Petycja, podobnie jak instytucja skargi i wniosku przewidziana w k.p.a. czy wniosek o udostępnienie informacji publicznej, stanowi narzędzie mające urzeczywistniać społeczeństwo obywatelskie. Cieszy się ona coraz większym zainteresowaniem ze strony społeczeństwa, które wykorzystując petycję, stara się mobilizować władze publiczną do określonego działania.

Ogólne kwestie związane z petycjami i zasadami ich wnoszenia zostały omówione w artykule Martyny Bójko i Pauli Kłucińskiej – Petycje. Czy na wnioskodawcy, zbierającym podpisy poparcia i składającym petycję, spoczywają obowiązki związane z ochroną danych osobowych? Temu zagadnieniu, a konkretniej ochronie danych osobowych w kontekście petycji, chcę się przyjrzeć w tym artykule.

Petycja – czym jest i kto ją wnosi?

Najogólniej petycją można nazwać żądanie dotyczące zmiany przepisów lub podjęcia innych działań przez organ władzy publicznej, organizacje lub instytucje w związku z wykonywaniem przez nią zadań zleconych z zakresu administracji publicznej (dalej: „adresat petycji”), złożone w formie pisemnej lub za pośrednictwem środków komunikacji elektronicznej, w tym za pomocą e-maila.

Pytanie, kto wnosi petycję, ma istotne znaczenie z perspektywy ustawy o petycjach[1], ale również RODO[2]. Już w tym miejscu warto podkreślić, że kwestia przetwarzania danych osobowych, a w konsekwencji konieczność ich ochrony, pojawia się przede wszystkim w sytuacji, gdy w czasie powstawania petycji pojawią się nie tylko dane wnioskodawcy, ale też dane innych osób – przede wszystkim tych, które ją popierają. Należy zatem stanowczo odróżnić wnioskodawcę od osoby, która nie będąc wnioskodawcą, podaje swoje dane, aby wyrazić poparcie dla danej inicjatywy.

Zgodnie z art. 2 ustawy o petycjach, petycja może być złożona przez osobę fizyczną, osobę prawną, jednostkę organizacyjną niebędącą osobą prawną lub grupę tych podmiotów. Będzie to zatem osoba, która decyduje się na sporządzenie petycji i przekazanie jej do odpowiedniego adresata (dalej zwana „wnioskodawcą”). W stosunku do wnioskodawcy ustawodawca wprost wskazał, jakie dane osobowe powinien on podać w petycji. Są to:

• oznaczenie podmiotu wnoszącego petycję, a gdy jest to grupa podmiotów, to należy wskazać oznaczenie każdego z tych podmiotów oraz osobę reprezentującą podmiot wnoszący petycję – oznaczenie takie powinno polegać na wskazaniu imienia lub nazwiska albo firmy (nazwy) wnioskodawcy;
• wskazanie miejsca zamieszkania albo siedziby wnioskodawcy oraz adresu do korespondencji, a w przypadku grupy podmiotów – miejsce zamieszkania lub siedzibę każdego z tych podmiotów;

Ważne! Miejscem zamieszkania osoby fizycznej jest miejscowość, w której przebywa ona z zamiarem stałego pobytu (art. 25 k.c.), a nie konkretny adres.

• oznaczenie adresata petycji;
• wskazanie przedmiotu petycji;
• podpis wnioskodawcy, a w przypadku grupy podmiotów, osoby reprezentującej wnioskodawcę, jeżeli petycja jest wnoszona w formie pisemnej. Podpisu nie wymaga petycja składana za pośrednictwem środków komunikacji elektronicznej, co nie wyklucza możliwości opatrzenia jej kwalifikowanym podpisem elektronicznym;
• adres poczty elektronicznej wnioskodawcy, jeżeli petycja jest składana za pomocą środków komunikacji elektronicznej.

Wnioskodawca może zawrzeć też w petycji zgodę na ujawnienie jego danych na stronie internetowej podmiotu rozpatrującego petycję.

Jak widać, ustawodawca nie pozostawia wątpliwości, jakie dane wnioskodawcy powinny znaleźć się w petycji. Oznacza to, że należy unikać podawania szczegółowszych danych, zwłaszcza takich jak numer PESEL czy numer dowodu osobistego. Administratorem danych wnioskodawcy czy wnioskodawców jest adresat petycji. Powinien on spełnić wobec takiego wnioskodawcy obowiązek informacyjny, wskazując m.in. cele i podstawy przetwarzania danych, którymi w tym przypadku będzie realizacja obowiązku prawnego wynikającego z ustawy o petycjach (art. 6 ust. 1 lit. c RODO w związku z ustawą o petycjach).

Wskazane przepisy nie wyczerpują jednak problematyki danych osobowych gromadzonych w związku z petycjami.

Głosy poparcia

Jak już sygnalizowałem, wnioskodawca nie zawsze jest jedynym podmiotem, którego dane osobowe pojawiają się w związku ze składaniem petycji. Wynika to z tego, że powszechną praktyką jest zbieranie tzw. głosów poparcia, które mają wskazać adresatowi petycji, że konkretne zagadnienie jest ważne nie tylko dla wnioskodawcy, ale też szerszego grona adresatów.

Przykład: Fundacja Kochamy Drzewa sporządziła petycję o odstąpienie przez Prezydenta m.st. Warszawy od wycinki stuletniego dębu. Wolontariusze fundacji chodzili po Warszawie z listami, na których zbierali głosy poparcia dla tej inicjatywy. Dostępny był też elektroniczny formularz do wyrażania poparcia. Zebrano 5.000 podpisów. W takim przypadku wnioskodawcą jest Fundacja Kochamy Drzewa, nie zaś osoby, które podpisały się na listach poparcia czy przekazały poparcie przez formularz.

W praktyce ochrona danych osobowych – z perspektywy wnioskodawcy – dotyczy głównie właśnie tych osób, które podają swoje dane, wyrażając poparcie dla treści petycji.

Należy pamiętać, że zbieranie głosów poparcia i przedstawianie list z tymi głosami, nie jest prawnie unormowane. Ustawa o petycjach nie różnicuje rangi ani sposobu rozpoznania petycji ze względu na liczbę złożonych pod nią podpisów. Tym samym przedłożenie list poparcia dla petycji ma charakter pozaprawnego środka oddziaływania na jej adresata, poprzez wskazanie, że dane zagadnienie cieszy się szczególnym zainteresowaniem społeczności.

Świadomość tego musi nam przyświecać przy ocenie zasad ochrony danych osób, które podpisują się pod petycją. Przede wszystkim, skoro ustawa o petycjach nie wymaga przedłożenia głosów poparcia, powstaje pytanie, czy w ogóle można pozyskiwać takie głosy, czy zastosowanie do tego znajdą przepisy RODO, kto będzie administratorem tych danych i jak kształtują się zasady ich przetwarzania? Pora zatem odpowiedzieć na te pytania.

1. Czy zbieranie danych osób, które popierają petycję, wymaga przestrzegania RODO?

Tak. Zakres spraw, do których stosuje się przepisy RODO, określony został w art. 2 tego aktu. Należy założyć, że przetwarzanie danych osób, które popierają petycję, odbywać się będzie w sposób chociaż częściowo zautomatyzowany, np. z wykorzystaniem komputera, formularza internetowego. To zaś powoduje, że przetwarzanie takie podlega przepisom RODO.

W przypadku zbierania poparcia dla petycji nie znajdzie też zastosowania żadne z wyłączeń stosowania tego aktu, które przewidziane są w art. 2 ust 2. Szczególne znaczenie ma w tym przypadku wyłączenie stosowania RODO do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

Wskazane wyłączenie może mieć zastosowanie tylko do przetwarzania danych przez osoby fizyczne. Z góry więc wiadomo, że nie mogą korzystać z niego organizacje społeczne ani przedsiębiorcy. Ponadto, działalność czysto osobista lub domowa to taka, która pozostaje bez związku z działalnością zawodową lub handlową, ale też z działalnością mającą wymiar społeczny[3].  Prawodawca unijny jako przykład takiej działalności podaje prowadzenie korespondencji i przechowywanie adresów, podtrzymywanie więzi oraz działalność internetową podejmowaną w ramach tej działalności (zob. motyw 18 RODO). Przyjmuje się, że wyłączenie to nie ma zastosowania, gdy przetwarzanie danych rozciąga się choćby częściowo na przestrzeń publiczną i skierowane jest poza sferę prywatną osoby dokonującej w ten sposób przetwarzania danych[4]. Powyższe prowadzi do wniosku, że gromadzenie danych osób popierających petycję, co do zasady, nie będzie mogło zostać uznane za wyłączone spod regulacji RODO.

2. Czy zbieranie głosów poparcia jest przetwarzaniem danych osobowych?

Co do zasady tak. Odpowiedź na to pytanie wymaga pochylenia się nad znaczeniem „danych osobowych” oraz „przetwarzania”.

Danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO). Osobą fizyczną jest człowiek od momentu narodzenia do chwili śmierci. Osobą zidentyfikowaną jest taka, której tożsamość jest znana administratorowi danych (wnioskodawcy), zaś możliwą do zidentyfikowana taka, która może być bezpośrednio lub pośrednio zidentyfikowana przez administratora, np. w oparciu o imię i nazwisko, numer identyfikacyjny.

Przykład:

1. Fundacja Kochamy Drzewa zbiera podpisy pod swoją petycją wśród swoich wolontariuszy. Petycję podpisuje Adam Drzewek. Jest on dla fundacji osobą zidentyfikowaną.
2. Fundacja Kochamy Drzewa zbiera podpisy pod swoją petycją na Uniwersytecie Drzewiastym. Jest do tego przygotowana odrębna lista, na której podpisuje się m.in. Marta Drzewka. Chociaż osoba ta nie jest dla fundacji osobą zidentyfikowaną, to w oparciu o jej imię i nazwisko oraz fakt, że podpisała petycję na Uniwersytecie Drzewiastym, fundacja jest w stanie ją zidentyfikować.

Wątpliwości budzi, czy za dane osobowe mogą być uznane popularne imiona i nazwiska, np. Jan Kowalski, Anna Nowak. Gdyby uznać, że administrator na podstawie takiego imienia i nazwiska nie jest w stanie zidentyfikować osoby, która się nim posługuje, to nie mielibyśmy do czynienia z danymi osobowymi, a tym samym nie stosowałoby się w tym zakresie RODO. Trzeba jednak każdorazowo uwzględnić całokształt okoliczności. Jeżeli bowiem dane pozyskiwane są w bezpośrednim kontakcie z osobą, która wskazuje te dane, to zwykle będzie to osoba zidentyfikowana z perspektywy administratora albo możliwa do identyfikacji. Takie też założenie przyświeca mi w dalszej części artykułu.

Przetwarzaniem jest każda operacja wykonywana na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, m.in. ich zbieranie, utrwalania, przechowywanie, wykorzystywanie czy ujawnianie (por. art. 4 pkt 2 RODO). Niewątpliwie zbieranie głosów poparcia pod petycją, ich przechowywanie i przekazywanie do adresata tego aktu, będzie spełniało kryteria takiego przetwarzania.

Z racji powyższego zbieranie głosów poparcia dla petycji, w ramach którego pozyskiwane będą dane osobowe, stanowi przetwarzanie tych danych, do którego stosuje się przepisy RODO.

3. Kto jest administratorem danych osób popierających petycję?

W procesie obiegu petycji danymi osobowymi osób, które popierają petycję, administrować będą co najmniej dwa podmioty. Po pierwsze, administratorem będzie wnioskodawca. Po drugie, po wniesieniu petycji danymi osoby, której dane znajdą się na liście poparcia, administrować będzie adresat petycji. Z perspektywy artykułu istotne jest administrowanie danymi przez pierwszy z tych podmiotów.

Administratorem danych jest osoba fizyczna, prawna lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych. Taką osobą jest niewątpliwie wnioskodawca, który określa cele pozyskiwania danych od osób, które chcą poprzeć sporządzoną przez niego petycję. Decyduje on też o sposobie przetwarzania tych danych, np. zbierając głosy poparcia przez dedykowany formularz internetowy lub w formie tradycyjnej.

Jeżeli wnioskodawcą jest pojedyncza osoba – fizyczna lub prawna, zidentyfikowanie administratora nie sprawia trudności (będzie to po prostu konkretny wnioskodawca). Pewne wątpliwości budzi kwestia zdefiniowania administratora, gdy wnioskodawcą jest grupa podmiotów, np. grupa rodziców, która zbiera podpisy pod petycją w szkole. W takim przypadku wydaje się, że najzasadniejsze jest przyjęcie, że każdy z członków tej grupy (wnioskodawcy) jest współadministratorem danych.

Przykład:

1. Gdy wnioskodawcą jest Fundacja Kochamy Drzewa, administratorem danych jest właśnie ta fundacja.
2. Gdy wnioskodawcą jest grupa rodziców – Anna Nowak, Grzegorz Kowalski, Dariusz Kruk, to mamy do czynienia ze współadministratorami – Anną Nowak, Grzegorzem Kowalskim, Dariuszem Krukiem.

Warto podkreślić, że status administratora danych wynika z okoliczności faktycznych – decydowania o celach i sposobach przetwarzania danych. Nie ma w tym kontekście znaczenia, czy status ten został w jakikolwiek sposób sformalizowany. Nie ma też możliwości, aby scedować go na inną osobę.

Przykład: Anna Kowalska zbiera głosy poparcia pod petycją o częstsze przeprowadzanie akcji deratyzacyjnych na terenie Wrocławia. Zdecydowała ona, że będzie oczekiwała od osób popierających petycję podania imienia, nazwiska, miejsca zamieszkania. Głosy poparcia zbiera przez formularz internetowy. Nie chce ona jednak być administratorem danych, bo boi się ciążących na niej obowiązków. Postanowiła więc, że przekaże rolę administratora danych swojemu bratankowi – Rudolfowi Nowakowi. Takie zachowanie jest nieprawidłowe i prawnie nieskuteczne. Wszelkie obowiązki związane ze statusem administratora i konsekwencje w razie naruszenia przepisów nadal obciążać będą Annę.

Następstwem bycia administratorem danych jest szereg obowiązków, które z funkcją tą wiąże RODO. Do podstawowych z nich należy: właściwe określenie celów przetwarzania i zakresu pozyskiwanych danych osobowych, oparcie przetwarzania na właściwej podstawie prawnej, informowanie osób, których dane dotyczą, o fakcie i zasadach przetwarzania danych osobowych.

4. Jaki jest cel i podstawa prawna przetwarzania danych osób popierających petycję?

Podstawą przetwarzania takich danych będzie art. 6 ust. 1 lit. a RODO, czyli zgoda osoby, której dane dotyczą. Podstawowym celem przetwarzania będzie zaś uzyskanie poparcia dla treści petycji i przekazania informacji o tym jej adresatowi.

Pierwotnym obowiązkiem administratora danych jest ustalenie, w jakim celu zamierza on przetwarzać dane osobowe. Następnie powinien dopasować zakres wymaganych danych do tego celu i poinformować o nim osoby, których dane dotyczą (w tym przypadku – osoby popierające petycję). Ustalony cel (cele) przetwarzania danych musi być konkretny, wyraźny i prawnie uzasadniony, co wynika wprost z art. 5 lit. b RODO.

W przypadku zbierania danych na listach poparcia dla petycji, celem przetwarzania będzie przedłożenie takich list poparcia adresatowi petycji. Przetwarzanie danych w tym celu powinno być oparte na zgodzie osoby, która popiera petycję, czyli na art. 6 ust. 1 lit. a RODO. Stanowczo należy odrzucić, pojawiające się czasami we wpisach internetowych, pomysły oparcia takiego przetwarzania na art. 6 ust. 1 lit. c RODO, czyli obowiązku prawnym obciążającym administratora. Poglądy takie nie dostrzegają różnicy pomiędzy wnioskodawcą a podmiotem popierającym petycję, jak też nie uwzględniają tego, że żaden z przepisów ustawy nie nakłada obowiązku prawnego pozyskania głosów poparcia dla petycji.

Może się jednak zdarzyć – i częstokroć ma to miejsce – że autor petycji będzie chciał przetwarzać dane osób, które zdecydują się poprzeć jego inicjatywę, również w innych celach, np. w celu informowania takich osób o innych swoich działaniach w formie newsletteru. Działanie takie jest możliwe, jednak stanowi odrębny cel przetwarzania danych osobowych, o czym wyraźnie trzeba poinformować osobę, której dane dotyczą. Na przetwarzanie danych w tym celu osoba popierająca petycję powinna wyrazić odrębną zgodę – chyba że w konkretnym przypadku możliwe będzie skorzystanie z innej przesłanki legalizującej przetwarzanie, o których mowa w art. 6 ust. 1 RODO.

5. Jakie dane osobowe można pozyskiwać od osoby popierającej petycję?

Według mnie uzasadniony katalog danych to imię, nazwisko, a w przypadku tradycyjnych list poparcia – podpis takiej osoby. W przypadku inicjatyw miejscowych, w których istotne jest poparcie członków lokalnej społeczności, uzasadnione będzie też zebranie danych w zakresie miejsca zamieszkania osoby popierającej inicjatywę (miejscowości).

Zakres danych, które administrator zbiera od osoby popierającej petycję, musi być adekwatny, stosowny i ograniczony do tego, co niezbędne do realizacji tychże celów (art. 5 lit. c RODO). Oznacza to, że niedozwolone jest zbieranie danych osobowych nadmiarowych, tj. takich, które są zbędne dla danego celu przetwarzania danych, jak też zbieranie danych „na zapas”[5].

Oceniając zakres danych, które może zbierać wnioskodawca, należy mieć na uwadze, że brak jest regulacji ustawowej czyniącej listy poparcia bardziej lub mniej wiarygodnymi czy ważnymi ze względu na zakres zawartych w nich danych. Jednocześnie żaden przepis ustawowy nie upoważnia adresata opinii do badania głosów poparcia pod kątem ich autentyczności, czy też wiązania ich z innymi danymi.

Dlatego zakres danych zbieranych na listach poparcia powinien być ograniczony do imienia i nazwiska. W konkretnych okolicznościach uzasadnione może być zbieranie podpisu i miejscowości (miejsca zamieszkania osoby fizycznej). Z kolei trudno sobie wyobrazić sytuacje uzasadniające zbieranie w ww. celu np. numeru PESEL, numeru dowodu osobistego, adresu zamieszkania itd.

Powyższy zakres danych może być rozszerzony, jeżeli administrator postanowił przetwarzać dane osobowe również w innych celach, np. w celu wskazanej już wysyłki newsletteru. W takim przypadku uzasadnione będzie pozyskiwanie od osób, których dane dotyczą, adresu e-mail. Oczywiście podanie takiego adresu powinno być dobrowolne i administrator nie powinien uzależniać możliwości podpisania petycji od podania adresu e-mail w celu wysyłki takiego biuletynu.

Przykład: Fundacja Kochamy Drzewa przewidziała w formularzu poparcia petycji obligatoryjne pole na wpisanie imienia i nazwiska. Uzupełnienie tego pola oznacza, że osoba wpisująca swoje dane zgadza się na ich przetwarzanie w celu przekazania informacji o głosie poparcia dla petycji do jej adresata. Dodatkowo przewidziane jest też fakultatywne pole na wpisanie adresu e-mail, które przeznaczone jest dla osób wyrażających zgodę na otrzymywanie newsletteru.

Jeżeli administrator postanowi zbierać dane w różnych celach, to powinien pamiętać, że adresatowi petycji mogą być przekazane tylko te dane, które zostały przez administratora uznane za niezbędne do tego celu. Nie należy przekazywać w takim przypadku danych, które pozyskane zostały do realizacji innego celu – dane te, jeżeli zbierane są np. na jednym formularzu, powinny zostać zanonimizowane przed przekazaniem go do adresata petycji.

Ważne! Dane osób popierających petycję nie mogą być publikowane przez organ w Biuletynie Informacji Publicznej. Ustawa o petycjach przewiduje możliwość wyrażenia zgody na opublikowanie na stronie internetowej adresata petycji jedynie danych wnioskodawcy (jeżeli wyraził na to zgodę). Podmioty popierające petycję nie są wnioskodawcą, a tym samym brak jest podstaw do ujawniania ich danych przez takiego adresata petycji.

6. Jak powinna wyglądać zgoda na przetwarzanie danych?

Zgoda może być wyrażona w dowolnej formie – np. wybierając checkbox, zakreślając odpowiednie pole, ale też przez wyraźne działanie potwierdzające, np. wpisanie swoich danych na formularzu, w którym wyraźnie wskazane będzie, że ich podanie oznacza zgodę na przetwarzanie w konkretnym celu.

Administrator musi mieć możliwość wykazania, że dana osoba zgodziła się na przetwarzanie jej danych w określonym celu, a obowiązek ten trwa co najmniej przez okres, w którym administrator przetwarza dane.

Z tego powodu istotne jest, aby w przypadku zbierania zgód na przetwarzanie danych osobowych w kilku celach, zgoda była wyrażana osobno dla każdego z nich. Niedopuszczalne jest wykorzystanie zgody zbiorczej, jak też domniemywanie istnienia zgody albo jej rozszerzające interpretowanie.

Przykład: Fundacja Kochamy Drzewa w formularzu do zbierania petycji, w którym znajdują się pola na wpisanie imienia, nazwiska, adresu e-mail oraz na podpis, wskazała, że podanie tych danych oznacza zgodę na ich przetwarzanie przez fundację. Taka zgoda nie jest prawidłowa.

Konstruując zgodę na przetwarzanie danych osobowych, administrator musi pamiętać o tym, aby była ona:

• dobrowolna – osoba, która wyraża zgodę, musi mieć możliwość wolnego wyboru. Niedopuszczalne jest więc np. wymuszanie na uczniach podpisania petycji przez nauczyciela pod rygorem negatywnej oceny z zachowania itd.;
• konkretna – zgoda musi dotyczyć konkretnego celu przetwarzania danych osobowych. Celów tych nie wolno interpretować w sposób rozszerzający;
• świadoma – administrator musi poinformować osobę, która udziela zgody o tym, kto i w jakim celu będzie przetwarzał jej dane osobowe, przez jaki okres itd. Udzielający zgody musi bowiem być świadomy, na co się zgadza;
• jednoznaczna – zgody nie można domniemywać, fakt jej udzielenia nie powinien budzić wątpliwości. Jeżeli więc np. osoba popierająca petycję wpisze swoje imię i nazwisko na listę poparcia, ale następnie przekreśli swoje dane, należy przyjąć, że nie wyraża ona zgody na ich przetwarzanie.

Przykładowa zgoda na przetwarzanie danych:

1. Zgadzam się na przetwarzanie mojego imienia i nazwiska przez Fundację Kochamy Drzewa w celu przekazania informacji o popieraniu przeze mnie petycji o rezygnację z wycinania 100-letniego dębu znajdującego się przy ul. Drzewiastej w Warszawie, adresatowi tej petycji, tj. Prezydentowi m.st. Warszawy. Wiem, że mogę wycofać zgodę w dowolnym momencie, co pozostanie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
2. Zgadzam się na przetwarzanie mojego imienia i adresu e-mail przez Fundację Drzewo&Ziemia w celu przesyłania przez ww. za pośrednictwem poczty elektronicznej informacji dotyczących działalności Fundacji (newsletteru). Wiem, że mogę wycofać zgodę w dowolnym momencie, co nie wpłynie na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

Treść zgody powinna być umieszczona w formularzu papierowym lub elektronicznym w taki sposób, aby podmiot, który wpisuje swoje dane, mógł się z nią w pełni zapoznać.

Administrator ma obowiązek umożliwić wycofanie zgody osobie, która jej udzieliła, a czynność ta powinna być równie prosta jak udzielenie zgody – najlepiej takim samym kanałem komunikacji.

Przykład:

1. Fundacja Kocham Drzewa zbiera głosy poparcia pod petycją za pomocą dedykowanego formularza internetowego. Wycofanie zgody powinno zatem być równie proste i polegać np. na „odkliknięciu” zgody w systemie, wysłaniu e-maila o jej cofnięciu.c
2. Fundacja Kocham Drzewa zbiera głosy poparcia pod petycją na tradycyjnych, papierowych formularzach. Cofnięcie zgody powinno być możliwe w siedzibie fundacji, korespondencyjnie, a także w drodze elektronicznej, np. przez wiadomość e-mail.

Wycofanie zgody powoduje, że administrator nie może dalej przetwarzać danych osobowych konkretnej osoby w określonym celu. Należy jednak pamiętać, że cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, które zostało dokonane przed jej cofnięciem. Jeżeli więc np. administrator (wnioskodawca) przekazał już listę poparcia wraz z petycją do jej adresata, to działanie takie dokonane przed cofnięciem zgody nie stanowi naruszenia przepisów o ochronie danych osobowych.

7. Obowiązek informacyjny

Wnioskodawca (administrator) zobowiązany jest spełnić wobec osób, których dane pozyskuje (wyrażających poparcie dla petycji) obowiązek informacyjny. Oznacza to, że najpóźniej w momencie pozyskiwania danych powinien on podać takim osobom informacje w zakresie:

• swojej tożsamości i danych kontaktowych – w przypadku administratora będącego osobą fizyczną należy podać imię i nazwisko, dane kontaktowe (np. adres e-mail), a także adres korespondencyjny. Jeżeli administratorem jest osoba prawna, należy wskazać jej firmę (nazwę), adres siedziby, dane rejestrowe (NIP/KRS/REGON), a także dane kontaktowe (np. adres e-mail, numer telefonu);
• danych kontaktowych administratora danych, jeżeli został wyznaczony;
• celów przetwarzania danych osobowych oraz podstawy prawnej przetwarzania – przetwarzanie danych wymaga zasadniczo oparcia tej czynności na jednej z przesłanek legalizujących, o których mowa w art. 6 ust. 1 RODO;
• jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu realizowanego przez administratora lub przez osobę trzecią, administrator powinien wskazać taki prawnie uzasadniony interes – może to być np. ochrona przed roszczeniami;
• informacji o odbiorcach danych osobowych lub kategoriach takich odbiorców, jeżeli istnieją – odbiorcą jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu administrator ujawnia dane osobowe. Będzie więc nim m.in. podmiot przetwarzający, któremu administrator powierza dane do przetwarzania w oparciu o stosowną umowę (lub podobny instrument), np. dostawca chmury, w której przechowywane są dane, dostawca narzędzia do wysyłki newsletteru. Odbiorcą danych w przypadku podmiotów popierających petycję będzie też adresat petycji, któremu taka lista poparcia będzie przekazana.
• informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (…) – gdy takie przekazanie będzie następowało;
• okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
• uprawnień, które przysługują osobie, której dane dotyczą w związku z przetwarzaniem jej danych osobowych, w tym o możliwości wycofania zgody i konsekwencjach takiego działania (o ile podstawą przetwarzania jest zgoda);
• informacji, czy podanie danych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy, oraz czy osoba, której dane dotyczą, jest zobowiązana do podania tych danych i jakie są ewentualne konsekwencje ich niepodania;
• informacji o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – o ile administrator planuje takie czynności.

Realizacja obowiązku informacyjnego polega zwykle na ujęciu ww. informacji w formę klauzuli informacyjnej (wzór klauzuli informacyjnej). Może być ona dołączona do petycji lub formularza zbierania głosów poparcia.

Ważne! Obowiązkiem administratora jest podanie ww. informacji osobie, której dane dotyczą, w taki sposób, aby mogła się ona z nimi zapoznać. Skorzystanie z tej informacji jest prawem, a nie obowiązkiem takiej osoby, a tym samym administrator nie powinien żądać potwierdzenia zapoznania się z klauzulą informacyjną.

Ze względu na obszerność informacji podawanych w ramach obowiązku informacyjnego, powszechnie akceptowalna jest możliwość warstwowego przekazania tych informacji. Zakłada ona, że w pierwszej warstwie, np. na karcie do zbierania głosów poparcia albo bezpośrednio pod formularzem internetowym do wpisywania danych, administrator powinien podać najważniejsze informacje, tj. swoje dane, w tym dane kontaktowe oraz cele przetwarzania. Druga warstwa powinna obejmować już komplet ww. informacji (pełną klauzulę), przy czym może ona znajdować się np. na stronie internetowej, do której link znajdzie się w pierwszej warstwie.

Przykład: Administratorem Twoich danych jest Fundacja Kochamy Drzewa z siedzibą w Warszawie, KRS: 000000000 e-mail: kochamy@drzewa.pl . Przetwarzamy Twoje dane w oparciu o wyrażoną przez Ciebie zgodę, w celu przekazania informacji o popieraniu przez Ciebie petycji jej adresatowi, czyli Prezydentowi m.st. Warszawy. Możesz wycofać swoją zgodę w dowolnym momencie, kontaktując się z Fundacją. Szczegółowe zasady przetwarzania Twoich danych osobowych znajdziesz tutaj [link].

8. Zbieranie głosów poparcia za pomocą portali internetowych

Administrator określa sposoby przetwarzania danych osobowych. Może zdecydować o przetwarzaniu danych za pośrednictwem własnych narzędzi informatycznych czy dedykowanych do tego serwisów internetowych.

Kluczowe w tym zakresie jest dobranie takiego sposobu przetwarzania danych, który zapewni im bezpieczeństwo. Korzystając z podmiotów pośredniczących w pozyskiwaniu danych – np. serwisów umożliwiających tworzenie petycji – należy zwracać uwagę, czy zasady przetwarzania przez nie danych osobowych są przejrzyste, czy posiadają one politykę prywatności itd. Konieczna jest też ocena, czy w danym przypadku administrator takiego portalu nie będzie podmiotem przetwarzającym dane w imieniu wnioskodawcy, a jeżeli tak, to niezbędne będzie zawarcie w tym zakresie stosownej umowy powierzenia.

Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Podmiot taki zasadniczo przetwarza dane na zlecenie administratora – przykładem może być dostawca hostingu, na którym administrator przechowuje dane, biuro kadrowe itd.

W przypadku większości portali do tworzenia petycji, które są dostępne na rynku, nie będziemy mieli do czynienia ze stosunkiem powierzenia danych osobowych. Administratorzy tych stron przetwarzają dane we własnych celach.

Dobierając portal wspierający zbieranie podpisów poparcia, warto też zwrócić uwagę, że część z nich z góry definiuje zakres danych, które wypełnić powinni użytkownicy wyrażający poparcie dla petycji. To zaś może pozostawać w opozycji do zasady minimalizacji danych i zakresu niezbędnych danych przyjętych dla realizacji konkretnego celu przez administratora. Nie można też ograniczać się jedynie do polityki prywatności generowanej przez takie portale – zwykle nie odpowiadają one wymogom RODO. Korzystając z takich serwisów administrator powinien zatem zadbać o to, aby prawidłowo przedstawić informację o zasadach przetwarzania danych osobowych.

Ze względu na powyższe rekomendujemy korzystanie z własnych narzędzi do zbierania podpisów, np. własnego formularza do zbierania głosów za pośrednictwem Internetu. Pozwala to na większą kontrolę nad danymi, zakresem ich pozyskiwania i respektowaniem zasad związanych z ich przechowywaniem.

Powyższe pytania i odpowiedzi nie wyczerpują materii związanej z przetwarzaniem danych osobowych w związku z petycjami. Założeniem artykułu miała być jego praktyczna użyteczność, dlatego zawarte są w nim przykłady i wzory.

Trzeba również pamiętać, że artykuł dotyczy wycinka – moim zdaniem najważniejszych – obowiązków, które obciążają administratora, przy założeniu, że jest to osoba fizyczna lub niewielka organizacja. Poza tymi obowiązkami administrator powinien odpowiednio zabezpieczyć przetwarzane dane osobowe, przeprowadzić analizę ryzyka oraz umożliwić realizacje praw osób, których dane dotyczą.

* Patryk Łuczyński – Członek Sieci Obywatelskiej Watchdog Polska. Specjalista ds. ochrony danych osobowych. Wspiera przedsiębiorców z sektora MŚP oraz organizacje społeczne w kwestiach bezpieczeństwa danych osobowych, w tym wykonując funkcje IOD. Zajmuje się też prawem i postępowaniem administracyjnym. Naukowo skupiony na postępowaniu karnym i tajemnicy zawodowej. Prywatnie opiekun kociej rodziny.

[1] Ustawa z 11.07.2014 r. o petycjach (Dz.U. 2018 poz. 870).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1)

[3] Por. P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 2 RODO.

[4] Wyrok TSUE z 11.12.2014 r. C-212/13, pkt 31 i 33.

[5] Por. A. Nerka, w: Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, art. 5, nb 6.