Listy poparcia a dane osobowe
Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).
Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.
Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.
Każda lista poparcia musi zawierać informację o tym, kto i w jakim celu zbiera dane oraz komu będzie je udostępniał. Jest to stwierdzenie poparte w art. 24 ustawy o ochronie danych osobowych, tzw. obowiązku informacyjnym wobec osoby, od której zbierane są dane. Dodatkowo ustawa przewiduje konieczność poinformowania o prawie dostępu lub edycji danych oraz obowiązku lub dobrowolności podania danych.
Przez kto rozumiem administratora danych, czyli tego podmiotu lub organizacji, na której zlecenie jej pracownicy lub wolontariusze zbierają dane. Będą to w szczególności partie polityczne (agitacja wyborcza), stowarzyszenia, organizacje pozarządowe, ale także kościoły. Administratorzy mają obowiązek wynikający z art. 37 ustawy odo wystawić osobom zbierającym dane upoważnienia do przetwarzania tych danych.
Warto podkreślić, że o ile nagłówek (czyli kogo lub co się popiera), koniecznie musi być na karcie, to sam obowiązek informacyjny można wypełnić także poprzez przekazanie do przeczytania dodatkowej kartki. Można także umieścić w stopce. Ja zalecałabym zastosowanie odpowiedniego nagłówka, zawierającego niezbędne informacje. Przykładem mogą być na przykład wzory zgłoszeń kandydatów przygotowywane przez Państwową Komisję Wyborczą. Obowiązku informacyjnego nie trzeba wypełniać jedynie wtedy, gdy osoba, która przekazuje dane jest już poinformowana o tym kto, w jakmi celu zbiera jej dane i jakie przysługują jej prawa. Jednakże jest to o tyle problematyczne, że obowiązek udowodnienia, że tak było spoczywa na administratorze danych. Jeżeli nie ma on dowodu, że przekazał te informacja, a osoba, która złożyła podpis, będzie twierdzić, że nie miała tej wiedzy, liczy się jej zdanie, a nie argumenty ADO (jeżeli zrezygnował z wypełnienia obowiązku informacyjnego powołując się na art. 25 ust. 2 ustawy odo).
Na koniec wisienka na torcie, czyli pytanie, czy takie zbieranie danych jest legalne? W przypadku zbierania danych w celu innym niż określony w przepisach prawa (czyli tak naprawdę niezwiązanym z poparciem kandydata lub projektu/zmiany w przepisach) wymagana jest zgoda. Zgodę będą musiały uzyskać wszystkie organizacje, kościoły i stowarzyszenia zbierające listy w związku z realizacją celów statutowych i/lub związanych z ich bieżącą działalnością.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!