Podpis, imię i nazwisko, adres zamieszkania oraz PESEL – takie informacje znajdują się na wykazie obywateli popierających utworzenie komitetu wyborczego na potrzeby wyborów samorządowych – choć zakres tych informacji został określony w art. 403 kodeksu wyborczego, to w ostatnich dniach pojawiły się obawy, że w związku przyjęciem od 25 maja 2018 roku RODO, zbieranie takich informacji nie będzie już legalne.Oczywiście takie obawy nie mają zupełnie żadnych podstaw – o ile przestrzegane będzie kilka podstawowych reguł.
Podstawa prawna
Obowiązkiem każdego administratora danych osobowych jest określenie podstawy prawnej, z której wynika zgodność przetwarzania danych osobowych z prawem.
Listy (wykazy) osób popierających określony komitet wyborczy stanowią, nawet nie tyle dane osobowe, co dane osobowe „wrażliwe”, ponieważ z faktu złożenia podpisu można ustalić profil poglądów politycznych lub światopoglądowych – co ma to znaczenie, że konieczne jest istnienie podstawy prawnej zgodnej z którąkolwiek z przesłanek wskazanych w art. 9 ust. 2 lit. a-j RODO. Jedną z takich przesłanek jest art. 9 ust. 2 lit. d, który dopuszcza przetwarzanie danych o poglądach politycznych, jeżeli przetwarzanie dokonywane jest: „w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez (…)niezarobkowy podmiot o celach politycznych,(…) pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą” oraz art. 9 ust. 2 lit. g, który stanowi, że przetwarzanie tego rodzaju informacji jest dopuszczalne, o ile jest: „niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą” – w zestawieniu z treścią art. 403 kodeksu wyborczego oraz innymi przepisami precyzującymi postępowanie w związku z wyborami należy jednoznacznie stwierdzić, że komitet wyborczy posiada podstawę prawną do takiej działalności.
Należy wskazać, że nie ma potrzeby, pozyskiwania odrębnej zgody na przetwarzanie danych osobowych – ponieważ podstawa prawna została określona w przepisach.
Obowiązek zabezpieczenia danych
Podobnie jak podczas obowiązywania ustawy o ochronie danych osobowych z 1997 roku, tak i obecnie – osoba zbierająca podpisy dla konkretnego komitetu ma obowiązek, jako osoba upoważniona do przetwarzania danych osobowych przez administratora (administratorem jest konkretny komitet), zapewnić ich bezpieczeństwo w tym znaczeniu, że należy podjąć działania w celu ochrony wykazów (formularzy) na których podpisy są zbierane przed:
- udostępnieniem ich treści osobom nieuprawnionym (naruszenie poufności),
- zniszczeniem (naruszenie dostępności) oraz
- naruszeniem integralności
Jak zrealizować to w praktyce ? Np. poprzez zastosowanie papierowych lub kartonowych przesuwnych nakładek na formularz, który pozwoli na zakrycie podpisów udzielonych przez innych popierających – inaczej mówiąc, chodzi o zapewnienie, że osoba udzielająca podpis nie widzi podpisów innych popierających – zastosowanie wspomnianej przesuwnej nakładki jest najprostszą metodą, która pomoże w osiągnięciu tego celu. Słusznie jest to zabezpieczenie zalecane do stosowania przez organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych.
Należy jednak zwrócić uwagę na stanowisko Ministerstwa Cyfryzacji, które – niestety – może wprowadzać w błąd. Ministerstwo wydało krótki komunikat z którego wynika, pozyskanie przez podpisującego listę poparcia danych innych osób, które np. podpisały się powyżej nie podlega pod RODO: „(…)nawet gdyby osoba składająca podpis zobaczyła dane innych osób podpisanych na liście, RODO nie ma do niego zastosowania. Rozporządzenie nie ma bowiem zastosowania do przetwarzania danych przez osobę w ramach jej działań czysto osobistych lub domowych”. Stanowisko Ministerstwa zawiera „połowiczną” prawdę – tzn. RODO nie będzie miało zastosowania do osoby fizycznej, która informacje pozyskała przy takiej okazji, ale nie zmienia to faktu, że obowiązkiem administratora, czyli komitetu wyborczego jest zastosowanie środków, które takie naruszenie poufności umożliwią.
Ewidencjonowanie i zgłaszanie naruszeń
Komitet wyborczy, podobnie jak każdy inny administrator danych osobowych ma obowiązek ew2eidencjonować, klasyfikować i zgłaszać określonego rodzaju naruszenia danych osobowych – co może być naruszeniem, które będzie trzeba zgłosić do UODO ?
Np. gdy osoba przechodząca ulicą sfotografuje telefonem listę z imionami i nazwiskami osób popierających określony komitet, innym przykładem naruszenia może być np. porwanie kartki z podpisami przez wiatr.
Wszelkie naruszenia należy ewidencjonować w ramach wewnętrznej dokumentacji, a niektóre z nich (te, które przekroczą przyjęty „próg” dotkliwości) zgłaszać do organu nadzorczego, czyli PUODO, co możliwe jest wyłącznie w formie elektronicznej.
Należy o tym pamiętać, ponieważ obowiązek zgłaszania naruszeń jest właśnie nowością, którą RODO wprowadziło od 25 maja 2018 roku.
Obowiązek informacyjny
Jak wcześniej zauważono, przy zbieraniu podpisów nie trzeba pobierać zgody, ale należy spełnić obowiązek informacyjny, w sposób zgodny z art. 13 RODO – czyli między innymi poinformować o tym, kto jest administratorem danych, na jakiej podstawie prawnej dane są zbierane, w jakim celu, jak długo będą przechowywane. W praktyce, najprostszym rozwiązaniem będzie przygotowanie klauzuli informacyjnej, która powinna widnieć np. na wspomnianej przesuwnej karcie zasłaniającej wyżej złożone podpisy. Aczkolwiek należy pamiętać, że sama forma realizacji obowiązku informacyjnego jest dowolna – najważniejsze, by wymagane przez art. 13 RODO informacje zostały przekazane.
Autor: Karol Cieniak