Nota na temat ochrony danych w ramach ogólnych szkoleń online Europejskiego Korpusu Solidarności

Europejska Agencja Wykonawcza ds. Edukacji i Kultury (EACEA) jest zobowiązana do ochrony prywatności użytkowników. Wszystkie dane osobowe są przetwarzane zgodnie z rozporządzeniem (UE) 2018/1725 w sprawie ochrony danych osobowych przez instytucje, organy i jednostki organizacyjne Unii* („rozporządzenie o ochronie danych”).

W tej nocie na temat ochrony danych opisano politykę, zgodnie z którą EACEA gromadzi dane osobowe, zarządza nimi i je wykorzystuje w ramach operacji przetwarzania danych dotyczących ogólnych szkoleń online (ang. General Online Training – GOT).

Przetwarzaniem danych osobowych w Europejskim Portalu Młodzieżowym zarządza Dyrekcja Generalna ds. Edukacji, Młodzieży, Sportu i Kultury Komisji Europejskiej (DG EAC). Zob. oświadczenie o ochronie prywatności w Europejskim Portalu Młodzieżowym.

Jeżeli użytkownicy GOT chcą uzyskać dostęp do kursów GOT, są informowani o możliwości przekierowania do EU Academy w nocie na temat ochrony danych GOT dostępnej na pulpicie nawigacyjnym Europejskiego Portalu Młodzieżowego. W EU Academy użytkownicy muszą dać zgodę JRC, które zarządza platformą EU Academy. Po wyrażeniu zgody dla EU Academy użytkownicy GOT mają dostęp do kursów GOT, w tym do serii Youth Talks, ze swojego pulpitu nawigacyjnego. Wszelkie operacje przetwarzania danych osobowych za pośrednictwem EU Academy odbywają się zgodnie z oświadczeniem o ochronie prywatności EU Academy.

1. Kto jest odpowiedzialny za przetwarzanie danych osobowych (administrator danych)?

Współadministratorami są Komisja Europejska reprezentowana przez Dyrekcję Generalną ds. Edukacji, Młodzieży, Sportu i Kultury (DG EAC.B3 – Młodzież, Solidarność Wolontariuszy i Biuro ds. Staży) oraz Europejską Agencję Wykonawczą ds. Edukacji i Kultury (EACEA.A5 – Młodzież, Europejski Korpus Solidarności, Wolontariusze pomocy UE).

Osobą odpowiedzialną za operację przetwarzania danych w EACEA jest kierownik działu A5 – Młodzież, Europejski Korpus Solidarności, Wolontariusze pomocy UE.
E-mail: EACEA-SOLIDARITY-CORPS@ec.europa.eu

2. Które dane osobowe są przetwarzane?

1. Wymienione poniżej dane zarejestrowanych użytkowników Europejskiego Korpusu Solidarności są przekazywane z Europejskiego Portalu Młodzieżowego do EU Academy:

• E-mail (obowiązkowo)
• Nazwa użytkownika EU Login (obowiązkowo)
• Imię (obowiązkowo)
• Nazwisko (obowiązkowo)
• Język do kontaktu (obowiązkowo)
• Kraj zamieszkania (obowiązkowo)
• Miejscowość (nieobowiązkowo)

2. Jeżeli po ukończeniu kursu użytkownik zgodzi się wziąć udział w ankiecie internetowej dotyczącej EU Academy, administrator danych GOT i podmiot przetwarzający dane (zewnętrzny dostawca usług, z którym zawarła umowę EACEA) mogą mieć dostęp do tych danych w celu sporządzenia zanonimizowanych sprawozdań dostosowanych do indywidualnych potrzeb.

3. Następujące dane dostępne na platformie EU Academy mogą być przetwarzane przez administratora danych GOT i podmiot przetwarzający dane (zewnętrzny dostawca usług, z którym zawarła umowę EACEA): dane dotyczące dostępu do kursów i ich ukończenia, rejestracja na kurs, dane dotyczące postępów w ramach kursu. Dane te będą wykorzystywane w sposób zagregowany i zanonimizowany do monitorowania postępów i do celów statystycznych. 

3. Do jakich celów przetwarzane są dane?

Przetwarzanie danych jest niezbędne do następujących celów:

Wszelkie operacje przetwarzania danych osobowych za pośrednictwem EU Academy odbywają się zgodnie z oświadczeniem o ochronie prywatności EU Academy.

A.    W celu zapewnienia zarejestrowanym użytkownikom Europejskiego Korpusu Solidarności dostępu do zestawu kursów w ramach ogólnego szkolenia online Europejskiego Korpusu Solidarności oferowanego przez EU Academy oraz umożliwienia sprawozdawczości służbom Europejskiego Korpusu Solidarności w DG EAC i EACEA, a także przedstawienia w comiesięcznym sprawozdaniu statystycznym zagregowanej analizy korzystania z kursów według kluczowych cech użytkowników. 

B.    W celu przedstawienia zagregowanej analizy odpowiedzi na ankietę, w tym w podziale na kluczowe cechy respondentów, w miesięcznym sprawozdaniu statystycznym. W tym celu dane są anonimizowane.

C.    W celu monitorowania postępów użytkowników i do celów statystycznych w specjalnych sprawozdaniach. W tym celu dane są anonimizowane.

4. Skąd pobierane są dane?

Z Europejskiego Portalu Młodzieżowego, EU Academy i bezpośrednio od użytkowników do celów A, B i C opisanych w pkt 3 powyżej.

5. Kto ma dostęp do danych osobowych i komu są one ujawniane?

Dostęp do danych osobowych może zostać udzielony na zasadzie ograniczonego dostępu następującym odbiorcom:

• wyznaczeni pracownicy Komisji Europejskiej, DG EAC
• wyznaczeni pracownicy Komisji Europejskiej, JRC, zespół EU Academy
• wyznaczeni pracownicy EACEA
• upoważnieni pracownicy wykonawcy umowy ramowej o świadczenie usług nr SI2.1334: konsorcjum z udziałem ICF S.A., ICF Next S.A. UP learning B. V., MDF Training & Consultancy B.V, w szczególności administratorzy systemu i inżynierzy techniczni z UP learning, pracownicy realizujący projekt z ICF, pracownicy realizujący projekt z MDF oraz wykonawcy, którzy zastąpią ich po zakończeniu umowy. 

Przekazywanie danych innym osobom trzecim jest zabronione. Zgromadzone dane osobowe nigdy nie zostaną wykorzystane do celów marketingowych.

Ponadto w przypadku kontroli lub sporu dane osobowe mogą być udostępniane organom, którym powierzono zadanie monitorowania lub inspekcji w ramach stosowania prawa Unii, i przetwarzane przez te organy zgodnie z mającymi zastosowanie przepisami o ochronie danych oraz w zakresie zadań powierzonych im na mocy odpowiednich przepisów. Obejmuje to w szczególności następujących odbiorców:
Europejski Trybunał Sprawiedliwości lub sędziego krajowego, a także prawników i pełnomocników stron w przypadku postępowania sądowego

• Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF)
• Służbę Audytu Wewnętrznego Komisji 
• Biuro Dochodzeń i Postępowań Dyscyplinarnych Komisji (IDOC) 
• Europejski Trybunał Obrachunkowy 
• Europejskiego Rzecznika Praw Obywatelskich 
• Prokuraturę Europejską
• sądy UE i organy krajowe

w przypadku kontroli lub sporu organy, którym powierzono zadanie monitorowania lub inspekcji zgodnie z prawem Unii (np. Służba Audytu Wewnętrznego, Komisja Europejska, OLAF, sądy UE itp.).

Dane osobowe przetwarzane przez wykonawcę ICF S.A. będą przetwarzane w Europejskim Obszarze Gospodarczym (EOG) i w Zjednoczonym Królestwie. Na podstawie decyzji w sprawie odpowiedniej ochrony danych osobowych przez Zjednoczone Królestwo, przyjętej 28 czerwca 2021 r., dane osobowe mogą przepływać z UE do Zjednoczonego Królestwa bez konieczności dalszego zabezpieczenia.

6. Jak długo przechowujemy dane osobowe?

Do celów określonych w pkt A, B i C okres przechowywania, w tym rejestry dostępu, jest zgodny z okresem przechowywania stosowanym przez Europejski Portal Młodzieżowy: dane osobowe figurujące na kontach użytkowników Europejskiego Korpusu Solidarności zostaną usunięte w ciągu trzech lat po osiągnięciu górnej granicy wiekowej dopuszczającej do członkostwa w Korpusie, chyba że użytkownik: zgodził się przystąpić do ewentualnego zespołu absolwentów Korpusu, który może do tego czasu zostać utworzony, za pośrednictwem wiadomości e-mail wyraził zainteresowanie zachowaniem konta użytkownika lub skorzystał z finansowania unijnego przez udział w programie, w którym to przypadku dane są przechowywane przez 5 lat od ostatniej transakcji finansowej zgodnie ze wspólnym wykazem zatrzymywanych danych.

Odpowiedzi na pytania w ramach konsultacji online zostaną zanonimizowane (tj. usunięte zostaną powiązania między użytkownikiem a jego odpowiedziami lub oddanymi głosami) w ciągu dwóch lat od zakończenia każdego pełnego procesu konsultacji oraz sporządzenia sprawozdań i informacji zwrotnych.

Polityka w zakresie zatrzymywania danych EU Academy może również mieć wpływ na politykę GOT w zakresie zatrzymywania danych.

7. Jakie prawa przysługują osobom, których dane osobowe dotyczą, i jak można ich dochodzić?

Zgodnie z przepisami rozporządzenia o ochronie danych osobowych użytkownicy mają prawo:

• zwrócić się o dostęp do swoich danych osobowych, którymi dysponuje EACEA
• w razie potrzeby zwrócić się o skorygowanie swoich danych osobowych
• zwrócić się o usunięcie swoich danych osobowych
• zwrócić się o ograniczenie przetwarzania swoich danych osobowych
• zwrócić się o przekazanie im samym lub innej organizacji swoich danych w powszechnie używanym standardowym formacie nadającym się do odczytu maszynowego (przenoszenie danych).

Ponieważ przetwarzanie danych osobowych odbywa się w interesie publicznym na podstawie art. 5 ust. 1 lit. a) rozporządzenia o ochronie danych, należy pamiętać, że zgodnie z przepisami art. 23 rozporządzenia o ochronie danych użytkownicy mają prawo sprzeciwić się przetwarzaniu swoich danych osobowych z przyczyn związanych z ich szczególną sytuacją.

W przypadku przetwarzania danych osobowych, które opiera się na zgodzie użytkownika na mocy art. 5 ust. 1 lit. d) rozporządzenia o ochronie danych, należy pamiętać, że użytkownik może wycofać te dane w dowolnym momencie, co stanie się skuteczne od momentu wycofania. Przetwarzanie na podstawie zgody użytkownika przed jej wycofaniem pozostanie zgodne z prawem.

Art. 25 rozporządzenia (UE) 2018/1725 stanowi, że w sprawach związanych z funkcjonowaniem instytucji i organów UE te ostatnie mogą ograniczyć niektóre prawa osób fizycznych w wyjątkowych okolicznościach i przy zachowaniu zabezpieczeń określonych w tym rozporządzeniu. Ograniczenia takie są przewidziane w przepisach wewnętrznych przyjętych przez EACEA i opublikowanych w Dzienniku Urzędowym Unii Europejskiej.

Każde takie ograniczenie będzie ważne przez określony czas, proporcjonalne i nie będzie naruszać istoty wyżej wymienionych praw. Zostanie zniesione, gdy tylko przestaną zachodzić okoliczności uzasadniające takie ograniczenie. Po upływie tego terminu użytkownicy otrzymają bardziej szczegółowe zawiadomienie o ochronie danych.

Co do zasady użytkownicy są informowani o najważniejszych przyczynach ograniczenia, chyba że informacja ta zniosłaby skutek ograniczenia jako takiego.

Użytkownicy mają prawo złożyć skargę do EIOD dotyczącą zakresu ograniczenia.

8. Prawo do odwołania się w przypadku konfliktu w odniesieniu do wszelkich kwestii dotyczących danych osobowych

W przypadku konfliktu dotyczącego jakichkolwiek kwestii związanych z ochroną danych osobowych można zwrócić się do administratora danych na wyżej wymieniony adres i funkcyjną skrzynkę pocztową.

Można również skontaktować się z inspektorem ochrony danych w EACEA na następujący adres e-mail: eacea-data-protection@ec.europa.eu.

W każdej chwili można złożyć skargę do Europejskiego Inspektora Ochrony Danych: http://www.edps.europa.eu.

9. Na jakiej podstawie prawnej przetwarzamy dane osobowe?

Zgodnie z art. 5 ust. 1 rozporządzenia o ochronie danych: 

a)    przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej instytucji lub organowi Unii (określonego w prawie Unii). 

Główną podstawą prawną przetwarzania danych osobowych jest:

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2021/888 z dnia 20 maja 2021 r. ustanawiające program „Europejski Korpus Solidarności” oraz uchylające rozporządzenia (UE) 2018/1475 i (UE) nr 375/2014.

oraz 

d)    osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. 

• Użytkownicy GOT wyrazili dodatkową zgodę na zaproszenie na rozmowy telefoniczne. Wywiady telefoniczne nie są już prowadzone od 2021 r.

------------

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).