Prezes UODO Mirosław Wróblewski postuluje uregulowanie sposobu przetwarzania danych osobowych na potrzeby przeprowadzania procedury tzw. budżetu obywatelskiego. W tej sprawie skierował wystąpienie do Ministra Spraw Wewnętrznych i Administracji.
 
„W takiej formie partycypacji społecznej (jak budżet obywatelski – PAP) dochodzi do przetwarzania danych osobowych nie tylko przez organy władzy publicznej, ale także przez samych obywateli. Poprzez zaangażowanie w proces zarządzania gminami, powiatami czy miastami, osoby fizyczne stają się inicjatorami procesów przetwarzania danych, począwszy od ich pozyskiwania, utrwalania i następnie po ich przekazywanie do organów samorządu terytorialnego na listach poparcia konkretnych projektów” – czytamy w komunikacie prezesa UODO.

Prezes UODO poinformował, że sygnalizowane są mu trudności w stosowaniu przepisów o realizacji budżetów obywatelskich odnoszące się właśnie do przetwarzania danych osobowych.

„Wątpliwości zgłaszają zarówno podmioty obowiązane do prowadzenia konsultacji społecznych, jak i osoby, których dane dotyczą. Nie istnieją bowiem precyzyjne przepisy kompleksowo regulujące proces przetwarzania danych osobowych w ramach  procedury realizacji budżetu obywatelskiego” – zaznaczył prezes Wróblewski.

W związku z tym prezes UODO w piśmie do MSWiA podkreślił, że w ustawach samorządowych należałoby doprecyzować następujące zagadnienia dot. procedury budżetów obywatelskich: kto jest administratorem danych osobowych; jaki jest zakres przetwarzanych danych osobowych; weryfikacji statusu osoby uprawnionej do głosowania; zabezpieczania danych osobowych.

Wróblewski zwrócił uwagę, że Ustawa o samorządzie gminnym (art. 5a ust. 7) wskazuje, że to rada gminy określa w drodze uchwały wymagania, jakie powinien spełniać projekt budżetu obywatelskiego. Przepis ten nie precyzuje jednak kryteriów przetwarzania danych osobowych, które taka uchwała powinna zawierać. W efekcie sposób przeprowadzenia głosowania podlega wyłącznie regulacji aktem prawa miejscowego.

Prezes UODO podkreślił wagę przejrzystego określenia ról i odpowiedzialności za przetwarzanie danych osobowych na każdym etapie realizacji budżetu obywatelskiego. Wskazał, że obecnie samorządy mają dużą swobodę w ustalaniu kryteriów pozyskiwania, zakresu oraz sposobu weryfikacji danych osobowych mieszkańców. Taka sytuacja rodzi niepewność prawną zarówno po stronie organizatorów konsultacji, jak i uczestników.

„W trakcie głosowań na projekty budżetu obywatelskiego od oddających głos żądane jest do podanie numeru PESEL - co wyklucza mieszkańców, którzy go nie posiadają np. cudzoziemców lub obywateli polskich urodzonych za granicą, którzy legitymują się jedynie paszportem. Pozyskiwanie i dalsze przetwarzanie numeru PESEL dla ściśle określonych celów powinno wynikać wprost z przepisów prawa” – zwrócił uwagę Wróblewski.

W jego opinii brak wyraźnej podstawy prawnej dla takiego wymogu jest źródłem ryzyka ograniczenia udziału obywateli w życiu publicznym i obniża zaufanie do samorządów. Dodatkowo prezes UODO zauważył, że w  orzecznictwie sądów administracyjnych dominuje pogląd, że nakładanie obowiązku podawania PESEL w procedurze budżetu obywatelskiego nie znajduje wystarczającego uzasadnienia.

W jego ocenie należałby także rozważyć wprowadzenie szczegółowych przepisów umożliwiających bezpieczne elektroniczne głosowanie w ramach budżetu obywatelskiego.

„Obecnie jednostki samorządu terytorialnego nie zawsze poczuwają się do ponoszenia odpowiedzialności za bezpieczeństwo danych przed przekazaniem list poparcia. Natomiast sami zbierający podpisy nie zawsze są świadomi odpowiedzialności za przetwarzane dane osobowe. W kontekście cyberprzestępczości, szpiegostwa cyfrowego czy wykorzystywania danych osobowych do ataków na instytucje demokratyczne – w tym kradzieży danych indywidualnych - należy zwrócić uwagę na zapewnienie obywatelom odpowiednich narzędzi umożliwiających realne dysponowanie i zarządzanie swoimi danymi w sieci. Tymczasem brak jest regulacji w zakresie zgłaszania i popierania projektów budżetu obywatelskiego drogą elektroniczną” – czytamy w wystąpieniu prezesa UODO.

Wróblewski proponuje określenie minimalnych, jednolitych kryteriów, jakie powinny spełniać platformy informatyczne dopuszczone do przeprowadzania głosowań w budżecie obywatelskim. Rozwiązania te powinny w pełni respektować przepisy RODO – w szczególności zasadę minimalizacji danych i transparentności – a także krajowe i unijne regulacje z zakresu cyberbezpieczeństwa i tożsamości cyfrowej, takie jak dyrektywa NIS2 czy rozporządzenie eIDAS2.

„Zastosowane rozwiązania powinny spełniać wymagania minimalizacji przetwarzania danych osobowych, zapewniać transparentność i weryfikowalność procesu głosowania – w tym jego audyt i weryfikację poprawności liczenia głosów” – podkreślił prezes UODO.

mam/