Jak zbierać podpisy pod inicjatywą ustawodawczą. Kara dla Komitetu Inicjatywy "Stop LGBT"
Prezes UODO nałożył 10 913 zł kary na Komitet Inicjatywy Ustawodawczej „Stop LGBT” za to, w jaki sposób prowadził zbiórkę podpisów. Listy z podpisami pod projektem zakazującym zgromadzeń w sprawie praw osób LGBT leżały bowiem niezabezpieczone w kościele.
Kierowanie do Sejmu obywatelskich projektów ustaw staje się coraz bardziej powszechną praktyką. Do poparcia danej inicjatywy trzeba zebrać – oprócz podpisów – takie dane jak: imię, nazwisko, nr PESEL oraz adres. Dodatkowo każda strona listy poparcia musi zawierać nazwę komitetu i samej inicjatywy. Jest to więc zestaw danych dotyczących obywateli, które mogą ujawniać także ich poglądy polityczne lub przekonania światopoglądowe. Administratorem tych danych jest komitet inicjatywy ustawodawczej i na niego spadają obowiązki wynikające z RODO.
Jak wynika z informacji, która wpłynęła do UODO, Komitet Inicjatywy Ustawodawczej „Stop LGBT”, który zbierał podpisy, robił to tak, że listy poparcia nie były chronione. Jak wskazano, w jednym z kościołów listy leżały „sobie spokojnie na ołtarzach bocznych, a w tygodniu na stoliku z prasą katolicką pod chórem. (…) Każdy może je sfotografować, a nawet bez najmniejszego problemu wynieść z kościoła. A tam są dane wrażliwe, bo przecież ujawniają także konkretny światopogląd i wyznanie. Dane wrażliwe osób wystawione są na niczym nieograniczoną dostępność (…)”.
Administrator potwierdził, że opisana sytuacja miała miejsce, ale w jego ocenie do naruszenia przepisów RODO nie doszło. Postępowanie przeprowadzone przez Prezesa UODO wykazało jednak naruszenie wielu przepisów RODO, w tym tych, które odnoszą się do kwestii bezpieczeństwa danych osobowych.
Ocena ryzyka
Co prawda administrator przeprowadził analizę ryzyka, ale uczynił to w sposób nieprawidłowy, nie identyfikując wszystkich możliwych zagrożeń, a zidentyfikowane ryzyka ocenił jako „nieistotne”.
Efektem był w szczególności brak nadzoru nad listami poparcia ze strony osób zbierających podpisy, co pozwalało osobom postronnym na swobodny dostęp do tych list i znajdujących się na nich danych osobowych.
Administrator analizował tylko ryzyko utraty lub zniszczenia list. A więc badał sprawę ze swojego punktu widzenia. Nie wziął pod uwagę praw osób, których dane dotyczą, a także faktu, że dane były dostępne dla innych podpisujących się pod inicjatywą, a także dla osób postronnych w lokalnej wspólnocie.
Jak poprawnie zbierać podpisy
W decyzji PUODO wskazuje, jak w takiej sytuacji należy postąpić właściwie. RODO nie zawiera listy zaleceń technicznych dla takich przypadków. Mówi jednak, co brać pod uwagę, by poprawnie chronić powierzone dane, szczególnie te wrażliwe.
Osoby zbierające podpisy muszą dbać o odpowiednie zabezpieczenie danych. Konieczny jest stały nadzór nad zebranymi już danymi i chronienie ich przed kolejnymi osobami składającymi podpisy przez zakrywanie tej części listy, która jest już wypełniona danymi osobowymi. Niedopuszczalne jest pozostawienia takich list bez nadzoru.
Ktoś, kto się trzyma tych wytycznych RODO, faktycznie minimalizuje ryzyko problemów.
Do czego prowadzi zła analiza ryzyka?
W przypadku Komitetu Inicjatywy Ustawodawczej „Stop LGBT” analiza ryzyka była, ale nie miała daty. Wyróżniła też tylko trzy sytuacje, których wystąpienie może powodować ryzyko naruszenia praw lub wolności osób fizycznych:
- nieuprawniony dostęp do pomieszczenia z danymi,
- nieuprawnione skopiowanie kart z podpisami,
- oraz nieuprawnione przeniesienie informacji zawierających dane osobowe.
Ryzyko dla każdej z wymienionych podatności zostało określone jako „nieznaczne”. Pominięto ryzyka, że ktoś listę z adresami i PESELEM skopiuje/sfotografuje, albo że inni podpisujący zobaczą, kto z sąsiadów już się podpisał. Nie mówiąc o osobach postronnych, które te dane też mogły przeglądać.
Błędna analiza ryzyka prowadziła do kolejnych błędów.
Administrator założył, że przy niskim ryzyku wystarczy, że karty z podpisami będą stale pod nadzorem „osób zbierających podpisy”. Zbiórka miała być też kontrolowana przez osoby zaufania publicznego. Jednak, jak wynika z przedstawionej dokumentacji, zasad tych administrator nie wdrożył i nie sprawował faktycznego nadzoru nad zbiórką podpisów.
W wyjaśnieniach dla PUODO tłumaczył się spontanicznością obywatelskiego procesu: „[…]Komitet nie odpowiada i nie może odpowiadać za wszystkie inne osoby, które z własnej woli i potrzeby jako osoby fizyczne, niezwiązane z komitetem, włączyły się w zbiórkę podpisów” – stwierdził.
Wynika więc z tego, że nie ma żadnej pewności, że „po każdej zbiórce karty z podpisami były przechowywane w miejscach niedostępnych publicznie, przeważnie w pomieszczeniach zamkniętych, w osobnych teczkach, często również w zamykanych biurkach, szafach, szufladach” oraz że „osoby zbierające podpisy otrzymały ścisłe i konkretne wytyczne […] zaś organizatorzy zbiórki dbali o jej prawidłowy przebieg”.
Ponieważ administrator nie zauważył ryzyka dla osób, których dane dotyczą, nie przewidział w ogóle takich środków minimalizowania ryzyka jak zasłonięcia zebranych już podpisów przed wzrokiem kolejnych osób również wyrażających poparcie inicjatywy ustawodawczej bądź osób postronnych.
Jak się zachować w przypadku naruszenia bezpieczeństwa list poparcia?
Błędna ocena ryzyka sprawiła też, że administrator postąpił niewłaściwie, nie zgłosił naruszenia ochrony danych osobowych do PUODO. Nie musi tego robić, jeśli prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe. Tu tak nie było. Chodzi przecież o pozostawienie bez nadzoru wykazu z ogromnym zasobem danych osobowych.
Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych wymaga, by administrator danych zawiadomił o zdarzeniu osoby, których dane dotyczą. Powinien on wyjaśnić im konsekwencje tego zdarzenia oraz wskazać środki bezpieczeństwa, które mogą samodzielnie wdrożyć w celu zminimalizowania ryzyka wystąpienia konsekwencji.
Dopiero teraz PUODO nakazuje wypełnienie tego obowiązku.