Tietosuojaohjeita eurooppalaisten kansalaisaloitteiden järjestäjille

 

Keskeiset periaatteet

Kun kansalaisaloitteelle kerätään tuenilmauksia, on mahdollista, että aloitteen järjestäjät joutuvat käsittelemään allekirjoittajien henkilötietoja varsin laajamittaisesti. Henkilötietojen käsittelystä on vastuussa järjestäjäryhmän edustaja (tai aloitteen hallinnointia varten mahdollisesti perustettu oikeushenkilö). Vastuutahoa nimitetään 'rekisterinpitäjäksi'.

Silloin kun tuenilmauksia kerätään ja/tai siirretään Euroopan komission keskitetyn verkkokeruujärjestelmän kautta, komissio toimii siihen liittyvissä käsittelytoimissa ns. yhteisrekisterinpitäjänä. Näin järjestäjien vastuu tältä osin kevenee.

Kun järjestäjäryhmä on kerännyt vaaditun määrän tuenilmauksia, ne toimitetaan toimivaltaisille kansallisille viranomaisille tarkastettaviksi ja vahvistettaviksi. Näissä käsittelytoimissa kansalliset viranomaiset katsotaan rekisterinpitäjiksi.

Rekisterinpitäjä vastaa siitä, että tietojenkäsittelyssä noudatetaan yleisen tietosuoja-asetuksen (GDPR) velvoitteita ja sääntöjä.

 

Keskeiset käsitteet

Eurooppalaisiin kansalaisaloitteisiin liittyviä tietosuojakäsitteitä selitetään tietosuojasanastossa.

 

Mitä tietojenkäsittelytehtäviä järjestäjät joutuvat suorittamaan kansalaisaloiteasetuksen nojalla?

  • Tuenilmausten käsittely:

Kun henkilö allekirjoittaa kansalaisaloitteen, hänen on täytettävä tuenilmauslomake, jossa annetaan tiettyjä henkilötietoja. Jos tuenilmaus annetaan verkossa sähköistä tunnistautumista käyttäen, henkilötiedot haetaan automaattisesti kansallisesta sähköisestä tunnistamisjärjestelmästä. 

Jos kansalaisaloitteelle saadaan kerätyksi vaadittu määrä tuenilmauksia, ne toimitetaan EU-maiden viranomaisille tarkastettaviksi ja vahvistettaviksi. Tuenilmausten yhteydessä kerättyjä henkilötietoja ei saa käyttää mihinkään muuhun tarkoitukseen. Niitä ei saa esimerkiksi käyttää muiden kansalaisaloitteiden tuenilmauksina, eikä niitä saa luovuttaa millekään muulle organisaatiolle.

  • Allekirjoittajien sähköpostiosoitteiden käsittely:

Kansalaisaloitteen allekirjoittajilta saa kerätä sähköpostiosoitteet, jos he haluavat saada tietoa aloitteen käsittelyn etenemisestä ja antavat osoitteensa vapaaehtoisesti.

Sähköpostiosoitteita ei saa kerätä tuenilmauslomakkeilla, mutta ne voi kerätä tuenilmauksen antamisen yhteydessä. Allekirjoittajille on kuitenkin ilmoitettava, että heillä on oikeus tukea aloitetta, vaikka he eivät antaisi suostumusta sähköpostiosoitteensa keräämiseen.

Suostumuksen antaneiden allekirjoittajien sähköpostiosoitteisiin saa ainoastaan lähettää tietoa heidän allekirjoittamansa aloitteen käsittelyn etenemisestä. Osoitteita ei voi käyttää muihin tarkoituksiin – niihin ei saa esimerkiksi lähettää kaupallisia tarjouksia eikä tietoja muista aloitteista. Kansalliset viranomaiset eivät tarkasta sähköpostiosoitteita.

  • Aloitteen sponsorien henkilötietojen käsittely:

Kansalaisaloiteasetuksessa on joitakin säännöksiä myös aloitteen sponsorien tietojen käsittelystä.

Asiaa käsitellään kansalaisaloiteasetuksen 17 ja 18 artiklassa sekä 19 artiklan 1 ja 3 kohdassa.

 

Rekisterinpitäjät eri tapauksissa (tuenilmausten keruu- ja siirtomenetelmän mukaan)

Mahdollisia skenaarioita on kaksi:

Huomaa seuraavat asiat:

  • Järjestäjät voivat halutessaan kerätä tuenilmauksia sekä paperilla että verkossa tai käyttää vain toista näistä keruutavoista.
  • Kun tuenilmauksia kerätään verkossa, järjestäjien on valittava joko komission keskitetty keruujärjestelmä tai oma keruujärjestelmä – niitä ei voi käyttää yhtä aikaa.
  • Jos tuenilmauksia kerätään verkossa keskitetyn keruujärjestelmän avulla ja samanaikaisesti paperilomakkeilla, näihin eri keruutapoihin voidaan soveltaa erilaisia sääntöjä (kuten edellä skenaariossa 1 ja skenaariossa 2).

 

Kansalaisaloitteen järjestäjät ja tietosuoja – kysymyksiä ja vastauksia

  1. Tuenilmausten keruu keskitetyllä keruujärjestelmällä (verkossa) – mitä velvoitteita on komissiolla ja järjestäjäryhmän edustajalla, jotka toimivat yhteisrekisterinpitäjinä?
  2. Tuenilmausten keruu omalla keruujärjestelmällä (verkossa) ja paperilomakkeilla – mitä velvoitteita on järjestäjäryhmän edustajalla, joka toimii yksin rekisterinpitäjinä?
  3. Arkaluontoiset tiedot – milloin allekirjoittajien tiedot kuuluvat ns. erityisiin henkilötietoryhmiin?
  4. Tietoturva – Miten pitää toimia, kun allekirjoittajien tietoja kerätään paperilomakkeilla?
  5. Tietoturva – Miten pitää toimia, kun allekirjoittajien tietoja kerätään järjestäjien omalla keruujärjestelmällä verkossa?
  6. Milloin ja miten on tehtävä tietosuojaa koskeva vaikutustenarviointi?
  7. Miten laaditaan tietojenkäsittelytoimia koskeva seloste? 
  8. Mitkä ovat tietosuojavastaavan tehtävät? 
  9. Mitä tietoja on annettava kansalaisille, joiden henkilötietoja kerätään? 
  10. Miten pitää toimia, kun allekirjoittajat esittävät henkilötietojaan koskevia pyyntöjä tai vaatimuksia? 
  11. Mitä pitää tehdä, jos henkilötietojen tietoturvaa loukataan?
  12. Mikä on rekisterinpitäjän vastuu mahdollisista vahingoista? 
  13. Kun tuenilmaukset toimitetaan kansallisten viranomaisten tarkastettaviksi, kuka on rekisterinpitäjä? 
  14. Kun tuenilmaukset toimitetaan kansallisten viranomaisten tarkastettaviksi, mitä turvatoimia suositellaan? 
  15. Kun tuenilmaukset toimitetaan kansallisten viranomaisten tarkastettaviksi komission tiedostojenvaihtopalvelun kautta, mitkä tehtävät ovat komission ja mitkä järjestäjäryhmän edustajan vastuulla? 
  16. Kuinka kauan tietoja saa säilyttää? 
  17. Mihin kansalliseen valvontaviranomaiseen voi ottaa yhteyttä tietosuojakysymyksissä? 
  18. Tuki- ja rahoituslähteet – mitä pitää tietää, kun henkilötietoja käsitellään? 

 

Kansalaisaloitteen allekirjoittajat ja tietosuoja – kysymyksiä ja vastauksia

Katso Usein kysyttyä: Tietosuoja.

 

Mitä sääntöjä henkilötietojen käsittelyssä on noudatettava?

 

Kansallisten viranomaisten yhteystiedot

 

Komission tietosuojaperiaatteet kansalaisaloitteiden käsittelyssä

Tietosuojaperiaatteet, joita Euroopan komissio noudattaa erilaisissa kansalaisaloitteisiin liittyvissä käsittelytoimissa, kuvataan yksityisyydensuojaa käsittelevällä sivulla.

 

VASTUUVAPAUSLAUSEKE

Näiden ohjeiden tarkoituksena on selventää EU:n tietosuojavaatimuksia, jotka koskevat eurooppalaisesta kansalaisaloitteesta annetun asetuksen (EU) 2019/788 ("kansalaisaloiteasetus") mukaisia tietojenkäsittelytoimia. Vain kansalaisaloiteasetuksen, yleisen tietosuoja-asetuksen (GDPR) ja luonnollisten henkilöiden suojelusta EU:n toimielinten suorittamassa henkilötietojen käsittelyssä annetun asetuksen tekstit ovat oikeudellisesti päteviä. Tämän sivuston ohjeet eivät voi korvata sovellettavaa oikeudellista kehystä eivätkä siihen mahdollisesti kuuluvia sitovia sopimuksia, kuten yhteistä rekisterinpitoa koskevia sopimuksia.

Ohjeissa annetaan käytännön tietoa kansalaisaloitteiden järjestäjille, eikä niiden pohjalta pidä katsoa syntyvän täytäntöönpanokelpoisia oikeuksia tai oikeutettuja odotuksia. Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, että kyseisen asetuksen velvoitteita ja sääntöjä noudatetaan, eivätkä nämä ohjeet vaikuta järjestäjäryhmän edustajan vastuuseen rekisterinpitäjänä.

Euroopan unionin tuomioistuimella on yksinomainen toimivalta tulkita EU:n lainsäädäntöä sitovasti. Näissä ohjeissa esitetyt näkemykset eivät vaikuta Euroopan komission kantaan mahdollisissa unionin tuomioistuimen käsittelyissä.

Ohjeet kuvastavat niiden laatimishetkellä vallinnutta tilannetta, ja ne on nähtävä päivittyvänä välineenä, jonka sisältöä voidaan parannella ja muuttaa ilman eri mainintaa.