Aktualności

Zapisz się na nasz newsletter!

Oświadczenie

 

W połowie stycznia Fundacja Fenomen wysłała do Urzędu Miasta Łodzi, przygotowaną na jej zamówienie opinię specjalistki z zakresu ochrony danych osobowych w sprawie platformy do głosowania Vox Populi.

Sylwia Czub zwróciła w swojej opinii uwagę między innymi na niezgodne z prawem zapisy w regulaminie platformy do głosowania, nieprecyzyjne określenie administratora danych oraz brak szyfrowanego połączenia podczas przesyłania głosów przez mieszkańców (pełna treść opinii poniżej).

W wyniku naszej interwencji zostały wprowadzone zmiany w regulaminie. Stopień dostosowania platformy do zapisów ustawy o ochronie danych osobowych będziemy mogli zweryfikować dopiero przy kolejnym głosowaniu.


Komentarz:

Poza problemami z ochroną danych osobowych na platformie Urzędu Miasta Łodzi - Vox Populi - niepokoi nas fakt "swobodnego" podejścia do interpretowania wyników uzyskanych dzięki nowemu narzędziu:

  • Podczas głosowania dot. lunaparku głosy mieszkańców, oddane na projekt zgłoszony w budżecie obywatelskim, zostały "obalone" przez mniejszą liczbę głosów optujących za innym rozwiązaniem, oddanych poprzez platformę Vox Populi.
  • Podczas głosowania nad zmianami w systemie szkół - mimo iż więcej osób było przeciwnych przekształceniu Gimnazjum nr 34 przy ul. Czajkowskiego w szkołę podstawową (przeciw: 1171; za: 860) - Urząd Miasta Łodzi zdecydował o utworzeniu tam szkoły podstawowej.

Należy przypomnieć, że konsultacje z mieszkańcami nie mogą się sprowadzać do głosowania! Konsultacje to proces, podczas którego mieszkanki i mieszkańcy mają możliwość zapoznać się z pełnymi informacjami, dotyczącymi przedmiotu konsultacji, w tym także z konsekwencjami, zadać pytania i uzyskać w trakcie trwania konsultacji wyczerpujące odpowiedzi. I dopiero na tej podstawie podjąć decyzję czy wyrazić swoją opinię.

{KM}
{foto: Mikhail Pavstyuk, CC0}

Zobacz także:


Pełna opinia Sylwii Czub

W związku z pytaniem o opinię w zakresie zgodności z przepisami dokonałam analizy serwisu pod kątem ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, ustawy z 22 lipca 2002 r. O świadczeniu usług drogą elektroniczną oraz ustawy z dnia 16 lipca 2004 roku prawo telekomunikacyjne:

1. Strona http://vox.uml.lodz.pl narusza art. 173 i 174 ustawy z dnia 16 lipca 2004 roku w zakresie informacji o plikach cookies oraz zgody użytkownika na ich wykorzystanie, co jest zagrożone karą pieniężną określoną w art. 209 tej ustawy .

2. Głosowanie na stronie http://vox.uml.lodz.pl odbywa się po pozytywnym przejściu "weryfikacji", która polega na podaniu danych osobowych w postaci numeru PESEL oraz adresu e-mail. Należy przede wszystkim podkreślić, że usługodawca przetwarza dane weryfikacyjne nielegalnie, gdyż nie jest spełniony żaden z warunków legalności przetwarzania danych osobowych określonych w ustawie o ochronie danych osobowych, w szczególności nie została pozyskana zgoda na przetwarzanie danych. Narusza to tym samym art. 49. 1. Ustawy o ochronie danych osobowych: Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

3. Dane osobowe zbierane poprzez formularz są przesyłane do usługodawcy bez żadnego zabezpieczenia kryptograficznego, tym samym został naruszony art. 52. Ustawy o ochronie danych osobowych: Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

4. W formularzu weryfikacyjnym oraz w Regulaminie nie został dopełniony obowiązek informacyjny, wynikający z art. 24 ustawy o ochronie danych osobowych, wobec osoby, której dane są przetwarzane.

Za Art. 24:

  1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
    1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
    2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
    3. prawie dostępu do treści swoich danych oraz ich poprawiania;
    4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
  2. Przepisu ust. 1 nie stosuje się, jeżeli:
    1. przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;
    2. osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Osoba, której dane dotyczą nie została poinformowana o nazwie i adresie administratora danych (można przypuszczać, jednakże brak pewności, że jest to UMŁ, gdyż w regulaminie jest niejasny zapis "Niniejszy regulamin opisuje zasady bezpłatnego korzystania z portalu VOX POPULI stanowiącego jedną z form konsultacji społecznych prowadzonych przez Urząd Miasta Łodzi". Jako cel przetwarzania danych osobowych wskazano w punkcie 6. regulaminu "Dla uniknięcia wielokrotnego wprowadzania danych przez tę samą osobę w ramach tych samych konsultacji, może być wykorzystywany, wyłącznie do weryfikacji uczestników, ich numer PESEL oraz imię i nazwisko." Sygnalizuję, że jest to niezgodne z zakresem danych, gdyż formularz wymaga numeru PESEL oraz adresu e-mail, a nie imienia i nazwiska. Jednocześnie mam wątpliwości co do zasadności pobierania numeru PESEL w celu "uniknięcia powtórzeń".

Należy zauważyć, że adres e-mail, tak samo jak numer PESEL, jest niepowtarzalny i może być wykorzystywany tylko przez jedną osobę, więc pobieranie dwóch niepowtarzalnych identyfikatorów jedynie w "celu uniknięcia powtórzeń" uważam za bezzasadne. Usługodawca nie określił obowiązku lub dobrowolności podania danych, praw podmiotu którego dane dotyczą oraz tego czy dane będą udostępniane innym podmiotom. Tym samy został naruszony art. 54. ustawy o ochronie danych osobowych: "Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku".

5. W regulaminie znalazł się zapis niezgodny z art. 7 pkt 5 ustawy o ochronie danych osobowych (co ciekawe zapis ten powołuje się na ten artykuł): "Wyrażam zgodę - w związku z art. 7 pkt 5 w odniesieniu do art. 24 ust.1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) - na przetwarzanie przez Prezydenta Miasta Łodzi, z siedzibą w Łodzi, ul. Piotrkowska 104, do celów związanych z ustaleniem wyników konsultacji społecznych prowadzonych z wykorzystaniem Portalu, moich danych osobowych ujawniających imię, nazwisko oraz – w przypadku wyrażenia dodatkowej zgody na otrzymywanie newslettera - adres mailowy. "

Po pierwsze należy podkreślić, że zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych zgoda to "oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści". W powyższym przypadku zgoda na przetwarzanie danych osobowych została "ukryta w regulaminie", czyli wynika z oświadczenia innej treści i należy uznać, że jest dorozumiana. Należy zwrócić uwagę, że samo sformułowanie zgody jest niezgodne ze stanem faktycznym (inny zakres zbieranych danych, niż rzeczywisty), następuje rozbieżność w celu przetwarzania danych określonym w punkcie 6 regulaminu. Tak sformułowana zgoda jest nieważna.

6. Formularz weryfikacyjny umożliwia zapisanie się do newslettera. Ponownie brakuje zgody na przetwarzanie danych osobowych, nie został wypełniony obowiązek informacyjny (wyjaśnienie analogiczne do powyższego). Dodatkowo naruszono art. 8 ustawy o świadczeniu usług drogą elektroniczną - nie został podany do wiadomości i zaakceptowania regulamin świadczenia usługi newslettera.