RODO A ZBIÓRKA PODPISÓW POD PETYCJĄ – Poradnik dla NGOs
Odpowiednio przeprowadzona zbiórka podpisów pod inicjatywą społeczną wymaga od organizacji pozarządowych spełnienia szeregu przewidzianych przez przepisy prawa warunków. Wynikają one przede wszystkim z ustawy z dnia 11 lipca 2014 r. o petycjach, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Krok I: SFORMUŁOWANIE TREŚCI PETYCJI
Cały proces zbierania podpisów musi zapoczątkować sformułowanie treści petycji, pod którą następnie podpisywać będą się jej zwolennicy. Organizacja pozarządowa posiadająca osobowość prawną jest podmiotem uprawnionym do wniesienia petycji na podstawie art. 2 ust. 1 ustawy o petycjach.
Zgodnie z art. 2 ust. 3 ustawy o petycjach, przedmiotem petycji może być żądanie, w szczególności, zmiany przepisów prawa, podjęcia rozstrzygnięcia lub innego działania w sprawie dotyczącej podmiotu wnoszącego petycję, życia zbiorowego lub wartości wymagających szczególnej ochrony w imię dobra wspólnego, mieszczących się w zakresie zadań i kompetencji adresata petycji. Należy pamiętać, że o tym, czy pismo jest petycją, decyduje treść żądania, a nie jego forma zewnętrzna (art. 3 ustawy o petycjach). Zatem stosowanie nazw: apel, inicjatywa czy list otwarty nie zmieni charakteru prawnego petycji, jeśli spełnia ona powyższe kryteria. Poza zakresem ustawy o petycjach pozostaną zatem niespełniające powyższych cech inicjatywy społeczne – te pisma, które nie zawierają danych, wskazanych w art. 4 ust. 2 pkt 1 i 2 ustawy o petycjach adresat petycji pozostawi bez rozpatrzenia, natomiast w przypadku braku spełnienia innych wymagań przewidzianych dla petycji adresat pozostawi ją bez rozpoznania po bezskutecznym wezwaniu do uzupełniania lub wyjaśnienia treści petycji.
Sformułowana zgodnie z powyższymi wytycznymi przez organizację pozarządową petycja może być złożona m.in. w interesie publicznym (art. 2 ust. 2 pkt 1 ustawy o petycjach).
Krok II: OBOWIĄZEK INFORMACYJNY
Gdy wnoszącym petycję będzie organizacja posiadająca osobowość prawną, która w powyższych okolicznościach ustala cele i sposoby przetwarzania danych osobowych (imienia, nazwiska, adresu zamieszkania i podpisu popierających petycję), zgodnie z art. 4 pkt. 7 RODO, będzie ona administratorem tych danych.
Ważne!
Zasadą jest, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”). Wynika ona z art. 5 ust. 1 lit c RODO. Zatem z pewnością w przypadku zbierania podpisów pod petycją nie będzie możliwe pozyskanie takich danych osobowych jak np. PESEL. Konieczne dane określone są bowiem w ustawie o petycjach w art. 4 ust. 2 pkt 1-2 (imię i nazwisko oraz miejsce zamieszkania).
Jako administrator danych, organizacja pozarządowa powinna m.in. spełnić obowiązek informacyjny wobec osoby, której dane dotyczą. W niniejszym przypadku konieczne będzie zatem przygotowanie klauzuli informacyjnej o przetwarzaniu danych osobowych, której treść należy przedstawić podpisującym petycję przed złożeniem podpisu.
Na podstawie art. 13 ust. 1 RODO w klauzuli informacyjnej powinny zawierać się informacje na temat:
- tożsamości i danych kontaktowych administratora;
- cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania – w tym miejscu warto wskazać, że przetwarzanie danych osobowych będzie odbywało się w celu złożenia petycji do konkretnego organu. Podstawą do przetwarzania danych osobowych będzie art. 6 ust. 1 lit. a RODO (zgoda osoby podpisującej petycję). Kolejnym celem będzie reprezentowanie osoby popierającej petycję przez Administratora w stosunku do podmiotu, do którego będzie ona składana. W tym wypadku będzie się to odbywało na podstawie art. 6 ust. 1 lit. c RODO – przetwarzanie danych będzie niezbędne do wypełnienia obowiązku prawnego (reprezentacji grupy podmiotów wnoszących petycję). Podstawą udostępnienia danych osobowych na rzecz adresata petycji, będącego podmiotem publicznym, będzie art. 6 ust. 1 lit. c RODO w zw. art. 4 ust. 2 pkt 1 i art. 4 ust. 4 ustawy o petycjach, jako że taką podstawą może być jedynie przepis prawa (P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018, s.284). Podkreślić trzeba też fakt, iż raz wskazane cele przetwarzania danych osobowych nie mogą uleć następczej zmianie, w tym rozszerzeniu;
- odbiorcy danych osobowych lub kategoriach odbiorców – informacja na temat pomiotu, któremu przekazana zostanie petycja;
- okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriów ustalania tego okresu – w omawianym przypadku ciężko ustalić dokładny okres przechowywania danych osobowych, można jednak wskazać, że dane osobowe przechowywane będą przez czas trwania zbierania podpisów i do czasu rozpatrzenia petycji przez podmiot rozpatrujący lub przez okres związany z procedowaniem wniesionej petycji;
- o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem – oznacza to, że jeśli osoba, której dane dotyczą cofnie zgodę już po wniesieniu petycji do podmiotu rozpatrującego, cofnięcie to nie będzie miało wpływu na postępowanie przez adresata petycji;
- o prawie wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych;
- czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych – w przedmiotowych okolicznościach należy stwierdzić, że podanie danych osobowych jest niezbędne do zebrania podpisów pod petycją, ale równocześnie jest dobrowolne. W tym miejscu warto również wskazać na zakres danych, koniecznych do ujawnienia, czyli imię, nazwisko i adres zamieszkania osoby podpisującej petycję.
Ważne!
Powyższe informacje należy podać składającym podpisy podczas ich zbierania, co wynika z art. 13 ust. 1 RODO.
Krok III: PRZYGOTOWANIE DOKUMENTÓW
Jeśli podpisy zbierane będą bezpośrednio przez członków organizacji pozarządowej, warto zadbać o ich upoważnienie do przetwarzania danych osobowych. Choć obowiązek ten nie wynika wprost z przepisów prawa, dla pewności, w związku z art. 29 RODO warto utrwalić na piśmie lub w formie elektronicznej, iż konkretna osoba zbierająca podpisy działa z upoważnienia administratora (organizacji pozarządowej) i przetwarza je na jego polecenie. W ten sposób zapewniona zostanie możliwość wykazania, że przestrzegane są wszystkie obowiązki nałożone rozporządzeniem.
Jakie dokumenty zatem należy przygotować przed rozpoczęciem zbierania podpisów?
Każda podpisywana przez popierających petycję karta oprócz miejsca na wpisanie swoich danych osobowych powinna zawierać:
- treść petycji;
- informację na temat tego kto zbiera podpisy pod petycją (kto jest administratorem danych);
- treść klauzuli informacyjnej RODO – zgodnie z poradnikiem sporządzonym przez Urząd Ochrony Danych Osobowych, spełnienie obowiązku informacyjnego może również polegać na wskazaniu osobie, której dane dotyczą, jedynie najistotniejszych elementów wynikających z art. 13 lub 14 RODO (np. kto jest administratorem, w jakim celu dane są przetwarzane), natomiast pełne informacje mogą być zamieszczone, np. na stronie internetowej, do której można odesłać. Podczas zbierania podpisów można zatem pełną treść klauzuli zamieścić na osobnej kartce, z którą osoby powinny zapoznać się przed złożeniem swojego podpisu. Najlepiej zatem wszystkie sporządzone dokumenty spiąć w jeden plik łącznie z formularzami na podpisy i w takim kształcie przekazywać osobom chętnym do złożenia podpisu.
Krok IV – PROCES ZBIERANIA PODPISÓW
W związku z ciążącymi na administratorach danych osobowych obowiązkami, związanymi z zapewnieniem przestrzegania zasad przetwarzania danych osobowych, o których mowa w art. 5 RODO, przede wszystkim należy zadbać o to, by w trakcie zbierania podpisów pod petycją zapewnić pozyskanym już danym bezpieczeństwo przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu wykorzystać należy odpowiednie środki techniczne lub organizacyjne.
Jak wywiązać się z powyższych obowiązków?
Z pewnością nie należy pozostawiać plików dokumentów bez nadzoru osoby, która podpisy zbiera tak, aby dane osobowe nie zostały przekazane nieuprawnionym podmiotom. Warto również w trakcie przekazywania do podpisywania tabeli zakrywać wpisane już w nią wcześniej dane osobowe (np. przy pomocy kawałka tektury). Ponadto zebrane podpisy powinny być przechowywane w miejscu, do którego nie mają dostępu osoby nieuprawnione.
ZASTRZEŻENIE – niniejszy poradnik dotyczy petycji (bez względu na ich faktyczną nazwę) w rozumieniu ustawy o petycjach i nie odnosi się do innych inicjatyw społecznych, pod którymi mogą być zbierane podpisy. Należy jednak pamiętać, że – jak wspomniano wyżej – organy administracji publicznej mogą przetwarzać dane osobowe jedynie na podstawie przepisów prawa. Jeżeli więc dana inicjatywa społeczna nie będzie mieściła się w pojęciu petycji, to ewentualnie możliwe jest jej zakwalifikowanie jako skargi lub wniosku w rozumieniu działu VIII kodeksu postępowania administracyjnego i wówczas organ będzie miał podstawę do przetwarzania danych i zajęcia się sprawą.
Autorki: radczyni prawna dr Beáta Filipcová,
apl. radcowska Emilia Kudasik-Gil
Potrzebujesz pomocy? Sprawdź naszą ofertę skierowaną do organizacji pozarządowych, oddolnych ruchów społecznych oraz osób fizycznych działających w interesie społecznym.