Przejdź do treści głównej
Flaga Unii Europejskiej Flaga Unii Europejskiej
Europejska inicjatywa obywatelska

Wytyczne dotyczące ochrony danych – pytanie 4

Powrót to strony głównej „Wytyczne dotyczące ochrony danych dla organizatorów”

 

Wytyczne dotyczące ochrony danych – pytanie 4

Bezpieczeństwo – jakie kroki należy podjąć w przypadku gromadzenia danych sygnatariuszy w formie papierowej?

Dotyczy scenariusza 2

W przypadku gdy deklaracje (i adresy e-mail, w zależności od sytuacji) są zbierane w formie papierowej, również uważa się je za dane osobowe chronione na mocy RODO.

Środki bezpieczeństwa

Grupa organizatorów musi wprowadzić odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony deklaracji w szczególności przed przypadkowym lub bezprawnym zniszczeniem lub przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem do nich, biorąc pod uwagę ryzyko dla sygnatariuszy.

Środki te powinny obejmować co najmniej:

  • fizyczne zabezpieczenie formularzy deklaracji w formie papierowej podczas ich przechowywania (najlepiej, aby były one zamknięte w sejfach)
  • przekazywanie zebranych formularzy w formie papierowej odpowiedniemu państwu członkowskiemu do celów weryfikacji i poświadczenia w sposób bezpieczny, np. przesyłką poleconą, zaufaną firmą kurierską lub w ramach opracowanej przez Komisję usługi wymiany plików.

UWAGA: Umowy z podmiotami prowadzącymi kampanie

Ze względu na to, że deklaracje poparcia są zwykle zbierane w sposób zdecentralizowany, zbieraniem zajmują się – dobrowolnie lub na podstawie umowy – podmioty prowadzące kampanie niebędące organizatorami inicjatywy. Takie podmioty należy uznać za podmioty przetwarzające dane i powinny one działać na podstawie pisemnej umowy z przedstawicielem.

Umowa z „podmiotem prowadzącym kampanię” jest zatem umową między administratorem a podmiotem przetwarzającym w rozumieniu art. 28 RODO i powinna ona obejmować wszystkie aspekty wymienione w tym artykule.

Orientacyjne taka umowa w tym kontekście może również zawierać następujące elementy:

  • upoważnienie podmiotu prowadzącego kampanię przez przedstawiciela do zbierania deklaracji poparcia (i adresów e-mail sygnatariuszy) w odniesieniu do danej inicjatywy w imieniu przedstawiciela
  • instrukcje przedstawiciela dotyczące rozpatrywania ewentualnych pytań i wniosków dotyczących ochrony danych ze strony sygnatariuszy
  • zobowiązanie podmiotu prowadzącego kampanię do poszanowania polityki ochrony danych organizatorów oraz w szczególności:
    • do zbierania deklaracji poparcia (i adresów e-mail sygnatariuszy) wyłącznie zgodnie z instrukcjami organizatorów i tylko w formie ustalonej przez tych organizatorów
    • do wstrzymania się od gromadzenia innych danych
    • do poinformowania sygnatariuszy o treści inicjatywy i ich prawach zgodnie z oświadczeniem o ochronie prywatności
    • do poinformowania sygnatariuszy, że przekazanie adresów e-mail nie jest obowiązkowe i że ich prawo do poparcia inicjatywy nie jest zależne od wyrażenia zgody na zbieranie adresów e-mail
    • do przechowywania zebranych deklaracji poparcia (i adresów e-mail) w bezpiecznym miejscu do czasu przekazania ich organizatorom inicjatywy
    • do przekazania zebranych deklaracji poparcia i adresów e-mail w sposób bezpieczny, np. przesyłką poleconą lub firmą kurierską, i do przekazania ich wyłącznie organizatorom inicjatywy
  • potwierdzenie przez podmiot prowadzący kampanię, że:
    • przeczytał i zrozumiał postanowienia oświadczenia o ochronie prywatności zdefiniowane w załączniku III do rozporządzenia w sprawie europejskiej inicjatywy obywatelskiejoraz zapoznał się z treścią inicjatywy, a także z materiałami wykorzystywanymi przez organizatorów do informowania o inicjatywie (tj. strona internetowa lub inne istotne dokumenty lub informacje)
    • zna swoje obowiązki związane z gromadzeniem danych.

Odniesienia:

 

 

Chcesz wiedzieć więcej i współpracować z innymi?
Wejdź na forum