„Portal poparcia” wymaga uwzględnienia zasady minimalizacji przetwarzania danych osobowych
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski przedstawił uwagi do poselskiego projektu zmian w ustawach o wykonywaniu inicjatywy ustawodawczej przez obywateli oraz Kodeksu wyborczego. Opiniowana zmiana zakłada wprowadzenie usługi ułatwiającej wykonywanie przez obywateli ich uprawnień związanych z inicjatywą ustawodawczą oraz umożliwiającej wykorzystanie rozwiązań elektronicznych przez pełnomocnika „komitetu inicjatywy wyborczej”.
Projekt ustawy zakłada, że usługa udostępniana w „portalu poparcia” poszerzy możliwości działania obywateli i umożliwi wykonywanie niektórych czynności przewidzianych ustawą w drodze elektronicznej – np. w zakresie uprawnień i obowiązków pełnomocnika „komitetu inicjatywy wyborczej”. Prezes UODO docenia jednocześnie zasadność projektu w warunkach nowoczesnego i demokratycznego państwa prawnego.
Analiza projektu wykazała, że w celu realizacji usługi udostępnianej w systemie teleinformatycznym dane osobowe będą przetwarzane na szeroką skalę – w tym dane ujawniające poglądy polityczne obywateli oraz związane z ich światopoglądem. Ujawnienie takich informacji – poprzez złożenie podpisu poparcia pod określonym projektem ustawy – będzie stanowić poważną ingerencję w sferę prywatności oraz autonomii informacyjnej jednostki. Niezwykle ważne jest dlatego zapewnienie odpowiedniego poziomu bezpieczeństwa danych przetwarzanych w takiej usłudze – ich przetwarzanie niesie bowiem ze sobą ryzyko dla praw i wolności osób fizycznych. Konieczne jest zatem ustanowienie w projekcie odpowiednich gwarancji ich ochrony.
Gwarancją zapewnienia środków ochrony praw podstawowych oraz realizacji zasady ograniczenia celu mogłoby stać się ustanowienie wprost, że dane osobowe są w systemie przetwarzane w celu wykonywania inicjatywy ustawodawczej przez obywateli i nie będą przetwarzane w innych celach oraz nie będą służyć profilowaniu osób fizycznych.
Z treści projektu wynika również, że dane osobowe obywateli miałyby być przekazywane z Centralnego Rejestru Wyborców do „portalu poparcia” niezależnie od tego, czy dana osoba faktycznie zdecydowała się na skorzystanie z usługi oraz czy za jej pomocą istotnie udzieliła poparcia obywatelskiemu projektowi ustawy (czy też nie). W celu zapewnienia, że proponowany mechanizm zapewni realizację zasad rzetelności i przejrzystości oraz zasady minimalizacji przetwarzania danych osobowych – projektowane rozwiązanie powinno być dobrowolne i powinno odnosić się wyłącznie do obywateli zainteresowanych taką formą aktywności politycznej. Z przepisów musi jasno wynikać, że z CRW oraz z rejestru PESEL będą przekazywane wyłącznie dane tych obywateli, którzy zdecydują się na skorzystanie z usługi przewidywanej w projekcie.
Przekazywanie danych osobowych obywateli nie powinno pozbawiać administratora kontroli nad danymi w systemie ani wykluczać jego rozliczalności – dlatego z projektu powinien także jasno wynikać sposób oraz tryb przekazywania danych osobowych. Doprecyzowania wymaga również dostrzeżone w projekcie sformułowanie, że dane z rejestru PESEL „mogą być przekazywane”. Otóż z brzmienia projektowanych przepisów powinno jasno wynikać czy takie dane będą podlegać przekazywaniu, czy też nie – dlatego sformułowanie „może” powinno w projekcie ulec zmianie.
Organ nadzorczy wnosi o przemyślenie przewidywanej w projekcie możliwości udostępnienia danych osobowych – przetwarzanych w portalu poparcia i pozostających w związku z projektowaną w przepisach usługą. Proponowany mechanizm zakłada udostępnianie danych przez Szefa Krajowego Biura Wyborczego na żądanie sądów, prokuratury lub Policji prowadzących postępowanie karne. Proponowany przepis jest zbyt ogólny oraz przyznaje zbyt szerokie uprawnienia odnośnie do pozyskiwania danych osobowych – nie jest bowiem jasne, z jakich względów – i czy z przyczyn uzasadnionych niezbędnością przetwarzania – wskazane organy miałyby pozyskiwać dane osobowe obywateli. Tym bardziej, że byłyby to dane szczególnej kategorii – dotyczące poglądów politycznych i światopoglądu obywateli, którzy za pośrednictwem usługi poparliby konkretny projekt ustawy. Jak zostało już podkreślone, ujawnienie danych kategorii szczególnej (art. 9 ust. 1 RODO) stanowiłoby poważną ingerencję w prawa i wolności jednostki. Projektodawca powinien dlatego ponownie rozważyć zasadność takiego rozwiązania lub uzupełnić go zapewnieniem odpowiednich gwarancji ochrony wolności i praw osób, których dane dotyczą.
Gwarancje mogłyby polegać na ustaleniu precyzyjnego katalogu przestępstw, na których potrzeby organy pozyskiwałyby dane osobowe. Dodatkowym rozwiązaniem byłoby również wskazanie zakresu danych osobowych podlegających udostępnieniu – oczywiście adekwatnego - i przekazywanych wyłącznie, gdy jest to uzasadnione niezbędnością przetwarzania.
Skonkretyzowany powinien zostać również sam sposób przekazania danych osobowych. Sama kwestia udostępniania danych osobowych przez organy publiczne była już przedmiotem orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. Odrębne organy administracji publicznej należy traktować jako odrębnych administratorów – co odnosi się do organu, będącego odbiorcą danych osobowych przekazanych w ramach administracji publicznej.
Właściwe gwarancje ochrony praw i wolności należy ustanowić również na etapie udostępniania danych osobowych organom ścigania na ich żądanie przez Szefa Krajowego Biura Wyborczego.
Jak zostało podkreślone na wstępie – Prezes Urzędu Ochrony Danych Osobowych nie kwestionuje zasadności projektu poselskiego. Zastrzeżenia organu nadzorczego do projektu zmian mają charakter eksperckich wskazówek dla projektodawcy.
DPNT.401.145.2026