Rozpatrywanie petycji jest obowiązkiem organów władzy publicznej wynikającym z art. 2 ust. 1 ustawy o petycjach (dalej: u.o.p.). Art. 4 i art. 5 u.o.p. ustanawiają wymogi formalne, które petycja musi spełniać. Art. 4 ust. 2 wśród nich wylicza dane osobowe: 1) oznaczenie podmiotu wnoszącego petycję; jeżeli podmiotem wnoszącym petycję jest grupa podmiotów, w petycji należy wskazać oznaczenie każdego z tych podmiotów oraz osobę reprezentującą podmiot wnoszący petycję; 2) wskazanie miejsca zamieszkania albo siedziby podmiotu wnoszącego petycję oraz adresu do korespondencji; jeżeli podmiotem wnoszącym petycję jest grupa podmiotów, w petycji należy wskazać miejsce zamieszkania lub siedzibę każdego z tych podmiotów. Gdy zaś petycja jest składana w imieniu podmiotu trzeciego, to zgodnie z art. 5 ust. 1, zawiera ona także imię i nazwisko albo nazwę, miejsce zamieszkania albo siedzibę oraz adres do korespondencji lub adres poczty elektronicznej tego podmiotu.
Art. 7 stanowi, że jeżeli petycja nie zawiera danych osobowych wymienionych wyżej, to pozostawia się ją bez rozpoznania, w niektórych wypadkach po zawiadomieniu o potrzebie uzupełnienia pisma.
Mając na uwadze powyższe należy stwierdzić, że organ przetwarza dane osobowe zawarte w petycji na podstawie art. 6 ust. 1 lit. c) RODO, czyli w ramach obowiązku prawnego ciążącego na administratorze. Nie istnieją szczególne przepisy dotyczące ochrony danych osobowych zawartych w petycji w procesie jej rozpoznawania przez organ, więc właściwe jest zachowanie ogólnego reżimu bezpieczeństwa danych wynikającego z RODO. Oznacza to przede wszystkim zwrócenie szczególnej uwagi na zasadę minimalizacji danych, która głosi, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Czyli, jeżeli petycja stanie się przedmiotem dyskusji na sesji rady gminy, to wszystkie dane osobowe w niej zawarte zasadniczo nie powinny być odczytywane, a jeżeli przytoczenie ich jest niezbędne dla omawianej sprawy, to powinny być minimalizowane do stopnia, który najbardziej uniemożliwia zidentyfikowanie osoby fizycznej . Gdy zaś dojdzie do publikowania nagrań obrad rady gminy zgodnie z art. 20 ust. 1b ustawy o samorządzie gminnym (dalej u.s.g.), to wszelkie ujawnione dane osobowe osób fizycznych podlegać będą anonimizacji, przed umieszczeniem nagrania w Biuletynie Informacji Publicznej.
Jeżeli chodzi o skargi, to reżim ich zgłaszania jest regulowany przez Kodeks postępowania administracyjnego i ponownie nie znajdziemy w nim konkretnych przepisów dotyczących ochrony danych osobowych osób prywatnych w procesie rozpoznawania skargi, stąd powyższe uwagi również znajdują zastosowanie.
Na jednostkach samorządu terytorialnego ciąży obowiązek udostępniania informacji publicznej na podstawie ustawy o dostępie do informacji publicznej (dalej: u.d.i.p.). Ustawa ta w przepisach art. 1 ust. 1, art. 4 i art. 6 precyzuje pojęcie informacji publicznej, podmioty obowiązane do jej udostępnienia oraz rodzaje informacji publicznej podlegającej udostępnieniu (art. 6), chociaż katalog zamieszczony w tym przepisie nie ma charakteru zamkniętego. Jedną z form udostępniania tych informacji jest Biuletyn Informacji Publicznej. Za sprawą art. 5 ust. 2 u.d.i.p. prywatność osób fizycznych usytuowana jest wyżej przez ustawodawcę niż prawo obywateli do uzyskiwania informacji o działalności organów władzy publicznej. Wyraz tego stanowi argumentacja Naczelnego Sądu Administracyjnego w wyroku z 14.03.2013 r., I OSK 620/12, LEX nr 1339638. W przedmiotowej sprawie osoba fizyczna złożyła skargę na działalność wójta gminy, rada gminy wydała uchwałę w sprawie rozpatrzenia skargi, w której zawarte zostały dane osobowe skarżącego, a wójt opublikował tę uchwałę w BIP. „Jeżeli więc celem dostępu do informacji publicznej jest przejrzystość działalności organów władzy publicznej, przy jednoczesnym zachowaniu prawa do prywatności osób fizycznych (art. 5 ust. 2) to cel informacyjny jest spełniony także wówczas gdy informacja o treści uchwały Rady Gminy […] w sprawie rozpatrzenia skargi S. U. zamieszczona w BIP-ie pomija dane osobowe skarżącego.”
Jak z tego wynika, pominięcie danych osobowych skarżącego nie powoduje uchybiania obowiązkowi gminy udostępniania informacji publicznej.
Fakultatywnym elementem petycji jest zgoda wnoszącego ją petenta na ujawnienie na stronie internetowej podmiotu lub urzędu go obsługującego swoich danych osobowych. Powiązane jest to z wynikającym z art. 8 ust. 1 u.o.p. obowiązkiem opublikowania przez organ na stronie internetowej skanu petycji, daty jej złożenia oraz, jeżeli wyrażono na to zgodę, imienia i nazwiska albo nazwy podmiotu wnoszącego petycję lub podmiotu, w interesie którego petycja jest składana. Fakultatywność zamieszczenia zgody w petycji oznacza, po pierwsze, że zmienia się podstawa przetwarzania danych osobowych, ponieważ zastosowania ma art. 6 ust. 1 lit. a) RODO, a po drugie, że petycje publikowane w Internecie domyślnie muszą zostać poddane anonimizacji. Charakterystyczną cechą zgody na przetwarzanie danych osobowych jest możliwość jej cofnięcia w każdej chwili – jeżeli organ opublikuje w Biuletynie Informacji Publicznej petycję w oparciu o wyrażoną zgodę, a osoba fizyczna po tym ją wycofa, to z uwagi na RODO będzie trzeba zaktualizować opublikowaną informację i zanonimizować skan petycji, oraz imię i nazwisko podmiotu, który ją wniósł.
Na koniec warto przypomnieć, że od 2018 r. obowiązkiem gmin jest powołanie komisji skarg, wniosków i petycji. O ile ustawa o samorządzie gminnym nakłada obowiązek nagrywania i publikowania obrad rady gminy, o tyle zasady i tryb działania komisji określa statut gminy (art. 18b ust. 3 u.s.g.). Aby zminimalizować ryzyko nieprawidłowego ujawnienia danych osobowych skarżącego lub petenta na nagrywanym posiedzeniu rady gminy, właściwym może być takie zorganizowanie prac komisji, aby już we wstępnej fazie rozpoznania skargi/petycji dokonała ona anonimizacji danych podmiotu, który ją wniósł, dzięki temu pominie się sytuacji, gdy nieuwaga jednego radnego, który pochopnie przeczyta na głos nazwisko skarżącego doprowadzi do ewentualnej odpowiedzialności przed Prezesem Urzędu Ochrony Danych Osobowych.
Podstawa prawna:
– Ustawa z dnia 11 lipa 2014 r. o petycjach (t.j. Dz. U. z 2018 r. poz. 870).
– Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2022 r. poz. 2000 z późn. zm.).
– Ustawa z dnia 8 marca 1990 r. o samorządzie gminnym (t.j. Dz. U. z 2023 r. poz. 40).
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).