Ochrona danych osobowychw procesie wyborczym

Kandydaci w wyborach wykorzystujący dane osobowe przetwarzane w ich pracy (w szkole, lecznicy)? Listy poparcia dla kandydatów pozostawiane np. na ladach sklepowych? Wykorzystywanie danych osobowych w kampaniach wyborczych często odbywa się bez świadomości, jak ważny to proces. Dowodem tego są liczne zgłoszenia nieprawidłowości w przetwarzaniu danych osobowych. UODO przypomina, że aby do tych naruszeń nie dochodziło, konieczne jest przeprowadzenie stosownej analizy ryzyka na każdym etapie procesu wyborczego przez wszystkie podmioty, które uznawane są za administratorów danych.

Wieloetapowy proces wyborczy przewiduje istnienie wielu administratorów. Ich role i obowiązki kształtują się odmiennie w zależności od typu prowadzonej kampanii wyborczej. Kodeks wyborczy wskazuje różnice w prowadzeniu kampanii w wyborach do Sejmu, Senatu, Parlamentu Europejskiego, Prezydenta Rzeczypospolitej Polskiej oraz w wyborach do organów stanowiących jednostek samorządu terytorialnego i w wyborach wójta, burmistrza i prezydenta miasta. Zasady dotyczące przetwarzania danych osobowych pozostają jednak tożsame niezależnie od typu prowadzonej kampanii.

Wśród wskazanych w Kodeksie wyborczym podmiotów przetwarzających dane osobowe można wyróżnić administratorów, którzy odpowiadają za przetwarzanie danych w ramach przyznanych
im ustawowo kompetencji:

·  stałe organy wyborcze, tj. Państwowa Komisja Wyborcza oraz komisarze wyborczy, przy czym każdy z tych organów administruje danymi osobowymi w innym zakresie i celu określonym ściśle
w przepisach odrębnych;

·  Krajowe Biuro Wyborcze, które przetwarza dane osobowe w zakresie obsługi organizacyjno-administracyjnej oraz finansowej i technicznej organów wyborczych powołanych w związku z zarządzonymi wyborami, w tym okręgowe, rejonowe i terytorialne komisje wyborcze
oraz okręgowe komisje wyborcze;

·  wójtowie, burmistrzowie, prezydenci miast, starostowie oraz marszałkowie województw przetwarzający dane osobowe w zakresie obsługi i technicznomaterialnych warunków pracy

obwodowych i terytorialnych komisji wyborczych oraz wykonywania zadań związanych
z organizacją i przeprowadzaniem wyborów gminy, powiatów lub województwa;

•minister właściwy do spraw informatyzacji oraz minister właściwy do spraw zagranicznych, wójtowie, burmistrzowie, prezydenci miast, Państwowa Komisja Wyborcza, komisarze wyborczy oraz konsulowie w ramach przetwarzania danych osobowych znajdujących się w Centralnym Rejestrze Wyborców;

•komitety wyborcze.

Kwestię przetwarzania danych osobowych należy traktować jednak znacznie szerzej. W procesie przetwarzania bierze udział znacznie większa liczba podmiotów. Konieczne jest zatem przeprowadzenie stosownej analizy ryzyka na każdym etapie procesu wyborczego przez wszystkie podmioty, które uznawane są za administratorów, czy to na podstawie konkretnych przepisów delegujących poszczególne kompetencje tym podmiotom, czy na podstawie przepisów RODO.

Jakie problemy widzi UODO?
Departament Kontroli i Naruszeń UODO mierzy się z wieloma przypadkami naruszeń ochrony danych osobowych. Wykorzystywanie danych osobowych w kampaniach wyborczych często odbywa się
bez pełnej świadomości dotyczącej wagi ich przetwarzania. Poprzednie wybory wykazały wiele nieprawidłowości w przetwarzaniu danych osobowych przez komitety wyborcze i zaowocowały sporą liczbą zgłoszeń nieprawidłowości w przetwarzaniu danych osobowych na różnych etapach prowadzenia kampanii wyborczych.

Dane przetwarzane bez podstawy prawnej

Kandydaci, wywodzący się z różnych grup zawodowych, wykorzystywali dane przetwarzane
w ramach wykonywania przez nich czynności zawodowych. Dane te pochodziły z baz danych administratorów będących pracodawcami kandydatów. Takie procedery zauważono m.in. w placówkach oświatowych i placówkach służby zdrowia. Podmioty danych zgłaszały się do Urzędu ze skargami na wykorzystanie ich danych osobowych znajdujących się w bazach danych tych podmiotów w celu zachęcania ich do głosowania na określonych kandydatów. Zgłoszone skargi najczęściej dotyczyły pozyskiwania danych osobowych w postaci numerów telefonów i adresów e-mail.

W ostatnim czasie Prezes UODO nałożył na administratora karę pieniężną za brak przestrzegania przez niego przepisów RODO w związku z pozostawieniem list poparcia dla inicjatywy ustawodawczej bez nadzoru w kościele.

Wprawdzie przedmiotowa sprawa nie dotyczy przetwarzania danych w związku z wyborami,
ale warto w tym miejscu zwrócić na nią uwagę, gdyż decyzja odnosi się do sytuacji zbierania podpisów pod listami poparcia, tyle tylko, ze w ramach inicjatywy ustawodawczej podjętej przez obywateli. Administrator danych, mimo wielokrotnych sygnałów ze strony Prezesa UODO
oraz prowadzonej z nim korespondencji, nie zdecydował się na zgłoszenie naruszenia ochrony danych osobowych, bezskutecznie próbując wykazać, iż wprowadzone przez niego zabezpieczenia były odpowiednie do poziomu ryzyka związanego z przetwarzaniem danych osobowych
na listach poparcia.

Analiza przypadku wykazała jednak, iż gromadzenie tak dużych ilości danych osobowych odbywało się bez nadzoru osób uprawnionych do prowadzenia zbiórki, na skutek czego zostało wykonane zdjęcie list poparcia (nieuprawniony dostęp) oraz skopiowanie znajdujących się na listach poparcia danych osobowych przez co najmniej jedną osobę, która zgłosiła nieprawidłowości Prezesowi UODO. Z prowadzonej korespondencji wynikało, iż zbiórka podpisów odbywała się bez jakiejkolwiek kontroli ze strony administratora. Listy poparcia udostępnione były na stronie internetowej administratora, a udział w zbiórce podpisów mógł wziąć każdy zainteresowany wsparciem inicjatywy ustawodawczej. Pomimo posiadanej instrukcji zbierania podpisów administrator nie był w stanie wskazać, czy każdy wolontariusz zapoznał się z jej treścią. Biorąc pod uwagę zasadę rozliczalności określoną w RODO, niedopuszczalne jest działanie administratora, które jedynie pozornie wskazuje na przestrzeganie przepisów rozporządzenia. Nie może bowiem mieć miejsca sytuacja, w której administrator nie jest w stanie wskazać, ilu wolontariuszy zbiera dane osobowe, w jakich miejscach oraz czy wolontariusze znają zasady bezpiecznego zbierania podpisów. Można stwierdzić, iż takie podejście administratora może prowadzić do samowoli wśród zbierających podpisy. W takim przypadku obywatele mogą bać się, że ich dane trafią w ręce przestępców.

Na koniec należy zauważyć, iż większość sygnałów o tych incydentach nie pochodzi od administratorów, na których RODO nakłada obowiązek zgłaszania do organu nadzorczego naruszeń ochrony danych osobowych, a od sygnalistów. Tym bardziej podkreślenia wymaga, że wszystkie podmioty będące administratorami w kampanii wyborczej – na każdym jej etapie – muszą przestrzegać wszystkich obowiązujących przepisów dotyczących ochrony danych osobowych i muszą być świadome swojej odpowiedzialności z tym związanej. Zrozumienie i przestrzeganie zasad zgodnego z prawem i bezpiecznego przetwarzania danych osobowych jest nie tylko ich obowiązkiem prawnym, ale także kluczem do budowania zaufania wśród wyborców i zapewnienia skutecznej i uczciwej kampanii wyborczej.

^[1] art. 6 ust. 1 lit. a rozporządzenia 2016/679 
^[2] art. 6 ust. 1 lit. f rozporządzenia 2016/679