Zasady dotyczące ochrony danych osobowych, określane mianem tzw. zasad integralności i poufności, określone zostały w art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1) – dalej RODO. Zgodnie z tym przepisem, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Konkretyzacja tej zasady zawarta została w art. 32 ust. 1 RODO. Wedle tego przepisu, administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Czytaj też: Dane osób finansujących kandydatów w wyborach nie są tajne

Katalog środków ochrony

Jednocześnie, w ww. przepisie ustawodawca wymienia przykładowy katalog środków służących ochronie danych osobowych:

- pseudonimizację i szyfrowanie danych osobowych;

- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ochrona danych osobowych w sektorze publicznym

Mirosław Gumularz

Sprawdź  

W efekcie, należy stwierdzić, że na gruncie RODO nie wskazuje się konkretnie środków jakie administrator powinien podjąć w danej sytuacji celem ochrony przetwarzanych przez siebie danych osobowych. Ustawodawca unijny wskazuje jedynie przykładowy katalog tych środków, stanowiąc zarazem, że środki służące do ochrony danych osobowych powinny być adekwatne przede wszystkim do stopnia ryzyka i prawdopodobieństwa naruszenia praw lub wolności osób fizycznych. Ponadto, rozważając stosowanie konkretnych środków służących ochronie danych osobowych, administrator powinien także brać pod uwagę koszt wdrożenia tych środków, zwłaszcza mając na uwadze w/w prawdopodobieństwo naruszeń.

Przechowywanie dokumentacji

W mojej ocenie, ochrona danych osobowych zawartych na listach poparcia dla kandydatów w wyborach, także w wyborach o których mowa w art. 1 pkt 4 i 5 Kodeksu wyborczego, powinna polegać w szczególności na:

- przechowywaniu dokumentacji zawierającej dane osobowe w zamkniętym pomieszczeniu, do którego dostęp mają tylko upoważnione osoby;

- zachowaniu w tajemnicy względem osób trzecich miejsca przechowywania tej dokumentacji;

- zapewnieniu odpowiednich warunków przechowywania dokumentacji, tj. uniemożliwiających przypadkowe uszkodzenie lub zniszczenie tych dokumentów.

Ponadto, z wyrażonej na gruncie RODO zasady rozliczalności (art. 5 ust. 2 RODO) wynika, że administrator powinien być w stanie wykazać, że wywiązuje się z realizacji zasady integralności i poufności danych osobowych. Innymi słowy, przenosząc powyższe na kanwę przedstawionego stanu faktycznego, administrator powinien być w stanie wykazać, że należycie zabezpieczył dane osobowe osób, zawarte w listach poparcia dla kandydatów w wyborach, zgodnie z art. 5 i 32 RODO.

Czytaj też: Wyborca oddający głos nie może być nagrany