Operacja przetwarzania danych: Przetwarzanie danych osobowych na stronach internetowych Komisji Europejskiej (w domenie europa.eu), w tym adresów IP, w odniesieniu do osób odwiedzających publicznie dostępne strony internetowe.
Administrator danych: Komisja Europejska
Numer w rejestrze: DPR-EC-00083
Komisja Europejska (zwana dalej „Komisją”) jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności osób, których dane dotyczą. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylającym rozporządzenie (WE) nr 45/2001).
W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób wykorzystywane są pozyskiwane informacje oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podajemy również dane kontaktowe właściwego administratora danych, u którego można dochodzić swoich praw, inspektora ochrony danych i Europejskiego Inspektora Ochrony Danych.
Przedstawione poniżej informacje dotyczą operacji przetwarzania danych „Przetwarzanie danych na stronach internetowych Komisji Europejskiej” prowadzonej przez Komisję Europejską.
Cel operacji przetwarzania danych: Dyrekcje generalne Komisji Europejskiej, w tym Dyrekcja Generalna ds. Komunikacji Społecznej, prowadzą dużą liczbę stron internetowych mieszczących się na infrastrukturze utrzymywanej przez Dyrekcję Generalną ds. Informatyki. W ramach obsługi technicznej tych stron gromadzone i wykorzystywane są dane osobowe, które umożliwiają dostęp do stron internetowych Komisji Europejskiej w domenie europa.eu, fizycznie zlokalizowanych na infrastrukturze hostingowej kontrolowanej przez Komisję Europejską.
W momencie gdy użytkownik odwiedza stronę Komisji Europejskiej, Komisja ze względu na niezbędne wymogi techniczne otrzymuje adres IP lub identyfikator urządzenia, z którego użytkownik korzysta.
Dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.
Przetwarzamy dane osobowe, ponieważ:
W celu przeprowadzenia operacji przetwarzania Dyrekcja Generalna ds. Informatyki zbiera następujące rodzaje danych osobowych:
Adres IP lub identyfikator urządzenia, z którego użytkownik korzysta.
Bez tych danych nie byłoby możliwe nawiązanie połączenia między urządzeniem użytkownika a infrastrukturą serwera Komisji Europejskiej, nie byłby zatem możliwy dostęp do stron internetowych Komisji Europejskiej.
W kontekście portalu Kohesio adres IP użytkownika jest używany do rozpoznania lokalizacji geograficznej w przypadku korzystania z funkcji „Projekty w mojej okolicy”, która umożliwia wyszukanie wszystkich projektów finansowanych w ramach polityki regionalnej w pobliżu miejsca pobytu użytkownika. Informacje te są przetwarzane, aby umożliwić właściwe funkcjonowanie funkcji „Projekty w mojej okolicy”, ale dane nie są przechowywane.
Dyrekcja Generalna Komisji Europejskiej ds. Informatyki przechowuje dane osobowe tylko przez okres niezbędny do realizacji celu gromadzenia danych lub dalszego przetwarzania, a mianowicie przez czas sesji przeglądania. W kontekście portalu Kohesio dane adresów IP nie są przechowywane.
Wszystkie dane osobowe w formacie elektronicznym (e-maile, dokumenty, bazy danych, przesłane partie danych itp.) są przechowywane na serwerach Komisji Europejskiej albo na serwerach jej podwykonawców. Wszystkie operacje przetwarzania danych prowadzone są zgodnie z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.
Przy prowadzeniu operacji przetwarzania danych w imieniu Komisji podwykonawcy Komisji muszą przestrzegać specjalnej klauzuli umownej, a także obowiązków w zakresie poufności danych wynikających z wdrożenia ogólnego rozporządzenia o ochronie danych w państwach członkowskich UE („RODO” rozporządzenie (UE) 2016/679).
Komisja Europejska wprowadziła szereg środków technicznych i organizacyjnych służących ochronie danych osobowych. Środki techniczne obejmują odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, modyfikowania danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem oraz charakterem przetwarzanych danych osobowych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp na potrzeby danej operacji przetwarzania.
Dostęp do danych osobowych mają pracownicy Komisji odpowiedzialni za prowadzenie danej operacji przetwarzania danych oraz upoważnieni pracownicy zgodnie z zasadą ograniczonego dostępu. Pracownicy tych służb i organów przestrzegają regulaminowych, a także – w razie potrzeby – dodatkowych zobowiązań umownych do zachowania poufności.
Ponadto dostępu do danych osobowych na zasadzie ograniczonego dostępu udziela się podwykonawcom działającym w imieniu lub na podstawie umowy z działem Komisji będącym właścicielem strony internetowej oraz zajmującym się tworzeniem, utrzymaniem, obsługą i archiwizacją strony internetowej.
Informacje, które gromadzimy, nie zostaną przekazane żadnej osobie trzeciej, o ile nie będziemy do tego zobowiązani – w określonym zakresie i w konkretnym celu – na mocy prawa.
Zgodnie z przepisami rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725 „osobom, których dane dotyczą” przysługują szczególne prawa, w szczególności prawo do dostępu do danych osobowych, ich sprostowania lub usunięcia oraz prawo do ograniczenia przetwarzania danych osobowych. W stosownych przypadkach osoby, których dane dotyczą, mają również prawo do wniesienia sprzeciwu wobec przetwarzania danych i prawo do przenoszenia danych.
Osobom, których dane dotyczą, przysługuje prawo wniesienia sprzeciwu wobec przetwarzania ich danych osobowych, które odbywa się zgodnie z prawem na podstawie art. 5 ust. 1 lit. a).
Osoby, których dane dotyczą, wyraziły zgodę na przekazanie danych osobowych administratorowi danych na potrzeby tej operacji przetwarzania danych. Zgodę tę można wycofać w dowolnym momencie poprzez powiadomienie administratora danych. Wycofanie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych przed wycofaniem zgody.
Aby skorzystać z tych praw, należy skontaktować się z administratorem danych lub, w przypadku konfliktu, z inspektorem ochrony danych. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Dane kontaktowe tych organów podano poniżej w punkcie 9.
Korzystając z tych praw w odniesieniu do konkretnej operacji przetwarzania, należy w przesłanym wniosku podać opis tej operacji (tj. numer w rejestrze podany w punkcie 10 poniżej).
Inspektor ochrony danych w Komisji publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Rejestr ten jest dostępny tutaj.
Ta konkretna operacja przetwarzania została wpisana do rejestru publicznego inspektora ochrony danych pod następującym numerem: DPR-EC-0083.
Adres IP osób odwiedzających portal Kohesio jest używany do określenia ich lokalizacji geograficznej podczas korzystania z funkcji „Projekty w mojej okolicy”, która umożliwia wyszukanie wszystkich projektów finansowanych w ramach polityki regionalnej w pobliżu miejsca pobytu użytkownika. Informacje te są przetwarzane, aby umożliwić właściwe funkcjonowanie funkcji „Projekty w mojej okolicy”, ale dane nie są przechowywane.