Gå direkt till innehållet
Europeiska medborgarinitiativet

Skydd av personuppgifter

Skydd av personuppgifter – vägledning för organisatörer av europeiska medborgarinitiativ

Grundläggande principer

När organisatörerna samlar in stödförklaringar (namnunderskrifter) för sina initiativ behandlar de undertecknarnas personuppgifter i potentiellt sett stor skala. Organisatörsgruppens företrädare (eller den rättsliga enhet som eventuellt bildas för att sköta initiativet) ansvarar för behandlingen av personuppgifterna och har därför rollen som personuppgiftsansvarig.

När insamlingen och/eller överföringen av stödförklaringar görs via det centrala systemet för namninsamling på nätet träder EU-kommissionen in och tar över en stor del av organisatörernas ansvar genom att fungera som gemensamt personuppgiftsansvarig.

Om organisatörsgruppen lyckas samla in det antal stödförklaringar som krävs skickas de till de behöriga nationella myndigheterna för kontroll och intygande. De nationella myndigheterna är då personuppgiftsansvariga för den behandlingen.

De personuppgiftsansvariga måste se till att alla berörda följer den allmänna dataskyddsförordningen (GDPR) och fullgör sina skyldigheter.

Viktiga termer

Vi har sammanställt en ordlista med viktiga dataskyddstermer när det gäller det europeiska medborgarinitiativet.

Vilka personuppgifter kommer organisatörerna att behandla?

  • Stödförklaringar (namnunderskrifter)

De som vill stödja ett initiativ måste fylla i ett stödförklaringsformulär och lämna vissa personuppgifter. Om någon skriver på med sin e-legitimation hämtas uppgifterna från landets system för e-id. 

När ett initiativ har fått tillräckligt många underskrifter skickas de till EU-länderna som ska kontrollera dem och intyga deras antal. De insamlade personuppgifterna får inte användas för något annat ändamål, t.ex. för att stödja andra initiativ, eller föras över till någon annan organisation.

  • Mejladresser

Vid namninsamlingen kan organisatörerna också samla in mejladresser till dem som vill följa arbetet med det initiativ som de har skrivit på.

Mejladresserna får dock inte samlas in via stödförklaringsformulären, och organisatörerna måste informera om att man inte måste uppge sin mejladress för att få stödja ett initiativ.

Mejladresserna får bara användas för att informera undertecknarna om det initiativ som de har skrivit på. De får inte användas för andra syften, t.ex. för kommersiella erbjudanden eller information om andra initiativ. Mejladresserna kommer inte att kontrolleras av EU-ländernas myndigheter.

  • Sponsorer

Reglerna om det europeiska medborgarinitiativet omfattar också behandlingen av sponsorernas personuppgifter.

I artiklarna 17, 18, 19.1 och 19.3 i förordningen om det europeiska medborgarinitiativet anges hur dessa uppgifter får behandlas.

Personuppgiftsansvar – två scenarier för namninsamlingen

Det finns två huvudscenarier:

Scenario 1

  • Insamlingen av stödförklaringar görs via kommissionens centrala namninsamlingssystem (kommissionen och organisatörsgruppens företrädare är gemensamt personuppgiftsansvariga).
  • Inlämningen av stödförklaringarna till EU-ländernas myndigheter för kontroll görs med hjälp av kommissionens fildelningstjänst (kommissionen och organisatörsgruppens företrädare är gemensamt personuppgiftsansvariga). 

Scenario 2

  • Insamlingen av stödförklaringar görs med hjälp av pappersformulär och/eller organisatörernas eget (enskilda) namninsamlingssystem (organisatörsgruppens företrädare är ensam personuppgiftsansvarig).
  • Inlämningen av stödförklaringarna till EU-ländernas myndigheter för kontroll görs med organisatörernas egna system (organisatörsgruppens företrädare är ensam personuppgiftsansvarig) ELLER med hjälp av kommissionens fildelningstjänst (kommissionen och organisatörsgruppens företrädare är gemensamt personuppgiftsansvariga).

OBS:

  • Organisatörerna kan välja om de ska samla in underskrifter på papper och/eller på nätet.
  • För namninsamlingen på nätet måste organisatörerna välja om de ska använda kommissionens centrala system eller sitt eget system. Det går inte att kombinera de båda systemen.
  • Om organisatörerna samlar in underskrifter både via det centrala systemet och på papper kan reglerna skilja sig åt (enligt beskrivningen i den här vägledningen för scenario 1 och scenario 2).

Frågor och svar om personuppgifter för organisatörer

  1. Namninsamling via det centrala systemet – vilka skyldigheter har kommissionen och organisatörsgruppens företrädare som gemensamt personuppgiftsansvariga?
  2. Namninsamling via enskilt system eller på papper – vilka skyldigheter har organisatörsgruppens företrädare som ensam personuppgiftsansvarig?
  3. Känsliga uppgifter – när räknas undertecknarnas uppgifter som en särskild kategori av personuppgifter?
  4. Säkerhet – vad ska vi tänka på när vi samlar in personuppgifter på papper?
  5. Säkerhet – vilka krav gäller när vi samlar in uppgifter på nätet via vårt eget system?
  6. När och hur bör jag göra en konsekvensbedömning avseende dataskydd?
  7. Hur förbereder jag ett databehandlingsregister?
  8. Vilken roll har ett dataskyddsombud?
  9. Vilken information bör vi ge undertecknarna när vi samlar in deras uppgifter?
  10. Hur ska vi hantera begäranden angående vår behandling av personuppgifter?
  11. Vad ska vi göra vid en personuppgiftsincident?
  12. Vilket ansvar har jag som personuppgiftsansvarig?
  13. Inlämning av stödförklaringar till EU-länderna för kontroll – vem är personuppgiftsansvarig?
  14. Inlämning av stödförklaringar till EU-länderna för kontroll – vilka säkerhetsrekommendationer finns?
  15. Inlämning av stödförklaringar till EU-länderna för kontroll – vad har vi för roll och ansvar när vi använder kommissionens fildelningstjänst?
  16. Hur länge får uppgifterna sparas?
  17. Vilken nationell tillsynsmyndighet kan vi kontakta för frågor om skydd av personuppgifter?
  18. Stöd och finansiering – vad ska vi tänka på när vi behandlar personuppgifter?

Frågor och svar om personuppgifter för undertecknare

Se vanliga frågor om skydd av personuppgifter.

Vilka regler gäller vid behandlingen av personuppgifter?

Kontakta nationella myndigheter

EU-kommissionens integritetspolicyer för det europeiska medborgarinitiativet

De integritetspolicyer som kommissionen tillämpar när den behandlar personuppgifter inom ramen för det europeiska medborgarinitiativet publiceras på den särskilda webbplatsen om skydd av personuppgifter.

Ansvarsfriskrivning

Den här vägledningen ska hjälpa dig att förstå EU:s regler för skydd av personuppgifter vid den behandling av personuppgifter som föreskrivs i förordning (EU) 2019/788 om det europeiska medborgarinitiativet. Det är bara reglerna i förordningen om det europeiska medborgarinitiativet, den allmänna dataskyddsförordningen (GDPR) och förordningen om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av EU:s institutioner som har rättsverkan. Vägledningen ersätter inte det gällande regelverket, avtal om gemensamt personuppgiftsansvar eller andra bindande avtal.

Vägledningen innehåller praktisk information för medborgarinitiativens organisatörer och medför inga lagliga rättigheter eller berättigade förväntningar. Vägledningen påverkar inte heller det ansvar som organisatörsgruppens företrädare har som personuppgiftsansvarig, i enlighet med artikel 5.2 i den allmänna dataskyddsförordningen, att se till att alla berörda fullgör sina skyldigheter och följer reglerna i dataskyddsförordningen.

Det är bara Europeiska unionens domstol som kan göra en rättsligt bindande tolkning av EU-lagstiftningen. De synpunkter som framförs i den här vägledningen påverkar inte kommissionens eventuella ståndpunkt inför domstolen.

Vägledningen bygger på den situation som gällde när den skrevs, och bör därför ses som ett ”levande verktyg” som kan förbättras och ändras utan förvarning.

Vill du lära dig mer och samarbeta med andra?