. powiadomienie o przetwarzaniu danych DPO-839.4 System zarządzania uprawnieniami i tożsamością użytkowników (IAMS) na stronie http://ec.europa.eu/dpo-register oraz odpowiednie oświadczenie o ochronie prywatności, które zawiera stosowne informacje związane z punktami 4–9 tego oświadczenia o ochronie prywatności.