A DiscoverEU adatvédelmi nyilatkozata

 

Az Európai Oktatási és Kulturális Végrehajtó Ügynökség (a továbbiakban: EACEA) elkötelezett a magánélet védelme mellett. Minden személyes adat kezelésére a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi védelméről szóló (EU) 2018/1725 rendelettel (1) (a továbbiakban: adatvédelmi rendelet) összhangban kerül sor.

Ebben az adatvédelmi nyilatkozatban ismertetjük, milyen adatpolitika alapján gyűjti, kezeli és használja fel az EACEA a DiscoverEU résztvevőinek személyes adatait.

1. Ki felel a személyes adatok kezeléséért (ki az adatkezelő)? 

Az adatkezelő az Európai Oktatási és Kulturális Végrehajtó Ügynökség (BE 1049, Brüsszel). Az adatkezelési műveletért felelős kijelölt személy az A.5. egység (Ifjúság, Európai Szolidaritási Testület és az EU segítségnyújtási önkéntesei) vezetője.
A szervezeti egység e-mail-címe: eacea-a5@ec.europa.eu. 

Az Oktatásügyi és Kulturális Főigazgatóság és az EACEA közös adatkezelőként jár el a DiscoverEU kapcsán, mert közösen kezelik azoknak a fiataloknak a személyes adatait, akik az Európai Ifjúsági Portálon DiscoverEU utazási igazolványra pályáznak.

2. Milyen személyes adatokat kezelünk? 

A következő személyes adatok kezelésére kerül sor (az opcionálisként jelölt adatok kivételével mindegyik adat megadása kötelező):  

     • személyi azonosító számok (személyazonosító igazolvány, útlevél vagy tartózkodási kártya száma);    

     • a pályázók fizikai tulajdonságaival kapcsolatos adatok, kép, hang vagy ujjnyomat (pl. személyazonosító igazolványban, útlevélben vagy tartózkodási kártyán található fénykép);  

     • magánszférával kapcsolatos adatok (állampolgárság, tartózkodási hely, születési idő, e-mail-cím, vezeték- és utónév, nem (opcionális), lakóhely szerinti régió (opcionális), telefonszám, foglalkozás (pl. tanuló, munkavállaló), fogyatékosság vagy egészségi állapot (opcionális, egyedi segítség igénylése esetén), a nemzeti személyazonosító igazolványt, útlevelet vagy tartózkodási kártyát kiállító ország;    

     • fizetés, juttatások és bankszámlaszám (a nem fedezett költségek finanszírozásának forrása); 

     • családtagok adatai (szülők, törvényes gondviselők iskolai végzettsége) (opcionális);   

     • szakmai pályafutás: korábbi foglalkozás (pl. tanulmányok, munkakör), (korábbi) részvétel ifjúsági szervezetben (opcionális), tervezett jövőbeli foglalkozás (pl. tanulmányok, munkakör);   

     • telefonszám és más elérhetőségi adatok (pl. e-mail-cím); 

     • nevek és címek (vezeték- és utónév, e-mail-cím), személyazonosító igazolvány, útlevél vagy tartózkodási kártya adatai, lakóhely szerinti régió (opcionális);   

     • egészségi állapot (opcionális, amikor egészségi állapota miatt a résztvevő egyedi segítséget kér). 

3. Milyen célból kezeljük az adatokat? 

     • Azért kezeljük az adatokat, hogy megszervezzük a DiscoverEU utazási igazolványokkal kapcsolatos kiválasztási és odaítélési eljárásokat, valamint az ezekhez kapcsolódó tevékenységeket: pályázati fordulók indítása az Európai Ifjúsági Portálon, melyek során felkérjük a pályázókat, hogy válaszoljanak egy kérdőívre. Ebből a célból a pályázóknak be kell nyújtaniuk bizonyos személyes adatokat annak érdekében, hogy a közös adatkezelők fel tudják mérni, megfelelnek-e a részvételi feltételeknek. Azok a résztvevők választhatók ki utazásra, akik teljesítik a részvételi feltételeket, helyesen válaszolnak a kvízkérdésekre, és a legpontosabb választ adják a kiegészítő kérdésre. 

     • A kiválasztást követően a Bizottság és az EACEA által megbízott szerződéses vállalkozó ellenőrzi a személyes okmányok (az állampolgárságot, illetve a jogszerű tartózkodást igazoló okmányok) érvényességét, hogy megállapítsa, valóban jogosult-e az illető pályázó a részvételre.   

     • Ezt követően a szerződéses vállalkozó eljuttatja a kiválasztott résztvevőknek az utazási igazolványt és az azt kísérő, kedvezményekre jogosító európai ifjúsági kártyát. Az utazásra kiválasztott résztvevők kapcsolatba lépnek a szerződéses vállalkozóval az utazásuk előkészítése érdekében, illetve ha segítségre van szükségük az igazolvány használatához.    

     • Az adatkezelés a fentieken túl azt a célt szolgálja, hogy lefoglalhassuk a vonat-, autóbusz-, illetve repülőjegyeket az utazásra kiválasztott résztvevők számára. 

     • Az adatkezelés a monitoring és jelentéstétel célját is szolgálja: az EACEA monitoring és jelentéstétel céljából is kezelheti a résztvevők személyes adatait.

A ki nem választott résztvevők személyes adatait az Oktatásügyi és Kulturális Főigazgatóság (közös adatkezelői minőségében) továbbíthatja a szerződéses vállalkozónak abból a célból, hogy az eljuttassa az érintett pályázóknak az Európai Ifjúsági Kártya Egyesület által kibocsátott, kedvezményekre jogosító kártyát.

4. Ki fér hozzá a személyes adatokhoz, és ki kapja meg azokat?

 A résztvevők személyes adataihoz a szükséges ismeret elve alapján a következő felek férhetnek hozzá:

     • az EACEA felhatalmazott munkatársai (akik az EU-ban élnek és dolgoznak);   

     • az Európai Bizottság felhatalmazott munkatársai;    

     • a szerződéses vállalkozó és az általa szerződtetett alvállalkozók felhatalmazott munkatársai (akik az EU, illetve az Európai Gazdasági Térség valamelyik országában élnek és dolgoznak); 

     • a szerződéses vállalkozó a DiscoverEU-val kapcsolatos feladatait a következő, harmadik felek által rendelkezésre bocsátott eszközök felhasználásával végzi:     
          o Adobe Campaign & Mandrill (e-mail-címek megerősítése)    
          o AWS Cognito & CommerceTools (felhasználói fiókok és rendelések kezelése)    
          o AWS Dynamo DB (mobilalkalmazás az utazási igazolvány céljaira)    
          o Chatlayer (csevegőrobot)    
          o Dune (adatbázis)    
          o Flexmail (e-mail-rendszer)    
          o Insided (közösség)    
          o Mailchimp & IRIS/Intersystems (foglalások)    
          o MessageBird (SMS-rendszer)    
          o Netigate (utazás utáni felmérés)    
          o Shufti Pro (személyazonosító okmányok ellenőrzése)    
          o SQL Datawarehouse (archiválás és jelentéstétel)    
          o Zendesk (helpdesk: tájékoztatás és segítségnyújtás a pályázóknak).  

Nagyon korlátozott számú esetben (lefoglalt vonatjáratok, rendkívüli autóbusz- vagy repülőutak) bizonyos személyes adatokat (vezeték- és utónév, születési idő) továbbítunk egy belgiumi székhelyű utazási irodának, amellyel a DiscoverEU-val kapcsolatos feladatokat intéző szerződéses vállalkozó adatvédelmi megállapodást kötött. Az utazásra kiválasztott résztvevők által megtervezett útvonal függvényében az utazási iroda egyrészt az Európai Unió, illetve az Európai Gazdasági Térség (EGT) országaiban működtetett járatokra, másrészt a DiscoverEU kezdeményezésben részt vevő nem uniós vagy EGT-beli országokban (Észak-Macedónia, Szerbia, Törökország) üzemeltetett járatokra foglalhat jegyet.     
A menetjegyek lefoglalására minden esetben a résztvevők kérésére kerül sor. Ilyen esetekben a személyes adatok továbbítása az 50. cikk (1) bekezdésének c) pontján alapul („az adattovábbítás [...] az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges”). 

Ellenőrzés vagy vita esetén az uniós jog alkalmazása céljából ellenőrzési vagy vizsgálati feladatokkal megbízott szervek (többek között a Belső Ellenőrzési Szolgálat, az Európai Bizottság, az OLAF és az uniós bíróságok) a szükséges ismeret elve alapján hozzáférést kaphatnak a résztvevők személyes adataihoz.

5. Mennyi ideig őrizzük meg a személyes adatokat? 

A ki nem választott résztvevők által a DiscoverEU pályázat keretében megadott személyes adatokat két évvel a jelentkezés benyújtásának időpontja után töröljük, kivéve, ha a pályázók érdeklődésüket fejezték ki aziránt, hogy az Európai Ifjúsági Portál más szolgáltatásaival kapcsolatban tájékoztatást kapjanak, illetve azokban részt vegyenek. Ebben az esetben az adatokat legfeljebb 5 évig őrizzük meg. Ezt követően a személyes adatokat a rendszer anonimizálja, és csak statisztikai célból őrzi meg.

Az utazásra kiválasztott pályázók („kiválasztott felhasználók”) által használt DiscoverEU-alkalmazásokban megadott személyes adatokat a közös megőrzési listában előírtak szerint az utazásfoglalás dátumától számított 5 év elteltével töröljük, kivéve, ha a felhasználó jelezte, hogy a továbbiakban nem kíván kiválasztott felhasználó lenni, és nem részesült uniós finanszírozásban a kezdeményezés révén. Ebben az esetben az adatokat legfeljebb 2 évig őrizzük meg.

Előfordulhat azonban, hogy dokumentációs, statisztikai vagy tudományos célból a résztvevők azonosítására alkalmas információkat megfelelő biztosítékok mellett hosszabb ideig megőrizzük.

6. Milyen jogok illetik meg a résztvevőket személyes adataik tekintetében, és hogyan gyakorolhatják ezeket a jogokat? 

Az adatvédelmi rendelet értelmében a résztvevőknek jogukban áll kérni, hogy:   

     • hozzáférést kapjanak azokhoz a személyes adataikhoz, amelyek az EACEA birtokában vannak;    

     • személyes adataikat szükség esetén helyesbítsük;   

     • személyes adataikat töröljük;    

     • korlátozott mértékben kezeljük személyes adataikat;    

     • adataikat általánosan használt, géppel olvasható szabványos formátumban megküldjük nekik vagy továbbítsuk egy másik szervezetnek (az adathordozhatóság joga).

Megjegyzés: Tekintettel a kiválasztási eljárás kompetitív jellegére, az információk helyesbítéséhez való jog csak az érintett támogatás-odaítélési eljárás keretében kezelt tényszerű adatokra vonatkozhat. Az ezen adatok helyesbítéséhez való jog csak a pályázatok benyújtásának határidejéig gyakorolható.  

A személyazonosság megállapítására szolgáló pontatlan adatok azonban a támogatás-odaítélési eljárás során és azt követően bármikor helyesbíthetők.

Figyelem: mivel a résztvevők személyes adatainak a jelen művelet keretében történő kezelése az adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontján alapul, a résztvevőket az adatvédelmi rendelet 23. cikke értelmében megilleti a jog, hogy élethelyzetükkel kapcsolatos okból kifogást emeljenek személyes adataik kezelése ellen. 

Az (EU) 2018/1725 rendelet 25. cikke úgy rendelkezik, hogy az uniós intézmények és szervek működésével kapcsolatos ügyekben az utóbbiak kivételes körülmények esetén és az említett rendeletben meghatározott biztosítékok mellett korlátozhatják az egyének bizonyos jogait. Ilyen korlátozásokról rendelkeznek az EACEA által elfogadott és az Európai Unió Hivatalos Lapjában közzétett belső szabályok: (https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:32021Q0317%2801%29)

Ha korlátozás alkalmazására kerül sor, az meghatározott időre szól majd, arányos lesz, és tiszteletben fogja tartani a fent említett jogok lényegét. A korlátozást azonnal fel kell oldani, amikor már nem állnak fenn a feltételek, amelyek indokolttá tették bevezetését. A korlátozás megszüntetését követően az érintettek részletesebb adatvédelmi nyilatkozatot kapnak.

Alapszabály szerint a résztvevők tájékoztatást kapnak a korlátozás fő okairól, kivéve, ha ez a tájékoztatás ellehetetlenítené a korlátozás hatását.

A résztvevőknek jogukban áll panaszt tenni az európai adatvédelmi biztosnál a korlátozás hatályával kapcsolatban.

7. A résztvevők jogorvoslathoz fűződő joga személyes adataikkal kapcsolatos probléma esetén 

Ha személyes adataik védelmével kapcsolatban probléma merül fel, a résztvevők az adatkezelőhöz fordulhatnak a fent említett címen vagy e-mail-címen.

Emellett az EACEA adatvédelmi tisztviselőjével is felvehetik a kapcsolatot a következő e-mail-címen: eacea-data protection@ec.europa.eu. 

A résztvevők panaszt nyújthatnak be az európai adatvédelmi biztoshoz: http://www.edps.europa.eu.

8. Mi a személyesadat-kezelés jogalapja?

Az adatkezelés közérdekből vagy az uniós intézményre vagy szervre (az uniós jog alapján) ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges. Az adatkezelés a következő jogszabályokon alapul:   

          – az EACEA létrehozásáról szóló (EU) 2021/173 bizottsági végrehajtási határozat;    
          – a 2021–2027-es időszakra vonatkozó többéves pénzügyi keret programjainak irányítása tekintetében az EACEA-ra ruházott hatáskörökről szóló C(2021)951 bizottsági határozat és annak mellékletei;
          – az Európai Parlament és a Tanács (EU) 2021/817 rendelete (2021. május 20.) az Erasmus+ elnevezésű uniós oktatási és képzési, ifjúsági és sportprogram létrehozásáról és az 1288/2013/EU rendelet hatályon kívül helyezéséről (HL L 189., 2021.5.28., 1. o.) (EGT-vonatkozású szöveg);

 

(1) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.) (EGT-vonatkozású szöveg)