Zbliżają się wybory do samorządu, a także kolejne wybory w następnych latach, o to czy występują jakieś związki pomiędzy RODO a przypisami Kodeksu wyborczego i zadaniami gminy Dziennik Warto Wiedzieć zapytał Jarosława Felińskiego, prezesa Stowarzyszenia Inspektorów Ochrony Danych Osobowych.
Jarosław Feliński: Każda gmina w zakresie ustawowych obowiązków zobligowana jest w procesie przygotowania i realizacji wyborów do postępowania zgodnego z przepisami prawa wyborczego oraz przepisami RODO. Tym samym, oczywistym jest fakt włączenia w działania gminy na tym polu – inspektora ochrony danych osobowych (IODO) gminy.
Zadaniem administratora – tu wójta / burmistrza/ prezydenta – jest stosownie do brzmienia art. 38 ust. 1 RODO korzystać z kompetencji IODO - administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Wybory w ścisły sposób są powiązane z koniecznością przetwarzania danych osobowych zarówno na etapie przygotowania zespołów wyborczych na poziomie gminy (art.156 kodeksu wyborczego), jak również współdziałanie z urzędnikiem wyborczym w gminie i członkami obwodowych komisji wyborczych.
Przepisy prawa wyborczego precyzują zadania organizacyjno - technicznego wykonania prac, lecz nie wskazują zasad postępowania z danymi osobowymi. Pozostaje zatem umiejętne korzystanie z przepisów rozporządzenie ogólnego (RODO).
Dziennik Warto Wiedzieć: Czy inspektorzy ochrony danych osobowych, w zakresie wyborów i nowych regulacji, dostrzegają jakieś zagrożenia ?
Jarosław Feliński: Istotnie w okresie wprowadzania nowych regulacji ogólnego rozporządzenia, pojawiały się opinie i publikacje prasowe o braku jednoznacznych i szczególnych przepisów prawa ochrony danych w czasie wyborów, stąd jeśli przepisy wyborcze nie wskazują innych reguł, należy przepisy RODO stosować na ogólnych zasadach.
Oznacza to, iż inspektor ochrony danych osobowych będący zobowiązanym do informowania i doradzania administratorowi w sprawach ochrony danych powinien:
- Poinformować wójta / burmistrza / prezydenta o zależnościach występujących w RODO i kodeksie wyborczym, w odniesieniu do osób zaangażowanych w przygotowanie wyborów.
- Wykazać sposób legalnego dostępu do przetwarzania danych ze spisu wyborców przez członków zespołu wyznaczonego w urzędzie.
- Analogiczne zasady wyrażone w pkt 2 dotyczą szczególnej grupy osób – urzędnik wyborczy, członkowie okręgowych komisji wyborczych – którzy są osobami spoza urzędu i funkcjonują okazjonalnie przez czas wyborów, z dostępem do spisu.
- Wskazać zakres dostępu do treści spisów, dane zwykłe a potencjalnie także szczególnej kategorii, na zasadach rozliczalności – kto i kiedy może dysponować spisem – protokół pobrania / zdania spisu.
- Określić zasady przygotowania /przeszkolenia członków okręgowych komisji wyborczych z postępowania z danymi w zgodności z RODO i w porozumieniu z urzędnikiem wyborczym.
- Omówić znajomość problematyki RODO z urzędnikiem w sytuacjach głosowania korespondencyjnego.
Niespełnienie tych zadań, jako przykładowych zakresów odpowiedzialności, może potencjalnie narazić administratora na zarzut dopuszczenia osób nieuprawnionych do danych osobowych. Odpowiedzialność za niespełnienie warunków przewidziano w nowej ustawie o ochronie danych osobowych – art. 107, łącznie traktowane jako naruszenie art. 4 pkt 12 RODO. Oznaczać to może istotne zagrożenie wykonania zadania w zgodności z prawem.
Dziennik Warto Wiedzieć: Czyli pracy sporo a czasu mało, gdyż wybory niebawem, jakie zalecenia z Pana strony można skierować do IODO urzędów.
Jarosław Feliński: W przepisach ogólnego rozporządzenia wskazano, że inspektor powinien w oparciu o kwalifikacje zawodowe, a w szczególności wiedzę fachową RODO i kodeksu wyborczego zorganizować pracę wszystkich zaangażowanych stron.
Jeśli IODO był wyznaczony w oparciu o kompetencje i znajomość przepisów określonych dla JST, to połączenie RODO i kodeksu wyborczego nie powinno zabrać zbyt wiele czasu i działań.
Trudniejszą jest sytuacja IODO, który nie w pełnym zakresie zna wspomniane przepisy samorządowe, wyborcze, administracyjne, itd.
Z uwagi na spis wyborców stanowiący własność administratora / gminy, każda osoba - urzędnik wyborczy i członkowie okręgowych komisji wyborczych muszą wykazać się legalnością dostępu do tych danych, a administrator ich rozliczalnością. Co naturalne, udokumentowaną przez IODO.
W RODO wskazuje się często na konieczność zachowania poufności i tajemnicy prawem chronionej w stosunku do przetwarzanych danych. Jest to istotne zarówno w obciążeniu odpowiedzialnością, w tym karną, członków okręgowych komisji wyborczych, jak również mężów zaufania i obserwatorów społecznych.
Dziennik Warto Wiedzieć: A jaka jest rola mężów zaufania i obserwatorów społecznych w wyborach?
Jarosław Feliński: Z mocy przepisów prawa wyborczego wszystkie te osoby, posiadają prawo obserwowania czynności i zgodności przeprowadzania wyborów w lokalach wyborczych. Szczegółowe uprawnienia określono w kodeksie wyborczym. W związku z możliwością dokonywania rejestrowania przez mężów zaufania przebiegu wyborów (własnymi urządzeniami, na co wskazuje art. 42 § 5 kodeksu wyborczego), istotnym jest zwrócenie uwagi na postępowanie z nośnikami, jakimi są urządzenia rejestrujące oraz treść nagrań, aby nie doprowadzić do przypadkowego ujawnienia lub utraty danych.
Zdarzenie to wiązałoby się z niedopełnieniem obowiązku dochowania tajemnicy lub ujawnienia danych przez osoby za te dane odpowiedzialne. Kodeks wyborczy nie określa parametrów urządzeń i zakresu zabezpieczenia zapisów, a także odpowiedzialności za naruszenie tych zabezpieczeń.
W związku z powyższym należy stosować przepisy o dochowaniu tajemnicy wprost z ustawy kodeks karny. Możemy zatem mówić o potencjalnym ryzyku niewłaściwego postępowania i koniecznym przypomnieniu o konsekwencjach ujawnienia danych, osobom uczestniczącym w procesie wyborczym.
Podnoszona często analiza ryzyka i ocena skutków dla przetwarzania danych, powinna zyskać nowy wymiar i nowe znaczenie – to WYOBRAŹNIA IODO. Może warto zastanowić się nad jakością poznawania przepisów prawa ochrony danych osobowych i przepisów szczególnych, a nieco mniej wagi przywiązywać do statystycznych tabel, wyliczeń, które nie zawsze oddają pełny obraz kontekstu przetwarzania danych. Duża doza rozwagi w zakresie potencjalnych naruszeń i niezgodności w czasie wyborów, rzeczywiście może uchronić od kłopotliwych sytuacji i roszczeń.
Dziennik Warto Wiedzieć: Czego życzy Pan administratorom i inspektorom ochrony danych osobowych podczas wyborów?
Jarosław Feliński: Administratorom należy życzyć czujności i kompleksowej informacji oraz porad ze strony własnych inspektorów ochrony danych osobowych w dniach poprzedzających wybory. Inspektorom ochrony danych osobowych wypada podkreślać ich rolę, odpowiedzialność i pozycję w strukturze urzędu. Nie bez znaczenia będzie także potrzeba zaangażowania innych odpowiedzialnych uczestników wyborów.
Wszystkim zaangażowanym na poziomie gminy osobom, wypada życzyć udanych, zgodnych z prawem aktów elekcji. Wolnych od sprzeciwów i reklamacji.
Jarosław Feliński - praktyk, wykładowca wyższych uczelni (z problematyki zarządzania bezpieczeństwem informacji i danych osobowych: Uniwersytetu Jagiellońskiego w Krakowie i AGH Kraków; DSW Wrocław; WSAP Szczecin; Wyższej Szkoły Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk WIT Warszawa, Twórca i prekursor autorskiego programu podyplomowych studiów zarządzania bezpieczeństwem informacji dla ABI 2013 i IODO 2017– opiekun studiów podyplomowych w latach 2013 – 2018/2019. Audytor Wiodący PN, ISO/IEC 27001 [IRCA]. Wieloletni współpracownik jednostek resortu sprawiedliwości i samorządów.
Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych.
Komentarze