Wybory samorządowe a RODO

Podpis, imię i nazwisko, adres zamieszkania oraz PESEL –  takie informacje znajdują się na wykazie obywateli popierających utworzenie komitetu wyborczego na potrzeby wyborów samorządowych – choć zakres tych informacji został określony w  art. 403  kodeksu wyborczego, to w  ostatnich dniach  pojawiły się obawy, że  w  związku  przyjęciem od 25 maja 2018 roku RODO, zbieranie takich informacji nie będzie już legalne.Oczywiście takie obawy nie mają zupełnie żadnych podstaw – o ile przestrzegane będzie  kilka podstawowych reguł.

Podstawa  prawna

Obowiązkiem każdego administratora danych osobowych jest określenie podstawy prawnej, z  której wynika zgodność przetwarzania  danych osobowych z prawem.

Listy (wykazy) osób popierających określony komitet wyborczy stanowią, nawet nie tyle dane osobowe, co dane osobowe „wrażliwe”, ponieważ z faktu złożenia podpisu można ustalić profil poglądów politycznych lub światopoglądowych – co ma  to znaczenie, że konieczne jest istnienie podstawy prawnej  zgodnej  z którąkolwiek z przesłanek wskazanych w art. 9 ust. 2 lit. a-j RODO. Jedną z takich przesłanek jest art. 9 ust. 2 lit. d, który dopuszcza przetwarzanie  danych  o poglądach politycznych, jeżeli  przetwarzanie dokonywane  jest: „w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez (…)niezarobkowy podmiot o celach politycznych,(…) pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą” oraz art.  9  ust. 2  lit. g, który stanowi, że przetwarzanie tego rodzaju informacji jest dopuszczalne, o ile jest:  „niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą” – w zestawieniu z treścią  art. 403 kodeksu wyborczego oraz innymi przepisami precyzującymi postępowanie w związku z wyborami należy jednoznacznie stwierdzić, że  komitet wyborczy posiada podstawę prawną do takiej działalności.

Należy  wskazać, że nie ma potrzeby, pozyskiwania odrębnej zgody na przetwarzanie  danych  osobowych  – ponieważ podstawa prawna została określona w przepisach.

Obowiązek zabezpieczenia danych

Podobnie jak podczas obowiązywania ustawy o ochronie danych osobowych z 1997 roku, tak i obecnie – osoba zbierająca podpisy dla konkretnego komitetu ma obowiązek, jako osoba  upoważniona do przetwarzania danych osobowych przez administratora (administratorem jest konkretny komitet), zapewnić ich bezpieczeństwo w tym  znaczeniu, że należy podjąć działania w  celu ochrony wykazów (formularzy) na których podpisy są zbierane przed:

  1. udostępnieniem ich treści osobom nieuprawnionym (naruszenie poufności),
  2. zniszczeniem (naruszenie dostępności) oraz
  3. naruszeniem integralności

Jak zrealizować to w praktyce ? Np. poprzez zastosowanie papierowych lub kartonowych przesuwnych nakładek na  formularz, który pozwoli na zakrycie podpisów udzielonych  przez innych popierających – inaczej  mówiąc, chodzi o zapewnienie, że osoba udzielająca podpis nie widzi podpisów innych popierających – zastosowanie wspomnianej przesuwnej nakładki  jest najprostszą metodą, która pomoże w osiągnięciu  tego celu.  Słusznie jest to zabezpieczenie zalecane do stosowania przez organ nadzorczy – Prezesa  Urzędu Ochrony Danych Osobowych.

Należy jednak zwrócić uwagę na stanowisko Ministerstwa  Cyfryzacji, które – niestety – może wprowadzać w błąd. Ministerstwo wydało krótki komunikat z którego wynika, pozyskanie przez podpisującego listę poparcia danych innych osób, które np. podpisały się powyżej nie podlega pod RODO: „(…)nawet gdyby osoba składająca podpis zobaczyła dane innych osób podpisanych na liście, RODO nie ma do niego zastosowania. Rozporządzenie nie ma bowiem zastosowania do przetwarzania danych przez osobę w ramach jej działań czysto osobistych lub domowych”. Stanowisko Ministerstwa zawiera „połowiczną” prawdę – tzn. RODO nie będzie miało zastosowania do osoby fizycznej, która informacje pozyskała przy takiej okazji, ale nie zmienia to faktu, że obowiązkiem administratora, czyli komitetu  wyborczego jest zastosowanie środków, które takie naruszenie poufności umożliwią.

Ewidencjonowanie i zgłaszanie naruszeń

Komitet  wyborczy, podobnie  jak każdy inny administrator danych osobowych ma obowiązek ew2eidencjonować, klasyfikować i zgłaszać określonego rodzaju naruszenia danych osobowych – co może być naruszeniem, które będzie trzeba zgłosić do UODO ?

Np. gdy osoba przechodząca ulicą sfotografuje telefonem listę z imionami i nazwiskami osób popierających określony komitet, innym przykładem naruszenia może być np. porwanie kartki z podpisami przez wiatr.

Wszelkie naruszenia należy ewidencjonować w ramach wewnętrznej dokumentacji, a niektóre z nich (te, które przekroczą przyjęty „próg” dotkliwości) zgłaszać do organu nadzorczego, czyli PUODO, co możliwe jest wyłącznie w formie elektronicznej.

Należy o tym pamiętać, ponieważ obowiązek zgłaszania naruszeń jest właśnie nowością, którą RODO  wprowadziło od 25 maja 2018 roku.

 

Obowiązek   informacyjny

Jak wcześniej zauważono, przy zbieraniu podpisów nie trzeba pobierać zgody, ale należy spełnić obowiązek informacyjny, w sposób zgodny z art. 13 RODO – czyli między innymi poinformować o tym, kto jest  administratorem danych, na jakiej podstawie prawnej dane są zbierane, w jakim celu, jak długo będą przechowywane. W praktyce, najprostszym rozwiązaniem będzie przygotowanie klauzuli informacyjnej, która powinna widnieć np. na wspomnianej przesuwnej karcie zasłaniającej wyżej złożone podpisy. Aczkolwiek należy pamiętać, że sama forma realizacji obowiązku informacyjnego jest dowolna – najważniejsze, by wymagane przez art. 13 RODO informacje zostały przekazane.

Autor: Karol Cieniak

 

Dodaj komentarz