Czytaj: Luka w prawie - członkowie komisji nie mogą przetwarzać danych wyborców >>

Kto jest administratorem danych osobowych wyborców w wyborach samorządowych? Kto jest uprawniony do przetwarzania tych danych? Jaka w tym procesie powinna być rola Inspektora Ochrony Danych w gminie? Te pytania coraz częściej pojawiają się w przestrzeni publicznej w związku ze zbliżającymi się wyborami – coraz częściej próbuje się też na nie odpowiadać (por. np. https://www.prawo.pl/samorzad/dane-osobowe-w-wyborach-kto-moze-miec-dostep,310521.html). Spróbujmy więc uporządkować pojęcia.

Gmina jest administratorem danych

Administratorem danych osobowych jest ten podmiot, który ustala cele i sposoby przetwarzania danych osobowych. W sektorze publicznym jednak to nie samodzielnie podejmowane decyzje, ale ustawowe kompetencje i zadania będą decydowały o statusie określonego podmiotu w procesie przetwarzania danych osobowych. Można tutaj przywołać klasyczne wręcz orzeczenie Naczelnego Sądu Administracyjnego z 30 stycznia 2002 r. (II SA 1098/01, Wokanda 2002, Nr 8, s. 70), w którym Sąd przyjął, że administratorem danych osobowych "nie jest (...) każdy dysponent danych osobowych (...). Jest nim ten, kto decyduje o celach i środkach przetwarzania, przy czym zasadnicze znaczenie ma rodzaj i charakter nadanych przez prawo kompetencji z zakresu spraw publicznych (...)".

Przyjmując takie założenia nie budzi wątpliwości, że administratorem danych osobowych wyborców przetwarzanych w spisie wyborców i w rejestrze jest właściwa gmina, która prowadzi spis lub rejestr wyborców. Wynika to bezpośrednio z samej konstrukcji administratora danych w sektorze publicznym, gdzie ustawowe zadania konkretnych organów władzy publicznej decydują o ich statusie w stosunku do danych osobowych przetwarzanych na potrzeby realizacji tych zadań. Skoro więc zgodnie z art. 18 par. 11 ustawy Kodeks wyborczy to gmina prowadzi rejestr wyborców, a zgodnie z art. 26 par. 10 tej ustawy, spis wyborców jest sporządzany i aktualizowany przez gminę, to gmina jest administratorem danych osobowych przetwarzanych w ramach rejestru i spisu. Nie ma potrzeby przesądzania o tym fakcie w przepisach prawa, poprzez nowelizację Kodeksu wyborczego. Co ciekawe, takiej treści stanowisko znalazło się w piśmie Prezesa Urzędu Ochrony Danych Osobowych do Prezesa Państwowej Komisji Wyborczej w 14 września 2018 r., które jest dostępne na stronach Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/file/1457).

Specjalny przepis niepotrzebny

Kolejny problem to problem kompetencji do przetwarzania danych osobowych na potrzeby przeprowadzenia wyborów – podnosi się mianowicie, że „[b]rak upoważnienia opartego o przepisy RODO do przetwarzania danych osobowych zawartych w spisach wyborców dla członków komisji i urzędników wyborczych może być powodem potencjalnej odpowiedzialności z tytułu niezgodnego z przepisami przetwarzania danych” (https://www.prawo.pl/samorzad/dane-osobowe-w-wyborach-kto-moze-miec-dostep,310521.html). Takie stanowisko wydaje się jednak ignorować jedną z podstawowych konstrukcji RODO, jaką jest nowe ujęcie podstaw przetwarzania danych osobowych. Zgodnie bowiem z art. 6 ust. 1 pkt e) RODO, dane osobowe mogą być przetwarzane, jeżeli „przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”. Ten przepis należy rozumieć w kontekście motywu 45 preambuły do RODO, zgodnie z którym RODO nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne – wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Nie istnieje bezwzględny obowiązek regulowania w przepisach prawa każdej operacji wykonywanej na danych osobowych – wystarczy, że przepisy przyznają administratorowi danych określony zakres władztwa publicznego – owo „zadanie” lub „władzę publiczną” – i to już wystarczy, żeby administrator danych mógł przetwarzać na tej podstawie dane osobowe w zakresie niezbędnym do wykonania tego zadania lub sprawowania władzy publicznej. 

Nie istnieje więc luka w przepisach dotyczących wyborów samorządowych polegająca na tym, że brak jest w przepisach „upoważnienia opartego o przepisy RODO do przetwarzania danych osobowych zawartych w spisach wyborców dla członków komisji i urzędników wyborczych”. Takie „upoważnienie” nie jest potrzebne, ponieważ właściwe organy mogą przetwarzać dane zawarte w spisach wyborców dla wykonania swoich ustawowych zadań w tym kontekście.

Czytaj też: PKW: Prawo członków komisji wyborczych do przetwarzania danych wynika z kodeksu

Na wybory niepotrzebne upoważnienie

Kolejny problem to upoważnienia do przetwarzania danych osobowych dla członków komisji wyborczych i urzędników wyborczych. Upoważnień, dodajmy, w znaczeniu, jakie znamy z ustawy o ochronie danych osobowych z 1997 r., czyli dokumentów wręczanych przez administratora danych osobowych. Należy więc podkreślić, że RODO nie stanowi nigdzie wprost, że administrator danych ma obowiązek wydać "upoważnienie do przetwarzania danych osobowych", jak to miało miejsce na gruncie poprzednio obowiązujących przepisów. RODO nie przesądza też, czy upoważnienie powinno być nadawane indywidualnie, czy też może przyjąć formę zbiorczej listy obejmującej wykaz upoważnianych osób. Jest to konsekwencja zastosowania w przepisach RODO tzw. podejścia opartego na ryzyku i pozostawienia wielu decyzji co do stosowanych rozwiązań organizacyjnych (i technicznych) samemu administratorowi danych. Z drugiej strony oczywiście, ze względów dowodowych, sugeruje się, aby upoważnienia były utrwalone, tj. zapisywane na trwałym nośniku i archiwizowane.

Czy więc gmina powinna nadawać upoważnienia do przetwarzania danych osobowych członkom komisji wyborczych i urzędnikom wyborczym? Wiele wskazuje na to, że nie nawet na gruncie ustawy o ochronie danych osobowych z 1997 r. na tak postawione pytania można było odpowiedzieć negatywnie. Trzeba bowiem przywołać stanowisko Naczelnego Sądu Administracyjnego, zgodnie z którym: „do podejmowania czynności zarówno w sferze ścigania przestępstw, jak i działalności oskarżycielskiej oraz dostępu do danych osobowych, prokurator legitymujący się ustawowym upoważnieniem i limitowany normami proceduralnymi, nie musi mieć odrębnego upoważnienia do dostępu do danych osobowych. Przedstawione regulacje, mające w stosunku do ustawy o ochronie danych osobowych charakter lex specialis, rozstrzygają o dostępie prokuratorów do danych osobowych, także przetwarzanych w zbiorach ewidencyjnych i w tym zakresie wyłączają zastosowanie ustawy o ochronie danych osobowych” (wyrok NSA z 21.12.2006 r., I OSK 1279/05). Nawet na gruncie poprzedniego stanu prawnego istniały mocne argumenty przeciwko nadawaniu w tym przypadku pisemnych upoważnień. A na gruncie RODO? Tutaj decyzję podejmuje konkretny administrator danych, a więc gmina. Może udzielić upoważnień przez wręczenie imiennych dokumentów, może posłużyć się postacią elektroniczną, może sporządzić listę osób upoważnionych np. na poziomie danej komisji wyborczej. Taka już uroda – i przekleństwo – RODO, że nie znajdziemy w nim odpowiedzi na wszystkie, najbardziej szczegółowe pytania, jakie przychodzą nam do głowy. Ale nie jest to też argument za tym, że takich odpowiedzi należy udzielać w przepisach krajowych, sprzecznie z podstawowymi zasadami RODO.