Операция по обработване: Обработване на данни на поддръжници, събрани като част от изявления за подкрепа чрез централната система на Комисията за събиране на изявления за подкрепа онлайн

Администратор на лични данни: Съвместно администриране на личните данни от, от една страна, Европейската комисия (оперативен администратор на лични данни – отдел SG.DSG1.A.1 „Политически приоритети и работна програма“) и, от друга страна, представителя на групата на организаторите на инициативата или, когато е приложимо, юридическото лице, създадено от групата

Референтен номер:  DPR-EC-034861 [1]

 

1.     Въведение

Европейската гражданска инициатива (наричана по-нататък също „ЕГИ“) е инструмент за демокрация на участието, който дава възможност на гражданите да предлагат конкретни законодателни промени във всяка област, в която Европейската комисия (наричана по-нататък също „Комисията“) има правомощия да предлага законодателство. Нормативната уредба, приложима за този инструмент, е определена в Регламент (ЕС) 2019/788 на Европейския парламент и на Съвета от 17 април 2019 г. относно гражданската инициатива (наричан по-нататък също „Регламента относно ЕГИ“).

За да подкрепите дадена гражданска инициатива, трябва да предоставите редица лични данни като част от изявление за подкрепа на инициативата. Групата на организаторите на дадена европейска гражданска инициатива трябва да събере поне 1 милион такива изявления за подкрепа от гражданите на ЕС, като в 7 държави трябва да бъдат достигнати определени прагове, и тези изявления за подкрепа трябва да бъдат валидирани и удостоверени от държавите членки, за да може в Комисията да бъде внесена валидна инициатива.

Настоящата декларация за поверителност се отнася до обработването на вашите лични данни, събрани като част от изявления за подкрепа на европейска гражданска инициатива чрез централната система за събиране на изявления за подкрепа онлайн, създадена и управлявана от Комисията.

Операциите по обработване на вашите данни се извършват при съвместно администриране на личните данни от, от една страна, Комисията и, от друга страна, представителя на групата на организаторите на съответната инициативата или, когато е приложимо, юридическото лице, създадено от такава групата (наричани по-нататък също „организатори на инициатива“).  Освен това, ако вашите данни, предоставени в изявление за подкрепа, се изпратят за проверка и удостоверяване до компетентните органи на отговорна държава членка, тези органи стават администратори на лични данни по отношение на извършваното от тях обработване.

Съответните отговорности и задължения на Комисията и организаторите се посочват по прозрачен начин в споразумение за съвместно администриране. Основните елементи на споразумението за съвместно администриране са публично достъпни на следния адрес:

https://europa.eu/citizens-initiative/how-it-works/data-protection_bg

Комисията е поела ангажимент да защитава вашите лични данни и да зачита неприкосновеността на личния ви живот. Комисията събира и обработва лични данни в съответствие с Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни. Организаторите на инициатива и органите на държавите членки подлежат на правилата относно обработването на лични данни, посочени в Общия регламент относно защитата на данните (ОРЗД).

Настоящата декларация за поверителност съдържа обяснение за причината за обработването на вашите лични данни, начина, по който събираме, обработваме и осигуряваме защитата на всички предоставени лични данни, как се използва информацията и какви са правата ви по отношение на вашите лични данни. В нея са посочени и координатите за връзка с отговорните администратори на лични данни, пред които можете да упражните правата си, с длъжностното лице (длъжностните лица) по защита на данните и с Европейския надзорен орган по защита на данните.

Настоящата декларация за поверителност се основава на текста на декларацията за поверителност в приложение III към Регламента относно ЕГИ, която е неразделна част от нея (вижте точка 10 по-долу).

Внимание! Настоящата декларация за поверителност не обхваща обработването на вашите лични данни, предоставени в изявление за подкрепа на хартиен носител или чрез индивидуална система за събиране на изявления за подкрепа онлайн. В този случай събирането и обработването на вашите данни (до изпращането им на държавите членки за проверка) се извършва изцяло при администриране на личните данни от страна на представителя на групата на организаторите. Този администратор на лични данни отговаря за това – в момента на събирането на вашите данни – да ви бъде предоставена съответната декларация за поверителност, която включва поне съществените елементи на стандартната декларация за поверителност, посочена в приложение III към Регламента относно ЕГИ. В случай че последващото изпращане на събраните изявления за подкрепа до държавите членки за проверка се извърши от Комисията чрез нейната услуга за обмен на файлове при съвместно администриране на личните данни с представителя, Комисията няма да има достъп до вашите данни и няма да е в състояние да ви предостави допълнителна декларация за поверителност. В настоящата декларация за поверителност е посочена само съответната информация относно приложимите в този случай срокове за съхранение на данните.

 

2.     Защо и как обработваме вашите лични данни?

Общата цел на обработването на вашите данни, за което се отнася настоящата декларация за поверителност, е прилагането на Регламент (ЕС) 2019/788 относно европейската гражданска инициатива и съответно осигуряване на възможност гражданите на ЕС да упражняват правото, предоставено им с член 11, параграф 4 от Договора за Европейския съюз, да се обръщат директно към Комисията с искане за представяне на предложение за правен акт на Съюза за целите на прилагането на Договорите.

 

Вашите данни могат да бъдат обект на следните основни операции по обработване:

·       събиране на вашето изявление за подкрепа чрез онлайн формуляра или електронна идентификация и последващото му съхранение в системата за събиране на изявления за подкрепа онлайн;

·       изпращане на вашето изявление за подкрепа до държавите членки за проверка;

·        проверка и удостоверяване на вашето изявление за подкрепа от държавата членка, на която сте гражданин (тази операция по обработване се извършва при администриране от страна на компетентния орган на държавата членка).

В тази връзка могат да бъдат разграничени следните по-конкретни цели:

·       да ви се предостави възможност да подкрепяте европейски граждански инициативи онлайн;

·       вашето изявление за подкрепа да се изпрати по сигурен начин до компетентната държава членка за проверка;

·       да се предостави възможност на органите на тази държава членка (администратори на лични данни за тази операция по обработване) да проверят вашето изявление за подкрепа, за да може Комисията да потвърди валидността на подкрепената от вас европейска гражданска инициатива, когато бъде внесена за разглеждане.

Освен това вашите данни могат да бъдат обработвани в контекста на поддържащи операции, като например разглеждане на искания на субекти на данни, технически проверки за качество, операции във връзка с поддръжката на ИТ системата и всяка подобна операция, която може да е предвидена по закон.

Обработените лични данни могат да бъдат използвани повторно за целите на процедури пред съдилищата на ЕС, националните съдилища, Европейския омбудсман или Европейската сметна палата.

Вашите лични данни няма да се използват за автоматизирано вземане на решения, включително профилиране.

 

3.     На какво правно основание обработваме вашите лични данни?

Обработваме вашите данни, предоставени като част от изявление за подкрепа, за да можете да изразите подкрепата си за дадена европейска гражданска инициатива. Обработването на вашите данни служи за постигането на напредък по конкретна инициатива, за да може в крайна сметка въпросите, повдигнати в нейните рамки, да стигнат до вниманието на институциите на Съюза. Тъй като по този начин Европейската гражданска инициатива подобрява демократичното функциониране на Съюза, обработването служи на обществения интерес в съответствие с член 5, параграф 1, буква а) от Регламент (ЕС) 2018/1725 и член 6, параграф 1, буква д) от ОРЗД.

Освен това съгласно член 10 и член 12, параграф 3 от Регламента относно ЕГИ Комисията е длъжна съответно да създаде и осигури функционирането на централна система за събиране на изявления за подкрепа онлайн, за да предостави възможност за събиране на изявления за подкрепа онлайн, и да изпрати на държавите членки за проверка изявленията за подкрепа, събрани чрез централната система за събиране на изявления за подкрепа онлайн, ако изискваният брой изявления за подкрепа е достигнат (вижте също член 12, параграф 2). Като осигурява възможност за обработването, извършвано чрез централната система за събиране на изявления за подкрепа онлайн (включително изпращането до държавите членки), Комисията изпълнява правно задължение и следователно обработването е законосъобразно и въз основа на член 5, параграф 1, буква б) от Регламент (ЕС) 2018/1725 и член 6, параграф 1, буква в) от ОРЗД.

Данните, които предоставяте като част от изявление за подкрепа, не могат сами по себе си да бъдат квалифицирани като чувствителни данни, чието обработване по принцип е забранено съгласно член 10, параграф 1 от Регламент (ЕС) 2018/1725 и член 9, параграф 1 от ОРЗД. В същото време връзката между вашите данни и подкрепяната инициатива може да разкрие информация за вашето здраве, политически, философски или религиозни убеждения или вярвания, политическа принадлежност, сексуален живот или сексуална ориентация, расов или етнически произход или дори членство в синдикална организация в зависимост от предмета на съответната инициатива. Следователно вашите данни могат да са чувствителни поради темата на съответната инициатива.

В съответствие с член 10, параграф 2, буква ж) от Регламент (ЕС) 2018/1725 и член 9, параграф 2, буква ж) от ОРЗД, въпреки че данните ви могат да бъдат квалифицирани като специална категория данни, тяхната обработка е разрешена поради следната причина: обработването е необходимо по причини от важен обществен интерес на основание на правото на Съюза, което е пропорционално на набелязаната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

В тази връзка в съображение 12 от Регламента относно ЕГИ се пояснява следното: Въпреки че личните данни, обработвани съгласно настоящия регламент, могат да включват чувствителни данни, предвид естеството на европейската гражданска инициатива като инструмент за демокрация на участието е оправдано да се изисква предоставянето на лични данни с оглед на подкрепата за дадена инициатива и тези данни да бъдат обработвани, доколкото е необходимо, за да може изявленията за подкрепа да се проверят съгласно националното право и практика.

 

4.      Какви лични данни събираме и обработваме?

За целите на регистрирането на вашата подкрепа за дадена гражданска инициатива събираме различни възможни набори от данни в зависимост от избрания от вас начин на подкрепа и вашето гражданство.

Ø  При попълване на формуляра за изявление за подкрепа онлайн се събира един от двата възможни набора данни, както е посочено в приложение III към Регламента относно ЕГИ:

 

Набор А:

•                 гражданство,

•                 пълни собствени имена,

•                 фамилни имена,

•                 адрес на пребиваване (улица, номер, пощенски код, град, държава),

•                 дата на раждане.

 

Набор Б:

•                 гражданство,

•                 пълни собствени имена,

•                 фамилни имена,

•                 личен идентификационен номер/номер на документ за самоличност,

•                 вид на личния идентификационен номер или на документа за самоличност.

 

Съгласно член 9, параграф 4 от Регламента относно ЕГИ държавите членки могат да избират кой набор от данни да използват – А или Б. Към 1 януари 2020 г. (датата на влизане в сила на Регламента относно ЕГИ) набор А бе избран от 9 държави членки (Германия, Гърция, Дания, Ирландия, Люксембург, Нидерландия, Словакия, Франция и Финландия), а набор Б – от 18 държави членки (Австрия, Белгия, България, Естония, Испания, Италия, Кипър, Латвия, Литва, Малта, Полша, Португалия, Румъния, Словения, Унгария, Хърватия, Чехия и Швеция). 

Държавите членки могат да променят този избор в бъдеще, без това да бъде отразено в настоящата декларация за поверителност.

Ø  Ако подкрепите ЕГИ, като използвате средство за електронна идентификация, вашите лични данни се импортират от националната система за електронна идентификация. Съответните данни са определени съгласно Регламента относно електронната идентификация и удостоверителните услуги (Регламент (ЕС) № 910/2014), както следва:

•                 настоящо фамилно име (или имена),

•                 настоящо собствено име (или имена),

•                 дата на раждане,

•                 уникален идентификатор.

В този случай се събират и данни за вашето гражданство въз основа на националната система за електронна идентификация, която използвате за автентификация.

Освен това с цел ефективно обработване събираме някои (мета)данни, свързани с електронното предаване/изпращане на изявленията за подкрепа, а именно вашия IP адрес, данни за връзката, време на електронното въвеждане на данните във формуляра в системата за събиране на изявления за подкрепа онлайн и уникален идентификатор, който се генерира автоматично за всяко изпратено изявление за подкрепа.

 

5.     Колко дълго съхраняваме вашите лични данни?

Стандартният срок на съхранение е 21 месеца от началото на срока за събиране.

Стандартният срок на съхранение се намалява в следните случаи:

•   той изтича един месец след внасянето на инициативата в Комисията в съответствие с член 13 от Регламента относно ЕГИ и

•   той изтича един месец след оттеглянето, ако инициативата бъде оттеглена след началото на периода на събиране, както е посочено в член 7 от Регламента относно ЕГИ.

Стандартният срок на съхранение се удължава, ако това е необходимо за целите на съдебно или административно производство, свързано със съответната инициатива. В този случай данните се унищожават в срок от един месец след датата, на която производството приключи с окончателно решение.

Горепосоченият срок на съхранение се прилага също за:

-        съхранението на изявления за подкрепа, събрани на хартиен носител или чрез индивидуална система за събиране на изявления онлайн и качени от организаторите на ЕГИ в системата на услугата на Комисията за обмен на файлове с оглед изпращането им до държавите членки за проверка, и

-        държавите членки, в случай че те проверяват събраните изявления за подкрепа.

 

6.     Как съхраняваме и защитаваме вашите лични данни?

Всички лични данни се съхраняват в електронен формат на сървърите на Комисията. Всички операции по обработване се извършват съгласно Решение (ЕС, Евратом) 2017/46 на Комисията от 10 януари 2017 г. относно сигурността на комуникационните и информационните системи в Европейската комисия.

За да защити вашите лични данни, Комисията е въвела редица технически и организационни мерки. Техническите мерки включват подходящи действия по отношение на сигурността онлайн и рисковете от загуба на данни, промяна на данни или неправомерен достъп, като се отчитат рисковете, свързани с обработването и естеството на обработваните лични данни. Организационните мерки включват предоставяне на достъп до личните данни единствено на упълномощени лица със законна необходимост да бъдат осведомени за целите на операцията по обработване.

 

7.     Кой има достъп до вашите лични данни и на кого се предоставят те?

Само служители на Комисията, упълномощени специално въз основа на принципа „необходимост да се знае“, имат достъп до вашите данни, когато те се съхраняват в централната система за събиране на изявления за подкрепа онлайн. Тези служители работят при спазване на законоустановените изисквания, а при необходимост – и на допълнителни споразумения за поверителност.

В случай че за съответната инициатива е събран необходимият брой изявления за подкрепа, Комисията (по искане на организаторите) ги изпраща на компетентните органи на отговорните държави членки за проверка и удостоверяване в съответствие с член 12, параграф 2 и параграф 3 от Регламента относно ЕГИ.

 

8.     Какви са правата ви и как можете да ги упражните?

В качеството си на „субект на данните“ разполагате с конкретни права, предвидени в глава ІІІ (членове 14 – 25) от Регламент (ЕС) 2018/1725 и глава III от ОРЗД, и по-специално право на достъп до вашите лични данни и право на коригиране, ако личните ви данни са неточни или непълни. В някои случаи имате право да поискате вашите лични данни да бъдат изтрити, да ограничите обработването им и да възразите срещу обработването им.

 

Що се отнася до правото на възражение срещу обработването на личните ви данни, упражняването на това право трябва да се основава на съображения, свързани с вашата конкретна ситуация.

Можете да упражните правата си, като се свържете с който и да е от съвместните администратори на лични данни или (по-специално в случай на конфликт) – с длъжностното лице (длъжностните лица) по защита на данните. Ако е необходимо, можете да се обърнете и към Европейския надзорен орган по защита на данните. Техните координати за връзка са посочени в точка 9 по-долу.

Ако желаете да упражните правата си в контекста на една или няколко специфични операции по обработване, моля, посочете ги във вашето искане (т.е. техния референтен номер в съответствие с посоченото в точка 10 по-долу).

Всяко искане за достъп до лични данни ще бъде разгледано в срок от един месец след неговото получаване. Всяко друго искане, което попада в обхвата на членове 18 – 25 от Регламент (ЕС) 2018/1725 и глава III от ОРЗД, ще бъде разгледано в срок от 15 работни дни. При необходимост този срок може да бъде удължен с още два месеца, като се вземат предвид сложността и броят на исканията.

 

9.     Координати за връзка

-      Администратори на лични данни

Ако желаете да упражните правата си съгласно Регламент (ЕС) 2018/1725 и ОРЗД, ако имате коментари, въпроси или притеснения или ако желаете да подадете жалба във връзка със събирането и използването на вашите лични данни, моля, свържете се с един от администраторите на лични данни.

Ø  Що се отнася до Комисията, моля, използвайте следните координати за връзка с оперативния администратор на лични данни:

European Commission

Secretariat General

Directorate A ‘Strategy, Better Regulation & Corporate Governance’

Unit A.1 ‘Policy Priorities & Work Programme’

B – 1049 Brussels

Тел. +32 2 29 92165

Ел. адрес: SG-ECI-mailing@ec.europa.eu

Ø  Що се отнася до представителя на групата на организаторите или, когато е приложимо, юридическото лице, създадено от такава група, техните координати за връзка могат да бъдат намерени в онлайн регистъра на ЕГИ, както и в централната система за събиране на изявления за подкрепа онлайн, на страниците, посветени на съответната инициатива.  Вижте:  https://europa.eu/citizens-initiative/home_bg.

В случай че вашите данни, посочени в изявление за подкрепа, се изпратят за проверка и удостоверяване до компетентните органи на отговорна държава членка, тези органи стават администратори на лични данни по отношение на извършваното от тях обработване. Можете да се обърнете към тях с вашите коментари, въпроси или искания относно обработването на вашите данни, като използвате координатите за връзка, посочени на следния адрес:  https://europa.eu/citizens-initiative/how-it-works/data-protection_bg.

 

-      Длъжностни лица по защита на данните 

Ø  Длъжностно лице по защита на данните в Комисията

Можете да се свържете с длъжностното лице по защита на данните (DATA-PROTECTION-OFFICER@ec.europa.eu) по въпроси, свързани с обработването на вашите лични данни.

Ø  Длъжностно лице по защита на данните в групата на организаторите (ако има такова)

В случай, че групата на организаторите е определила длъжностно лице по защита на данните, можете да се свържете и с това лице, като използвате координатите за връзка, посочени в онлайн регистъра на ЕГИ, както и в централната система за събиране на изявления за подкрепа онлайн, на страниците, посветени на съответната инициатива.  Вижте:  https://europa.eu/citizens-initiative/home_bg.

 

-      Органи за защита на данните

Ø  Европейски надзорен орган по защита на данните (ЕНОЗД)

Имате право да подадете жалба до Европейския надзорен орган по защита на данните (edps@edps.europa.eu), ако смятате, че вашите права съгласно Регламент (ЕС) 2018/1725 са нарушени в резултат на обработването на личните ви данни от администратора на лични данни.

Ø  Национални органи за защита на данните

Освен това имате право да подадете жалба до компетентен национален орган за защита на данните, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако смятате, че личните ви данни са обработвани незаконосъобразно. Координати за връзка с националните органи за защита на данните ще намерите на следния адрес: https://europa.eu/citizens-initiative/how-it-works/data-protection_bg.

 

10. Къде можете да намерите допълнителна информация?

В приложение III към Регламента относно ЕГИ са посочени основните елементи на декларацията за поверителност във връзка с изявленията за подкрепа, събрани чрез централната система за събиране на изявления за подкрепа онлайн, както следва:

В съответствие с Регламент (ЕС) 2018/1725 и Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) личните ви данни, предоставени с този формуляр, ще се използват само за подкрепа на инициативата и ще се предоставят на компетентните национални органи с цел проверка и удостоверяване. Имате право да поискате от Европейската комисия и от представителя на групата на организаторите на инициативата или, когато е приложимо, от учреденото от нея юридическо лице достъп до личните ви данни, както и коригиране, изтриване и ограничаване на обработването на личните ви данни. Вашите данни ще се съхраняват от Европейската комисия за максимален срок на съхранение, съответстващ на по-краткия от следните два срока: един месец след внасянето на инициативата в Европейската комисия или 21 месеца след началото на срока за събиране на изявления за подкрепа. Те могат да бъдат съхранявани след изтичането на тези срокове в случай на административни или съдебни производства, за максимален срок от един месец след датата на приключване на тези производства. Без да се засягат други административни или съдебни правни средства за защита, имате право да подадете по всяко време жалба до Европейския надзорен орган по защита на данните или до орган за защита на данните, по-специално в държавата членка на обичайното ви местопребиваване, място на работа или място на предполагаемото нарушение, ако считате, че личните ви данни са обработвани незаконосъобразно. Европейската комисия и представителят на групата на организаторите на тази инициатива или, когато е приложимо, учреденото от нея юридическо лице са съвместни администратори по смисъла на Регламент (ЕС) 2018/1725 и на Общия регламент относно защитата на данните и може да се свържете с тях, като използвате информацията, посочена в този формуляр. Информацията за връзка с длъжностното лице по защита на данните на групата на организаторите (ако има такова) се намира на адреса на уебсайта на инициативата в регистъра на Европейската комисия, посочен в точка 4 от този формуляр. Информацията за връзка с длъжностното лице по защита на данните на Европейската комисия, с националния орган, който ще получава и обработва личните ви данни, с Европейския надзорен орган по защита на данните и с националните органи за защита на данните се намира на следния адрес: http://ec.europa.eu/citizens-initiative/public/data-protection.

Длъжностното лице по защита на данните (ДЛЗД) в Комисията публикува регистър на всички операции по обработване на лични данни от страна на Комисията, които са документирани и за които е уведомено. За достъп до регистъра използвайте следния адрес: https://ec.europa.eu/info/about-european-commission/service-standards-and-principles/transparency/data-processing-register_bg.

Настоящата операция по обработване е включена в публичния регистър на ДЛЗД под следния референтен номер: DPR-EC-03486.


[1] Записът все още не е публикуван.