Przejdź do treści głównej
Europejska inicjatywa obywatelska

Ochrona danych

Wytyczne dotyczące ochrony danych dla organizatorów europejskiej inicjatywy obywatelskiej

Podstawowe zasady

Zbierając deklaracje poparcia dla swojej inicjatywy, organizatorzy przetwarzają dane osobowe na potencjalnie dużą skalę. Za przetwarzanie tych danych osobowych odpowiada przedstawiciel grupy organizatorów (lub podmiot prawny utworzony specjalnie w celu zarządzania inicjatywą) – pełni on rolę administratora danych.

Jeżeli zbieranie lub przekazywanie zebranych deklaracji poparcia odbywa się za pośrednictwem centralnego systemu zbierania deklaracji online, Komisja Europejska ogranicza odpowiedzialność organizatorów i w przypadku takich operacji przetwarzania danych pełni rolę współadministratora danych.

Jeżeli grupa organizatorów zbierze wymaganą liczbę deklaracji poparcia, deklaracje te są przekazywane właściwym organom krajowym do weryfikacji i poświadczenia. W przypadku tych operacji przetwarzania danych administratorami danych są organy krajowe.

Administrator danych musi przestrzegać i zapewniać przestrzeganie zobowiązań i przepisów w zakresie ochrony danych ustanowionych w ogólnym rozporządzeniu o ochronie danych (RODO).

Najważniejsze terminy

Zajrzyj do glosariusza terminów związanych z ochroną danych w kontekście europejskiej inicjatywy obywatelskiej.

Przeprowadzania jakich operacji przetwarzania danych oczekuje się od organizatorów na podstawie rozporządzenia EIO?

  • Przetwarzanie deklaracji poparcia sygnatariuszy:

Aby poprzeć inicjatywę, sygnatariusz musi wypełnić formularz deklaracji poparcia, w którym przekazuje zbiór swoich danych osobowych. W przypadku deklaracji poparcia podpisanych online za pomocą identyfikacji elektronicznej dane te są importowane z krajowego systemu identyfikacji elektronicznej.

Jeżeli uda się zebrać wymaganą liczbę deklaracji poparcia dla danej inicjatywy, deklaracje te są przekazywane właściwym państwom członkowskim do weryfikacji i poświadczenia. Dane osobowe zebrane w procesie podpisywania deklaracji poparcia nie mogą być wykorzystane w żadnym innym celu, na przykład poparcia inicjatyw innych niż ta, na potrzeby której zostały przekazane, czy przekazania zebranych danych jakiejkolwiek innej organizacji.

  • Przetwarzanie adresów e-mail sygnatariuszy:

Dopuszcza się także nieobowiązkowe gromadzenie adresów e-mail sygnatariuszy, którzy wyrazili chęć otrzymywania dalszych informacji na temat postępów w realizacji podpisanej przez nich inicjatywy.

Adresy e-mail nie mogą być zbierane jako część formularzy deklaracji poparcia, ale mogą być zbierane równolegle, o ile potencjalni sygnatariusze zostaną poinformowani, że ich prawo do poparcia inicjatywy nie jest zależne od wyrażenia zgody na zbieranie adresów e-mail.

Te adresy e-mail można wykorzystać tylko do informowania sygnatariuszy, którzy sobie tego życzą, o postępach w realizacji podpisanej przez nich inicjatywy. Nie można ich wykorzystać w innych celach, np. do przekazywania sygnatariuszom ofert handlowych czy informacji na temat innej inicjatywy. Adresy e-mail nie są weryfikowane przez państwa członkowskie.

  • Przetwarzanie danych osobowych darczyńców inicjatywy:

Ponadto w rozporządzeniu w sprawie europejskiej inicjatywy obywatelskiej przewidziano pewne przepisy dotyczące przetwarzania danych darczyńców inicjatywy.

Sposób, w jaki te dane mogą być przetwarzane, określono w art. 17, 18 oraz w art. 19 ust. 1 i 3 rozporządzenia w sprawie europejskiej inicjatywy obywatelskiej.

Administrowanie danymi: scenariusze zbierania i przekazywania deklaracji poparcia

Istnieją dwa szeroko rozumiane scenariusze:

Scenariusz 1:

Scenariusz 2:

Uwaga:

  • Organizatorzy mogą zdecydować o zbieraniu deklaracji poparcia w formie papierowej i online lub za pomocą tylko jednej z tych form.
  • Przy zbieraniu deklaracji online organizatorzy muszą wybrać, czy korzystają z centralnego czy indywidualnego systemu zbierania deklaracji online, ponieważ nie można łączyć tych dwóch systemów.
  • W przypadku gdy organizatorzy zbierają deklaracje poparcia online za pomocą centralnego systemu zbierania deklaracji online, a jednocześnie zbierają deklaracje w formie papierowej, różne przepisy mogą mieć zastosowanie do tych różnych sposobów zbierania deklaracji (jak opisano w niniejszym dokumencie w odniesieniu do scenariusza 1 i scenariusza 2).

Pytania i odpowiedzi dotyczące ochrony danych dla organizatorów

  1. Centralny system zbierania deklaracji online – jakie są zobowiązania Komisji i przedstawiciela grupy organizatorów jako współadministratorów?
  2. Indywidualny system zbierania deklaracji online i zbieranie deklaracji w formie papierowej – jakie są zobowiązania przedstawiciela grupy organizatorów jako wyłącznego administratora danych?
  3. „Dane wrażliwe” – kiedy dane sygnatariuszy kwalifikują się jako szczególna kategoria danych?
  4. Bezpieczeństwo – jakie kroki należy podjąć w przypadku gromadzenia danych sygnatariuszy w formie papierowej?
  5. Bezpieczeństwo – jakie wymogi należy spełnić podczas gromadzenia danych sygnatariuszy za pośrednictwem indywidualnego systemu zbierania deklaracji online?
  6. Kiedy i w jaki sposób należy przeprowadzić ocenę skutków dla ochrony danych?
  7. Jak przygotować rejestr czynności przetwarzania danych?
  8. Jaką rolę pełni inspektor ochrony danych (DPO)?
  9. Jakie informacje należy przekazać obywatelom w przypadku gromadzenia ich danych?
  10. Co należy zrobić w przypadku rozpatrywania wniosków dotyczących przetwarzania danych składanych przez sygnatariuszy?
  11. Jak się zachować w przypadku naruszenia ochrony danych osobowych?
  12. Jakie są zobowiązania administratora danych?
  13. Przekazywanie zgromadzonych deklaracji poparcia państwom członkowskim do celów weryfikacji – kto jest administratorem danych?
  14. Przekazywanie zgromadzonych deklaracji poparcia państwom członkowskim do celów weryfikacji – jakie są zalecenia dotyczące bezpieczeństwa?
  15. Przekazywanie zgromadzonych deklaracji poparcia państwom członkowskim do celów weryfikacji – jakie są role i obowiązki w przypadku korzystania z opracowanej przez Komisję usługi wymiany plików?
  16. Jakie są ograniczenia czasowe zatrzymywania danych?
  17. Z którym krajowym organem nadzorczym należy się skontaktować w kwestiach związanych z przetwarzaniem danych osobowych?
  18. Wspieranie i finansowanie – o czym należy pamiętać, przetwarzając dane osobowe?

Pytania i odpowiedzi dotyczące ochrony danych dla sygnatariuszy

Zob. odpowiednia sekcja FAQ.

Przepisy, których należy przestrzegać przy przetwarzaniu danych osobowych:

Kontakt na szczeblu krajowym

  • Dane kontaktowe organów krajowych odpowiedzialnych za weryfikację i poświadczenie deklaracji poparcia są dostępne tutaj.
  • Dane kontaktowe krajowych organów ochrony danych są dostępne tutaj.

Polityka prywatności Komisji Europejskiej w kontekście europejskiej inicjatywy obywatelskiej

Oświadczenia o ochronie prywatności wykorzystywane do celów różnych operacji przetwarzania realizowanych przez Komisję Europejską w kontekście wdrażania instrumentu europejskiej inicjatywy obywatelskiej są opublikowane na specjalnej stronie internetowej poświęconej polityce prywatności.

ZASTRZEŻENIE PRAWNE

Niniejsze wytyczne mają przyczynić się do lepszego zrozumienia unijnych wymogów ochrony danych mających zastosowanie do operacji przetwarzania przewidzianych wrozporządzeniu 2019/788 w sprawie europejskiej inicjatywy obywatelskiej (rozporządzenie EIO).Wyłącznie tekst rozporządzenia w sprawie europejskiej inicjatywy obywatelskiej, ogólnego rozporządzenia o ochronie danych (RODO) oraz rozporządzenia o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje UE (EUDPR) ma wartość prawną. Niniejsze wytyczne nie mogą zastępować mających zastosowanie ram prawnych, w tym – w stosownych przypadkach – wiążących umów takich jak umowy o współadministrowaniu.

Niniejsze wytyczne zapewniają praktyczne informacje dla organizatorów inicjatyw obywatelskich i nie należy ich rozumieć jako powodujące powstanie jakiegokolwiek możliwego do egzekwowania prawa czy uzasadnionych oczekiwań. W szczególności niniejsze wytyczne pozostają bez uszczerbku dla odpowiedzialności przedstawiciela grupy organizatorów jako administratora danych zgodnie z art. 5 ust. 2 RODO za przestrzeganie i zapewnianie przestrzegania zobowiązań i przepisów ustanowionych w RODO.

Wiążąca interpretacja przepisów unijnych leży w wyłącznej kompetencji Trybunału Sprawiedliwości Unii Europejskiej. Opinie wyrażone w niniejszych wytycznych nie przesądzają o stanowisku, jakie Komisja może zająć przed Trybunałem Sprawiedliwości.

Ponieważ niniejsze wytyczne odzwierciedlają stan wiedzy na czas ich przygotowywania, należy je traktować jako stale udoskonalane dynamiczne narzędzie, a ich treść może w każdej chwili zostać zmieniona.

Chcesz wiedzieć więcej i współpracować z innymi?