Ochrona danych osobowych wyzwaniem dla komitetów wyborczych. Jest specjalny poradnik

Jak informowaliśmy premier Mateusz Morawiecki ogłosił datę tegorocznych wyborów samorządowych. Odbędą się one 21 października 2018 roku, a dwa tygodnie później - 4 listopada - zaplanowano drugą turę.

Od kilku miesięcy pojawiały się pytania, czy w przeprowadzeniu kampanii wyborczych oraz samych wyborów samorządowych nie przeszkodzą wprowadzone w maju unijne przepisy o ochronie danych osobowych (RODO). By rozwiać te wątpliwości, Urząd Ochrony Danych Osobowych (UODO) przygotował poradnik (zamieszczamy go w dziale Multimedia), w którym wyjaśnia prawa w zakresie ochrony danych osobowych. To informacja przydatna zarówno do autorów kampanii wyborczych, którzy dowiedzą się, w jaki sposób to robić z poszanowaniem danych osobowych, jak i obywateli, których interesuje temat przetwarzania danych osobowych w kontekście nadchodzących wyborów samorządowych.

Ważna funkcja administratora danych osobowych

Monika Krasińska, dyrektor Zespołu ds. Sektora Publicznego w Urzędzie Ochrony Danych Osobowych, wskazała w trakcie prezentacji poradnika, że podczas kampanii wyborczej mamy do czynienia z przetwarzaniem nie tylko zwykłych danych osobowych, ale także szczególnych kategorii danych, na przykład dotyczących niekaralności kandydatów czy stopnia niepełnosprawności wyborców. Taki wyborca ma bowiem prawo oczekiwać, że będzie mógł zagłosować w trybie korespondencyjnym lub przez swojego pełnomocnika.

- Te wszystkie kwestie zatem, na podstawie przepisów szczególnych, wymagają często podawania danych wrażliwych, a ochrona tych danych leży w interesie odpowiedzialnych za procesy przetwarzania danych osobowych - wyjaśniała Monika Krasińska. - Procesy te mają różną postać, zarówno bowiem pozyskiwanie danych na etapie gromadzenia określonych dokumentów, jak też pozyskiwanie danych w ramach agitacji wyborczej oraz dalsze ich udostępnianie, przechowywanie, przesyłanie, itp. będzie związane z procesem przetwarzania danych osobowych. Za ten proces odpowiada administrator danych osobowych – dodała.

Monika Krasińska podkreśla, że „fundamentalne znaczenie dla przestrzegania przepisów RODO ma ustalenie statusu administratora danych osobowych, który to administrator może być ukształtowany, jego status może być w bardzo różny sposób w zależności chociażby od rodzaju przeprowadzonych czynności i chociażby w związku z typem określonej przeprowadzonej kampanii wyborczej”.

Kim mogą być administratorzy danych osobowych? Przedstawicielka UODO wyjaśnia, że mogą to być podmioty, które realizują kampanie wyborcze w wyborach do Sejmu, Senatu, organów stanowiących jednostek samorządu terytorialnego, a także komitety wyborcze.

- Głównie przepisy prawa określają, w jaki sposób mogą być dane osobowe przetwarzane przez administratorów, zarówno na etapie pozyskiwania tych danych, udostępniania tych danych, przekazywania innym podmiotom, weryfikacji, nadzoru, jak również archiwizacji dokumentów wyborczych - wyjaśniała dyrektor w UODO.

W przypadku komitetów wyborczych są określone przepisy, które wskazują na zakres dopuszczalnych działań z użyciem danych osobowych, ale także wiele elementów związanych z przetwarzaniem danych przez komitety wyborcze wynika tak naprawdę wprost z przepisów samego RODO. W tym przypadku bardzo ważne jest, aby komitety wyborcze mogły zapewnić najwyższe standardy ochrony danych osobowych.

Przede wszystkim - wskazywała Monika Krasińska - administratorzy muszą wziąć na siebie pełną odpowiedzialność za legalność gromadzonych danych osobowych, za zapewnienie odpowiednich warunków prawnych do ich przetwarzania.

- Podstawy przetwarzania danych zarówno zwykłych, jak i szczególnych kategorii danych, muszą wyraźnie być też wyartykułowane osobom, od których są bezpośrednio pozyskiwane. Administratorzy bardzo często będą pozyskiwać dane osobowe na podstawie obowiązujących przepisów prawa - to chociażby gminy, które prowadzą rejestry wyborców czy też spisy wyborców, jak również komisje wyborcze, które realizują określone zadania. Także Państwowa Komisja Wyborcza, jako organ wyborczy czy komisarz wyborczy, mają tutaj swoje kompetencje i gromadzą dane osobowe, weryfikują określone okoliczności związane z tymi procesami na podstawie obowiązujących przepisów prawa - analizuje dyrektor Krasińska.

Zgoda i obowiązek informacyjny

Jeżeli chodzi o komitety wyborcze, to w tym przypadku podstawy przetwarzania danych osobowych, o ile nie wynikają wprost z przepisów Kodeksu wyborczego, powinny wynikać z rozporządzenia RODO.

- Przede wszystkim należy zwrócić uwagę na przesłankę zgody, która musi spełnić określone warunki wynikające wprost z samego rozporządzenia. Chociażby wolontariusze, którzy uczestniczą w pracach komitetów, biorą udział często na zasadach dobrowolności i przekazują swoje dane osobowe wyłącznie z własnej inicjatywy, a więc za zgodą - podkreślała Monika Krasińska. - Mamy także w przypadku komitetów wyborczych do wykazania taką przesłankę, która jest prawnie uzasadnionym interesem administratora danych - dodała.

Kiedy mamy do czynienia z przesłanką zgody? Wtedy gdy komitety wyborcze prowadzą szeroko rozumianą agitację wyborczą. Mogą one dla realizacji swoich celów, dla przeprowadzenia określonego marketingu wyborczego, przetwarzać dane w oparciu o tę przesłankę, gdy pozyskują je z książek telefonicznych, publicznych baz danych, rejestrów powszechnie dostępnych, takich jak Centralna Ewidencja Działalności Gospodarczej czy KRS. Mogą także dane pozyskiwać z baz marketingowych, oczywiście na warunkach, które są zgodne z przepisami RODO.

- Niezwykle istotny jest przy tym obowiązek informacyjny. Osoba ma prawo pozyskać pełną informację, z jakich źródeł, jeżeli nie od niej samej, dane osobowe zostały pozyskane, w jakim celu będą przetwarzane i jak długo będą przechowywane. Tutaj realizacja obowiązku informacyjnego gwarantuje poszanowanie zasady przejrzystości i rzetelności przetwarzania danych towarzyszącej zasadzie legalizmu - zaznaczała dyrektor w UODO.

Dyrektor, podejmując także kolejny istotny dla administratorów temat retencji danych, powiedziała, że to, co też jest ważne, to kwestia retencji danych, a więc przechowywania danych. To jest trudne zagadnienie, zwłaszcza dla komitetów wyborczych, albowiem nie stanowią w tym zakresie przepisy obowiązującego prawa dokładnie o okresach przechowywania danych osobowych.

Tym tematem zresztą prezes Urzędu Ochrony Danych Osobowych aktualnie zajmuje się. - Wystąpiliśmy bowiem o przekazanie nam rozporządzenia wykonawczego kształtującego zasady przekazywania, przechowywania i udostępniania dokumentów z wyborów, albowiem projekt tego rozporządzenia nie wpłynął jeszcze do nas do zaopiniowania, a wiemy, że toczą się konsultacje w tym zakresie - zaznaczyła.

Jeżeli przepisy nie stanowią, jak długo można przechowywać dokumenty z wyboru i inne dane, w grę wchodzą przepisy Rozporządzenia (RODO), nie dłużej niż jest to potrzebne dla realizacji celu przetwarzania.

- A zatem te cele w przypadku komitetów wyborczych mogą być wyznaczone przez sam byt komitetu, który przecież w końcu ulega rozwiązaniu, czy to z mocy prawa, czy w związku z innymi prawnymi okolicznościami, o których mowa w Kodeksie wyborczym - wyjaśniła. - Również byt danych przetwarzanych przez komitet wyborczy jest kształtowany obowiązującymi przesłankami. Jeżeli bowiem udostępniłem swoje dane za zgodą, to mam prawo żądać usunięcia tych danych z momentem wycofania zgody czy zgłoszenia sprzeciwu, jeżeli tej zgody nie wyrażałem, a zostały pozyskane ze źródeł powszechnie dostępnych - kontynuowała.

Prawo do bycia zapomnianym

Dyrektor Zespołu ds. Sektora Publicznego omawiając zasadę prawa do bycia zapomnianym, wskazała, że bardzo ważne jest, abyśmy także pamiętali prowadząc kampanię wyborczą o tym, iż ona nie tylko prowadzona jest za pomocą tradycyjnych sposobów przetwarzania danych osobowych. - Komitety wyborcze przetwarzają dane osobowe, publikując chociażby w Internecie rejestry osób, które dokonały wpłat na ich rzecz. A zatem takie dane osobowe po zakończeniu funkcjonowania komitetu także powinny być usunięte ze stron internetowych, co będzie także odzwierciedleniem zasady prawa do bycia zapomnianym, wynikającej z rozporządzenia o ochronie danych osobowych – dodała.

Także prowadzenie dokumentacji przetwarzania danych osobowych i prowadzenie szerokich form zabezpieczeń tych danych będzie gwarantowało zapewnienie tego optymalnego procesu przetwarzania danych osobowych. O tym też muszą pamiętać administratorzy danych osobowych, prowadzący dokumentację przetwarzania, w postaci polityk ochrony danych, prowadzący rejestry czynności przetwarzania czy też wyznaczający swojego inspektora ochrony danych osobowych, niewątpliwie wybitnego specjalistę, który będzie doradzał, jak podwyższać.

Kontrole i jeszcze raz kontrole

Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych, omówiła kwestię kontroli ochrony danych osobowych po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znanego jako RODO lub ogólne rozporządzenie o ochronie danych osobowych.

- Kontrole to jest temat, który żywo interesuje wszystkich. Jeżeli chodzi o kontrole, to pamiętajmy o tym, że Urząd Ochrony Danych Osobowych tak jak dotąd prowadzi kontrole zarówno doraźne, jak i kontrole sektorowe, kontrole planowane. Pierwsze kontrole, które po rozpoczęciu obowiązywania ogólnego rozporządzenia o ochronie danych osobowych, już się odbyły, dotyczyły na przykład kwestii przetwarzania danych we wspólnocie mieszkaniowej. Odbywały się w związku z doniesieniami prasowymi dotyczącymi na przykład odnalezienia akt sądowych, akt archiwalnych w pustostanie i były przeprowadzane w Komendzie Głównej Policji – wskazała Edyta Bielak-Jomaa.

Poza tym UODO prowadzi bardzo istotną kontrolę sektorową, która dotyczy zabezpieczenia rejestrów publicznych. Na tę kontrolę składa się szereg kontroli przeprowadzanych w różnych podmiotach prowadzących rejestry publiczne.

- Rozpoczęliśmy od sprawdzenia tego, jak jest prowadzony, zasilany i zabezpieczany rejestr mieszkańców. Jest on obok rejestru PESEL elementem ewidencji ludności. Kontrole w obszarze zabezpieczania rejestrów publicznych będą kontynuowane. Ich zakresem zostanie objęty system ePUAP - wyjaśniła.

Zobacz także: Andrzej Halicki o konwencji PiS: "Kaczyński jak Gierek"

Widzisz coś ciekawego? Masz zdjęcie, filmik? Prześlij nam przez Facebooka na wawalove@grupawp.pl lub dziejesie.wp.pldziejesie.wp.pl