Gå til forsiden til Vejledning vedrørende databeskyttelse for initiativtagere
Vejledning vedrørende databeskyttelse – Spørgsmål 2
Individuelle onlineindsamlingssystemer og indsamling på papirformularer: hvilke forpligtelser har repræsentanten for initiativtagergruppen som ene registeransvarlig?
Gælder for scenarie 2, undtagen ved brug af Kommissionens filudvekslingstjeneste.
Når du som repræsentant for initiativtagergruppen fungerer som eneste registeransvarlig, skal du sikre, at personoplysningerne behandles i overensstemmelse med GDPR, gældende national lovgivning og forordningen om det europæiske borgerinitiativ. Du skal kunne dokumentere, at du overholder reglerne.
Som repræsentant skal du blandt andet:
- vurdere effekten af databehandlingen for de registrerede personers rettigheder og frihedsrettigheder. Det betyder, at du forud for databehandlingen skal vurdere, om de indsamlede data er følsomme. (Hvis de underskrivernes oplysninger er følsomme oplysninger, skal der oprettes en stilling som databeskyttelsesansvarlig, og der skal foretages en konsekvensanalyse vedrørende databeskyttelsen)
- oprette og føre register over databehandlingsaktiviteterne
- træffe de fornødne foranstaltninger til at beskytte personoplysningerne mod ulovlig databehandling (hændelig eller ulovlig tilintetgørelse eller hændeligt tab, ændring, ubeføjet udbredelse og ikke-autoriseret adgang, navnlig hvis databehandlingen omfatter fremsendelse af oplysninger gennem et netværk, osv.). Foranstaltningerne kan være forskellige afhængigt af, om dataindsamlingen foretages på papir eller via internettet
- informere underskriverne om behandlingen af deres personoplysninger, hvordan beskyttelse heraf sikres, og hvilke rettigheder underskriverne kan håndhæve
- sikre, at der bliver fulgt korrekt op på underskrivernes spørgsmål og forespørgsler i henhold til GDPR
- sørge for datasikkerhed ved overførslen af de indsamlede støttetilkendegivelser til kontrol i medlemslandene
- sikre, at de indsamlede personoplysninger ikke anvendes ud over det formål, der er fastsat i forordningen om det europæiske borgerinitiativ
- anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed for databeskyttelse i princippet inden for 72 timer efter at have fået kendskab til det og efter anmodning samarbejde med tilsynsmyndighederne for databeskyttelse
- sikre destruktion af alle støttetilkendegivelser og kopier heraf i overensstemmelse med de gældende datalagringsperioder.
Ovenstående liste er til orientering og fritager ikke initiativtagerne fra at opfylde de forpligtelser, de er direkte omfattet af i henhold til GDPR.
Henvisninger:
- Artikel 5, stk. 7, og artikel 19 i forordningen om det europæiske borgerinitiativ
- Artikel 24 i GDPR.