To jednak na komisjach będzie ciążyło najwięcej nowych obowiązków. Nie mogą przede wszystkim dopuścić, aby wyborcy mieli dostęp do informacji o innych głosujących.
Dane osobowe mogą być przetwarzane na różnym etapie wyborów i przez różnych, niezależnych od siebie administratorów. Przy organizacji wyborów należy więc uwzględnić nie tylko przepisy regulujące sam ich przebieg, tj. kodeks wyborczy (dalej: k.w.), ale także przepisy określające zasady ochrony danych osobowych, które znajdują się w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: RODO. RODO ma zastosowanie zarówno do przetwarzania danych osobowych w sposób zautomatyzowany (ogólnie w systemach informatycznych), jak i przetwarzania w sposób ręczny (papierowy), jeżeli dane są lub mają być częścią zbioru danych (uporządkowanego zestawienia). Kategorie danych przetwarzane w trakcie wyborów w sposób tradycyjny są lub mają być częścią zbioru danych osobowych, a więc będą podlegać RODO.

Nie wszystko pod ochroną

Należy przyjąć następujące założenia dotyczące RODO:
  • znajduje zastosowanie zarówno w sektorze prywatnym, jak i publicznym (m.in. do celów przeprowadzenia wyborów);
  • nie zawiera przepisów regulujących w sposób szczególny kwestii wyborów;
  • nie zawiera generalnych wyłączeń dla sektora publicznego;
  • w pewnym zakresie jest możliwość uszczegółowienia, zmodyfikowania lub nawet wyłączenia jego zapisów w odniesieniu do sektora publicznego.
RODO znajdzie zastosowanie na każdym etapie wyborów, o ile dochodzić będzie do przetwarzania danych osobowych. Należy więc zawsze zweryfikować, czy istnieją przepisy szczególne modyfikujące ogólne reguły RODO w odniesieniu do wyborów (np. wskazujące wyraźnie sposób spełnienia obowiązków informacyjnych). Trzeba bowiem pamiętać, że zarówno podmioty z sektora prywatnego, jak i publicznego mogą ponieść odpowiedzialność za naruszenie przepisów RODO niezależnie od odpowiedzialności wynikającej z innych przepisów.
Czyje dane mogą być przetwarzane w związku z wyborami:
  • kandydatów,
  • wyborców,
  • komisarzy wyborczych, pełnomocników wyborczych, pełnomocników finansowych, urzędników wyborczych, członków komisji wyborczych, mężów zaufania i obserwatorów społecznych,
  • wolontariuszy zbierających listy poparcia kandydatów.
Zgodnie z RODO zasady ochrony danych nie mają zastosowania do informacji anonimowych, czyli takich, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Podobnie będzie w przypadku danych osobowych zanonimizowanych w taki sposób, że w ogóle nie można zidentyfikować lub już nie można zidentyfikować osób, których dane dotyczą. Dlatego też np. ujawnienie kart do głosowania, o ile nie da się przypisać informacji o głosowaniu do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (wyborcy), nie będzie stanowić incydentu w rozumieniu RODO. Przy czym takie zdarzenie może – i zwykle będzie – stanowić naruszenie innych wymogów dotyczących przebiegu głosowania.

Zasady ogólne

Dane osobowe przetwarzane w procesie wyborczym powinny być przetwarzane zgodnie z zasadami wyrażonymi w art. 5 RODO. Przy czym jedną z kluczowych jest zasada legalności (art. 5 ust. 1 lit. a RODO). Aby dane osobowe były przetwarzane zgodnie z tą zasadą, administrator – którym jest podmiot decydujący o celach i sposobach przetwarzania, a więc np. komitet wyborczy lub partia polityczna – powinien dysponować jedną z podstaw przetwarzania danych. Podstawy te zostały wskazane w art. 6 RODO w odniesieniu do danych osobowych zwykłych oraz w art. 9 RODO w przypadku szczególnych kategorii danych. Administrator może zatem przetwarzać dane osobowe wyłącznie w zakresie niezbędnym do realizacji celu objętego tą podstawą prawną.
Najczęściej występującą przesłanką przetwarzania danych osobowych przez podmioty biorące udział w procesie wyborczym będzie:
  • art. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • art. 6 ust. 1 lit. e RODO – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Oznacza to w praktyce, że jeżeli podmioty biorące udział w procesie wyborczym będą przetwarzać dane osobowe dla własnych celów i będą w stanie powołać się na co najmniej jedną z powyższych przesłanek – a tak będzie wszędzie tam, gdzie ich obowiązki i zadania są regulowane w prawie krajowym – tam do przetwarzania danych osobowych nie będzie potrzebna zgoda osoby, której dane są przetwarzane. Uwaga! Przepis krajowy nie musi wcale się odwoływać do przetwarzania danych osobowych. Wystarczy, że będzie ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Administrator może przetwarzać dane osobowe wyłącznie w zakresie niezbędnym do realizacji tych celów w ramach procesu wyborczego. W przypadku braku przepisów krajowych, wyraźnie przesądzających, jaki zakres przetwarzania jest dopuszczalny, należy odwołać się do ogólnej zasady minimalizacji danych wyrażonej w art. 5 ust. 1 lit. c RODO. W procesie wyborczym jednak zwykle będzie tak, że to ustawodawca wprost określi, jakie kategorie danych mogą być przetwarzane do realizacji określonych celów.
Przykładowo, jeżeli w ramach zadań zleconych gminy mieści się prowadzenie rejestru wyborców zgodnie z art. 18 par. 11 k.w., a rejestr ten zgodnie z par. 7 tego artykułu w części A ma wymieniać m.in. nazwisko i imię wyborcy, to przetwarzanie tych danych będzie legalne i nie wymaga szczególnej oceny pod kątem spełnienia zasady minimalizacji danych.
Innym przykładem jest art. 209 par. 1 k.w. określający dane możliwe do przetwarzania w oparciu o przesłanki wskazane w art. 6 ust. 1 lit. c lub e RODO, zgodnie z którym wyborca udzielający poparcia liście kandydatów składa podpis obok czytelnie wpisanego swojego nazwiska i imienia, adresu zamieszkania i numeru ewidencyjnego PESEL.
Możliwe jest przetwarzanie danych osobowych, zwłaszcza na etapie kampanii wyborczej, także na innych podstawach przetwarzania danych osobowych. W praktyce dotyczyć to będzie podmiotów poza sektorem publicznym. Wydaje się, że stanowisko głównego inspektora ochrony danych osobowych wydane na ten temat w poprzednim stanie prawnym pozostaje aktualne. Wskazano w nim, że w pewnych okolicznościach przetwarzanie danych na potrzeby marketingu wyborczego może się odbywać zgodnie z art. 23 ust. 1 pkt 5 nieobowiązującej już ustawy o ochronie danych osobowych, tj. gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Artykuł 23 ust. 1 pkt 5 ustawy był odpowiednikiem obecnego art. 6 ust. 1 lit. f RODO. GIODO podkreślił, że na tę przesłankę w szczególności można się powołać w sytuacji pozyskania danych potencjalnych wyborców ze źródeł powszechnie dostępnych, takich jak książki telefoniczne. Ma ona zastosowanie jedynie do danych, które stały się powszechnie dostępne zgodnie z prawem. Podkreślenia wymaga, że w tym wypadku szczególnego znaczenia nabiera konieczność spełnienia w odpowiedni sposób obowiązku informacyjnego. Co do zasady dane dotyczące wyborców powinny być pozyskiwane albo na podstawie uprawniających do tego przepisów prawa, albo za ich wiedzą i zgodą. GIODO wskazał również, że bez uprzedniej zgody osób, których dane dotyczą, nie jest dopuszczalne wykorzystanie tych informacji w celach marketingu wyborczego ze zbiorów ewidencji ludności prowadzonej przez gminy lub archiwalnych danych osób, którym poseł lub senator udzielił wsparcia. Poważnym naruszeniem przepisów o ochronie danych jest wykorzystanie w celach wyborczych informacji z różnych zbiorów, do których osoby naruszające mają dostęp w ramach wykonywanej przez siebie pracy, np. danych pełnoletnich uczniów szkoły czy danych użytkowników karty miejskiej. Wyraźnie należy zaznaczyć, że takie działanie oznacza udostępnienie danych osobom nieupoważnionym, a komitety wyborcze nie są uprawnione do wykorzystywania tak pozyskanych informacji. (Poradnik GIODO na wybory, źródło: https://giodo.gov.pl/pl/560/7744).

Kto jest administratorem

Zgodnie z RODO administratorem danych jest podmiot, który oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie UE lub w prawie państwa członkowskiego (np. w przepisach dotyczących wyborów), to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Zwykle jednak przepisy nie wskazują, że dany podmiot jest administratorem danych przetwarzanych w określonym celu. To, kto nim jest, zależy więc od konkretnej sytuacji.
Niestety, mimo wątpliwości sygnalizowanych wcześniej w literaturze polski ustawodawca dotychczas nie uporządkował tego zagadnienia w k.w. GIODO w piśmie z 11 kwietnia 2018 r. skierowanym do Państwowej Komisji Wyborczej za konieczne uznał doprecyzowanie ról poszczególnych podmiotów i ich wzajemnych relacji w związku z przetwarzaniem danych osobowych w ramach zadań wynikających z k.w. Mogą więc powstawać wątpliwości np. co do statusu samodzielnego administratora danych komisji wyborczych.
WAŻNE Zasady ochrony danych osobowych nie mają zastosowania do informacji anonimowych.
W przypadku wyborów administratorem danych będzie m.in. parta polityczna, komitet wyborczy, wójt (burmistrz lub prezydent miasta) lub komisje wyborcze. Oczywiście każdy z tych podmiotów jest samodzielnym administratorem danych. Przykładowo, do zadań zleconych gminy należy prowadzenie rejestru wyborców. W praktyce zadania te wykonuje wójt, burmistrz lub prezydent miasta, dlatego też należy przyjąć, że to ten organ jest administratorem danych osobowych w zakresie danych z rejestru wyborców, a nie gmina. Największe natomiast wątpliwości może budzić status komisji wyborczych. W związku z tym, że przepisy prawa łączą z ich funkcjonowaniem samodzielną rolę odnośnie przetwarzania danych (art. 51 k.w.), należy przyjąć, że komisje wyborcze są samodzielnymi administratorami danych. Nie będzie więc nim sztab wyborczy.
Mogą się pojawić wątpliwości co do roli mężów zaufania i obserwatorów społecznych. Trzeba podkreślić, że nie są oni administratorami danych. Są to osoby działające w imieniu podmiotów wskazanych w rozdziale 11a k.w., tj. odpowiednio komitetów wyborczych oraz w przypadku obserwatorów – stowarzyszeń i fundacji. Samo przeglądanie danych osobowych, np. spisu wyborców, nie podlega RODO. W przypadku rejestracji przez takie osoby przebiegu wyborów przy wykorzystaniu własnych urządzeń lub pozyskiwania danych tradycyjnych, które w typowych sytuacjach będą stanowić część zbioru danych (np. kopie protokołów), takie przetwarzanie będzie podlegało przepisom o ochronie danych osobowych. Wydaje się, że administrator danych, któremu przekazane takie dane, może je wykorzystać wyłącznie na potrzeby określonych postępowań (np. administracyjnych, sądowych) poprzez działanie pełnomocnika wyborczego komitetu. Nie ma podstawy ujawniania tych informacji np. na stronie internetowej komitetu.
Określenie, kto jest administratorem w danym procesie przetwarzania danych, ma kluczowe znaczenie. To administrator ma obowiązek zadbać m.in. o to, aby dane były przetwarzane w oparciu o legalną podstawę i tylko w niezbędnym zakresie oraz żeby zostały spełnione obowiązki informacyjne, a dane były przetwarzane w sposób bezpieczny. Będzie on także informował prezesa Urzędu Ochrony Danych Osobowych lub osoby, których dane są przetwarzane, o zaistniałym incydencie.
Zgodnie z RODO administrator danych, którym może być także np. fundacja delegująca obserwatora, podejmuje działania w celu zapewnienia, aby każda osoba fizyczna działająca z jego upoważnienia lub podmiotu przetwarzającego mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo UE lub prawo państwa członkowskiego. W praktyce rekomenduje się wydanie pisemnych upoważnień i odebranie oświadczeń o zachowaniu poufności od personelu biorącego udział w przetwarzaniu danych (np. w komisji wyborczej).

Obowiązki informacyjne

Podstawowym obowiązkiem związanym z pozyskiwaniem danych jest konieczność przekazania zestawu informacji, o których mowa w art. 13 i 14 RODO. Dotyczy to wszystkich administratorów danych, np. komitetów wyborczych i organów administracji publicznej realizujących swoje zadania w ramach wyborów. Obowiązek ten należy spełnić przede wszystkim przy zbieraniu danych bezpośrednio od podmiotu, którego dane mają być przetwarzane. Przykładowo w sytuacji tworzenia list poparcia dla kandydatów w ramach art. 209 k.w. osobom, których dane są w tym celu zbierane, należy przekazać wszystkie informacje wskazane w art. 13 RODO już w czasie zbierania ich danych i podpisów. Podobnie powinny zrobić komisje wyborcze podczas zbierania danych np. w celu weryfikacji tożsamości głosujących w lokalu wyborczym. Przepisy RODO co do zasady przewidują wymóg przekazania określonych informacji nie tylko wtedy, gdy dane osobowe są zbierane bezpośrednio od danej osoby (np. wyborcy), ale także wtedy, gdy są pozyskiwane z innych źródeł. Zgodnie z RODO obowiązku informacyjnego nie trzeba spełniać, jeżeli pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem unijnym lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Kwestię tę oczywiście mogą uregulować w sposób szczególny przepisy krajowe.
Co może być incydentem naruszania bezpieczeństwa:
  • naruszenie poufności danych osobowych, np. wyciek list osób uprawnionych do głosowania lub wykazu wpłat obywateli,
  • naruszenie integralności danych, np. nieuprawniona zmiana dokonana w wykazach i dopisanie nieuprawnionych osób,
  • naruszenie dostępności danych, np. nieuprawnione zniszczenie list.
Co istotne, przepisy RODO nie precyzują, w jaki sposób ten obowiązek powinien zostać spełniony. Nie wymagają także uzyskania formalnego potwierdzenia, czy osoba, której dane są przetwarzane, z taką informacją się zapoznała. Natomiast administrator danych ma ogólny obowiązek wykazania, że danej grupie podmiotów przedstawił określone informacje. W tym obszarze mogą zostać wprowadzone w przyszłości przepisy szczególne np. wyraźnie wskazujące sposób realizacji obowiązku informacyjnego. W typowych sytuacjach wystarczy umieszczenie klauzuli informacyjnej na liście poparcia lub wywieszenie klauzuli informacyjnej w widocznym miejscu w lokalu wyborczym. Ten sam obowiązek ciąży na komitetach wyborczych pozyskujących dane osobowe w toku kampanii wyborczej.

Kampania wyborcza

Niezależnie od obowiązku zapewnienia odpowiedniej podstawy prawnej do prowadzenia marketingu wyborczego, do którego zaliczyć można także agitację, a więc publiczne nakłanianie, zachęcanie do głosowania w określony sposób lub do głosowania na kandydata określonego komitetu wyborczego, konieczna jest realizacja obowiązku informacyjnego wobec osób agitowanych, których dane są pozyskiwane. Wynika to z art. 13 RODO w przypadku pozyskiwania danych bezpośrednio od osób popierających danego kandydata oraz też z art. 14 RODO – w przypadku pozyskiwania ich danych z innych źródeł. Oprócz tych wymogów należy zapewnić, aby pozostałe zasady wynikające z RODO były zachowane. Należy zwrócić uwagę w szczególności na zasadę ograniczenia celu wskazaną w art. 5 ust. 1 lit. c RODO, zgodnie z którą dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Realizacja tej zasady może w praktyce sprawiać trudności zwłaszcza w przypadku zbierania danych niebezpośrednio od osoby, której dane dotyczą. Można w tym miejscu odwołać się do stanowiska GIODO, wyrażonego co prawda na gruncie nieobowiązujących już przepisów ustawy o ochronie danych osobowych, jednak jak się wydaje nadal aktualnego, ponieważ zasada celowości nie uległa znaczącym zmianom. GIODO stwierdził, że w przypadku pozyskania danych z innych źródeł albo ich wykorzystania w sytuacji gdy pierwotnie zostały zebrane w innym celu, wymaga się szczególnej ostrożności i w wielu sytuacjach nie jest to zgodne z prawem. W szczególności pełnienie przez kandydata funkcji publicznej nie uzasadnia możliwości pozyskania i dalszego przetwarzania danych pochodzących ze zbiorów prowadzonych przez instytucję, w której ta funkcja jest pełniona. W konsekwencji bez uprzedniej zgody osób, których dane dotyczą, nie jest dopuszczalne wykorzystanie ich danych w celach marketingu wyborczego ze zbiorów ewidencji ludności prowadzonej przez gminy lub archiwalnych danych osób, którym poseł lub senator udzielił wsparcia. Poważnym naruszeniem przepisów o ochronie danych osobowych jest wykorzystanie w celach wyborczych informacji z różnych zbiorów, do których kandydat lub członkowie jego rodziny mieli dostęp w ramach wykonywanej przez siebie pracy, np. danych pełnoletnich uczniów szkoły lub użytkowników karty miejskiej. Wyraźnie należy zaznaczyć, że takie działanie oznacza udostępnienie danych osobom nieupoważnionym, a komitety wyborcze nie są uprawnione do wykorzystywania tak pozyskanych informacji.

Głosowanie

Zgodnie z art. 40 par. 1 k.w. głosowanie odbywa się za pomocą urzędowych kart do głosowania. Jak stanowi art. 52 par. 1 k.w., przed przystąpieniem do głosowania wyborca okazuje obwodowej komisji wyborczej dokument umożliwiający stwierdzenie jego tożsamości. Zgodnie zaś z par. 2 po okazaniu dokumentu wyborca otrzymuje od komisji kartę do głosowania i potwierdza jej otrzymanie własnym podpisem w przeznaczonej na to rubryce spisu wyborców. Choć przepisy k.w. szczegółowo regulują kwestie dotyczące postępowania z kartą do głosowania, oddawania głosu i zachowania w lokalu wyborczym, to nie określają, w jaki sposób powinno się udostępnić wyborcom odpowiednią rubrykę spisu do podpisu po otrzymaniu tej karty. Jest to o tyle problematyczne, że często podpisując się na spisie wyborców, widzimy dane osobowe innych osób, które zostały tam umieszczone, jak również dane osób, które oddały głos, o czym świadczy podpis w odpowiedniej rubryce potwierdzający, że odebrały kartę do głosowania. Ujawnienie danych innych głosujących osobie podpisującej listę należy uznać za nieuprawnione i mogące stanowić naruszenie ochrony danych w rozumieniu RODO, choć nie będzie stanowiło naruszenia k.w. Dlatego też należy zadbać o to, aby wyborca odbierający kartę do głosowania nie widział danych innych wyborców. Może się to odbyć poprzez zakrycie tych informacji pustą kartką papieru w trakcie składania przez niego podpisu lub stosowanie papierowych szablonów zasłaniających dane innych osób z okienkiem na podpis danego wyborcy. W praktyce jednocześnie ułatwi to odnalezienie swojego imienia i nazwiska na liście.

Informacja o wpłatach

Zgodnie z art. 143 par. 4 k.w. wykaz wpłat obywateli polskich na rzecz komitetu wyborczego organizacji i komitetu wyborczego wyborców PKW i komisarz wyborczy udostępniają do wglądu na wniosek, w trybie i na zasadach określonych w przepisach o ochronie danych osobowych. Co to oznacza w praktyce? Prawo dostępu do tych danych osobowych mają osoby, których dane są przetwarzane (dokonujące wpłat) w trybie art. 15 RODO, a nie inne podmioty. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do tych danych oraz uzyskania ich kopii. Jej wniosek powinien zostać zrealizowany bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub dużą liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu wraz z podaniem jego przyczyn. Jeśli wnioskodawca przekazał swoje żądanie elektronicznie, w miarę możliwości powinien otrzymać informacje także elektronicznie, chyba że sam zażąda innej formy. Gdyby z jakichś względów żądanie nie było realizowane, bo np. nie zidentyfikowano wskazanych danych osobowych, to niezwłocznie, a najpóźniej w terminie miesiąca od otrzymania żądania, administrator danych musi poinformować o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.

Incydenty przy wyborach

RODO przewiduje mechanizm zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (prezesowi UODO) oraz zawiadamiania osób, której dane dotyczą, o takim naruszeniu. Nie każde działanie lub zaniechanie sprzeczne z RODO jest naruszeniem ochrony danych osobowych rodzącym konsekwencje prawne. Takie skutki będzie miało tylko naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przykładowo naruszenie obowiązków informacyjnych nie stanowi incydentu bezpieczeństwa, którego zaistnienie może prowadzić do obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu lub zawiadamiania o tym osób, których dotyczą.
Nie każde naruszenie należy zgłaszać do organu nadzorczego lub zawiadamiać osoby fizyczne. Nie trzeba zgłaszać incydentu, jeżeli jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, np. jest mało prawdopodobne, że na skutek incydentu osoby uprawnione zostaną pozbawione swojego czynnego prawa wyborczego. Zawiadamianie osób, której dane dotyczą, o naruszeniu ochrony danych osobowych wymagane jest wtedy, gdy prawdopodobieństwo negatywnych konsekwencji jest wyższe. O ile w przypadku zgłoszenia do prezesa UODO chodzi o jakiekolwiek prawdopodobieństwo negatywnych konsekwencji, o tyle w przypadku zawiadamiania osób fizycznych taki obowiązek istnieje tylko wtedy, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Decyzje o zgłoszeniu lub zawiadomieniu, a także o sposobie zawiadomienia podejmuje administrator danych, a nie jego pracownik. Zgłoszenie powinno nastąpić bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Zawiadomienia natomiast dokonuje się bez zbędnej zwłoki. W obu przypadkach termin należy liczyć od momentu stwierdzenia naruszenia i może być to moment późniejszy niż samo zdarzenie. Administrator danych ma obowiązek prowadzić rejestr dokumentujący wszelkie takie naruszenia, w tym ich okoliczności, ich skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić prezesowi UODO weryfikację zgodności z RODO.
Co istotne, reguły te mogą być w sektorze publicznym modyfikowane przez przepisy szczególne. Obecnie takich przepisów dotyczących wyborów nie ma, niemniej przed wyborami należy tę kwestię zweryfikować.

Kontrowersyjny monitoring

Zgodnie z art. 52 par. 7 znowelizowanego w styczniu 2018 r. k.w. od podjęcia przez obwodową komisję wyborczą czynności, o których mowa w 42 par. 1 k.w., do podpisania protokołu prowadzi się transmisję z lokalu wyborczego za pośrednictwem publicznie dostępnej sieci elektronicznego przekazywania danych. W przypadku gdy transmisja nie jest możliwa z przyczyn technicznych, w trakcie pracy obwodowej komisji wyborczej w lokalu wyborczym czynności podejmowane przez komisję są rejestrowane za pomocą urządzeń rejestrujących obraz i dźwięk, a następnie udostępnia na stronie internetowej PKW. Przepisy te od początku budziły duże kontrowersje, ponieważ w trakcie transmisji prezentowane byłyby wizerunki osób głosujących. Biorąc też pod uwagę, że w wyborach organów jednostek samorządu terytorialnego można głosować, wyłącznie w obwodzie właściwym dla miejsca stałego zamieszkania, ujawniane byłoby miejsce zamieszkania osób widocznych podczas oddawania głosu. Miałoby to szczególne znaczenie w przypadku transmisji z obwodów odrębnych, utworzonych np. w szpitalach, domach pomocy społecznej lub zakładach karnych, bo mogłoby dochodzić do ujawnienia danych osobowych szczególnych kategorii. Gdy RODO zaczęło być stosowane, co stało się już po wejściu w życiu tych przepisów k.w., PKW zwróciła się z tym problemem do GIODO. Stanął on na stanowisku, że zakres dostosowań, ilość i waga ryzyk w praktyce mogą uniemożliwiać zgodne z prawem o ochronie danych osobowych przeprowadzenie transmisji wyborów. PKW podjęła w tej sprawie uchwałę, w której stwierdza, że wobec opinii GIODO transmisja z lokali wyborczych nie może się odbyć. W rezultacie przygotowano projekt nowelizacji k.w., który likwiduje obowiązek przeprowadzenia transmisji z wyborów samorządowych. 15 czerwca Sejm przyjął ustawę o zmianie ustawy – Kodeks wyborczy oraz niektórych innych ustaw, uchylającą kontrowersyjne przepisy dotyczące transmisji z lokalów wyborczych. Jeżeli ustawa zostanie przyjęta przez Senat, a następnie podpisana przez prezydenta, transmisja nie będzie mogła być prowadzona.
Podstawa prawna
Ustawa z 5 stycznia 2011 r. – Kodeks wyborczy (t.j. Dz.U. z 2018 r. poz. 754 ze zm.).