1. Wprowadzenie

Komisja Europejska jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności osób, których dotyczą dane. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylającym rozporządzenie (WE) nr 45/2001).

W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób pozyskiwane informacje są wykorzystywane oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podajemy również dane kontaktowe administratora danych, u którego można dochodzić praw, inspektora ochrony danych oraz Europejskiego Inspektora Ochrony Danych.

To oświadczenie o ochronie prywatności dotyczy operacji przetwarzania danych osobowych przez Komisję Europejską przy rozpatrywaniu wniosków wstępnych i ponownych o dostęp do dokumentów – złożonych przez wnioskodawców na mocy rozporządzenia (WE) nr 1049/2001 – prowadzonej przez dział „Przejrzystość, zarządzanie dokumentami i dostęp do dokumentów” w Sekretariacie Generalnym (horyzontalny administrator danych w imieniu Komisji Europejskiej) oraz przez działy odpowiedzialne za rozpatrywanie wniosków wstępnych o dostęp do dokumentów we właściwym departamencie lub właściwej służbie Komisji (faktyczny administrator w imieniu Komisji Europejskiej).

2. Dlaczego i jak przetwarzamy dane osobowe?

Cel przetwarzania danych: Komisja Europejska gromadzi i wykorzystuje dane osobowe do celów rozpatrywania wniosków o dostęp do dokumentów złożonych na mocy rozporządzenia (WE) nr 1049/2001 w przewidzianym prawnie terminie oraz do sporządzenia rocznego sprawozdania statystycznego zgodnie z wymogami art. 17 ust. 1 tego rozporządzenia. Dane osobowe mogą być przetwarzane w związku z postępowaniem wyjaśniającym prowadzonym przez Europejskiego Rzecznika Praw Obywatelskich lub w przypadku postępowania sądowego.

Dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.

3. Na jakiej podstawie prawnej przetwarzamy dane osobowe?

Komisja Europejska przetwarza dane osobowe, ponieważ:

  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (art. 5  ust. 1 lit. a) rozporządzenia (UE) 2018/1725); oraz
  • przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku, któremu podlega Komisja Europejska (art. 5 ust. 1 lit. b) rozporządzenia (UE) 2018/1725).

Ponadto przetwarzanie nieobowiązkowych danych osobowych przedstawionych we wniosku o dostęp do dokumentów (zob. pkt 4 poniżej) opiera się na zgodzie osoby, której dane dotyczą (art. 5 ust. 1 lit. d) rozporządzenia (UE) 2018/1725).

Przetwarzanie zgodnie z art. 5 ust. 1 lit. a) i b) musi opierać się na prawie Unii, a mianowicie na art. 15 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej i na rozporządzeniu (WE) nr 1049/2001.

4. Jakiego rodzaju dane osobowe gromadzimy i przetwarzamy?

Gromadzone i przetwarzane dane osobowe to:

a) Dane osobowe podane przez osobę składającą wniosek za pośrednictwem internetowego formularza:

  • dane obowiązkowe: imię i nazwisko, szczegółowe dane kontaktowe (adres e-mail i adres pocztowy, kraj zamieszkania), przedmiot wniosku (może on zawierać dane osobowe w przypadku, gdy odnosi się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej)
  • dane nieobowiązkowe: inne dane kontaktowe (numery telefonu i faksu), kategoria i organizacja.

b) Dane osobowe podane przez wnioskodawcę we wniosku złożonym w innej formie elektronicznej lub na papierze.

c) Dane osobowe zawarte w dokumentach, o dostęp do których się zwrócono – jeżeli zostały one ujawnione na mocy rozporządzenia (WE) nr 1049/2001 – a także dane osobowe zawarte w odpowiedzi na ten wniosek i w powiązanej z nim korespondencji z osobą, która go złożyła.

d) Jeżeli istnieją uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej wniosek, Komisja Europejska może zwrócić się do wnioskodawcy z prośbą o dostarczenie jej kopii dowodu tożsamości (np. paszportu lub dowodu osobistego) w celu potwierdzenia tożsamości w następujących wyjątkowych okolicznościach:

  • jeżeli dokumenty, których dotyczy wniosek, zawierają dane osobowe wnioskodawcy i został mu udzielony indywidualny dostęp do tych dokumentów
  • jeżeli istnieją uzasadnione podstawy do tego, by uważać, że wynikające z rozporządzenia (WE) nr 1049/2001 Parlamentu Europejskiego i Rady prawo do uzyskania dostępu zostanie naruszone przez danego wnioskodawcę.

Dowód tożsamości powinien zawierać imię i nazwisko wnioskodawcy i, jeśli jest dostępny, jego adres pocztowy, a wszelkie inne dane takie jak zdjęcie czy inne cechy osobowe można zaczernić.

5. Jak długo przechowujemy dane osobowe?

Komisja przechowuje dane osobowe jedynie przez okres niezbędny do celów ich gromadzenia lub dalszego przetwarzania, tzn. nie dłużej niż przez pięć lat od zamknięcia sprawy.

Na etapie wniosku wstępnego uznaje się, że sprawa została zamknięta w momencie, gdy pierwsza decyzja Komisji Europejskiej stała się ostateczna (tj. nie złożono ponownego wniosku), chyba że wymagane są dalsze działania w związku z postępowaniem wyjaśniającym prowadzonym przez Europejskiego Rzecznika Praw Obywatelskich.

W takim przypadku sprawa zostaje uznana za zamkniętą, jeżeli Europejski Rzecznik Praw Obywatelskich zamknął swoje postępowanie wyjaśniające w odniesieniu do skargi i nie zachodzi potrzeba dalszych działań ze strony Komisji Europejskiej w odniesieniu do wniosku o dostęp do dokumentów.

Na etapie ponownego wniosku uznaje się, że sprawa została zamknięta w momencie, gdy wydana w odpowiedzi decyzja Komisji Europejskiej stała się ostateczna, a mianowicie wraz z:

  • – upływem terminu wniesienia sprawy do sądów UE lub
  • – potwierdzeniem przez sąd UE decyzji wydanej w odpowiedzi na ponowny wniosek lub
  • – zakończeniem przez Komisję Europejską działań następczych, o które zwrócił się sąd UE w swoim orzeczeniu.

Sprawy nie uznaje się za zamkniętą pomimo tego, że decyzja wydana w odpowiedzi na ponowny wniosek stała się ostateczna, w przypadku gdy Europejski Rzecznik Praw Obywatelskich prowadzi w odniesieniu do niej postępowanie wyjaśniające wymagające działań następczych. W takim przypadku sprawa zostaje uznana za zamkniętą, jeżeli zamknął on swoje postępowanie wyjaśniające w odniesieniu do skargi i nie zachodzi potrzeba dalszych działań ze strony Komisji w odniesieniu do wniosku o dostęp do dokumentów.

Ten pięcioletni administracyjny okres zatrzymania danych opiera się na polityce przechowywania dokumentów i akt Komisji Europejskiej (oraz zatrzymywania zawartych w nich danych osobowych), którą reguluje wspólny, komisyjny wykaz dotyczący akt Komisji Europejskiej SEC(2019)900. Jest to dokument regulacyjny w formie harmonogramu, w którym określone są okresy przechowywania różnych rodzajów akt Komisji Europejskiej. Wykaz ten został zgłoszony Europejskiemu Inspektorowi Ochrony Danych.

Administracyjny okres zatrzymania danych to okres, podczas którego departamenty Komisji Europejskiej są zobowiązane do przechowywania akt w zależności od ich użyteczności do celów administracyjnych oraz odnośnych zobowiązań ustawowych i prawnych. Okres ten zaczyna biec w momencie, gdy zostaną zamknięte akta sprawy.

Zgodnie ze wspólnym wykazem komisyjnym po administracyjnym okresie zatrzymania danych akta dotyczące wniosków o dostęp do dokumentów (a także zawarte w nich dane osobowe) mogą zostać przekazane do archiwum historycznego Komisji Europejskiej do celów historycznych (informacje na temat procesów przetwarzania dotyczących archiwum historycznego – zob. zgłoszenia DPO-1530.4 ARES-NOMCOM. ARES (Advanced Records System) i NOMCOM (wspólna klasyfikacja), DPO-3871-3 Notification for the digital archival repository and ARCHISscanning' i 'DPO-2806-5 Gestion des dossiers papier structurés par nom de personnes et transférés aux Archives Historiques'.).

Wykorzystywanie informacji zawartych w dokumencie tożsamości wnioskodawcy (zob. pkt 4 powyżej) jest ściśle ograniczone: dane zostaną wykorzystane jedynie na potrzeby sprawdzenia tożsamości wnioskodawcy i nie będą przechowywane dłużej niż to konieczne do osiągnięcia tego celu.

6. Jak chronimy dane osobowe?

Wszystkie dane w formacie elektronicznym (wiadomości e-mail, dokumenty, załączone zbiory danych itd.) są przechowywane na serwerach Komisji Europejskiej albo na serwerach jej podwykonawców. Eksploatacja tych serwerów jest zgodna z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.

Podczas przetwarzania danych osobowych w imieniu Komisji Europejskiej podwykonawcy Komisji muszą przestrzegać specjalnej klauzuli umownej, a także obowiązków w zakresie poufności danych wynikających z ogólnego rozporządzenia o ochronie danych w państwach członkowskich UE.

Komisja Europejska wprowadziła szereg środków technicznych i organizacyjnych służących ochronie danych osobowych. Środki techniczne obejmują m.in. odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, zmiany danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem danych osobowych oraz charakteru przetwarzanych danych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp w celu ich przetwarzania.

7. Kto ma dostęp do danych osobowych i komu są one ujawniane?

Dostęp do danych osobowych mają upoważnieni do tego pracownicy Komisji Europejskiej odpowiedzialni za prowadzenie operacji przetwarzania danych zgodnie z zasadą ograniczonego dostępu. Pracownicy ci przestrzegają regulaminowych, a także – w razie potrzeby – dodatkowych zobowiązań do zachowania poufności.

Dane osobowe, które pojawiają się w dokumentach, o których udostępnienie się zwrócono, mogą zostać ujawnione publicznie po dokonaniu oceny na podstawie rozporządzenia (WE) nr 1049/2001 w związku z art. 9 rozporządzenia (UE) 2018/1725. W przypadku gdy Komisja Europejska przyzna dostęp do dokumentów wnioskodawcy mieszkającemu poza UE, dane osobowe zawarte w tych dokumentach zostaną mu ujawnione wyłącznie wtedy, gdy takie przekazanie danych spełnia warunki określone w rozdziale V rozporządzenia (UE) 2018/1725 dotyczącym przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.

Dane osobowe, które gromadzimy na temat osób składających wnioski o dostęp do dokumentów, nie zostaną przekazane żadnej osobie trzeciej. Może to nastąpić wyłącznie:

  • w zakresie i celu, w jakim możemy być do tego zobowiązani na mocy prawa oraz
  • w celu wysyłania decyzji Komisji Europejskiej dotyczących dostępu do dokumentów listem poleconym za pośrednictwem podmiotu przetwarzającego DHL International (z siedzibą w Belgii) (więcej informacji znajduje się w zawiadomieniu „DPO-1258 Traitement du courrier” Urzędu Infrastruktury i Logistyki Komisji Europejskiej w Brukseli).

Zgodnie z art. 3 ust. 13 rozporządzenia (UE) 2018/1725 organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców. Dalsze przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

Decyzje Komisji Europejskiej zgodnie z rozporządzeniem (WE) nr 1049/2001 w sprawie wniosków potwierdzających są przyjmowane za pośrednictwem Decide (systemu informacyjnego wspierającego proces decyzyjny Komisji) i są udostępniane w systemie Komisji Europejskiej VISTA (niepublicznym). Informacje o przetwarzaniu danych osobowych za pośrednictwem systemów Decide i VISTA można znaleźć w odnośnych rejestrach operacji przetwarzania danych „DPR-EC-00107.1 Decide (system informacyjny wspierający proces decyzyjny Komisji)” i „DPR-EC-00914.1 system VISTA”.

8. Jakie prawa przysługują osobom, których dane dotyczą, i jak mogą ich dochodzić?

Na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725 „podmiotom danych”, czyli osobom, których dane dotyczą, przysługują szczególne prawa. W odniesieniu do operacji przetwarzania danych mogą one skorzystać z następujących praw:

  • prawo dostępu do swoich danych osobowych (art. 17 rozporządzenia (UE) 2018/1725)
  • prawo do sprostowania danych osobowych w przypadku, gdy są one nieprawidłowe lub niekompletne (art. 18 rozporządzenia (UE) 2018/1725)
  • w stosownych przypadkach, prawo do ograniczenia przetwarzania danych osobowych (art. 20 rozporządzenia (UE) 2018/1725) oraz prawo do przenoszenia danych (art. 22 rozporządzenia (UE) 2018/1725); oraz
  • o ile odpowiedź na wniosek o dostęp do dokumentów nie została jeszcze wydana, prawo do usunięcia danych osobowych (art. 19 rozporządzenia (UE) 2018/1725) oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych z przyczyn związanych z ich szczególną sytuacją (art. 23 rozporządzenia (UE) 2018/1725). W wyniku wykonania tych dwóch praw odpowiedni wniosek o dostęp do dokumentów stałby się nieaktualny.

W zakresie, w jakim przetwarzanie danych osobowych odbywa się na podstawie zgody wnioskodawcy (mianowicie w odniesieniu do przetwarzania nieobowiązkowych danych osobowych, o których mowa w pkt 3 i 4 powyżej), może on wycofać swoją zgodę w dowolnym momencie, powiadamiając o tym administratora danych. Wycofanie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych przed wycofaniem zgody.

Aby skorzystać z tych praw, należy skontaktować się z administratorem danych lub, w przypadku konfliktu, z inspektorem ochrony danych. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Odpowiednie dane do kontaktu podano poniżej w pkt „Kontakt”.

Aby skorzystać z tych praw w odniesieniu do jednej lub kilku konkretnych operacji przetwarzania, należy w przesłanym wniosku podać opis operacji (tzn. numer referencyjny wskazany poniżej w pkt 10 „Gdzie można znaleźć bardziej szczegółowe informacje?” ).

Wszelkie wnioski o dostęp do danych osobowych zostaną rozpatrzone w ciągu jednego miesiąca. Wszelkie inne wnioski, o których mowa powyżej, zostaną rozpatrzone w ciągu 15 dni roboczych od otrzymania wniosku przez administratora danych.

9. Kontakt

  • (Horyzontalny) administrator danych:

Aby skorzystać z praw na podstawie rozporządzenia (UE) 2018/1725 lub przesłać uwagi, pytania lub zastrzeżenia, ewentualnie aby złożyć skargę w związku z gromadzeniem i wykorzystywaniem danych osobowych, należy skontaktować się z administratorem danych:

  • Sekretariat Generalny
  • Dział C.1 – „Przejrzystość, zarządzanie dokumentami i dostęp do dokumentów”
  • Adres e-mail: Sg-acc-doc@ec.europa.eu
  • Inspektor ochrony danych Komisji Europejskiej

W kwestiach związanych z przetwarzaniem danych osobowych na podstawie rozporządzenia (UE) 2018/1725 można skontaktować się z inspektorem ochrony danych (DATA-PROTECTION-OFFICER@ec.europa.eu).

  • Europejski Inspektor Ochrony Danych (EIOD):

Osoby, których dotyczą dane, mają prawo odwołać się (wnieść skargę) do Europejskiego Inspektora Ochrony Danych (edps@edps.europa.eu), jeżeli uznają, że ich prawa wynikające z rozporządzenia (UE) 2018/1725 zostały naruszone w wyniku przetwarzania danych osobowych przez administratora danych.

10. Gdzie można znaleźć bardziej szczegółowe informacje?

Inspektor ochrony danych Komisji Europejskiej publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Rejestr ten jest dostępny pod adresem: http://ec.europa.eu/dpo-register.

Ta operacja przetwarzania danych została ujęta w rejestrze publicznym inspektora ochrony danych pod numerem: DPR-EC-00793.