ЕНОЗД разследва обработването на лични данни от американска компания по време на изборите за Европейския парламент

Европейския надзорен орган по защита на данните (EDPS) проверява какво се е случило с данните на 329 000 души по време на предизборната кампания през 2019 г.

Европейският надзорен орган по защита на данните (ЕНОЗД) съобщи, че по време на кампанията за избори на членове на Европарламента е използван уебсайтът thistimeimvoting.eu. Той е събрал лични данни от над 329 000 души. Обработването на данните е извършено от името на парламента от американската компания NationBuilder. ЕНОЗД се самосезира и започва през февруари 2019 г. разследване, за да определи дали използването на уебсайта и свързаните с него операции за обработка на лични данни, са в съответствие с правилата, приложими за институциите на ЕС, посочени в Регламент (ЕС) 2018/1725 .  Това разследване продължава.

В съобщението се цитира и изявление на Войчех Вевюровски, който през седмицата беше определен за ръководител на ЕНОЗД през следващите 5 години, че строгите правила за защита на данните са от съществено значение за демокрацията, особено в дигиталната ера. Те спомагат за насърчаване на доверието в институциите и демократичния процес, чрез насърчаване на отговорното използване на личните данни и зачитане на правата на лицата. Той подчертава, че ЕНОЗД следи как Европейският парламент спазва най-високите стандарти, при събиране и използване на лични данни. Той отчита добро ниво на сътрудничество развиване между ЕНОЗД и Европейския парламент в хода на разследването.

ЕНОЗД казва, че Парламентът е нарушил член 29 от Регламент (ЕС)2018/1725.

Член 29

Обработващ личните данни

1.Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и да гарантира защитата на правата на субектите на данни.

2.Обработващият лични данни не включва друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение обработващият лични данни винаги информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да оспори тези промени.

  1. Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

а) обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това съгласно правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни; в такъв случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б) гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в) взема всички необходими мерки съгласно член 33;

г) спазва условията по параграфи 2 и 4 за включване на друг обработващ лични данни;

д) като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените в глава III права на субектите на данни;

е) подпомага администратора да гарантира изпълнението на задълженията съгласно членове 33—41, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж) по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка изисква тяхното съхранение;

з) осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

  1. Когато обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или правото на държава членка на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни, както е посочено в параграф 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия регламент. Когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред администратора за изпълнението на задълженията на този друг обработващ лични данни.
  2. Когато обработващ лични данни не е институция или орган на Съюза, придържането на този обработващ към одобрен кодекс за поведение, посочен в член 40, параграф 5 от Регламент (ЕС) 2016/679, или към одобрен механизъм за сертифициране, посочен в член 42 от Регламент (ЕС) 2016/679, може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграфи 1 и 4 от настоящия член.
  3. Без да се засягат разпоредбите на индивидуален договор между администратора и обработващия лични данни, договорът или другият правен акт, посочени в параграфи 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато са част от сертифициране, предоставено на обработващия лични данни, различен от институция или орган на Съюза, съгласно член 42 от Регламент (ЕС) 2016/679.
  4. Комисията може да установява стандартни договорни клаузи по въпроси, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с процедурата по разглеждане, посочена в член 96, параграф 2.
  5. Европейският надзорен орган по защита на данните може да приема стандартни договорни клаузи по въпросите, посочени в параграфи 3 и 4.
  6. Договорът или другият правен акт, посочени в параграфи 3 и 4, се изготвят в писмена форма, включително в електронна форма.
  7. Без да се засягат членове 65 и 66, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Второто прегрешение, открито от ЕНОЗД, е, че страницата thistimeimvoting не публикува своевременно политика за поверителност.

ЕНОЗД възнамерява да приключи разследването до края на тази година, се казва в съобщението и се подчертава, че надзорникът очаква институциите, офисите, органите и агенциите на ЕС да са пример за адекватна защита на личните данни.