Gå til hovedindholdet
Det europæiske borgerinitiativ

Databeskyttelse

Retningslinjer for databeskyttelse til initiativtagere under det europæiske borgerinitiativ

Hovedprincipper

Når initiativtagerne indsamler støttetilkendegivelser til deres borgerinitiativ, behandler de underskrivernes personoplysninger i et potentielt stort omfang. Repræsentanten for initiativtagergruppen (eller den retlige enhed, der specifikt er oprettet med henblik på at forvalte initiativet) er ansvarlig for behandlingen af disse personoplysninger og er den såkaldte dataansvarlige.

Hvis indsamlingen og/eller overførslen af støttetilkendegivelser udføres via det centrale onlineindsamlingssystem, hjælper Kommissionen med at lette initiativtagernes ansvar ved at fungere som fælles dataansvarlig for disse behandlinger af personoplysningerne.

Når initiativtagergruppen har indsamlet det krævede antal støttetilkendegivelser, skal den sende dem til de kompetente nationale myndigheder, som kontrollerer og attesterer dem. De nationale myndigheder har rollen som dataansvarlige, hvad angår disse behandlinger af personoplysninger.

Den dataansvarlige skal overholde og sikre overholdelse af databeskyttelsesforpligtelserne og -reglerne i den generelle databeskyttelsesforordning (GDPR).

Centrale begreber

Se ordlisten vedrørende databeskyttelse i forbindelse med det europæiske borgerinitiativ.

Hvilke behandlingsaktiviteter forventes initiativtagerne at udføre i henhold til forordningen om det europæiske borgerinitiativ?

  • Behandling af underskrivernes støttetilkendegivelser:

For at støtte et initiativ skal underskriveren udfylde en formular til støttetilkendegivelse, hvor vedkommende angiver en række personoplysninger. Hvis støttetilkendegivelsen underskrives online ved hjælp af eID, importeres disse data fra et nationalt eID-system.

Hvis et initiativ indsamler det krævede antal støttetilkendegivelser, sendes disse tilkendegivelser til medlemsstaterne med henblik på kontrol og attestering. Personoplysninger, der indsamles som led i støttetilkendegivelserne, må ikke bruges til andre formål såsom støtte til andre initiativer end det, hvortil de er givet, eller overførsel af de indsamlede data til andre organisationer.

  • Behandling af underskrivernes e-mailadresser:

Det er også tilladt at foretage valgfri indsamling af e-mailadresser for de underskrivere, der ønsker at få yderligere information om forløbet af det initiativ, de har underskrevet.

E-mailadresser må ikke indsamles som en del af støttetilkendegivelsesformularen, men de kan indsamles samtidig, forudsat at underskriverne informeres om, at deres ret til at støtte et initiativ ikke er betinget af, at de giver deres samtykke til, at deres e-mailadresse indsamles.

Disse e-mailadresser må kun bruges til at informere de underskrivere, der ønsker det, om forløbet af det initiativ, de har underskrevet. De må ikke bruges til andre formål såsom at give underskriverne kommercielle tilbud eller information om et andet initiativ. De er ikke underlagt medlemsstaternes kontrol.

  • Behandling af sponsorerne af initiativets personoplysninger:

Desuden indeholder forordningen om det europæiske borgerinitiativ nogle regler for behandling af sponsorerne af initiativets data.

I artikel 17, 18, 19, stk. 1, og 19, stk. 3, i forordningen om det europæiske borgerinitiativ anføres det, hvordan disse data må behandles.

Dataansvar: Scenarier for indsamling og overførsel af støttetilkendegivelser

Der er to overordnede scenarier:

Scenario 1

Scenario 2

  • Indsamling af støttetilkendegivelser sker via papirformularer og/eller via initiativtagergruppens eget (individuelle) onlineindsamlingssystem (enedataansvar af repræsentanten for initiativtagergruppen)
  • Indsendelse af støttetilkendegivelser til medlemsstaternes kompetente myndigheder med henblik på kontrol foretages enten af initiativtagergruppen selv (enedataansvar hos repræsentanten for initiativtagergruppen) ELLER via Kommissionens dokumentudvekslingstjeneste (fælles kontrol mellem Kommissionen og initiativtagergruppen).

Bemærk!

  • Initiativtagerne kan vælge at indsamle støttetilkendegivelser på papir og online eller ved kun at bruge én af disse indsamlingsmetoder.
  • Når initiativtagerne indsamler online, skal de vælge mellem at bruge et centralt onlineindsamlingssystem eller et individuelt system, da disse to ikke kan kombineres.
  • Hvis initiativtagerne indsamler støttetilkendegivelser online ved hjælp af det centrale onlineindsamlingssystem og parallelt på papir, kan der gælde forskellige regler for disse forskellige indsamlingsmetoder (som beskrevet i dette dokument for scenario 1 og scenario 2).

Spørgsmål og svar om databeskyttelse for initiativtagerne

  1. Centralt onlineindsamlingssystem – hvilke forpligtelser har Kommissionen og repræsentanten for initiativtagergruppen som fælles dataansvarlige?
  2. Individuelle onlineindsamlingssystemer og indsamling via papirformularer – hvilke forpligtelser har repræsentanten for initiativtagergruppen som enedataansvarlig?
  3. "Følsomme oplysninger" – hvornår betragtes underskrivernes data som en særlig kategori af data?
  4. Sikkerhed – hvilke skridt bør du tage, når du indsamler underskrivernes data på papir?
  5. Sikkerhed – hvad er kravene, når underskrivernes data indsamles via et individuelt onlineindsamlingssystem?
  6. Hvornår og hvordan bør du foretage en konsekvensanalyse vedrørende databeskyttelse?
  7. Hvordan skal du udarbejde en databehandlingsjournal?
  8. Hvilken rolle spiller en databeskyttelsesrådgiver?
  9. Hvilke oplysninger skal du give borgerne, når du indsamler deres data?
  10. Hvad skal du gøre, når du behandler databehandlingsrelaterede anmodninger fra underskrivere?
  11. Hvad skal du gøre i tilfælde af brud på persondatasikkerheden?
  12. Hvad er dit ansvar som dataansvarlig?
  13. Indsendelse af de indsamlede støttetilkendegivelser til medlemsstaterne med henblik på kontrol – hvem er dataansvarlig?
  14. Indsendelse af de indsamlede støttetilkendegivelser til medlemsstaterne med henblik på kontrol – hvad er sikkerhedsanbefalingerne?
  15. Indsendelse af de indsamlede støttetilkendegivelser til medlemsstaterne med henblik på kontrol – hvad er rollerne og ansvarsområderne, når Kommissionens dokumentudvekslingstjeneste bruges?
  16. Hvad er tidsgrænserne for datalagring?
  17. Hvilken national tilsynsmyndighed bør du kontakte i forbindelse med spørgsmål vedrørende behandling af personoplysninger?
  18. Støtte og finansiering – hvad skal du være opmærksom på, når du behandler personoplysninger?

Spørgsmål og svar om databeskyttelse for underskriverne

Se det specifikke afsnit under Ofte stillede spørgsmål

Hvilke regler skal overholdes, når personoplysninger behandles?

Nationale kontaktoplysninger

  • Kontaktoplysningerne for de nationale myndigheder, der er ansvarlige for at kontrollere og attestere støttetilkendegivelser, findes her.
  • Kontaktoplysningerne for de nationale databeskyttelsesmyndigheder findes her.

Europa-Kommissionens politik for databeskyttelse i forbindelse med det europæiske borgerinitiativ

De erklæringer for databeskyttelse, der bruges i forbindelse med de forskellige behandlingsaktiviteter, som Europa-Kommissionen udfører i forbindelse med gennemførelsen af det europæiske borgerinitiativ, offentliggøres på webstedet Politik for databeskyttelse.

ANSVARSFRASKRIVELSE

Formålet med disse retningslinjer er at bidrage til en bedre forståelse af EU's krav til databeskyttelse i forbindelse med behandlingsaktiviteter i henhold til forordning (EU) 2019/788 om det europæiske borgerinitiativ (forordning om det europæiske borgerinitiativ). Det er kun teksten i forordning om det europæiske borgerinitiativ, den generelle databeskyttelsesforordning (GDPR) og forordningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner (EUDPR), der er juridisk gyldige. Disse retningslinjer kan ikke erstatte den gældende retlige ramme, herunder, hvor det er relevant, bindende kontrakter såsom aftaler om fælles dataansvar.

Disse retningslinjer indeholder praktisk information til initiativtagerne til borgerinitiativer og må ikke anses for at give anledning til rettigheder, der kan håndhæves, eller berettigede forventninger. Disse retningslinjer berører navnlig ikke det ansvar, som repræsentanten for initiativtagergruppen som dataansvarlig har i henhold til artikel 5, stk. 2, i GDPR for at overholde og sikre overholdelsen af forpligtelserne og reglerne i GDPR.

Bindende fortolkning af EU-retten er EU-Domstolens enekompetence. De synspunkter, der gives udtryk for i disse retningslinjer, berører ikke den holdning, som Kommissionen måtte have over for Domstolen.

Da disse retningslinjer afspejler udarbejdelsestidspunktet, bør de anses for at være et "levende redskab", der er åbent for forbedring, og indholdet kan ændres uden varsel.

Vil du lære nyt og samarbejde med andre?