Duomenų apsaugos gairės Europos piliečių iniciatyvų organizatoriams

 

Pagrindiniai principai

Organizatoriai, savo iniciatyvoms rinkdami pritarimo pareiškimus, gali tvarkyti didelį kiekį pasirašančių asmenų duomenų. Organizatorių grupės atstovas (arba, jei yra, konkrečiai iniciatyvai administruoti sukurtas teisinis subjektas) atsako už šių asmens duomenų tvarkymą ir yra vadinamas duomenų valdytoju.

Jei pritarimo pareiškimai renkami ar perduodami per centrinę internetinę pritarimo pareiškimų rinkimo sistemą, Europos Komisija palengvina organizatorių atsakomybę prisiimdama šių operacijų bendro duomenų tvarkytojo vaidmenį.

Organizatorių grupei surinkus reikalaujamą pritarimo pareiškimų skaičių, šie pareiškimai perduodami kompetentingoms nacionalinėms institucijoms patikrinti ir patvirtinti. Nacionalinės valdžios institucijos, vykdančios šias duomenų tvarkymo operacijas, laikomos duomenų valdytojomis.

Duomenų valdytojas turi laikytis duomenų apsaugos prievolių ir Bendrojo duomenų apsaugos reglamento (BDAR) taisyklių ir užtikrinti, kad jų būtų laikomasi.

 

Pagrindiniai terminai

Peržvelkite glosarijų, susijusį su duomenų apsauga įgyvendinant Europos piliečių iniciatyvą.

 

Kokias duomenų tvarkymo operacijas organizatoriai turėtų atlikti pagal Europos piliečių iniciatyvos (EPI) reglamentą?

  • Pasirašiusiųjų pritarimo pareiškimų tvarkymas

Kad paremtų iniciatyvą, pasirašantis asmuo turi užpildyti pritarimo pareiškimo formą ir pateikti tam tikrus savo asmens duomenis. Jei pritarimo pareiškimai pasirašomi internetu naudojantis e. ID, tokie duomenys importuojami iš nacionalinės e. atpažinties sistemos. 

Jei iniciatyvai surenkamas reikiamas pritarimo pareiškimų skaičius, šie pareiškimai pateikiami valstybėms narėms patikrinti ir patvirtinti. Asmens duomenys, surinkti priimant pritarimo pareiškimus, negali būti naudojami jokiam kitam tikslui (pavyzdžiui, kitoms iniciatyvoms paremti) arba perduoti jokiai kitai organizacijai.

  • Pasirašiusiųjų e. pašto adresų tvarkymas

Be to, leidžiama pasirinktinai rinkti pasirašiusiųjų, norinčių gauti daugiau informacijos apie jų paremtos iniciatyvos eigą, e. pašto adresus.

E. pašto adresai negali būti renkami kaip pritarimo pareiškimų formų dalis, tačiau jie gali būti renkami kartu, jei pasirašantieji asmenys informuojami, kad jų teisė pritarti iniciatyvai nepriklauso nuo to, ar jie sutiks, kad jų e. pašto adresas būtų išsaugotas.

E. pašto adresai gali būti naudojami tik pasirašiusiesiems informuoti apie jų paremtos iniciatyvos eigą, jei jie to pageidauja. E. pašto adresai negali būti naudojami kitais tikslais, pavyzdžiui, pasirašiusiesiems teikti komercinius pasiūlymus ar informaciją apie kokią nors kitą iniciatyvą. Valstybės narės jų netikrina.

  • Iniciatyvos rėmėjų asmens duomenų tvarkymas

Be to, Reglamente dėl Europos piliečių iniciatyvos nustatytos tam tikros iniciatyvos rėmėjų duomenų tvarkymo taisyklės.

Reglamento dėl Europos piliečių iniciatyvos 17, 18 straipsniuose, 19 straipsnio 1 dalyje ir 19 straipsnio 3 dalyje nurodyta, kaip šiuos duomenis galima tvarkyti.

 

Duomenų valdymas. Pritarimo pareiškimų rinkimo ir perdavimo atvejų scenarijai

Yra 2 bendrieji atvejų scenarijai:

Pastaba.

  • Organizatoriai gali rinkti pritarimo pareiškimus popierine forma ir internetu arba naudodamiesi tik vienu iš šių rinkimo būdų.
  • Rinkdami duomenis internetu organizatoriai turi pasirinkti, ar naudotis centrine internetine pritarimo pareiškimų rinkimo sistema, ar individualia sistema, nes šių dviejų sistemų derinti negalima.
  • Jei organizatoriai pritarimo pareiškimus renka internetu naudodamiesi centrine internetine pritarimo pareiškimų rinkimo sistema ir tuo pat metu popierine forma, šiems skirtingiems pritarimo pareiškimų rinkimo būdams gali būti taikomos skirtingos taisyklės (kaip aprašyta šiame dokumente pagal 1 ir 2 atvejų scenarijus).

 

Klausimai ir atsakymai apie duomenų apsaugą (organizatoriams)

  1. Centrinė internetinė pritarimo pareiškimų rinkimo sistema. Kokios yra Komisijos ir organizatorių grupės atstovo, kaip bendrų duomenų valdytojų, pareigos?
  2. Individuali internetinė pritarimo pareiškimų rinkimo sistema ir popierinių formų rinkimas. Kokios yra organizatorių grupės atstovo, kaip vienintelio duomenų valdytojo, pareigos?
  3. Neskelbtini duomenys – kada pasirašiusiųjų duomenys laikomi specialia duomenų kategorija?
  4. Saugumas. Kokių veiksmų reikėtų imtis renkant popierinius pasirašiusiųjų duomenis?
  5. Saugumas. Kokie reikalavimai taikomi renkant pasirašiusiųjų duomenis naudojantis individualia internetine pritarimo pareiškimų rinkimo sistema
  6. Kada ir kaip turėtumėte atlikti poveikio duomenų apsaugai vertinimą?
  7. Kaip turėtumėte parengti duomenų tvarkymo įrašą? 
  8. Koks yra duomenų apsaugos pareigūno (DAP) vaidmuo? 
  9. Kokią informaciją turėtumėte suteikti piliečiams rinkdami jų duomenis? 
  10. Ką turėtumėte daryti tvarkydami su duomenų tvarkymu susijusius pasirašiusiųjų prašymus? 
  11. Ką turėtumėte daryti asmens duomenų saugumo pažeidimo atveju?
  12. Kokia jūsų, kaip duomenų valdytojo, atsakomybė? 
  13. Surinktų pritarimo pareiškimų pateikimas valstybėms narėms patikrinti. Kas yra duomenų valdytojas? 
  14. Surinktų pritarimo pareiškimų pateikimas valstybėms narėms patikrinti. Kokios yra saugumo rekomendacijos? 
  15. Surinktų pritarimo pareiškimų pateikimas valstybėms narėms patikrinti. Kokios yra funkcijos ir atsakomybė naudojantis Komisijos keitimosi rinkmenomis paslauga? 
  16. Kokie yra duomenų saugojimo terminai? 
  17. Į kurią nacionalinę priežiūros instituciją turėtumėte kreiptis dėl klausimų, susijusių su asmens duomenų tvarkymu? 
  18. Parama ir finansavimas. Ką turėtumėte žinoti tvarkydami asmens duomenis? 

 

Klausimai ir atsakymai apie duomenų apsaugą (pasirašiusiesiems)

Žr. specialųjį DUK skyrių.

 

Kokių taisyklių reikia laikytis tvarkant asmens duomenis?

 

Nacionalinio lygmens institucijų kontaktiniai duomenys

  • Nacionalinių institucijų, atsakingų už pritarimo pareiškimų tikrinimą ir tvirtinimą, kontaktiniai duomenys pateikiami čia.

  • Nacionalinių duomenų apsaugos institucijų kontaktiniai duomenys pateikiami čia.

 

Europos Komisijos privatumo politika įgyvendinant Europos piliečių iniciatyvą

Pareiškimai dėl privatumo, naudojami įvairioms duomenų tvarkymo operacijoms, kurias Europos Komisija atlieka įgyvendindama Europos piliečių iniciatyvos priemonę, skelbiami specialioje privatumo politikos svetainėje.

 

ATSAKOMYBĖS RIBOJIMO PAREIŠKIMAS

Šiomis gairėmis siekiama padėti geriau suprasti ES duomenų apsaugos reikalavimus, taikomus duomenų tvarkymo operacijoms, numatytoms Reglamentu (ES) 2019/788 dėl Europos piliečių iniciatyvos (EPI reglamentas). Teisinę galią turi tik Reglamento dėl Europos piliečių iniciatyvos, Bendrojo duomenų apsaugos reglamento (BDAR) ir Reglamento dėl fizinių asmenų apsaugos ES institucijoms tvarkant asmens duomenis tekstai. Šios gairės negali pakeisti taikomos teisinės sistemos, įskaitant, kai taikoma, privalomų sutarčių, pavyzdžiui, bendro duomenų valdymo susitarimų.

Šiose gairėse pateikiama praktinė informacija piliečių iniciatyvų organizatoriams. Neturėtų būti laikoma, kad jos suteikia pagrindą įgyvendinamai teisei ar teisėtiems lūkesčiams. Konkrečiai, šiomis gairėmis nedaromas poveikis organizatorių grupės atstovo, kaip duomenų valdytojo pagal BDAR 5 straipsnio 2 dalį, atsakomybei laikytis BDAR nustatytų prievolių bei taisyklių ir užtikrinti jų laikymąsi.

Teisiškai privalomas ES teisės aktų aiškinimas priklauso išimtinei Europos Sąjungos Teisingumo Teismo kompetencijai. Šiose gairėse išreikštos nuostatos nedaro poveikio pozicijai, kurios Komisija gali laikytis Teisingumo Teisme.

Kadangi gairėse atspindėta jų rengimo metu buvusi padėtis, turėtų būti laikoma, kad tai kintanti priemone, kurią galima tobulinti, o jos turinys gali būti keičiamas be įspėjimo.