Przetwarzanie danych osobowych w Budżecie Obywatelskim to temat, który budzi wiele wątpliwości. Jakie dane można zbierać? Jak długo przechowywać? Co z wnioskodawcami? Przedstawiamy praktyczny przewodnik.

Jakie dane przetwarzamy w BO?

Dane wnioskodawców:

  • Imię i nazwisko
  • Adres zamieszkania
  • Email, telefon
  • PESEL (do weryfikacji)

Dane głosujących:

  • Imię i nazwisko
  • PESEL (do weryfikacji)
  • Adres (dzielnica głosowania)
  • Oddane głosy

Dane publiczne (nie są danymi osobowymi):

  • Treść projektów (bez danych kontaktowych)
  • Wyniki głosowania (zbiorcze)
  • Statystyki demograficzne (zanonimizowane)

Podstawa prawna przetwarzania

Art. 6 ust. 1 lit. e RODO

“Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.”

To jest główna podstawa - BO to zadanie publiczne gminy.

Art. 6 ust. 1 lit. c RODO

Obowiązek prawny (dla miast na prawach powiatu, gdzie BO jest obowiązkowe).

Zgoda NIE jest potrzebna

Nie zbieraj zgód na przetwarzanie - wystarczy podstawa z art. 6 ust. 1 lit. e.

Obowiązek informacyjny

Kiedy informować?

  • Przy zgłaszaniu projektu
  • Przy głosowaniu
  • W regulaminie BO

Co musi zawierać klauzula?

Administrator: [Gmina XYZ]
Cel: Przeprowadzenie Budżetu Obywatelskiego
Podstawa: Art. 6 ust. 1 lit. e RODO
Okres przechowywania: [X lat od zakończenia edycji]
Prawa: dostęp, sprostowanie, ograniczenie, sprzeciw
Kontakt: IOD - [email]

Okresy przechowywania

Rodzaj danychOkresUzasadnienie
Dane głosujących5 latOkres przedawnienia
Dane wnioskodawcówDo zakończenia realizacji + 5 latGwarancja, roszczenia
Wyniki (zanonimizowane)BezterminowoArchiwum
Logi systemowe1 rokBezpieczeństwo

Prawa osób, których dane dotyczą

Prawo dostępu (art. 15)

Mieszkaniec może zapytać, jakie dane przetwarzamy.

Prawo do sprostowania (art. 16)

Można żądać poprawienia błędnych danych.

Prawo do ograniczenia (art. 18)

W określonych sytuacjach można żądać ograniczenia przetwarzania.

Prawo do sprzeciwu (art. 21)

Można wnieść sprzeciw wobec przetwarzania (ale nie wstrzymuje to głosowania).

Czego NIE można żądać:

  • Usunięcia danych podczas trwania BO (uniemożliwiłoby weryfikację)
  • Usunięcia głosu po zakończeniu głosowania

Bezpieczeństwo danych

Wymagane środki techniczne:

  • Szyfrowanie transmisji (HTTPS)
  • Szyfrowanie bazy danych
  • Kontrola dostępu (role, uprawnienia)
  • Logi dostępu
  • Backup

Wymagane środki organizacyjne:

  • Polityka bezpieczeństwa
  • Szkolenia pracowników
  • Umowy powierzenia z dostawcami
  • Procedury naruszeń

Umowa powierzenia (z dostawcą systemu)

Jeśli korzystasz z zewnętrznego systemu BO, wymagana jest umowa powierzenia (art. 28 RODO):

  • Przedmiot i czas przetwarzania
  • Rodzaj danych i kategorie osób
  • Obowiązki i prawa administratora
  • Gwarancje bezpieczeństwa procesora

Naruszenia ochrony danych

Co robić w przypadku naruszenia?

  1. 72h - zgłoszenie do UODO (jeśli ryzyko dla osób)
  2. Bez zbędnej zwłoki - powiadomienie osób (jeśli wysokie ryzyko)
  3. Dokumentacja - rejestr naruszeń

Kary:

  • Do 20 mln EUR lub 4% obrotu
  • Dla podmiotów publicznych: upomnienie, nakaz

Podsumowanie

RODO w BO:

  • Podstawa: interes publiczny (art. 6 ust. 1 lit. e)
  • Obowiązek informacyjny: zawsze
  • Zgoda: niepotrzebna
  • Przechowywanie: max 5 lat od zakończenia edycji

Sprawdź zgodność z RODO w ARDVote →

Powiązane artykuły