Brakuje wytycznych, jakie informacje powinny się znajdować na listach poparcia pod obywatelskimi projektami. Bez zapisania tego w przepisach gminy mogą popełniać błędy – twierdzi UODO.
Zgodnie z ustawą z 11 stycznia 2018 r. o zmianie niektórych ustaw w celu zwiększenia udziału obywateli w procesie wybierania, funkcjonowania i kontrolowania niektórych organów publicznych (t.j. Dz.U. z 2018 r. poz. 130) wszystkie miasta na prawach powiatu mają obowiązek tworzenia budżetów obywatelskich i to na jednolitych zasadach. Dotyczą one zarówno przeznaczanej na nie kwoty (0,5 proc. wydatków gminy zawartych w ostatnim przedłożonym sprawozdaniu z wykonania budżetu), jak i wyboru zadań, które później będą realizowane. Ustawodawca nie sprecyzował jednak, jakie dane obywateli powinny być przy tej okazji zbierane i jak przebiega proces ich przetwarzania. A ponieważ od 25 maja 2018 r. obowiązuje RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; Dz.Urz. UE z 2016 r. L 119, s. 1 ze zm.) i wysokie kary za błędy w tym zakresie, miasta obawiają się, czy przyjęte przez nie reguły są zgodne z przepisami.

Kto jest administratorem

O wątpliwościach związanych z RODO przy pracy nad budżetem obywatelskim mówiła w Tygodniku Gazety Prawnej Justyna Piwko z warszawskiego ratusza (TGP nr 238 z 7 grudnia 2018 r.). Stolica przyjęła, że dopóki mieszkaniec sam zbiera podpisy pod projektem, dopóty jest administratorem tych danych. Dopiero w momencie przekazania tej listy do urzędu, administratorem staje się prezydent miasta. Według Justyny Piwko osoba składająca podpis jednocześnie potwierdza, że ma świadomość tej zmiany. Czy to dobre założenie? W ocenie Moniki Krasińskiej, dyrektor zespołu ds. sektora publicznego w Urzędzie Ochrony Danych Osobowych, brak dookreślenia na poziomie ustawy, jak ten proces przekazania danych ma wyglądać, powoduje, że gminy nie widzą powodów, by zajmować się nim od samego początku. – I faktycznie, dopóki nie wpłynie taka lista z poparciem, gmina nie ma żadnej wiedzy, że ktoś takie zadanie realizuje. Dysponentem danych staje się ona dopiero wtedy, gdy te dane otrzymuje, czyli decydująca jest data wpływu projektu – wyjaśnia. Po przejęciu list poparcia JST w pełni odpowiada za właściwe, zgodnie z celem, przetworzenie danych. Oznacza to, że m.in., że nie może tych informacji wykorzystać do innych działań. Musi ustanowić odpowiednie procedury bezpieczeństwa, a po rozpatrzeniu projektu zweryfikować, czy istnieje dalsza potrzeba przechowywania list.

Odpowiada zbierający dane

Osoby, które wszczynają proces poparcia dla jakiejś społecznej inicjatywy, stają się odpowiedzialne za ochronę informacji. Zgodnie z prawem dane muszą być zbieranie adekwatnie do celu, z zapewnieniem ich integralności i poufności. Nie mogą więc zostać przekazane innym, nieuprawniony osobom, znaleźć się na śmietniku czy być wykorzystane przy innej okazji.
Osoba, która pod jakimś projektem obywatelskim się podpisuje musi wiedzieć, co z jej danymi będzie się działo, czyli trzeba wobec niej wypełnić obowiązek informacyjny.
W ocenie UODO w przypadku organizacji pozarządowych, fundacji, stowarzyszeń dobrą praktyką byłoby powoływanie inspektora ochrony danych osobowych, który wspierałby je w procesie zbierania danych osobowych podczas konsultacji społecznych i go kontrolował.

Luka w ustawie

Ale problematyczna jest nie tylko kwestia administratora danych, lecz także zakresu informacji, jakie mogą być przy okazji tworzenia budżetu obywatelskiego zbierane. Według UODO jasne kryteria przetwarzania danych gromadzonych podczas konsultacji społecznych powinny znaleźć się w ustawie o samorządzie gminnym (Dz.U. z 2018 r, poz. 994 ze zm.). Sygnalizował to już rok temu ówczesny generalny inspektor ochrony danych osobowych (dziś UODO) podczas prac nad projektem ustawy dotyczącej zwiększenia udziału obywateli w procesie wybierania, funkcjonowania i kontrolowania niektórych organów publicznych (przepisy tego aktu dotyczą ustawy o samorządzie gminnym m.in. w zakresie budżetów obywatelskich). Postulował wprowadzenie do ustawy katalogu danych. Gmina dokonywałaby ich wyboru i zapisywała to w uchwale rady. GIODO twierdził, że nie można kryteriów przetwarzania danych zapisać w uchwale gminy, bo nie sprawdziły się one w praktyce, a sygnały od jednostek samorządowych świadczą, że mają one problemy z tym, jakie dane pozyskiwać. Na przykład, jedne miasta do list poparcia projektów obywatelskich wymagały tylko imienia, nazwiska i adresu, a inne numeru PESEL. Problem pozostał do dziś, bo uwagi inspektora nie spotkały się z pozytywnym przyjęciem i w ustawie nie zostały umieszczone. – Samorządy posiłkują się więc ogólnymi zasadami dotyczącymi danych osobowych i dla wielu z nich jest to kłopotliwe – uważa Krasińska.

Resort nie widzi problemu

O to, czy są przygotowywane – w tym zakresie – zmiany w ustawie o samorządzie gminnym, spytaliśmy MSWiA. Odesłało nas do resortu cyfryzacji, bo w nim działa międzyresortowy zespół roboczy powołany w toku prac nad przepisami sektorowymi zapewniającymi stosowanie RODO. Jak nas poinformowano, nic nie stoi na przeszkodzie, by kwestie związane z ochroną danych osobowych przy tworzeniu budżetów obywatelskich były określane w uchwale rady gminy (patrz stanowisko).
Z kolei UODO już zapowiada, że jeżeli przepisy nie zostaną zmienione, a zasady doprecyzowane, będzie analizować zachowania poszczególnych administratorów zgodnie z ogólnymi przepisami. – Będziemy patrzeć na zakres i kontekst przetwarzania danych osobowych i cel ich zebrania, badać status administratora danych przez pryzmat faktycznie realizowanych zadań, a nie tylko tych, które wynikają z ustawy o samorządzie gminnym – mówi Monika Krasińska. I dodaje, że ma duże wątpliwości, czy takie ukształtowanie przepisów, jakie jest obecnie, wzmocni w praktyce ochronę danych osobowych gromadzonych przy okazji tworzenia budżetów obywatelskich, bo jednak istnienie regulacji ustawowych jest najlepszym kierunkowskazem dla osób, które je pozyskują – wyjaśnia. ©℗
Stanowisko Ministerstwa Cyfryzacji z 19 grudnia 2018 r.
Zespół roboczy, powołany w toku prac nad przepisami sektorowymi zapewniającymi stosowanie RODO (…) ustalił, że formułowanie w przepisach ustawowych katalogów danych osobowych przetwarzanych dla celów realizacji określonego zadania jest konieczne jedynie wówczas, gdy istotą tego zadania jest zbieranie danych osobowych (np. w ramach rejestrów publicznych).
Wraz z rozpoczęciem nowej kadencji organów jednostek samorządu terytorialnego weszła w życie zmiana ustawy o samorządzie gminnym, która w art. 5a ust. 7 obliguje radę gminy do określania w drodze uchwały wymagań, jakie powinien spełniać projekt budżetu obywatelskiego.
W opinii Ministerstwa Cyfryzacji przepis ten upoważnia radę gminy do uregulowania kwestii związanych z przetwarzaniem danych osobowych na poziomie uchwały – co nie stoi w sprzeczności z przepisami RODO, które nie przesądza o wymaganej randze przepisów stanowiących o obowiązku przetwarzania danych przez organ publiczny.