Czym jest retencja?
Przetwarzanie danych osobowych musi opierać się o zasady określone w art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: RODO). Jest to o tyle istotne, że „zasady” określone w aktach prawnych to klauzule generalne, dość niedookreślone zwroty, z których trudno wywieść konkrety. Można odnieść wrażenie, że przez swoją ogólność są mniej istotnymi przepisami zawartymi w akcie prawnym. W zakresie ochrony danych osobowych tak nie jest. Organ nadzorczy – Prezes UODO często odnosi się do nich w swoich decyzjach, w tym nakładających karę, w ten sposób podkreślając ich znaczenie. Można wskazać, że dalsze szczegółowe przepisy są pewnym doprecyzowaniem, czy egzemplifikacją myśli zawartych w tym ogólnych przepisach.
Administrator musi przestrzegać wszystkich zasad przetwarzania, szczególne znaczenie posiada art 5 ust 1 lit b – ograniczenie celu, który jak wskazuje RODO oznacza, że dane zbierane są w „konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarzane dalej w sposób niezgodny z tymi celami […]; oraz art 5 ust 1 lit e – zasada ograniczenia przechowywania. Definiowana jest ona tak, że „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą”.
Tytułem przykładu warto wskazać decyzję Prezesa UODO z 3.4.2019 r. ZSPU.421.8.2018, Legalis, w której stwierdzono naruszenie w stosunku do burmistrza za niedostosowanie okresu przechowywania danych do JRWA, co stanowiło naruszenie tej zasady. Orzecznictwo, w tym również europejskie odnoszą się do powyższej zasady (wyrok Trybunału Sprawiedliwości z 20.10.2022 r. C-77/21, Legalis).
Szersze omówienie tej zasady zawarto w motywie 39 RODO. Wskazano tam, że „(…) wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu”.
Retencja w prawie wyborczym
Przetwarzanie danych w zakresie wyborów odbywa się zarówno w związku z realizacją przepisów, jak i sytuacji, w których prawo powszechnie obowiązujące wyraźnie nie określa terminów przetwarzania danych.
W tej sytuacji komitet wyborczy powinien przy przetwarzaniu sprawdzić:
- czy istnieje przepis prawa powszechnie obowiązującego i zrealizować jego dyspozycję,
- gdyby takiego przepisu nie było – zastosować się do zasad określonych w RODO i je usunąć po tym, gdy nie będą potrzebne.
W zakresie wskazanego powyżej punktu 1, podstawowymi aktami obecnie regulującymi okres przechowywania danych są kodeks wyborczy, oraz rozporządzenie Ministra Kultury i Dziedzictwa Narodowego w sprawie sposobu przekazywania, przechowywania i udostępniania dokumentów z wyborów.
Artykuł 132 Kodeksu wyborczego (dalej: KodeksWyb) wskazuje, że „Środki finansowe […] – mogą pochodzić wyłącznie z wpłat obywateli polskich mających miejsce stałego zamieszkania na terenie Rzeczypospolitej Polskiej […]”. Sąd Najwyższy wskazuje, że „(…) darowizny na rzecz Partii (komitetu wyborczego) powinny być oznaczone w sposób umożliwiający identyfikację darczyńcy, tj. z podaniem imienia, nazwiska oraz miejsca zamieszkania osoby wpłacającej. Oznaczenie darowizn w taki sposób stanowi realizację zasady jawności źródeł finansowania partii politycznych, sformułowanej w art. 23a ustawy o partiach politycznych i będącej powtórzeniem zasady jawności finansowania partii politycznych sformułowanej w art. 11 ust. 2 Konstytucji Rzeczypospolitej Polskiej. Nieudokumentowanie dokonywania wpłat uniemożliwia bowiem stwierdzenie, że partia (komitet wyborczy) pozyskała w okresie sprawozdawczym środki finansowe wyłącznie ze źródeł dozwolonych. Tym samym brak jest podstaw do przyjęcia, że kwestionowane wpłaty zostały dokonane z zachowaniem wymogów sprawozdawczości”, (post. SN – Izba Kontroli Nadzwyczajnej i Spraw Publicznych z 6.10.2021 r. I NSW 1/21, Legalis).
Z powyższego wynika, że we wskazanym zakresie obowiązek przetwarzania danych dotyczy również okresu sprawozdawczego, a więc dopiero przyjęcie sprawozdania kończy okres przechowywania danych.
Przykładem terminów dokładnie wyznaczonych jest art. 8a KodeksWyb w § 1 mowa jest o obowiązku w przypadku niedokonania zgłoszenia listy kandydatów lub kandydatów kart wykazu podpisów. W § 2 expressiss verbis wskazano, że zniszczenie kart powinno nastąpić nie później niż w ciągu 3 dni po upływie terminu na dokonanie zawiadomienia o utworzeniu komitetu wyborczego albo zgłoszenia listy kandydatów lub kandydata.
Zakładając jednak, że wszystko jest pomyślnie – okres ten wynosi 5 lat, stosownie do art. 8 § 1a KodeksWyb. Dokumenty z wyborów są przechowywane przez okres co najmniej 5 lat.
Jak wskazano wyżej w punkcie 2 komitety wyborcze przetwarzają również dane, Prezes UODO w swoim poradniku Ochrona danych osobowych w kampanii wyborczej poradnik, Warszawa 2023, www.uodo.gov.pl) wskazuje również przykład danych, które nie są wyraźnie określone w przepisach jak np. „lista wolontariuszy wspierających kampanię danego kandydata, dane pozyskiwane z jawnych rejestrów publicznych, dane zgromadzone przez komitety wyborcze podlegają rozwiązaniu”.
W przypadkach wyraźnie nieuregulowanych w prawie do obowiązków administratora należy określenie prawidłowej podstawy prawnej. Sam organ nadzorczy wskazuje, że są to dwie podstawy:
- zgoda,
- prawnie uzasadniony interes administratora.
To istotna konstatacja – opierając się na zgodzie – należy bowiem pamiętać, nie tylko o celu na jaki zgoda została wydana, ale i na fakcie, że zgoda może zostać wycofana. W zgodzie zapewne należy wskazać, że dane będą przekazywane odmiennym administratorem. Oparcie się na prawnie uzasadnionym interesie administratora, że należy przeprowadzić „test równowagi” a więc tak aby administrator był w stanie przedstawić dokument, w którym rzetelnie udowodnił sobie, że interes administratora jest istotniejszy niż prawa i wolności podmiotów danych. W drugim przypadku – zgoda w ogóle nie wchodzi w grę.
Wybranie określonej podstawy przetwarzania może dalej implikować okres przetwarzania – w przypadku zgody może on być krótszy niż w przypadku wycofania zgody. Wyraźnie należy wskazać, że w takiej sytuacji administrator odpowiedzi powinien poszukiwać wyłącznie w RODO oraz w przyjętych na tej podstawie dokumentach. W Polityce bezpieczeństwa wyraźnie należy wskazać kilka artykułów lub osobny załącznik – politykę retencji, w której administrator określa sposób liczenia terminów, sposoby niszczenia danych, itd.
Myśląc o retencji warto również przemyśleć realizację praw osób fizycznych – podmioty danych – mogą chcieć realizować swoje prawa, w tym np. prawo do bycia zapomnianym. Usunięcie danych nie zawsze będzie możliwe, w każdym przypadku należy jednak poinformować o skuteczności realizacji określonego prawa oraz rzetelnie udzielać informacji.
Obowiązkowo należy ująć w określonym dokumencie wszystkie kategorie danych oraz sposób liczenia terminów itd. W tym celu należy wyraźnie krok po kroku:
- sprawdzić cel zbierania określonych danych, (czy chodzi o listę wyborców, dokumenty finansowe, czy wyłącznie rejestrację komitetu, lub informację o pracownikach i współpracownikach);
- ustalić stan prawny, (czy reguluje przepisy prawa powszechnie obowiązującego, czy nie. Jeżeli nie – należy bezpośrednio stosować przepisy RODO);
- zapewnić środki techniczne gwarantujące bezpieczeństwo danych;
- przemyśleć zasady (wszystkie) przetwarzania danych.
- zapewnić realizację praw i obowiązków podmiotów danych
– to ostatnie również znacząco może wpływać na okres przetwarzania danych.