W związku z początkiem kampanii wyborczej na Prezydenta Rzeczypospolitej Polskiej Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę, że w czasie tej kampanii komitety wyborcze – które zgodnie z przepisami Kodeksu wyborczego tworzone wyłącznie przez wyborców – będą przetwarzać na dużą skalę dane osobowe, w tym dane szczególnych kategorii, o których mowa w art. 9 RODO, ujawniające poglądy polityczne czy światopoglądowe. Zgodnie bowiem z art. 90 § 2 ustawy z dnia 5 stycznia 2011 r. – Kodeks wyborczy, zgłoszenie kandydata na Prezydenta Rzeczypospolitej musi być poparte podpisami co najmniej 100 tys. obywateli mających prawo wybierania do Sejmu. W poprzednich tego typu kampaniach komitety wyborcze poszczególnych kandydatów w praktyce zbierały znacznie większą liczbę podpisów obywateli, sięgającą setek tysięcy, a w niektórych przypadkach przekraczającą nawet półtora miliona.
Niezależnie od zbierania głosów poparcia dla kandydatów, komitety wyborcze prowadzą na zasadzie wyłączności kampanię wyborczą na rzecz kandydatów. Na te potrzeby przetwarzają dane osobowe setek tysięcy obywateli, m.in. w związku z marketingiem politycznym czy pracą wolontariuszy.
Na podstawie art. 140 Kodeksu wyborczego komitety wyborcze są również obowiązane prowadzić rejestry kredytów oraz wpłat na kampanię wyborczą o wartości przekraczającej łącznie od jednej osoby fizycznej kwotę minimalnego wynagrodzenia za pracę. Rejestry te komitety muszą upubliczniać na swojej stronie internetowej i uaktualniać w taki sposób, aby informacje o kredytach i wpłatach ujawniane były w terminie 7 dni od dnia udzielenia kredytu lub dokonania wpłaty.
Kto ma dostęp do danych
Należy podkreślić, że komitety wyborcze mogą przekazywać przetwarzane przez siebie dane osobowe pozyskane bezpośrednio na podstawie przepisów Kodeksu wyborczego (np. dane osobowe z list poparcia) wyłącznie organom wskazanym w przepisach prawa wyborczego. Nie mogą zaś udostępniać ich innym podmiotom, np. partiom politycznym wspierającym kandydata na Prezydenta Rzeczypospolitej Polskiej czy firmom wynajętym do prowadzenia działań marketingowych.
Warto też pamiętać, że już przy zbieraniu podpisów na listach poparcia danego kandydata, robić to tak, by osoby podpisujące taką listę nie mogły się zapoznać z danymi osób, które uczyniły to wcześniej. Należy więc zasłaniać te dane np. stosując proste nakładki, czy nie chwalić się widocznymi listami w mediach społecznościowych.
Działania marketingowe w sieci – kilka praktycznych wskazówek
Organ nadzorczy zwraca też uwagę na konieczność zachowania szczególnej ostrożności w czasie prowadzenia działań związanych z agitacją wyborczą w Internecie. Wykorzystując w tym celu reklamy internetowe i media społecznościowe konieczne jest, obok stosowania zabezpieczeń, realizowanie obowiązków informacyjnych i sprawne reagowanie na żądania osób, których dane dotyczą.
W tym kontekście warto brać pod uwagę wyrok Trybunału Sprawiedliwości Unii Europejskiej z 5 czerwca 2018 r. (wyrok w sprawie C-210/16 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) przeciwko Wirtschaftsakademie Schleswig-Holstein Gmbh,), w którym wskazano, że administratorzy tzw. fanpage’y prowadzonych na Facebooku ponoszą z Facebookiem wspólną odpowiedzialność za przetwarzanie danych osób odwiedzających ich strony. Jak podkreślano w uzasadnieniu wyroku, okoliczność, iż administrator fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go z jego obowiązków w dziedzinie ochrony danych osobowych.
Prowadząc fanpage kandydata na Prezydenta Rzeczypospolitej Polskiej w mediach społecznościowych, komitety wyborcze będące administratorami powinny pamiętać, m.in. o konieczności informowania osób o przetwarzaniu ich danych osobowych.
Obowiązek dokonania oceny skutków dla ochrony danych
Komitety wyborcze muszą też pamiętać, że w związku z tym, iż przetwarzają na dużą skalę dane osobowe szczególnych kategorii, mają obowiązek przeprowadzenia oceny skutków dla ochrony danych. Zgodnie bowiem z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Jak stanowi art. 35 ust. 2 RODO, dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.
Warto mieć IOD
Dobrym i rekomendowanym przez Prezesa Urzędu Ochrony Danych Osobowych postępowaniem jest powołanie przez komitet wyborczy inspektora ochrony danych, który będzie wspierał go jako administratora w wypełnieniu jego obowiązków w zakresie ochrony danych osobowych wynikających z RODO.
Zgodnie z art. 37 ust. 1 lit. c RODO, administratorzy wyznaczają inspektora ochrony danych zawsze, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO.
Komitety wyborcze powinny więc dokonać oceny, czy spełniają przesłanki z art. 37 ust. 1 lit. c RODO. Wskazano w nich, że w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia inspektora ochrony danych, zaleca się administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia inspektora ochrony danych, celem wykazania, iż stosowne czynniki zostały uwzględnione. Ta procedura powinna zostać częścią dokumentacji, tworzonej zgodnie z zasadą rozliczalności, o której stanowi art. 5 ust. 2 RODO.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, powołanie przez komitety wyborcze inspektorów ochrony danych zmniejsza ryzyko naruszenia przepisów RODO przez te podmioty. Fachowa pomoc wyspecjalizowanego eksperta z zakresu ochrony danych pozwoli administratorowi wypracować standardy działań komitetu wyborczego pozwalające w sposób prawidłowy przetwarzać dane obywateli w kampanii wyborczej.
Inspektor ochrony danych może też m.in. wspierać administratora w podnoszeniu świadomości osób zaangażowanych w pracę komitetu wyborczego – zarówno pracowników, jak i wolontariuszy. Wiedzę na temat przepisów dotyczących ochrony danych osobowych powinny mieć wszystkie osoby zaangażowane w proces przetwarzania danych, takie jak np. zbierające podpisy pod listami poparcia dla kandydata, prowadzące działania medialne czy odpowiedzialne za aktywność komitetu wyborczego w sieci, w tym administrujące stronami internetowymi czy mediami społecznościowymi.
Pomocne wyjaśnienia i poradniki
Prezes UODO zachęca komitety wyborcze powołane na czas trwania kampanii wyborczej na Prezydenta Rzeczypospolitej Polskiej, do zapoznania się z innymi pomocnymi materiałami organu nadzoru.
Źródło: https://uodo.gov.pl/pl/138/1444