OCHRONA DANYCH OSOBOWYCH

Operacja przetwarzania danych osobowych: Strona internetowa „Urząd Publikacji Unii Europejskiej” (portal UP)

Administrator danych: Urząd Publikacji Unii Europejskiej, Dział A.5 ds. Portalu i Usług Sieciowych

Numer w rejestrze: DPR-EC-00449

1 Wprowadzenie

Komisja Europejska (zwana dalej „Komisją”) jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności osób, których dane dotyczą. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylającym rozporządzenie (WE) nr 45/2001).

W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób wykorzystywane są pozyskiwane informacje oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podajemy również dane kontaktowe właściwego administratora danych, u którego można dochodzić swoich praw, inspektora ochrony danych i Europejskiego Inspektora Ochrony Danych.

Poniżej przedstawiono informacje dotyczące operacji przetwarzania danych „Strona internetowa Urzędu Publikacji Unii Europejskiej (portal UP)”, prowadzonej przez Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji Unii Europejskiej.

2. Dlaczego i jak przetwarzamy dane osobowe?

Cel przetwarzania danych: Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji gromadzi i wykorzystuje dane osobowe do celów rejestracji użytkowników na stronie internetowej portalu UP, w tym na potrzeby usług związanych z zamawianiem publikacji drukowanych na stronie Publikacje UE oraz z korzystaniem z funkcji wirtualnego asystenta Urzędu Publikacji.

Rejestracja użytkowników: operacja przetwarzania polega na utrzymywaniu w bazie danych listy zawierającej dane osobowe. Dane są również wykorzystywane w sposób anonimowy do celów badań lub celów statystycznych na potrzeby poprawy jakości usług.

Wirtualny asystent Urzędu Publikacji: funkcja ta (okno na stronie internetowej) umożliwia użytkownikom zadawanie standardowych pytań na temat dostępnych w portalu usług i publikacji. Pytania można wpisać lub zadać na głos. W przypadku pytań zadanych na głos wirtualny asystent Urzędu Publikacji korzysta z chatbota „Publio”. Chatbot rejestruje dźwięk (wypowiedziane pytanie) i przesyła go do systemu rozpoznawania mowy, który przetwarza mowę na tekst. Nagranie dźwiękowe jest przetwarzane na serwerze Microsoft Azure. Następnie wirtualny asystent Urzędu Publikacji wyświetla wypowiedziany tekst zgodnie z tym, jak został on zinterpretowany przez system rozpoznawania mowy, a potem wyświetla standardową odpowiedź jako tekst i jednocześnie automatycznie odtwarza odpowiadające mu nagranie dźwiękowe. Odbywa się to błyskawicznie i bez pozostawiania śladów. W momencie zamknięcia okna z wirtualnym asystentem Urzędu Publikacji cała rozmowa zostaje usunięta. Ani nagranie dźwiękowe, ani pytania i odpowiedzi nie są przechowywane.

Dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.

3. Na jakiej podstawie prawnej przetwarzamy dane osobowe?

Dane osobowe są przetwarzane ponieważ:

- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej instytucji lub organowi Unii;

oraz

- osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

- Jeśli użytkownik złoży zamówienie za pośrednictwem portalu UP, przetwarzanie jego danych osobowych jest konieczne do realizacji zamówienia.

Podstawa prawna operacji przetwarzania danych: uprawnienia Urzędu Publikacji, decyzja (2009/496/WE, Euratom) Parlamentu Europejskiego, Rady, Komisji, Trybunału Sprawiedliwości, Trybunału Obrachunkowego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 26 czerwca 2009 r. w sprawie organizacji i działania Urzędu Publikacji Unii Europejskiej.

4. Jakie dane osobowe gromadzimy i przetwarzamy?

W ramach operacji przetwarzania danych Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji Unii Europejskiej gromadzi następujące kategorie danych osobowych:

Rejestracja użytkownika

Dane obowiązkowe dla pełnego konta:

• Imię
• Nazwisko
• Adres e-mail
• Hasło (szyfrowane)

Dane obowiązkowe w przypadku kontra jednorazowego logowania (dane z zewnętrznego serwisu EU Login):

• Identyfikator użytkownika
• Adres e-mail
• Imię
• Nazwisko

Dane nieobowiązkowe:

• Numer telefonu
• Zainteresowania tematyczne
• Preferowana rola
• Rodzaj adresu
• Imię (może być inne od danych obowiązkowych)
• Nazwisko (może być inne od danych obowiązkowych)
• Adres (ulica)
• Kod pocztowy
• Miejscowość
• Państwo
• E-mail (może być inny od danych obowiązkowych)
• Numer telefonu dla adresu
• Rodzaj osoby
• Organizacja
• Departament
• Funkcja

Do przeglądania zawartości portalu UP nie jest wymagane podanie danych osobowych. Podanie danych osobowych jest jednak niezbędne, jeżeli użytkownik chce korzystać z dodatkowych usług, takich jak „Moje adresy”, „Moje listy”, „Moje widżety”, „Moje zamówienia”, „Mój profil”, „Moje powiadomienia”, „Moje komentarze”, „Moje oceny”, „Moje wyszukiwanie” i „Moje kanały RSS”.

Podanie danych osobowych jest obowiązkowe w przypadku zamówienia wysyłki z dostawą pod wskazany adres.

Funkcja wirtualnego asystenta Urzędu Publikacji

• Głos (w przypadku głosowej interakcji z wirtualnym asystentem)

5. Jak długo przechowujemy dane osobowe?

Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji przechowuje dane osobowe wyłącznie przez czas niezbędny do realizacji celu gromadzenia lub przetwarzania danych, jakim jest realizacja zamówionych usług. W przypadku utworzenia zarządzanego samodzielnie konta można usunąć dane osobowe samodzielnie (korzystając z funkcji „Usuń konto”).

Po trzech latach nieaktywności przesyłamy użytkownikom wiadomość. W przypadku braku odpowiedzi po miesiącu automatycznie usuwamy konto wraz ze wszystkimi powiązanymi danymi.

6. Jak chronimy i zabezpieczamy dane osobowe?

Wszystkie dane osobowe w formacie elektronicznym (wiadomości e-mail, dokumenty, bazy danych, przesłane zestawy danych itp.) są przechowywane:
- w chmurze MS Azure Cloud (Europa), którą zarządza główny wykonawca, ARHS developments S.A, odpowiedzialny za aplikację portalu UP
- w chmurze MS Azure Cloud (Europa), którą zarządza wykonawca Tremend Software Consulting S.R.L. (Rumunia), odpowiedzialny za ciągłość działania portalu UP na serwerach wykonawcy Paragon Supply Services (Francja) odpowiedzialnego za realizację zamówień.
- W przypadku korzystania z funkcji głosowego asystenta Urzędu Publikacji (Publio) dane głosowe będą przetwarzane w ramach usług chmurowych MS Azure Cloud (Europe) świadczonych przez głównego wykonawcę ARHS developments S.A.

Wszystkie operacje przetwarzania danych prowadzone są zgodnie z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.

Podczas przetwarzania danych w imieniu Komisji podwykonawcy Komisji muszą przestrzegać specjalnej klauzuli umownej, a także obowiązków w zakresie poufności danych wynikających z ogólnego rozporządzenia o ochronie danych – rozporządzenia (UE) 2016/679.

W celu ochrony danych osobowych Komisja wprowadziła szereg środków technicznych i organizacyjnych. Środki techniczne obejmują m.in. odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, zmiany danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem danych oraz charakteru przetwarzanych danych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp w celu ich przetwarzania.

7. Kto ma dostęp do danych osobowych i komu są one ujawniane?

Dostęp do danych osobowych mają pracownicy Komisji odpowiedzialni za prowadzenie danej operacji przetwarzania danych oraz upoważnieni pracownicy zgodnie z zasadą ograniczonego dostępu. Pracownicy tych służb i organów przestrzegają regulaminowych, a także – w razie potrzeby – dodatkowych zobowiązań umownych do zachowania poufności.

Dostęp do danych osobowych mają również wykonawcy: ARHS developments S.A., odpowiedzialny za zarządzanie portalem UP i jego obsługę, oraz Tremend Software Consulting S.R.L., odpowiedzialny za ciągłość działania.

Dostęp do danych osobowych użytkowników mogą mieć podwykonawcy uczestniczący w świadczeniu usług dla portalu UP w ramach umowy nr 12014: ACCENTURE SP. Z.O.O., ARHS Developments Belgium N.V., ARHS Developments Bulgaria Ltd., ARHS Developments Hellas Information Systems Single Member S.A., ARHS Cube S.A., WEBTOWN-INFORMATIKA Kft., Pureinsights Technology Limited, Vaibhav Khopade - European Web Solutions.

W przypadku złożenia zamówienia na publikację drukowaną / na nośniku fizycznym za pośrednictwem strony Publikacje UE w portalu UP dane osobowe będą przetwarzane przez wykonawcę odpowiedzialnego za realizację zamówień, obecnie jest to: Paragon Supply Services (Francja). Przetwarzanie danych jest objęte oddzielnym oświadczeniem o ochronie prywatności, które jest udostępniane użytkownikom podczas realizacji zamówienia.

Żadne dane osobowe zgromadzone przez portal UP nie będą ujawniane ani udostępniane osobom trzecim.

Zebrane przez nas informacje nie są przekazywane osobom trzecim.

8. Jakie prawa przysługują osobom, których dane dotyczą, i jak można ich dochodzić?

Jako „osoby, których dane dotyczą”, użytkownicy mają szczególne prawa na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725, w szczególności prawo do dostępu do danych osobowych, ich sprostowania lub usunięcia oraz prawo do ograniczenia przetwarzania danych osobowych. W stosownych przypadkach mają również prawo do wniesienia sprzeciwu wobec przetwarzania danych i prawo do przenoszenia danych.

Rejestrując profil użytkownika w portalu UP, użytkownik wyraża zgodę na przekazanie swoich danych osobowych do Działu A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji. Zgodę tę można wycofać w dowolnym momencie poprzez powiadomienie administratora danych. Wycofanie zgody nie będzie miało wpływu na zgodność z prawem operacji przetwarzania danych przed wycofaniem zgody.

Swoich praw można dochodzić, kontaktując się z administratorem danych lub, w przypadku konfliktu, z inspektorem ochrony danych. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Dane kontaktowe tych organów podano w pkt 9 poniżej.

Aby skorzystać z tych praw w odniesieniu do jednej lub kilku konkretnych operacji przetwarzania, należy w przesłanym wniosku podać opis operacji (tzn. numer referencyjny wskazany poniżej w pkt 10).

9. Dane kontaktowe

- Administrator danych

Aby skorzystać z praw na podstawie rozporządzenia (UE) 2018/1725 lub przesłać uwagi, pytania lub zastrzeżenia, ewentualnie aby złożyć skargę w związku z gromadzeniem i wykorzystywaniem danych osobowych, należy skontaktować się z administratorem danych: Działem A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji, info@publications.europa.eu.

- Inspektor ochrony danych w Komisji (IOD)

W kwestiach związanych z przetwarzaniem danych osobowych na podstawie rozporządzenia (UE) 2018/1725 można skontaktować się z inspektorem ochrony danych (DATA-PROTECTION-OFFICER@ec.europa.eu).

- Europejski Inspektor Ochrony Danych (EIOD)

Osoby, których dotyczą dane, mają prawo odwołać się (wnieść skargę) do Europejskiego Inspektora Ochrony Danych (dps@edps.europa.eu), jeżeli uznają, że ich prawa wynikające z rozporządzenia (UE) 2018/1725 zostały naruszone w wyniku przetwarzania danych osobowych przez administratora danych.

10. Gdzie można znaleźć więcej informacji?

Inspektor ochrony danych w Komisji publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Rejestr ten jest dostępny pod adresem: http://ec.europa.eu/dpo-register.

Ta konkretna operacja przetwarzania została wpisana do rejestru publicznego inspektora ochrony danych pod następującym numerem: DPR-EC-00449.