Nie ma podstaw prawnych do udostępniania w oświadczeniach majątkowych danych w zakresie szerszym niż wynikający z przepisów ustaw: o samorządzie gminnym, o samorządzie powiatowym oraz o samorządzie województwa – wskazał Urząd Ochrony Danych Osobowych. Według UODO, odpowiedzialny za przestrzeganie RODO w tym zakresie jest podmiot publikujący oświadczenia majątkowe w BIP.
Urząd Ochrony Danych Osobowych zwrócił uwagę, że często w jednostkach samorządu terytorialnego osoby zobligowane do złożenia oświadczenia majątkowego w jawnej części A podają dane wykraczające poza ustawowy katalog. Wpisują tam np.: numer rachunku bankowego, numer rejestracyjny pojazdu, wysokość dochodów współmałżonka, mienie należące do współmałżonka, numery ksiąg wieczystych. Według UODO takie dane nie powinny zostać opublikowane.
„Skoro przepisy ustaw: o samorządzie gminnym, o samorządzie powiatowym oraz o samorządzie województwa określają zakres informacji, jakie osoby zobowiązane do złożenia oświadczeń majątkowych zobowiązane są zawrzeć w tym dokumencie, to nie ma podstaw prawnych do udostępniania danych w zakresie szerszym niż wynikający z tych przepisów” – wskazał UODO.
W informacji zwrócono też uwagę, że nad przestrzeganiem przepisów RODO powinien czuwać z podmiot zobowiązany do publikacji oświadczenia majątkowego w Biuletynie Informacji Publicznej.
„Podmiot zobowiązany do przyjęcia i publikacji oświadczenia majątkowego w BIP jako administrator danych w rozumieniu art. 4 pkt 7 RODO musi czuwać nad tym, aby realizacja obowiązku publikacji przebiegała w sposób prawidłowy, tj. zgodny z zasadami ochrony danych osobowych, m.in. legalizmu (art. 5 ust. 1 lit. a w zw. z art. 6 ust. 1 lit. c) oraz minimalizacji danych (art. 5 ust.1 lit. c RODO)” – wyjaśnił UODO.
Urząd przywołał też wyrok Trybunału Sprawiedliwości UE z 11 stycznia 2024 r. w sprawie C-252/21 Étatbelgeprzeciwko Autoritéde protectiondes données podkreślający odpowiedzialność administratora za dane, które publikuje (pkt 17, 32 i 52 wyroku).
UODO zaleca również wprowadzenie rozwiązań minimalizujących wykryte ryzyka związane z przetwarzaniem danych osobowych. Chodzi o szkolenia dotyczących poprawnego wypełniania oświadczeń majątkowych, wprowadzenie procesów anonimizacji danych oraz prowadzenie wewnętrznych audytów i kontroli związanych z przetwarzaniem danych. Zaznaczono, że proponowane rozwiązania powinny być prowadzone przy wsparciu inspektora ochrony danych, do którego należy m.in. monitorowanie stosowania RODO u danego administratora oraz prowadzenie działań zwiększających świadomość w obszarze ochrony danych osobowych.
mr/