Oświadczenie o ochronie danych osobowych

Operacja przetwarzania danych: Strona internetowa „Urząd Publikacji Unii Europejskiej” (portal UP)

Administrator danych: Urząd Publikacji Unii Europejskiej, dział A.5, „Portal internetowy i usługi sieciowe”

Numer w rejestrze: DPR-EC-00449

1. Wprowadzenie

Komisja Europejska (zwana dalej „Komisją”) jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności użytkowników. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylającym rozporządzenie (WE) nr 45/2001).

W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób pozyskiwane informacje są wykorzystywane oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podajemy w nim również dane kontaktowe odpowiedniego administratora danych, u którego użytkownicy mogą dochodzić swoich praw, inspektora ochrony danych i Europejskiego Inspektora Ochrony Danych.

Poniżej przedstawiono informacje dotyczące operacji przetwarzania danych „Strona internetowa Urzędu Publikacji Unii Europejskiej (portal UP)”, prowadzonej przez dział C.1 „Portal UP” Urzędu Publikacji Unii Europejskiej.

2. Dlaczego gromadzimy, przechowujemy i przetwarzamy dane użytkowników?

Cel przetwarzania danych: Dział C.1 „Portal UP” Urzędu Publikacji gromadzi i wykorzystuje dane osobowe do celów rejestracji użytkowników na stronie internetowej portalu UP, w tym na potrzeby usług związanych z zamawianiem publikacji drukowanych na stronie Publikacje UE oraz z korzystaniem z funkcji wirtualnego asystenta Urzędu Publikacji.

Rejestracja użytkowników: operacja przetwarzania polega na utrzymywaniu w bazie danych listy zawierającej dane osobowe. Dane są również wykorzystywane w sposób anonimowy do celów badań lub celów statystycznych na potrzeby poprawy jakości usług.

Wirtualny asystent Urzędu Publikacji: funkcja ta (okno na stronie internetowej) umożliwia użytkownikom zadawanie standardowych pytań na temat dostępnych w portalu usług i publikacji. Pytania można wpisać lub zadać na głos. W przypadku pytań zadanych na głos wirtualny asystent Urzędu Publikacji korzysta z chatbota „Publio”. Chatbot rejestruje dźwięk (wypowiedziane pytanie) i przesyła go do systemu rozpoznawania mowy, który przetwarza mowę na tekst. Nagranie dźwiękowe jest przetwarzane na serwerze Microsoft Azure. Następnie wirtualny asystent Urzędu Publikacji wyświetla wypowiedziany tekst zgodnie z tym, jak został on zinterpretowany przez system rozpoznawania mowy, a potem wyświetla standardową odpowiedź jako tekst i jednocześnie automatycznie odtwarza odpowiadające mu nagranie dźwiękowe. Odbywa się to błyskawicznie i bez pozostawiania śladów. W momencie zamknięcia okna z wirtualnym asystentem Urzędu Publikacji cała rozmowa zostaje usunięta. Ani nagranie dźwiękowe, ani pytania i odpowiedzi nie są przechowywane.

Dane osobowe nie będą wykorzystywane do celów zautomatyzowanego podejmowania decyzji, w tym do profilowania.

3. Na jakiej podstawie prawnej przetwarzamy dane osobowe?

Przetwarzamy dane osobowe, ponieważ:

– przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej instytucji lub organowi Unii

oraz

– osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

– Jeśli użytkownik złoży zamówienie za pośrednictwem portalu UP, przetwarzanie jego danych osobowych jest konieczne do realizacji zamówienia.

Podstawa prawna operacji przetwarzania danych: uprawnienia Urzędu Publikacji, decyzja (2009/496/WE, Euratom) Parlamentu Europejskiego, Rady, Komisji, Trybunału Sprawiedliwości, Trybunału Obrachunkowego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 26 czerwca 2009 r. w sprawie organizacji i działania Urzędu Publikacji Unii Europejskiej.

4. Jakie dane osobowe gromadzimy i przetwarzamy?

W ramach operacji przetwarzania danych dział A.5 „Portal internetowy i usługi sieciowew Urzędzie Publikacji Unii Europejskiej gromadzi następujące kategorie danych osobowych:

Dane obowiązkowe dla pełnego konta:

• Imię
• Nazwisko
• E-mail
• Hasło (szyfrowane)

Dane obowiązkowe w przypadku konta do pojedynczego logowania (dane z serwisów zewnętrznych takich jak Facebook, Twitter lub EU Login):

• Identyfikator użytkownika
• Email (nie w przypadku Twittera)
• Imię
• Nazwisko

Dane nieobowiązkowe:

• Numer telefonu
• Zainteresowania tematyczne
• Preferowana rola
• Rodzaj adresu
• Imię (może być inne od danych obowiązkowych)
• Nazwisko (może być inne od danych obowiązkowych)
• Adres (ulica)
• Kod pocztowy
• Miejscowość
• Państwo
• E-mail (może być inny od danych obowiązkowych)
• Numer telefonu dla adresu
• Rodzaj osoby
• Organizacja
• Departament
• Funkcja

Do przeglądania zawartości portalu UP nie jest wymagane podanie danych osobowych. Podanie danych osobowych jest jednak niezbędne, jeżeli użytkownik chce korzystać z dodatkowych usług konta z pełnymi uprawnieniami, takich jak „Moje adresy”, „Moje listy”, „Moje widżety”, „Moje zamówienia”, „Mój profil”, „Moje powiadomienia”, „Moje komentarze”, „Moje oceny”, „Moje wyszukiwanie” i „Moje kanały RSS”.

Ponadto podanie danych osobowych jest obowiązkowe w przypadku zamówienia wysyłki publikacji do domu.

Funkcja wirtualnego asystenta Urzędu Publikacji

• Głos (w przypadku głosowej interakcji z wirtualnym asystentem)

5. Jak długo przechowujemy dane osobowe?

Dział C.1. „Portal internetowy i usługi sieciowe” Urzędu Publikacji przechowuje dane osobowe wyłącznie przez czas niezbędny do realizacji celu gromadzenia lub przetwarzania danych, jakim jest realizacja zamówionych usług. W przypadku utworzenia pełnego konta można usunąć dane osobowe samodzielnie (korzystając z funkcji „Usuń konto”).

Po trzech latach nieaktywności przesyłamy użytkownikom wiadomość. W przypadku braku odpowiedzi po miesiącu usuwamy konto automatycznie.

6. Jak chronimy i zabezpieczamy dane osobowe?

Wszystkie dane osobowe w formacie elektronicznym (wiadomości e-mail, dokumenty, bazy danych, przesłane zestawy danych itp.) są przechowywane:
- w chmurze MS Azure Cloud (Europa), którą zarządzają główni wykonawcy SOFTWARE IMAGINATION & VISION S.R.L. (SIMAVI), Rumunia, oraz ARHS Spikeseed S.A., Luksemburg, odpowiedzialni za aplikację PORTALU UP
- w chmurze MS Azure Cloud (Europe), którą zarządza wykonawca Tremend Software Consulting S.R.L., Rumunia, odpowiedzialny za ciągłość działania PORTALU UP
- na serwerach wykonawcy Paragon Supply Services, Francja, odpowiedzialnego za realizację zamówień.
- Podwykonawcy uczestniczący w świadczeniu usługi wirtualnego asystenta Urzędu Publikacji (Publio): Pureinsights Technology Ltd, Wielka Brytania, oraz Wisevoice AI, Rumunia.

Wszystkie operacje przetwarzania danych prowadzone są zgodnie z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.

Podczas przetwarzania danych w imieniu Komisji podwykonawcy Komisji muszą przestrzegać specjalnej klauzuli umownej, a także obowiązków w zakresie poufności danych wynikających z ogólnego rozporządzenia o ochronie danych – rozporządzenia (UE) 2016/679.

W celu ochrony danych osobowych Komisja wprowadziła szereg środków technicznych i organizacyjnych. Środki techniczne obejmują m.in. odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, zmiany danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem danych osobowych oraz charakteru przetwarzanych danych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp w celu ich przetwarzania.

7. Kto ma dostęp do danych osobowych i komu są one ujawniane?

Dostęp do danych osobowych mają pracownicy Komisji odpowiedzialni za prowadzenie danej operacji przetwarzania danych oraz upoważnieni pracownicy zgodnie z zasadą ograniczonego dostępu. Pracownicy ci przestrzegają regulaminowych, a także – w razie potrzeby – dodatkowych zobowiązań do zachowania poufności.

Dostęp do danych osobowych mają również wykonawcy, SIMAVI i ARHS Spikeseed S.A., odpowiedzialni za zarządzanie aplikacją, oraz Tremend Software Consulting S.R.L., odpowiedzialny za ciągłość działania.

W przypadku korzystania z funkcji głosowego asystenta urzędu publikacji (Publio) dane głosowe będą przetwarzane w systemach udostępnianych przez podwykonawców Pureinsights Technology Ltd i Wisevoice AI.

W przypadku złożenia zamówienia na publikację drukowaną / na nośniku fizycznym za pośrednictwem strony Publikacje UE w Portalu UP dane osobowe będą przetwarzane przez wykonawcę odpowiedzialnego za realizację zamówień, obecnie jest to: Paragon Supply Services, Francja. Przetwarzanie danych jest objęte oddzielnym oświadczeniem o ochronie prywatności, które jest udostępniane użytkownikom podczas realizacji zamówienia.

Zebrane przez nas informacje nie są przekazywane osobom trzecim.

8. Jakie prawa przysługują użytkownikom i jak mogą ich dochodzić?

Jako „osoby, których dane dotyczą”, użytkownicy mają szczególne prawa na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725, w szczególności prawo do dostępu do danych osobowych, ich sprostowania lub usunięcia oraz prawo do ograniczenia przetwarzania danych osobowych. W stosownych przypadkach użytkownicy mają również prawo do wniesienia sprzeciwu wobec przetwarzania danych i prawo do przenoszenia danych.

Rejestrując profil użytkownika w portalu UP, użytkownik wyraża zgodę na przekazanie swoich danych osobowych do działu C.1 „Portal UP” Urzędu Publikacji. Zgodę tę można wycofać w dowolnym momencie poprzez powiadomienie administratora danych. Wycofanie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych przed wycofaniem zgody.

Aby skorzystać z przysługujących mu praw, użytkownik może skontaktować się z administratorem danych lub, w przypadku konfliktu, z inspektorem ochrony danych. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Dane kontaktowe do tych organów podano poniżej w punkcie 9.

Użytkownicy, którzy chcą dochodzić swoich praw w odniesieniu do jednej lub kilku konkretnych operacji przetwarzania, muszą podać we wniosku ich opis (tj. ich numer w rejestrze zgodnie z punktem 10 poniżej).

9. Dane kontaktowe

– Administrator danych

Aby skorzystać z praw na podstawie rozporządzenia (UE) 2018/1725 lub przesłać uwagi, pytania lub zastrzeżenia, ewentualnie aby złożyć skargę w związku z gromadzeniem i wykorzystywaniem danych osobowych, należy skontaktować się z administratorem danych – dział C.1 „Portal UP” w Urzędzie Publikacji Unii Europejskiej.

– Inspektor ochrony danych Komisji Europejskiej

W kwestiach związanych z przetwarzaniem danych osobowych na podstawie rozporządzenia (UE) 2018/1725 można skontaktować się z inspektorem ochrony danych (data-protection-officer@ec.europa.eu).

– Europejski Inspektor Ochrony Danych (EIOD)

Osoby, których dotyczą dane, mają prawo odwołać się (wnieść skargę) do Europejskiego Inspektora Ochrony Danych (dps@edps.europa.eu), jeżeli uznają, że ich prawa wynikające z rozporządzenia (UE) 2018/1725 zostały naruszone w wyniku przetwarzania danych osobowych przez administratora danych.

10. Gdzie można znaleźć więcej informacji?

Inspektor ochrony danych Komisji publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Rejestr ten jest dostępny pod adresem: http://ec.europa.eu/dpo-register

Ta operacja przetwarzania danych została ujęta w rejestrze publicznym inspektora ochrony danych pod numerem: DPR-EC-00449