Kampania prezydencka a ochrona danych osobowych przez komitety wyborcze

27-02-2020, 18:58

W czasie kampanii wyborczej na Prezydenta RP komitety wyborcze, działając na obszarze całego kraju, będą przetwarzać na dużą skalę dane osobowe, w tym dane szczególnej kategorii, o których mowa w art. 9 RODO, ujawniające poglądy polityczne czy światopoglądowe. Stwarza to wiele pól do naruszeń.

W związku z początkiem kampanii wyborczej na Prezydenta Rzeczypospolitej Polskiej Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę, że w czasie tej kampanii komitety wyborcze – które zgodnie z przepisami Kodeksu wyborczego tworzone wyłącznie przez wyborców - będą przetwarzać na dużą skalę dane osobowe, w tym dane szczególnych kategorii, o których mowa w art. 9 RODO, ujawniające poglądy polityczne czy światopoglądowe. Zgodnie bowiem z art. 90 § 2 ustawy z dnia 5 stycznia 2011 r. – Kodeks wyborczy, zgłoszenie kandydata na Prezydenta Rzeczypospolitej musi być poparte podpisami co najmniej 100 tys. obywateli mających prawo wybierania do Sejmu. W poprzednich tego typu kampaniach komitety wyborcze poszczególnych kandydatów w praktyce zbierały znacznie większą liczbę podpisów obywateli, sięgającą setek tysięcy, a w niektórych przypadkach przekraczającą nawet półtora miliona.

Niezależnie od zbierania głosów poparcia dla kandydatów, komitety wyborcze prowadzą na zasadzie wyłączności kampanię wyborczą na rzecz kandydatów. Na te potrzeby przetwarzają dane osobowe setek tysięcy obywateli, m.in. w związku z marketingiem politycznym czy pracą wolontariuszy.

Na podstawie art. 140 Kodeksu wyborczego komitety wyborcze są również obowiązane prowadzić rejestry kredytów oraz wpłat na kampanię wyborczą o wartości przekraczającej łącznie od jednej osoby fizycznej kwotę minimalnego wynagrodzenia za pracę. Rejestry te komitety muszą upubliczniać na swojej stronie internetowej i uaktualniać w taki sposób, aby informacje o kredytach i wpłatach ujawniane były w terminie 7 dni od dnia udzielenia kredytu lub dokonania wpłaty.

Kto ma dostęp do danych

Należy podkreślić, że komitety wyborcze mogą przekazywać przetwarzane przez siebie dane osobowe pozyskane bezpośrednio na podstawie przepisów Kodeksu wyborczego (np. dane osobowe z list poparcia) wyłącznie organom wskazanym w przepisach prawa wyborczego. Nie mogą zaś udostępniać ich innym podmiotom, np. partiom politycznym wspierającym kandydata na Prezydenta Rzeczypospolitej Polskiej czy firmom wynajętym do prowadzenia działań marketingowych.

Warto też pamiętać, że już przy zbieraniu podpisów na listach poparcia danego kandydata, robić to tak, by osoby podpisujące taką listę nie mogły się zapoznać z danymi osób, które uczyniły to wcześniej. Należy więc zasłaniać te dane np. stosując proste nakładki, czy nie chwalić się widocznymi listami w mediach społecznościowych.

Działania marketingowe w sieci – kilka praktycznych wskazówek

Organ nadzorczy zwraca też uwagę na konieczność zachowania szczególnej ostrożności w czasie prowadzenia działań związanych z agitacją wyborczą w Internecie. Wykorzystując w tym celu reklamy internetowe i media społecznościowe konieczne jest, obok stosowania zabezpieczeń, realizowanie obowiązków informacyjnych i sprawne reagowanie na żądania osób, których dane dotyczą.

W tym kontekście warto brać pod uwagę wyrok Trybunału Sprawiedliwości Unii Europejskiej z 5 czerwca 2018 r. (wyrok w sprawie C-210/16 - Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) przeciwko Wirtschaftsakademie Schleswig-Holstein Gmbh,), w którym wskazano, że administratorzy tzw. fanpage’y prowadzonych na Facebooku ponoszą z Facebookiem wspólną odpowiedzialność za przetwarzanie danych osób odwiedzających ich strony. Jak podkreślano w uzasadnieniu wyroku, okoliczność, iż administrator fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go z jego obowiązków w dziedzinie ochrony danych osobowych.

Prowadząc fanpage kandydata na Prezydenta Rzeczypospolitej Polskiej w mediach społecznościowych, komitety wyborcze będące administratorami powinny pamiętać, m.in. o konieczności informowania osób o przetwarzaniu ich danych osobowych.

Obowiązek dokonania oceny skutków dla ochrony danych

Komitety wyborcze muszą też pamiętać, że w związku z tym, iż przetwarzają na dużą skalę dane osobowe szczególnych kategorii, mają obowiązek przeprowadzenia oceny skutków dla ochrony danych. Zgodnie bowiem z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

W tym kontekście należy przypomnieć, że w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, wśród rodzajów operacji przetwarzania, dla których wymagane jest przeprowadzenie takiej oceny wskazano operacje dokonywane przez komitety wyborcze.

Jak stanowi art. 35 ust. 2 RODO, dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

Warto mieć IOD

Dobrym i rekomendowanym przez Prezesa Urzędu Ochrony Danych Osobowych postępowaniem jest powołanie przez komitet wyborczy inspektora ochrony danych, który będzie wspierał go jako administratora w wypełnieniu jego obowiązków w zakresie ochrony danych osobowych wynikających z RODO.

Zgodnie z art. 37 ust. 1 lit. c RODO, administratorzy wyznaczają inspektora ochrony danych zawsze, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO.

Komitety wyborcze powinny więc dokonać oceny, czy spełniają  przesłanki z art. 37 ust. 1 lit. c RODO. Pomocne w dokonaniu takiej oceny są Wytyczne Grupy Roboczej Art. 29 ds. ochrony danych przyjęte w dniu 13 grudnia 2016 r., ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r. (znak: WP 243 rew.01) dotyczące inspektorów ochrony danych. Wskazano w nich, że w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia inspektora ochrony danych, zaleca się administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia inspektora ochrony danych, celem wykazania, iż stosowne czynniki zostały uwzględnione. Ta procedura powinna zostać częścią dokumentacji, tworzonej zgodnie z zasadą rozliczalności, o której stanowi art. 5 ust. 2 RODO.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, powołanie przez komitety wyborcze inspektorów ochrony danych zmniejsza ryzyko naruszenia przepisów RODO przez te podmioty. Fachowa pomoc wyspecjalizowanego eksperta z zakresu ochrony danych pozwoli administratorowi wypracować standardy działań komitetu wyborczego pozwalające w sposób prawidłowy przetwarzać dane obywateli w kampanii wyborczej.

Inspektor ochrony danych może też m.in. wspierać administratora w podnoszeniu świadomości osób zaangażowanych w pracę komitetu wyborczego – zarówno pracowników, jak i wolontariuszy. Wiedzę na temat przepisów dotyczących ochrony danych osobowych powinny mieć wszystkie osoby zaangażowane w proces przetwarzania danych, takie jak np. zbierające podpisy pod listami poparcia dla kandydata, prowadzące działania medialne czy odpowiedzialne za aktywność komitetu wyborczego w sieci, w tym administrujące stronami internetowymi czy mediami społecznościowymi.


Źródło: UODO
Tematy pokrewne:  

tag wyborytag UODOtag poradytag ochrona danych osobowych
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
27282930