1. Uvod

Evropska komisija je zavezana varstvu vaših osebnih podatkov in spoštovanju vaše zasebnosti. Evropska komisija zbira in obdeluje osebne podatke v skladu z Uredbo (EU) št. 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov (ter o razveljavitvi Uredbe (ES) št. 45/2001).

Ta izjava o varstvu osebnih podatkov pojasnjuje, zakaj osebne podatke obdelujemo, kako jih zbiramo, z njimi ravnamo in jih varujemo ter kako jih uporabljamo in katere pravice imate glede svojih osebnih podatkov. Navaja tudi kontaktne podatke odgovornega upravljavca podatkov v zvezi z uveljavljanjem vaših pravic, pooblaščene osebe za varstvo podatkov in evropskega nadzornika za varstvo podatkov.

Ta izjava o varstvu podatkov zadeva osebne podatke, ki jih obdeluje Evropska komisija pri obravnavi začetnih in potrdilnih prošenj za dostop do dokumentov, vloženih v skladu z Uredbo (ES) št. 1049/2001, ki jih obravnavajo enota za preglednost, upravljanje dokumentov in dostop do dokumentov pri Generalnem sekretariatu (upravljavec podatkov na horizontalni ravni v imenu Evropske komisije) in enote drugih pristojnih služb Komisije, pristojne za obravnavo začetnih prošenj za dostop do dokumentov (dejansko upravljavec podatkov v imemu Evropske komisije).

2. Zakaj in kako obdelujemo osebne podatke

Namen postopka obdelave podatkov: Evropska komisija zbira in obdeluje osebne podatke z namenom obravnave prošenj za dostop do dokumentov, vloženih v skladu z Uredbo (ES) št. 1049/2001 v zakonsko predpisanih rokih, in priprave letnega statističnega poročila, kot zahteva člen 17(1) navedene uredbe. Osebni podatki se lahko obdelajo na zahtevo evropskega varuha človekovih pravic v okviru preiskave ali zaradi sodnega postopka.

Osebnih podatkov ne uporabljamo za samodejno sprejemanje odločitev, vključno z oblikovanjem profilov.

3. Na kateri pravni podlagi obdelujemo osebne podatke

Evropska komisija obdeluje osebne podatke iz naslednjih razlogov:

  • obdelava je potrebna za izvedbo naloge v javnem interesu na podlagi člena 5(1)(a) Uredbe (EU) št. 2018/1725
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za Evropsko komisijo (člen 5(1)(b) Uredbe (EU) 2018/1725)

Obdelava neobveznih osebnih podatkov iz prošnje za dostop do dokumentov (glej razdelek 4 spodaj) je mogoča s privolitvijo posameznika (člen 5(1)(d) Uredbe (EU) 2018/1725).

Obdelava na podlagi člena 5(1)(a) in (b) se izvaja v skladu s pravom Unije, zlasti členom 15(3) Pogodbe o delovanju Evropske unije in Uredbe št. 1049/2001.

4. Katere osebne podatke zbiramo in obdelujemo

Zbiramo in obdelujemo naslednje osebne podatke:

a) osebne podatke, ki jih prosilec zagotovi s spletnim obrazcem:

  • Obvezni podatki: ime in priimek, kontaktni podatki (e-naslov in poštni naslov, država prebivališča), zadeva prošnje (ta lahko vsebuje osebne podatke, če se nanaša na določeno ali določljivo fizično osebo);
  • Neobvezni podatki: drugi kontaktni podatki (telefonska številka in številka telefaksa), kategorija in organizacija;

b) osebni podatki, ki jih je prosilec navedel v svoji prošnji, predloženi v elektronski ali papirni obliki;

c) osebni podatki, ki jih vsebujejo zahtevani dokumenti, če se ti dokumenti objavijo v skladu z Uredbo št. 1049/2001, kakor tudi osebni podatki v odgovoru na prošnjo ter s tem povezani korespondenci s prosilcem;

d) kadar obstaja upravičen dvom v zvezi z identiteto posameznika, ki predloži prošnjo, lahko Evropska komisija od prosilca zahteva kopijo identifikacijskega dokumenta (denimo osebno izkaznico ali potni list), da preveri njegovo identiteto, in sicer v naslednjih izjemnih okoliščinah:

  • kadar dokumenti, na katere se nanaša prošnja, vsebujejo osebne podatke prosilca in se prosilcu odobri individualni dostop do teh dokumentov;
  • če obstajajo utemeljeni razlogi za domnevo, da zadevni prosilec zlorablja pravico do dostopa, ki izhaja iz Uredbe (ES) št. 1049/2001.

Identifikacijski dokument mora vsebovati ime prosilca in po potrebi njegov poštni naslov. Vsi drugi podatki, kot so fotografija ali morebitne telesne značilnosti, se lahko potemnijo.

5. Kako dolgo hranimo osebne podatke

Evropska komisija hrani osebne podatke za čas, potreben za zbiranje ali obravnavo, in sicer ne več kot pet let po zaključitvi spisa.

V začetni fazi se datoteka šteje za zaključeno, ko je začetni sklep Evropske komisije dokončen (tj. ni bilo potrdilne prošnje), razen če je evropski varuh človekovih pravic zahteval nadaljnjo obravnavo.

V takem primeru se datoteka šteje za zaključeno, če je varuh zaključil svojo poizvedbo v zvezi s pritožbo, ne da bi bilo potrebno nadaljnje ukrepanje Komisije v zvezi s prošnjo za dostop do dokumentov.

V potrdilni fazi se datoteka šteje za zaključeno, ko je potrdilni sklep Evropske komisije dokončen, in sicer:

  • rok za vložitev pritožbe pri Sodišču EU je potekel ali
  • Sodišče EU je potrdilo potrdilni sklep ali
  • Evropska komisija je izvedla nadaljnje ukrepe, ki jih je v svoji sodbi zahtevalo Sodišče EU

Kljub temu, da je potrdilni sklep dokončen, se datoteka ne šteje za zaključeno, če je evropski varuh človekovih pravic zahteval nadaljnjo obravnavo. V takem primeru se datoteka šteje za zaključeno, če je varuh zaključil svojo poizvedbo v zvezi s pritožbo, ne da bi bilo potrebno nadaljnje ukrepanje Komisije v zvezi s prošnjo za dostop do dokumentov.

„Administrativni čas hrambe“ petih let temelji na politiki Evropske komisije o hrambi dokumentov in spisov (ter osebnih podatkov, ki jih vsebujejo); ureja ga skupni seznam hrambe na ravni Komisije za datoteke Evropske komisije SEC(2019)900. To je regulativni dokument v obliki načrta hrambe, ki določa čas hrambe za različne vrste datotek Evropske komisije. Evropski nadzornik za varstvo podatkov je obveščen o tem seznamu.

„Administrativni čas hrambe“ je obdobje, v katerem morajo službe Evropske komisije hraniti datoteko glede na njeno uporabnost za administrativne namene ter ustrezne zakonske in pravne obveznosti. Obdobje začne teči od časa, ko je datoteka zaključena.

V skladu s skupnim seznamom hrambe na ravni Komisije se po administrativnem času hrambe datoteke v zvezi s prošnjami za dostop do dokumentov (in osebni podatki, ki jih vsebujejo) lahko prenesejo za zgodovinske namene v zgodovinski arhiv Evropske komisije (več o hranjenju datotek v zgodovinskem arhivu v obvestilih DPO-1530.4 ARES-NOMCOM, ARES (napredni sistem evidence) in NOMCOM (enotna nomenklatura), DPO-3871-3 Obvestilo o registru digitalnih arhivov in ARCHISscanning ter DPO-2806-5 Vodenje papirnih dokumentov, razvrščenih po imenu oseb in prenesenih v zgodovinski arhiv).

Uporaba informacij iz identifikacijskega dokumenta prosilca (glej razdelek 4 zgoraj), je strogo omejena: podatki se uporabijo samo za preverjanje identitete prosilca in se ne shranijo dlje, kot je potrebno za ta namen.

6. Varstvo osebnih podatkov

Vsi podatki v elektronski obliki (elektronska pošta, dokumenti, naložene serije podatkov itd.) se shranjujejo na strežnikih Evropske komisije ali njenih pogodbenih izvajalcev. Pri obdelavi se uporablja Sklep Komisije (EU, Euratom) 2017/46 z dne 10. januarja 2017 o varnosti komunikacijskih in informacijskih sistemov v Evropski komisiji.

Pogodbene izvajalce Evropske komisije zavezujejo posebna pogodbena klavzula, ki velja za vse postopke obdelave vaših podatkov, ki jih izvaja Komisija, in obveznosti glede zaupnosti, ki izhajajo iz Splošne uredbe o varstvu podatkov v državah članivah EU.

Za varovanje osebnih podatkov je Evropska komisija uvedla številne tehnične in organizacijske ukrepe. Tehnični ukrepi vključujejo ustrezne ukrepe za obravnavo spletne varnosti, tveganje izgube podatkov, spremembo podatkov ali nepooblaščen dostop, pri čemer se upošteva tveganje, ki ga predstavljata obdelava in narava osebnih podatkov, ki se obdelujejo. Organizacijski ukrepi vključujejo omejevanje dostopa do osebnih podatkov samo pooblaščenim osebam z legitimno potrebo po seznanitvi z nameni tega postopka obdelave.

7. Kdo ima dostop do vaših osebnih podatkov in komu jih razkrijemo

Dostop do vaših osebnih podatkov ima osebje Evropske komisije, pooblaščeno za obdelavo podatkov, na podlagi načela potrebe po seznanitvi. To osebje zavezujejo zakonski in po potrebi dodatni dogovori o zaupnosti.

Osebni podatki, ki jih vsebujejo zahtevani dokumenti, se po opravljeni presoji v skladu z Uredbo (ES) št. 1049/2001 in v povezavi s členom 9 Uredbe (EU) 2018/1725 lahko razkrijejo javnosti. Če prebivate zunaj EU in vam Evropska komisija odobri dostop do dokumentov, se osebni podatki v teh dokumentih razkrijejo samo, če je takšen prenos v skladu s pogoji iz poglavja V Uredbe (EU) 2018/1725 o prenosu osebnih podatkov tretjim državam ali mednarodnim organizacijam.

Osebni podatki, ki jih zbiramo o prosilcih za dostop do dokumentov, se ne posredujejo nobeni tretji osebi, razen:

  • v obsegu in za namene, predvidene z zakonom ter
  • za namen pošiljanja odločb Evropske komisije o dostopu do dokumentov s priporočeno pošto prek družbe DHL International (s sedežem v Belgiji) (več informacij je na voljo v obvestilu „DPO-1258 Traitement du courrier“ urada Evropske komisije za infrastrukturo in logistiko v Bruslju).

V skladu s členom 3(13) Uredbe (EU) 2018/1725 javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne veljajo za uporabnike osebnih podatkov. Nadaljnja obdelava navedenih podatkov s strani navedenih javnih organov mora potekati v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave.

Odločitve Evropske komisije po Uredbi (ES) št. 1049/2001 o obravnavi potrdilnih prošenj se sprejmejo v okviru sistema Decide (informacijski sistem za postopek odločanja Komisije) in so na voljo v (nejavnem) sistemu Evropske komisije VISTA. Informacije v zvezi z obdelavo osebnih podatkov prek sistemov Decide in VISTA so na voljo v ustreznih evidencah postopkov obdelave „DPR-EC-00107.1 Decide (informacijski sistem za postopek odločanja Komisije“ in „DPR-EC-00914.1 sistem VISTA“.

8. Katere so vaše pravice in kako jih lahko uveljavite

Kot posameznik, na katerega se nanašajo osebni podatki, imate posebne pravice v skladu s členi 14–25 poglavja III Uredbe (EU) 2018/1725. V zvezi z obdelavo podatkov lahko uveljavite naslednje pravice:

  • pravica dostopa do osebnih podatkov (člen 17 Uredbe (EU) 2018/1725);
  • pravica popravka netočnih in nepopolnih osebnih podatkov (člen 18 Uredbe (EU) 2018/1725);
  • kadar je primerno, pravica do omejitve obdelave osebnih podatkov (člen 20 Uredbe (EU) 2018/1725) in pravica do prenosljivosti podatkov (člen 22 Uredbe (EU) 2018/1725); ter
  • dokler še ni odgovora na prošnjo za dostop do dokumentov, pravica do izbrisa (člen 19 Uredbe (EU) 2018/1725) in pravica do ugovora obdelavi osebnih podatkov zaradi osebnih okoliščin (člen 23 Uredbe (EU) 2018/1725). Zaradi uresničevanja teh dveh pravic zadevna prošnja za dostop do dokumentov posledično zastara.

V kolikor obdelava osebnih podatkov poteka na podlagi vaše privolitve (zlasti glede neobveznih osebnih podatkov, kot je opisano v razdelkih 3 in 4 zgoraj), lahko privolitev kadar koli prekličete, in sicer tako, da o tem obvestite upravljavca podatkov. Preklic privolitve ne bo vplival na zakonitost pretekle obdelave podatkov, ki je temeljila na vaši privolitvi pred preklicem.

Za uveljavljanje svojih pravic se obrnite na upravljavca podatkov ali v primeru spora na pooblaščeno osebo za varstvo podatkov, po potrebi pa tudi na Evropskega nadzornika za varstvo podatkov. Njihovi kontaktni podatki so navedeni v razdelku Kontaktni podatki spodaj.

Če želite uveljavljati svoje pravice v zvezi z enim ali več specifičnimi postopki obdelave, te jasno navedite v svojem zahtevku (tj. navedite njihovo referenčno oznako, kot je navedena v razdelku 9 – Kje poiskati podrobnejše informacije).

Prošnje za dostop do osebnih podatkov bomo obravnavali v enem mesecu. Vse druge zgoraj omenjene prošnje bomo obravnavali v 15 delovnih dneh po tem, ko prošnjo prejme upravljavec podatkov.

9. Kontaktni podatki

  • Upravljavec podatkov (na horizontalni ravni):

Za uveljavljanje svojih pravic v skladu z Uredbo (EU) 2018/1725 ali za vprašanja, pripombe, pomisleke ali pritožbe v zvezi z zbiranjem in uporabo svojih osebnih podatkov se obrnite na upravljavca podatkov.

  • Generalni sekretariat
  • Enota C.1 – Enota za preglednost, upravljanje dokumentov in dostop do dokumentov
  • E-naslov: Sg-acc-doc@ec.europa.eu
  • Pooblaščena oseba za varstvo podatkov pri Evropski komisiji

Za vprašanja v zvezi z obdelavo osebnih podatkov v skladu z Uredbo (EU) 2018/1725 se lahko obrnete na pooblaščeno osebo za varstvo podatkov (DATA-PROTECTION-OFFICER@ec.europa.eu).

  • Evropski nadzornik za varstvo podatkov

Če menite, da je upravljavec podatkov z obdelavo osebnih podatkov kršil vaše pravice iz Uredbe št. 2018/1725, se lahko pritožite pri evropskem nadzorniku za varstvo podatkov (edps@edps.europa.eu).

10. Kje poiskati podrobnejše informacije

Pooblaščena oseba za varstvo podatkov pri Evropski komisiji vodi register vseh dokumentiranih in priglašenih postopkov obdelave osebnih podatkov. Dostop do registra: http://ec.europa.eu/dpo-register.

Ta postopek obdelave podatkov se v registru pri pooblaščeni osebi za varstvo podatkov vodi pod referenčno oznako: DPR-EC-00793.