Databehandlingsaktiviteter: At udbrede og fremme det europæiske borgerinitiativ via en onlinesamarbejdsplatform (forummet for det europæiske borgerinitiativ)
Dataansvarlig: Europa-Kommissionen
Udøvende dataansvarlig: Kontor SG.A.1 "Politiske prioriteter og arbejdsprogram".
Referencenummer: DPR-EC-00828
1. Indledning
I denne databeskyttelseserklæring kan du læse, hvorfor vi behandler dine personoplysninger, hvordan vi indsamler, behandler og beskytter alle de personoplysninger, du giver os, hvordan vi bruger oplysningerne, og hvilke rettigheder du har i forbindelse med dine personoplysninger. Den indeholder også kontaktoplysningerne om Den dataansvarlige, som du kan gøre dine rettigheder gældende over for, Databeskyttelsesrådgiveren og Den Europæiske Tilsynsførende for Databeskyttelse.
Europa-Kommissionen ("Kommissionen") er forpligtet til at beskytte dine personoplysninger og sikre din ret til privatliv. Kommissionen indsamler og behandler personoplysninger i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger (og om ophævelse af forordning (EF) nr. 45/2001).
Denne databeskyttelseserklæring omhandler behandlingsaktiviteter i det europæiske borgerinitiativs onlinesamarbejdsplatform ("platformen"), som varetages af Europa-Kommissionens kontor SG.A.1 "Politiske prioriteter og arbejdsprogram".
Kommissionen har udliciteret driften af platformen til en ekstern kontrahent ("platformoperatøren"). Kontrahenten er EUROPEAN CITIZEN ACTION SERVICE, der er registreret som nonprofitorganisation i henhold til belgisk lovgivning med vedtægtsmæssigt hjemsted på adressen BeCentral 12 Cantersteen, 1000 Bruxelles, Belgien. Platformoperatøren fungerer på Kommissionens vegne som databehandler for så vidt angår de registrerede brugeres personoplysninger.
2. Hvorfor og hvordan behandler vi dine personoplysninger?
Formålet med databehandlingen:
Platformen yder støtte til at udarbejde europæiske borgerinitiativer og tilskynder til debat om borgerinitiativerne og om selve borgerinitiativet som koncept, og hvordan man gennemfører det[1].
Platformen betjener nuværende og potentielle initiativtagere, eksperter, interessenter fra civilsamfundet, Kommissionen og øvrige EU-institutioner samt almindelige borgere med interesse for det europæiske borgerinitiativ.
Tanken er, at (potentielle) initiativtagere, der gerne vil starte et borgerinitiativ, kan bruge platformen til at finde samarbejdspartnere i Europa til at oprette den krævede initiativtagergruppe, formulere indholdet af deres initiativ sammen med mere erfarne deltagere, forberede kampagner, lære, hvordan de skaffer økonomisk støtte og driver en kampagne, og udveksle erfaringer og god praksis med andre initiativtagere. Derudover giver platformen alle interesserede borgere mulighed for at følge og deltage i diskussioner både om de konkrete initiativers forskellige stadier og om, hvordan det europæiske borgerinitiativ fungerer generelt.
Platformens vigtigste elementer er:
- et nyheds- og diskussionsforum beregnet til onlinedebat og blogindlæg relateret til det europæiske borgerinitiativ, der gør det muligt for deltagerne at interagere med hinanden, udveksle oplysninger og bedste praksis, finde samarbejdspartnere, mv.
- et læringsforum med rådgivningsmateriale om forskellige aspekter af et europæisk borgerinitiativs livscyklus samt
- en helpdesk til forespørgsler og support.
Vi indsamler og bruger dine personoplysninger til at give dig mulighed for at logge ind på platformen og interagere med andre registrerede brugere der, og for at nære fællesskabet, samarbejdet og udvekslingen brugerne imellem. Det vil primært indebære, at dit navn og et eventuelt foto af dig vil blive vist, når du skriver med andre brugere på platformen, og at andre registrerede brugere vil kunne se dine personoplysninger på din profil (dog ikke din e-mailadresse). Dine data vil også kunne blive vist i andre brugeres søgeresultater ud fra kriterierne "bopælsland" og "interesseområde". Alt indhold, du selv vælger at offentliggøre på platformen, vil være synligt for andre brugere. Dit for- og efternavn samt et eventuelt foto vises ved siden af det indhold, du offentliggør på platformen, og er dermed synlige for alle, men kun hvis du har tilvalgt, at disse personoplysninger skal offentliggøres.
Vi indsamler og behandler dine personoplysninger på følgende måde:
- En del af personoplysningerne behandles ved automatiske processer. Dette gælder navnlig:
- Når du er blevet oprettet som registreret platformbruger (ved at klikke på det relevante felt i webformularen), importeres dit for- og efternavn samt din e-mailadresse automatisk ved første indlogning til brugerprofilen fra programmet "EU Login" (hvor man som registreret platformbrugere først skal registrere sig og logge ind)[2]
- Når du er registreret, vil dit navn og dit eventuelle foto blive offentliggjort ved siden af de opslag, du offentliggør på platformen, hvis du giver dit samtykke til, at disse personoplysninger vises sammen med det indhold, du offentliggør. Du kan også vælge at offentliggøre indhold anonymt.
- Du udfylder, gemmer og redigerer selv dine personoplysninger og andre oplysninger i din brugerprofil (dog med undtagelse af de oplysninger, der automatisk importeres fra "EU Login")
- Din e-mailadresse vil kun blive videregivet til en anden registreret bruger, hvis du har givet tilladelse til det
- Andre behandlinger af dine personoplysninger udføres manuelt (i elektronisk form) af platformoperatøren. Dette gælder navnlig følgende databehandling:
- Behandling af dine anmodninger om databeskyttelse (herunder anmodninger om at slette en brugerprofil, der indsendes pr. e-mail).
De behandlede personoplysninger kan blive genanvendt ved retsforhandlinger ved EU's domstole, de nationale domstole, Den Europæiske Ombudsmand eller Den Europæiske Revisionsret.
Vi anvender ikke dine personoplysninger til automatisk beslutningstagning eller profilering.
3. På hvilket retsgrundlag behandler vi dine personoplysninger?
Platformen drives på grundlag af artikel 4, stk. 2, i forordning (EU) 2019/788 om det europæiske borgerinitiativ.
Hvis du er en ekstern bruger, er behandlingen af de oplysninger, som det er obligatorisk for dig at afgive, lovlig i henhold til artikel 5, stk. 1, litra a), i forordning (EU) 2018/1725, hvori der henvises til en situation, hvor "databehandlingen er nødvendig af hensyn til udførelse af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den eller det pågældende af Unionens institutioner eller organer har fået pålagt".
Behandlingen af yderligere ikke-obligatoriske oplysninger, som du måtte vælge at afgive, foretages med dit samtykke og er dermed lovlig i henhold til artikel 5, stk. 1, litra d), i forordning (EU) 2018/1725, hvori der henvises til en situation, hvor "den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål".
Isoleret set hører de behandlede oplysninger ikke ind under nogen af de kategorier, for hvilke databehandling er forbudt i henhold til artikel 10, stk. 1, i forordning (EU) 2018/1725 ("særlige kategorier af personoplysninger"). Ved at deltage i platformens aktiviteter med henblik på at iværksætte et givet borgerinitiativ kan du imidlertid afsløre din politisk overbevisning. Dine personoplysningers eventuelle følsomhed kan derfor være en følge af det pågældende initiativs politiske følsomhed.
Alt afhængigt af sagens karakter og dit borgerinitiativs eller dit debatemnes følsomhed, kan dine behandlede personoplysninger derfor blive betragtet som oplysninger, der afslører politisk overbevisning.
Du beslutter selv, hvilket indhold du ønsker at offentliggøre, og offentliggørelsen af sådant indhold (herunder politisk følsomt indhold) er baseret på dit udtrykkelige samtykke i overensstemmelse med artikel 5, stk.1, litra d, og artikel 10, stk. 2, litra a, i forordning (EU) 2018/1725, som du giver, inden du offentliggør indholdet. Du kan også vælge at offentliggøre indhold anonymt.
Hvis du er platformadministrator (dvs. en platformbruger med mere privilegerede adgangsrettigheder til platformens indholdsstyringssystem), behandles dine oplysninger på det kontraktlige grundlag, som er omhandlet i artikel 5, stk. 1, litra c), i forordning (EU) 2018/1725 ("platformoperatør") samt i artikel 5, stk. 1, litra a), (Kommissionens personale med ansvar for det europæiske borgerinitiativ eller platformens IT-værktøj).
4. Hvilke personoplysninger indsamler og behandler vi?
For at få forbindelse til platformen som registreret bruger (også som platformadministrator) skal du først registrere dig via Europa-Kommissionens autentificeringstjeneste "EU Login".
De oplysninger, du i den forbindelse afgiver, er omfattet af den databeskyttelseserklæring, der gælder for Europa-Kommissionens tjeneste for adgangsstyringstjenester (IAMS)[3].
Når du er registreret og identificeret via autentificeringstjenesten "EU Login", vil der, første gang du logger ind på platformen, blive oprettet en brugerprofil til dig i platformens database. Dit fornavn, dit efternavn og din e-mailadresse vil automatisk blive importeret til denne profil fra den database, som administreres af IAMS.
Derudover vil du blive bedt om at angive følgende (ikke-obligatoriske) personoplysninger for at færdiggøre din brugerprofil:
- nationalitet
- foretrukket sprog
- bopælsland
- aldersgruppe
- køn
- interesseområde
- profession/rolle
- baggrund og begrundelse for at bruge platformen
- foto
Dine opslag og kommentarer på platformen samt din kommunikation med helpdesken kan også indeholde personoplysninger eller betragtes som sådanne. Du kan vælge at offentliggøre indhold anonymt på platformen. Inden du offentliggør indholdet, får du mulighed for enten at få vist dit navn og et eventuelt foto eller at forblive anonym.
Historikken over de aktiviteter, som brugerne har udført på platformen, lagres i hostingmiljøet i form af logfiler med henblik på fejlfinding.
5. Hvor længe opbevarer vi dine personoplysninger?
Vi opbevarer kun oplysningerne, så længe det er nødvendigt for at opfylde formålet med indsamlingen eller viderebehandlingen. Der gælder følgende tidsbegrænsninger:
(i) De oplysninger, du har angivet som led i din registrering i EU Login-autentificeringstjenesten
Fristerne for opbevaring af data i EU Login-autentificeringstjenesten er defineret i databeskyttelseserklæringen for Europa-Kommissionens identitetsstyring [4].
ii) Personoplysninger, du har angivet i din brugerprofil (som registreret bruger, herunder som platformadministrator)
De personoplysninger, du har angivet i din brugerprofil, herunder også dine opslag og kommentarer samt din kommunikation med helpdesken, vil blive gemt på platformen, så længe du er aktiv, ikke selv har slettet din profil og ikke har bedt platformadministratoren om at slette profilen fra platformen.
Efter to års uafbrudt inaktivitet vil din brugerprofil automatisk blive slettet, og der kræves ikke nogen anmodning herom.
For at sikre, at der er sammenhæng i platformen og i dens indhold, vil dine opslag og kommentarer samt din kommunikation med helpdesken forblive på platformen i en anonymiseret udgave, hvis din brugerprofil bliver slettet (enten efter anmodning fra dig eller automatisk efter to års inaktivitet på platformen).
Logfilerne opbevares i 40 måneder.
6. Hvordan beskytter og sikrer vi dine personoplysninger?
For at beskytte dine personoplysninger har Kommissionen iværksat en række tekniske og organisatoriske foranstaltninger. De tekniske foranstaltninger omfatter passende tiltag til at håndtere onlinesikkerhed, risiko for datatab, ændring af data eller uautoriseret adgang under hensyntagen til den risiko, der er forbundet med behandlingen, og arten af de personoplysninger, der behandles. De organisatoriske foranstaltninger omfatter begrænsning af adgangen til personoplysninger til udelukkende at omfatte autoriserede personer med et legitimt behov for adgang (need to know-princippet) med henblik på behandlingen af oplysningerne.
Alle oplysninger i elektronisk format (e-mails, dokumenter, databaser og uploadede datasæt) opbevares enten på Europa-Kommissionens servere eller på servere tilhørende dens kontrahenter (og underleverandører).
Alle databehandlinger, der gennemføres ved hjælp af Europa-Kommissionens kommunikations- og informationssystemer, er omfattet af Kommissionens IT-sikkerhedsafgørelse (EU, Euratom) 2017/46 af 10. januar 2017. Platformsdatabasen hostes på en sikker måde i infrastrukturen som en tjeneste, der leveres af Amazon Web Services, som udelukkende kører i datacentret i EU: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, LUXEMBOURG.
Platformens database hostes sikkert på servere, der tilhører en af Europa-Kommissionen kontrahenter, nemlig Amazon Web Service. Kontrahenten installerer regelmæssigt patches og opdateringer for at beskytte serverne mod indtrængen og skadevoldende adgang.
Kommissionens databehandlere (kontrahenter) er bundet af en specifik kontraktbestemmelse ved behandlingen af personoplysninger på vegne af Kommissionen. Databehandlerne skal træffe passende tekniske og organisatoriske foranstaltninger for at leve op til det sikkerhedsniveau, som Kommissionen kræver.
7. Hvem har adgang til dine personoplysninger, og hvem videregives de til?
Kommissionen og de af platformoperatørens medarbejdere, der har ansvar for behandlingen, får adgang til dine personoplysninger. Adgangen gives kun i det omfang, det er nødvendigt, og de berørte medarbejdere er underlagt vedtægtsmæssig tavshedspligt (for Kommissionens vedkommende) og aftalemæssig tavshedspligt (for databehandlere).
Du kan vælge at offentliggøre indhold på platformen anonymt. Hvis du ikke vælger at offentliggøre indhold anonymt, vil dit for- og efternavn samt et eventuelt foto blive vist ved siden af det indhold, du offentliggør på platformen, og de vil dermed være synlige for alle.
Hele indholdet af din brugerprofil, inklusive din e-mailadresse, vil være synlig for platformadministratorerne. Hvis der er et problem, som kræver IT-hjælp, kan dine brugerprofiloplysninger, herunder platformslogfiler, blive delt med Kommissionens medarbejdere i Generaldirektoratet for Digitale Tjenester (GD DIGIT), når de yder support, på grundlag af "need to know"-princippet.
Da din e-mailadresse er en del af din brugerprofil, vil den kun blive videregivet til andre individuelle registrerede brugere, hvis du udtrykkeligt indvilliger i dette via en særlig funktion på platformen:
- Hvis en anden registreret bruger ønsker at kontakte dig, skal vedkommende udfylde en kontaktformular på platformen og her angive dit navn og den besked, som vedkommende ønsker at sende. Du vil så modtage beskeden fra denne bruger på den e-mailadresse, din EU Login-konto benytter. Den e-mailadresse, som den anden bruger har anvendt, vil stå som afsender af beskeden. Hvis du sender et svar til brugeren, vil vedkommende kunne se din e-mailadresse.
- Hvis du omvendt ønsker at kontakte en anden registreret bruger, skal du også bruge den nævnte kontaktformular på platformen og dermed give brugeren din e-mailadresse.
Derudover kan platformsoperatøren efter instruks fra Kommissionen benytte "Connect" -funktion i forummet for det europæiske borgerinitiativ til at sende e-mails til alle registrerede brugere for at underrette dem om opgraderinger af platformen eller særlige vigtige aktiviteter, som udelukkende vedrører forummet for det europæiske borgerinitiativ. Formålet med disse e-mails er at give brugerne bedre mulighed for at logge ind på platformen og interagere med andre registrerede brugere der, og for at nære fællesskabet, samarbejdet og udvekslingen mellem de registrerede brugere.
De oplysninger, som vi indsamler, vil ikke blive videregivet til tredjemand undtagen i det omfang og til det formål, som vi kan være retligt forpligtet til.
8. Hvilke rettigheder har du, og hvordan gør du brug af dem?
Du har særlige rettigheder som "registreret" i henhold til kapitel III (artikel 14-25) i forordning (EU) 2018/1725, bl.a. ret til adgang til dine personoplysninger og til at berigtige dem, hvis de er ukorrekte eller ufuldstændige. Du har ret til at slette dine personoplysninger og til at begrænse behandlingen af dem og gøre indsigelse mod den.
Behandlingen af dine ikke-obligatoriske personoplysninger i din brugerprofil foretages med dit samtykke. Offentliggørelsen af dit navn og eventuelle foto ved siden af det indhold, du offentliggør på platformen, er også baseret på dit samtykke. Du kan når som helst trække dit samtykke tilbage ved at slette de pågældende oplysninger i din brugerprofil eller ved at kontakte den dataansvarlige. Tilbagetrækning af dit samtykke vil dog ikke påvirke lovligheden af den behandling af dine oplysninger, der blev foretaget, før du trak dit samtykke tilbage.
Du kan benytte dig af denne ret ved at kontakte dataansvarlige og/eller databehandleren (platformsoperatøren) eller i tilfælde af tvister den databeskyttelsesansvarlige og om nødvendigt Den Europæiske Tilsynsførende for Databeskyttelse via de kontaktoplysninger, der er anført i punkt 9 nedenfor.
For så vidt angår de oplysninger, du har afgivet i forbindelse med din registrering i autentificeringstjenesten EU Login, henviser vi til Europa-Kommissionens identitetsstyringstjenestes særlige databeskyttelseserklæring[5].
Hvis du ønsker at gøre brug af dine rettigheder i forbindelse med en eller flere konkrete behandlingsaktiviteter, bedes du i din henvendelse angive det referencenummer, som du finder i punkt 9 nedenfor.
Anmodninger om adgang til personoplysninger vil blive behandlet inden for 1 måned efter modtagelsen af anmodningen. Alle andre anmodninger, der er nævnt ovenfor, vil blive behandlet inden for 15 arbejdsdage.
Du kan også gøre direkte brug af dine rettigheder med hensyn til de oplysninger, du har angivet i din registrerede brugerprofil: online kan du selv finde, ændre, opdatere og slette oplysningerne i din brugerprofil (dog med undtagelse af de oplysninger, der er importeret fra autentificeringstjenesten EU-Login).
9. Kontaktoplysninger
Hvis du ønsker at gøre brug af dine rettigheder i henhold til forordning (EU) 2018/1725, hvis du har bemærkninger, spørgsmål eller betænkeligheder, eller hvis du ønsker at indgive en klage vedrørende indsamlingen og anvendelsen af dine personoplysninger, bedes du kontakte den dataansvarlige:
- Den udøvende dataansvarlige:
Europa-Kommissionen
Generalsekretariat
Direktorat A "Strategi, bedre regulering og corporate governance"
Kontor A.1 "Politiske prioriteter og arbejdsprogram"
B-1049 Bruxelles, Belgien
Tlf.: +32 2 29 92165
Fax: +32 2 29 66655
E-mail: SG-ECI-mailing@ec.europa.eu
- Databehandleren (platformoperatør for det europæiske borgerinitiativ):
EUROPEAN CITIZEN ACTION SERVICE
BeCentral 12 Cantersteen
B-1000 Bruxelles, Belgien
E-mail: ECIforum@ecas.org
- Kommissionens databeskyttelsesrådgiver
Du kan kontakte databeskyttelsesrådgiveren (DATA-PROTECTION-OFFICER@ec.europa.eu) om spørgsmål vedrørende behandlingen af personoplysninger i henhold til forordning (EU) 2018/1725.
- Den Europæiske Tilsynsførende for Databeskyttelse
Du har ret til at indgive en klage over for Den Europæiske Tilsynsførende for Databeskyttelse (edps@edps.europa.eu), hvis du mener, at dine rettigheder i henhold til forordning (EU) 2018/1725 er blevet overtrådt som følge af Den dataansvarliges behandling af dine personoplysninger.
10. Hvor kan man finde yderligere information?
Kommissionens databeskyttelsesrådgiver fører et register over alle Kommissionens behandlingsaktiviteter vedrørende personoplysninger, som er blevet dokumenteret og anmeldt til rådgiverens kontor. Du kan tilgå registret via følgende link: https://ec.europa.eu/dpo-register.
Behandlingen af dine oplysninger er opført i databeskyttelsesrådgiverens offentlige register under følgende referencenummer: DPR-EC-00828.
Generel information om beskyttelse af personoplysninger i forbindelse med gennemførelsen af borgerinitiativet findes på: https://citizens-initiative.europa.eu/how-it-works/data-protection
[1] Du kan læse mere om det europæiske borgerinitiativ på https://europa.eu/citizens-initiative.eu.
[2] Se DPR-EC-03187 EU Login på https://ec.europa.eu/dpo-register/detail/DPR-EC-03187 og den dertil hørende databeskyttelseserklæring. Du kan i den nævnte databeskyttelseserklæring finde information svarende til punkt 4-9 i nærværende databeskyttelseserklæring.
[3] Se DPR-EC-03187 EU Login på https://ec.europa.eu/dpo-register/detail/DPR-EC-03187 og den dertil hørende databeskyttelseserklæring.
[4] https://intragate.ec.europa.eu/cas/privacyStatement.html
[5] https://intragate.ec.europa.eu/cas/privacyStatement.html