OCHRONA DANYCH OSOBOWYCH

Operacja przetwarzania danych osobowych: Strona internetowa „Urząd Publikacji Unii Europejskiej” (portal UP)

Administrator danych: Urząd Publikacji Unii Europejskiej, Dział A.5 ds. Portalu i Usług Sieciowych

Numer w rejestrze: DPR-EC-00449

1 Wprowadzenie

Komisja Europejska (zwana dalej „Komisją”) jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności osób, których dane dotyczą. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylającym rozporządzenie (WE) nr 45/2001).

W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób wykorzystywane są pozyskiwane informacje oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podajemy również dane kontaktowe właściwego administratora danych, u którego można dochodzić swoich praw, inspektora ochrony danych i Europejskiego Inspektora Ochrony Danych.

Poniżej przedstawiono informacje dotyczące operacji przetwarzania danych „Strona internetowa Urzędu Publikacji Unii Europejskiej (portal UP)”, prowadzonej przez Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji Unii Europejskiej.

2. Dlaczego i jak przetwarzamy dane osobowe?

Cel przetwarzania danych: Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji gromadzi i wykorzystuje dane osobowe do celów rejestracji użytkowników na stronie internetowej portalu UP, w tym na potrzeby usług związanych z zamawianiem publikacji drukowanych na stronie Publikacje UE oraz z korzystaniem z funkcji wirtualnego asystenta Urzędu Publikacji.

Rejestracja użytkowników: operacja przetwarzania polega na utrzymywaniu w bazie danych listy zawierającej dane osobowe. Dane są również wykorzystywane w sposób anonimowy do celów badań lub celów statystycznych na potrzeby poprawy jakości usług.

Wirtualny asystent Urzędu Publikacji: funkcja ta (okno na stronie internetowej) umożliwia użytkownikom zadawanie standardowych pytań na temat dostępnych w portalu usług i publikacji. Pytania można wpisać lub zadać na głos. W przypadku pytań zadanych na głos wirtualny asystent Urzędu Publikacji korzysta z chatbota „Publio”. Chatbot rejestruje dźwięk (wypowiedziane pytanie) i przesyła go do systemu rozpoznawania mowy, który przetwarza mowę na tekst. Nagranie dźwiękowe jest przetwarzane na serwerze Microsoft Azure. Następnie wirtualny asystent Urzędu Publikacji wyświetla wypowiedziany tekst zgodnie z tym, jak został on zinterpretowany przez system rozpoznawania mowy, a potem wyświetla standardową odpowiedź jako tekst i jednocześnie automatycznie odtwarza odpowiadające mu nagranie dźwiękowe. Odbywa się to błyskawicznie i bez pozostawiania śladów. W momencie zamknięcia okna z wirtualnym asystentem Urzędu Publikacji cała rozmowa zostaje usunięta. Ani nagranie dźwiękowe, ani pytania i odpowiedzi nie są przechowywane.

Dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.

3. Na jakiej podstawie prawnej przetwarzamy dane osobowe?

Dane osobowe są przetwarzane ponieważ:

- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej instytucji lub organowi Unii;

oraz

- osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

- Jeśli użytkownik złoży zamówienie za pośrednictwem portalu UP, przetwarzanie jego danych osobowych jest konieczne do realizacji zamówienia.

Podstawa prawna operacji przetwarzania danych: uprawnienia Urzędu Publikacji, decyzja (2009/496/WE, Euratom) Parlamentu Europejskiego, Rady, Komisji, Trybunału Sprawiedliwości, Trybunału Obrachunkowego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 26 czerwca 2009 r. w sprawie organizacji i działania Urzędu Publikacji Unii Europejskiej.

4. Jakie dane osobowe gromadzimy i przetwarzamy?

W ramach operacji przetwarzania danych Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji Unii Europejskiej gromadzi następujące kategorie danych osobowych:

Rejestracja użytkownika

Dane obowiązkowe dla pełnego konta:

• Imię
• Nazwisko
• Adres e-mail
• Hasło (szyfrowane)

Dane obowiązkowe w przypadku kontra jednorazowego logowania (dane z zewnętrznego serwisu EU Login):

• Identyfikator użytkownika
• Adres e-mail
• Imię
• Nazwisko

Dane nieobowiązkowe:

• Numer telefonu
• Zainteresowania tematyczne
• Preferowana rola
• Rodzaj adresu
• Imię (może być inne od danych obowiązkowych)
• Nazwisko (może być inne od danych obowiązkowych)
• Adres (ulica)
• Kod pocztowy
• Miejscowość
• Państwo
• E-mail (może być inny od danych obowiązkowych)
• Numer telefonu dla adresu
• Rodzaj osoby
• Organizacja
• Departament
• Funkcja

Do przeglądania zawartości portalu UP nie jest wymagane podanie danych osobowych. Podanie danych osobowych jest jednak niezbędne, jeżeli użytkownik chce korzystać z dodatkowych usług konta z pełnymi uprawnieniami, takich jak „Moje adresy”, „Moje listy”, „Moje widżety”, „Moje zamówienia”, „Mój profil”, „Moje powiadomienia”, „Moje komentarze”, „Moje oceny”, „Moje wyszukiwanie” i „Moje kanały RSS”.

Ponadto podanie danych osobowych jest obowiązkowe w przypadku zamówienia wysyłki publikacji do domu.

Funkcja wirtualnego asystenta Urzędu Publikacji

• Głos (w przypadku głosowej interakcji z wirtualnym asystentem)

5. Jak długo przechowujemy dane osobowe?

Dział A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji przechowuje dane osobowe wyłącznie przez czas niezbędny do realizacji celu gromadzenia lub przetwarzania danych, jakim jest realizacja zamówionych usług. W przypadku utworzenia pełnego konta można usunąć dane osobowe samodzielnie (korzystając z funkcji „Usuń konto”).

Po trzech latach nieaktywności przesyłamy użytkownikom wiadomość. W przypadku braku odpowiedzi po miesiącu usuwamy konto automatycznie.

6. Jak chronimy i zabezpieczamy dane osobowe?

Wszystkie dane osobowe w formacie elektronicznym (wiadomości e-mail, dokumenty, bazy danych, przesłane zestawy danych itp.) są przechowywane:
- w chmurze MS Azure Cloud (Europa), którą zarządzają główni wykonawcy SOFTWARE IMAGINATION & VISION S.R.L. (SIMAVI), Rumunia, oraz ARHS Spikeseed S.A., Luksemburg, odpowiedzialni za aplikację PORTALU UP
- w chmurze MS Azure Cloud (Europe), którą zarządza wykonawca Tremend Software Consulting S.R.L., Rumunia, odpowiedzialny za ciągłość działania PORTALU UP
- na serwerach wykonawcy Paragon Supply Services, Francja, odpowiedzialnego za realizację zamówień.
- Podwykonawcy uczestniczący w świadczeniu usługi wirtualnego asystenta Urzędu Publikacji (Publio): Pureinsights Technology Ltd, Wielka Brytania, oraz Wisevoice AI, Rumunia.

Wszystkie operacje przetwarzania danych prowadzone są zgodnie z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.

Podczas przetwarzania danych w imieniu Komisji podwykonawcy Komisji muszą przestrzegać specjalnej klauzuli umownej, a także obowiązków w zakresie poufności danych wynikających z ogólnego rozporządzenia o ochronie danych – rozporządzenia (UE) 2016/679.

W celu ochrony danych osobowych Komisja wprowadziła szereg środków technicznych i organizacyjnych. Środki techniczne obejmują m.in. odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, zmiany danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem danych oraz charakteru przetwarzanych danych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp w celu ich przetwarzania.

7. Kto ma dostęp do danych osobowych i komu są one ujawniane?

Dostęp do danych osobowych mają pracownicy Komisji odpowiedzialni za prowadzenie danej operacji przetwarzania danych oraz upoważnieni pracownicy zgodnie z zasadą ograniczonego dostępu. Pracownicy tych służb i organów przestrzegają regulaminowych, a także – w razie potrzeby – dodatkowych zobowiązań umownych do zachowania poufności.

Dostęp do danych osobowych mają również wykonawcy, SIMAVI i ARHS Spikeseed S.A., odpowiedzialni za zarządzanie aplikacją, oraz Tremend Software Consulting S.R.L., odpowiedzialny za ciągłość działania.

W przypadku korzystania z funkcji głosowego asystenta urzędu publikacji (Publio) dane głosowe będą przetwarzane w systemach udostępnianych przez podwykonawców Pureinsights Technology Ltd i Wisevoice AI.

W przypadku złożenia zamówienia na publikację drukowaną / na nośniku fizycznym za pośrednictwem strony Publikacje UE w Portalu UP dane osobowe będą przetwarzane przez wykonawcę odpowiedzialnego za realizację zamówień, obecnie jest to: Paragon Supply Services, Francja. Przetwarzanie danych jest objęte oddzielnym oświadczeniem o ochronie prywatności, które jest udostępniane użytkownikom podczas realizacji zamówienia.

Zebrane przez nas informacje nie są przekazywane osobom trzecim.

8. Jakie prawa przysługują osobom, których dane dotyczą, i jak można ich dochodzić?

Jako „osoby, których dane dotyczą”, użytkownicy mają szczególne prawa na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725, w szczególności prawo do dostępu do danych osobowych, ich sprostowania lub usunięcia oraz prawo do ograniczenia przetwarzania danych osobowych. W stosownych przypadkach mają również prawo do wniesienia sprzeciwu wobec przetwarzania danych i prawo do przenoszenia danych.

Rejestrując profil użytkownika w portalu UP, użytkownik wyraża zgodę na przekazanie swoich danych osobowych do Działu A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji. Zgodę tę można wycofać w dowolnym momencie poprzez powiadomienie administratora danych. Wycofanie zgody nie będzie miało wpływu na zgodność z prawem operacji przetwarzania danych przed wycofaniem zgody.

Swoich praw można dochodzić, kontaktując się z administratorem danych lub, w przypadku konfliktu, z inspektorem ochrony danych. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Dane kontaktowe tych organów podano w pkt 9 poniżej.

Aby skorzystać z tych praw w odniesieniu do jednej lub kilku konkretnych operacji przetwarzania, należy w przesłanym wniosku podać opis operacji (tzn. numer referencyjny wskazany poniżej w pkt 10).

9. Dane kontaktowe

- Administrator danych

Aby skorzystać z praw na podstawie rozporządzenia (UE) 2018/1725 lub przesłać uwagi, pytania lub zastrzeżenia, ewentualnie aby złożyć skargę w związku z gromadzeniem i wykorzystywaniem danych osobowych, należy skontaktować się z administratorem danych: Działem A.5 ds. Portalu i Usług Sieciowych Urzędu Publikacji, info@publications.europa.eu.

- Inspektor ochrony danych w Komisji (IOD)

W kwestiach związanych z przetwarzaniem danych osobowych na podstawie rozporządzenia (UE) 2018/1725 można skontaktować się z inspektorem ochrony danych (DATA-PROTECTION-OFFICER@ec.europa.eu).

- Europejski Inspektor Ochrony Danych (EIOD)

Osoby, których dane dotyczą, mają prawo odwołać się (wnieść skargę) do Europejskiego Inspektora Ochrony Danych (edps@edps.europa.eu), jeżeli uznają, że w wyniku przetwarzania ich danych osobowych przez administratora danych naruszono zostały naruszone ich prawa wynikające z rozporządzenia (UE) 2018/1725.

10. Gdzie można znaleźć więcej informacji?

Inspektor ochrony danych w Komisji publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Rejestr ten jest dostępny pod adresem: http://ec.europa.eu/dpo-register.

Ta konkretna operacja przetwarzania została wpisana do rejestru publicznego inspektora ochrony danych pod następującym numerem: DPR-EC-00449.