Behandling: Behandling av undertecknarnas personuppgifter som samlas in via kommissionens centrala namninsamlingssystem

Personuppgiftsansvariga: Europeiska kommissionen (enhet SG.DSG1.A.1 ”Politiska prioriteringar och arbetsprogram”) och företrädaren för gruppen av organisatörer för initiativet, eller i förekommande fall den rättsliga enhet som har bildats för att förvalta det

Referens: DPR-EC-034861 [1]

 

1.     Inledning

Det europeiska medborgarinitiativet är ett verktyg för direktdemokrati som ger medborgarna möjlighet att föreslå konkreta lagändringar på områden där kommissionen har befogenhet att föreslå lagstiftning. Den rättsliga grunden anges i Europaparlamentets och rådets förordning (EU) 2019/788 av den 17 april 2019 om det europeiska medborgarinitiativet.

För att få skriva på ett medborgarinitiativ måste du uppge vissa personuppgifter i ett stödförklaringsformulär. Organisatörsgruppen för ett initiativ måste samla in minst en miljon sådana stödförklaringar (underskrifter) från EU-medborgarna, med ett minsta antal i minst sju länder. De måste också få underskrifterna kontrollerade och intygade av de EU-länder där de samlats in innan de skickar in initiativet till kommissionen.

Den här integritetspolicyn gäller behandlingen av de personuppgifter som samlas in när man skriver på ett initiativ i kommissionens centrala system för namninsamling på nätet.

Dina personuppgifter behandlas under gemensamt ansvar av kommissionen och initiativets organisatörer, dvs. företrädaren för gruppen av organisatörer eller den rättsliga enhet som gruppen kan ha inrättat. Om dina uppgifter skickas till myndigheterna för kontroll och intygande, är även myndigheterna personuppgiftsansvariga för den behandling de utför.

Kommissionens och organisatörernas respektive ansvar och skyldigheter fastställs i ett avtal om gemensamt personuppgiftsansvar. Läs mer på sidan om skydd av personuppgifter:

https://europa.eu/citizens-initiative/how-it-works/data-protection_sv

EU-kommissionen är mån om att skydda dina personuppgifter och respektera din integritet. Vi samlar in och behandlar personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter. Initiativets organisatörer och de nationella myndigheterna måste också följa reglerna för behandling av personuppgifter enligt den allmänna dataskyddsförordningen (GDPR).

I det här meddelandet förklarar vi vilka personuppgifter vi samlar in, varför och hur. Du får också veta hur vi behandlar och skyddar dina uppgifter, hur de används och vilka rättigheter du har när det gäller dina personuppgifter. Här finns också kontaktuppgifter till de personuppgiftsansvariga enheter som du kan vända dig till för att utöva dina rättigheter och till dataskyddsombudet och Europeiska datatillsynsmannen.

Den här integritetspolicyn bygger på och kompletterar texten om skydd av personuppgifter i bilaga III till förordningen om medborgarinitiativet (se punkt 10 nedan).

Obs! Den här integritetspolicyn gäller inte behandling av personuppgifter som du lämnar i ett stödförklaringsformulär på papper eller via organisatörernas egna namninsamlingssystem. I de fallen är det organisatörsgruppens företrädare som är personuppgiftsansvarig för insamlingen och behandlingen av dina uppgifter (fram till att de överförs till EU-länderna för kontroll). Det stödförklaringsformulär som du skriver på ska innehålla ett meddelande om skydd av personuppgifter som måste omfatta de väsentliga delarna i det allmänna meddelande om behandling av personuppgifter som finns i bilaga III till förordningen om det europeiska medborgarinitiativet. Även om de insamlade underskrifterna överförs till de nationella myndigheterna för kontroll med hjälp av kommissionens fildelningstjänst, under gemensamt personuppgiftsansvar med företrädaren, har kommissionen inte tillgång till dina uppgifter och kan inte förklara hur dina personuppgifter skyddas i den behandlingen. Den här integritetspolicyn ger dig bara relevant information om hur länge uppgifterna sparas.

 

2.     Varför och hur behandlar ni mina personuppgifter?

Vi samlar in dina uppgifter för att genomföra förordning (EU) 2019/788 om det europeiska medborgarinitiativet och på så sätt låta dig som EU-medborgare utöva din rätt enligt artikel 11.4 i EU-fördraget att uppmana kommissionen att lägga fram ett lagförslag för att tillämpa fördragen.

Dina uppgifter kan komma att behandlas på följande sätt:

·       Insamling av din underskrift via webbformulär eller e-legitimation och lagring av uppgifterna i det centrala namninsamlingssystemet.

·       Inlämning av din underskrift till EU-länderna för kontroll.

·        Kontroll och intygande av din underskrift av det EU-land där du är medborgare (för denna behandling är landets behöriga myndighet personuppgiftsansvarig).

Mer specifikt behandlar vi därför dina uppgifter så att

·       du kan skriva på europeiska medborgarinitiativ på nätet

·       din stödförklaring på ett säkert sätt kan överföras till det relevanta EU-landet för kontroll

·       landets myndigheter kan kontrollera din underskrift (de är personuppgiftsansvariga för denna behandling) och kommissionen därmed kan bekräfta att det initiativ du har skrivit på har fått tillräckligt många underskrifter och alltså är giltigt.

Dina uppgifter kan dessutom komma att behandlas vid hantering av dina förfrågningar om personuppgifter, stickprovskontroller av teknisk kvalitet, åtgärder som krävs för underhåll av it-systemet och eventuella andra åtgärder som kan föreskrivas i lag.

De behandlade personuppgifterna kan också komma att användas för förfaranden i EU-domstolen, nationella domstolar och revisionsrätten eller hos EU-ombudsmannen.

Dina uppgifter kommer inte att användas för automatiserat beslutsfattande, t.ex. profilering.

 

3.     Vilken är den rättsliga grunden för att behandla mina personuppgifter?

Vi behandlar dina uppgifter för att du ska kunna skriva på ett europeiskt medborgarinitiativ och därmed uppmärksamma EU-institutionerna på den fråga som initiativet gäller. Eftersom det europeiska medborgarinitiativet stärker demokratin i EU utgör behandlingen av dina uppgifter ett allmänintresse i enlighet med artikel 5.1 a i förordning (EU) 2018/1725 (och artikel 6.1 e i den allmänna dataskyddsförordningen).

Enligt artikel 10 a i förordningen om medborgarinitiativet ska kommissionen inrätta och driva ett system för insamling av namnunderskrifter på nätet och enligt artikel 12.3 ska kommissionen skicka in de insamlade underskrifterna till EU-länderna för kontroll, om initiativet har fått tillräckligt många underskrifter (se även artikel 12.2). Behandlingen av uppgifter i namninsamlingssystemet och överföringen av underskrifter är alltså nödvändig för att kommissionen ska kunna fullgöra en rättslig skyldighet och är därför laglig enligt artikel 5.1 b i förordning (EU) 2018/1725 (och artikel 6.1 c i den allmänna dataskyddsförordningen).

De uppgifter som du lämnar i stödförklaringsformuläret betraktas inte som känsliga uppgifter som inte får behandlas enligt artikel 10.1 i förordning (EU) 2018/1725 (och artikel 9.1 i den allmänna dataskyddsförordningen). Genom att stödja ett medborgarinitiativ kan du dock avslöja uppgifter om dig själv i fråga om hälsa, politiska, filosofiska eller religiösa övertygelser, politisk tillhörighet, sexuell läggning, ras eller etniskt ursprung eller medlemskap i fackförening, beroende på vad initiativet handlar om. Hur känsliga dina uppgifter är kan därför bero på hur politiskt känsligt initiativet i fråga är.

I enlighet med artikel 10.2 g i förordning (EU) 2018/1725 (och artikel 9.2 g i den allmänna dataskyddsförordningen) är behandlingen av eventuella känsliga uppgifter tillåten om den är nödvändig av hänsyn till ett viktigt allmänt intresse. Behandlingen ska då ske på grundval av EU-lagstiftning som ska stå i proportion till syftet med behandlingen, vara förenlig med det väsentliga innehållet i rätten till personuppgiftsskydd och föreskriva lämpliga och specifika åtgärder för att skydda dina grundläggande rättigheter och intressen.

I skäl 12 i förordningen om det europeiska medborgarinitiativet klargörs följande: ”Även om de personuppgifter som behandlas vid tillämpningen av denna förordning kan inbegripa känsliga uppgifter till följd av medborgarinitiativets karaktär som instrument för deltagandedemokrati, är det berättigat att kräva personuppgifter av de personer som stöder medborgarinitiativ och att behandla dessa uppgifter om detta krävs för att göra det möjligt att kontrollera stödförklaringarna i enlighet med nationell rätt och praxis.”

 

4.      Vilka uppgifter samlar ni in och behandlar?

När du stöder ett medborgarinitiativ samlar vi in olika typer av personuppgifter, beroende på din nationalitet och den metod du använder för att skriva på.

Ø  Om du skriver på ett initiativ på nätet ska du fylla i del A eller del B av ett stödförklaringsformulär, beroende på land (se bilaga III till förordningen).

 

Del A:

•                 Nationalitet

•                 Samtliga förnamn

•                 Efternamn

•                 Bostadsadress (gata, nummer, postnummer, ort, land)

•                 Födelsedatum

 

Del B:

•                 Nationalitet

•                 Samtliga förnamn

•                 Efternamn

•                 Personligt id-nummer/numret på den personliga id-handlingen

•                 Typ av personligt id-nummer eller id-handling

 

Enligt artikel 9.4 i förordningen om det europeiska medborgarinitiativet kan EU-länderna välja om de vill använda del A eller B. Den 1 januari 2020 (då förordningen trädde i kraft) hade 9 länder valt del A (Danmark, Finland, Frankrike, Grekland, Irland, Luxemburg, Nederländerna, Slovakien och Tyskland) medan 18 länder hade valt del B (Belgien, Bulgarien, Cypern, Estland, Italien, Kroatien, Lettland, Litauen, Malta, Polen, Portugal, Rumänien, Slovenien, Spanien, Sverige, Tjeckien, Ungern och Österrike).

Länderna kan komma att ändra sig i framtiden utan att vi uppdaterar den här integritetspolicyn.

Ø  Om du skriver på ett initiativ med en e-legitimation hämtas dina personuppgifter från ditt lands e-legitimationssystem. Vilka uppgifter det gäller fastställs i eIDA-förordningen (förordning (EU) nr 910/2014):

•                 Nuvarande efternamn

•                 Nuvarande förnamn

•                 Födelsedatum

•                 Unik identifierare

Dessutom samlas uppgifter om medborgarskap i sådana fall in, baserat på ditt val av det nationella e-legitimationssystem där du autentiserar dig själv.

För att möjliggöra en effektiv behandling samlar vi också in vissa (meta)data om den elektroniska överföringen/inlämningen av underskriften, nämligen din IP-adress, anslutningsuppgifter, tidpunkt när du skickade in formuläret i namninsamlingssystemet och din underskrifts unika id-kod som genereras automatiskt.

 

5.     Hur länge sparar ni uppgifterna?

Grundregeln är att dina uppgifter sparas i 21 månader efter att namninsamlingen startat.

Det finns vissa undantag:

•   Uppgifterna raderas en månad efter att initiativet lämnats in till kommissionen i enlighet med artikel 13 i förordningen om det europeiska medborgarinitiativet.

•   Uppgifterna raderas en månad efter att initiativet dragits tillbaka, om det dras tillbaka när namninsamlingen redan har startat i enlighet med artikel 7 i förordningen.

Uppgifterna kan också sparas en längre tid om det behövs för rättsliga eller administrativa förfaranden angående initiativet. I så fall ska de förstöras senast en månad efter att förfarandena avslutats genom ett slutgiltigt beslut.

De lagringstider som beskrivs ovan gäller också för

-        lagringen i kommissionens fildelningstjänst av underskrifter som samlats in på papper eller på nätet genom ett enskilt namninsamlingssystem och laddats upp av initiativets organisatörer så att de kan överföras till EU-länderna för kontroll

-        EU-länderna om de kontrollerar de insamlade underskrifterna.

 

6.     Hur skyddar ni mina personuppgifter?

Alla personuppgifter sparas i elektroniskt format på kommissionens servrar. Behandlingen måste uppfylla kraven i kommissionens beslut (EU, Euratom) 2017/46 av den 10 januari 2017 om säkerheten i Europeiska kommissionens kommunikations- och informationssystem.

Kommissionen skyddar dina personuppgifter med olika tekniska och organisatoriska åtgärder. De tekniska åtgärderna går ut på att hantera säkerhetsrisker på nätet, risk för dataförlust, ändring av uppgifter eller obehörig åtkomst, med hänsyn till den risk som behandlingen innebär och de personuppgifter som behandlas. De organisatoriska åtgärderna ska se till att endast behöriga personer med ett legitimt behov av att ta del av uppgifterna får tillgång till dem.

 

7.     Vem har tillgång till mina uppgifter och vem får se dem?

Endast behörig kommissionspersonal som behöver uppgifterna har tillgång till dem i det centrala namninsamlingssystemet. Personalen måste följa gällande regler och eventuella överenskommelser om sekretess.

Om initiativet får tillräckligt många underskrifter skickar kommissionen dem (på organisatörernas begäran) till EU-ländernas myndigheter för kontroll och intygande i enlighet med artikel 12.2 och 12.3 i förordningen om det europeiska medborgarinitiativet.

 

8.     Vilka rättigheter har jag och hur kan jag utöva dem?

Enligt kapitel III (artiklarna 14–25) i förordning (EU) 2018/1725 (och kapitel III i den allmänna dataskyddsförordningen) har du rätt att få tillgång till dina personuppgifter och att få dem rättade om de är felaktiga eller ofullständiga. I vissa fall har du rätt att radera dina personuppgifter eller begränsa eller invända mot behandlingen. 

Om du vill invända mot att dina personuppgifter behandlas måste du ange särskilda skäl.

Kontakta vid behov någon av de personuppgiftsansvariga enheterna. Vid en eventuell konflikt kan du vända dig till dataskyddsombudet eller Europeiska datatillsynsmannen (se kontaktuppgifter under punkt 9 nedan).

Förklara i mejlet vilken behandling det gäller genom att ange referensnumret i dataskyddsombudets register (se punkt 10 nedan).

En begäran om tillgång till personuppgifter handläggs inom en månad. Andra förfrågningar enligt artiklarna 18–25 i förordning (EU) 2018/1725 (och kapitel III i den allmänna dataskyddsförordningen) behandlas inom 15 arbetsdagar. Perioden får vid behov förlängas med ytterligare två månader, beroende på hur många förfrågningar som kommit in och hur komplicerade de är.

 

9.     Vem kan jag kontakta?

-      Personuppgiftsansvariga enheter

Om du vill utöva dina rättigheter enligt förordning (EU) 2018/1725 och GDPR eller om du har kommentarer, frågor eller klagomål om hur dina personuppgifter behandlas kan du kontakta någon av de personuppgiftsansvariga.

Ø  Kommissionens personuppgiftsansvariga enhet:

Europeiska kommissionen

Generalsekretariatet

Direktorat A ”Strategi, bättre lagstiftning och verksamhetsstyrning”

Enhet A.1 ”Politiska prioriteringar och arbetsprogram”

1049 Bryssel

Tfn +32 2 299 21 65

E-post: SG-ECI-mailing@ec.europa.eu

Ø  Kontaktuppgifter till organisatörsgruppens företrädare eller rättsliga enhet hittar du i det centrala namninsamlingssystemet eller i kommissionens register över medborgarinitiativ.

Om dina uppgifter skickas till myndigheterna för kontroll och intygande, är myndigheterna personuppgiftsansvariga för den behandling de utför. Du kan vända dig till dem med dina kommentarer, frågor eller önskemål om hur dina personuppgifter behandlas. Se länkarna längst ner på sidan om skydd av personuppgifter.

 

-      Dataskyddsombud 

Ø  Kommissionens dataskyddsombud

Om du har frågor om hur dina personuppgifter behandlas kan du mejla kommissionens dataskyddsombud.

Ø  Organisatörsgruppens dataskyddsombud (om det finns något)

Om initiativets organisatörer har utsett ett dataskyddsombud kan du också kontakta detta ombud. Kontaktuppgifterna hittar du i det centrala namninsamlingssystemet eller i kommissionens register över medborgarinitiativ.

 

-      Dataskyddsmyndigheter

Ø  Europeiska datatillsynsmannen

Om du anser att dina rättigheter enligt förordning (EU) 2018/1725 har kränkts till följd av behandlingen av dina personuppgifter kan du klaga hos Europeiska datatillsynsmannen.

Ø  Nationella dataskyddsmyndigheter

Om du anser att dina uppgifter behandlas på ett olagligt sätt har du rätt att när som helst lämna in ett klagomål till en dataskyddsmyndighet, särskilt i det medlemsland där du bor eller arbetar eller där det påstådda intrånget begicks. Kontaktuppgifterna hittar du via länkarna längst ner på sidan om skydd av personuppgifter.

 

10. Var hittar jag mer information?

Bilaga III till förordningen om det europeiska medborgarinitiativet beskriver de viktigaste punkterna när det gäller skydd av de personuppgifter som samlas in via det centrala namninsamlingssystemet:

I enlighet med förordning (EU) 2018/1725 och förordning (EU) 2016/679 (den allmänna dataskyddsförordningen) kommer de personuppgifter som lämnas på detta formulär endast att användas till stöd för initiativet och de behöriga nationella myndigheterna kommer endast att få tillgång till dem för kontroll och intygande. Du har rätt att begära att Europeiska kommissionen eller företrädaren för gruppen av organisatörer för initiativet, eller i förekommande fall den rättsliga enhet som har bildats för att förvalta det, ger dig tillgång till dina personuppgifter och att de rättar, tar bort eller begränsar behandlingen av uppgifterna. Europeiska kommissionen kommer att lagra dina uppgifter i högst en månad efter det att initiativet lämnades in till Europeiska kommissionen eller i 21 månader efter insamlingsperiodens början, beroende på vilken dag som infaller först. Uppgifterna kan komma att lagras längre vid administrativa eller rättsliga förfaranden, dock högst en månad efter den dag då dessa förfaranden slutfördes. Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel har du, om du anser att dina uppgifter behandlas på ett olagligt sätt, rätt att när som helst lämna in ett klagomål till en dataskyddsmyndighet, särskilt i den medlemsstat där du har din hemvist eller din arbetsplats eller där det påstådda intrånget begicks. Europeiska kommissionen och företrädaren för gruppen av organisatörer för initiativet, eller i förekommande fall den rättsliga enhet som har bildats för att förvalta det är gemensamt personuppgiftsansvarig i den mening som avses i förordning (EU) 2018/1725 och den allmänna dataskyddsförordningen och kan kontaktas med hjälp av uppgifterna på detta formulär. Kontaktuppgifter till dataskyddsombudet för gruppen av organisatörer (om ett sådant finns) finns på detta initiativs webbadress i Europeiska kommissionens register, enligt punkt 4 i detta formulär. Kontaktuppgifter till Europeiska kommissionens dataskyddombud, till den nationella myndighet som kommer att ta emot och behandla dina personuppgifter, till den europeiska dataskyddombudsmannen och till de nationella dataskyddsmyndigheterna finns på följande adress: http://ec.europa.eu/citizens-initiative/public/data-protection.

Kommissionens dataskyddsombud för ett register över all verksamhet där personuppgifter behandlas. Gå till registret

Den behandling av personuppgifter som avses i det här meddelandet har registrerats hos dataskyddsombudet med följande referens: DPR-EC-03486.


[1] Har ännu inte publicerats.