Klauzula informacyjna dla publicznych oświadczeń majątkowych

Administratorem danych jest Kto ma co, operator serwisu dostępnego pod domeną ktomaco.pl. W sprawach prywatności, źródeł, korekt, ograniczenia publikacji lub usunięcia danych napisz na kontakt@ktomaco.pl.

Inspektor ochrony danych nie został wyznaczony. Każde zgłoszenie dotyczące osoby, dokumentu lub pojedynczego pola można wysłać e-mailem albo przez formularz „Zgłoś błąd” widoczny przy danych.

Przetwarzamy dane w konkretnych, wyraźnych i prawnie uzasadnionych celach: jako archiwum dokumentów publicznych w interesie publicznym, wyszukiwarkę źródeł, narzędzie kontroli społecznej oraz zbiór danych statystycznych o jawnych oświadczeniach majątkowych.

Wprost odnosimy ten cel do art. 5 ust. 1 lit. b RODO: dalsze przetwarzanie do celów archiwalnych w interesie publicznym, badań historycznych lub statystycznych nie jest uznawane za niezgodne z pierwotnym celem, jeżeli spełnione są zabezpieczenia z art. 89 ust. 1 RODO.

Zgodnie z art. 5 ust. 1 lit. e RODO dane identyfikujące osobę nie powinny być przechowywane dłużej, niż jest to niezbędne. Dlatego stosujemy okresowe przeglądy, reagujemy na zgłoszenia i przy starszych dokumentach oceniamy, czy dalsza publiczna ekspozycja jest nadal konieczna dla celu archiwalnego i interesu publicznego.

Podstawą przetwarzania danych z jawnych oświadczeń jest prawnie uzasadniony interes administratora i użytkowników serwisu wynikający z art. 6 ust. 1 lit. f RODO: przejrzystość życia publicznego, kontrola społeczna, archiwizacja publicznie udostępnionych dokumentów oraz możliwość porównywania danych ujawnianych na podstawie przepisów prawa.

Test równowagi opieramy na tym, że oświadczenia majątkowe są ustawowo jawne w określonym zakresie. Przykładowo art. 35 ustawy o wykonywaniu mandatu posła i senatora, art. 87 Prawa o ustroju sądów powszechnych oraz art. 24h-24i ustawy o samorządzie gminnym przewidują składanie, analizę i publiczne udostępnianie jawnych informacji z oświadczeń.

Zgłoszenia korekt i kontakt z osobą zgłaszającą przetwarzamy w celu obsługi sprawy, rozliczalności i obrony przed ewentualnymi roszczeniami. Dane techniczne odwiedzin przetwarzamy wyłącznie w ograniczonym zakresie potrzebnym do bezpieczeństwa, diagnostyki i zbiorczej analityki popularności.

Nie tworzymy prywatnego rejestru życia osób publicznych. Zakres serwisu ograniczamy do danych wynikających z jawnych dokumentów źródłowych i do metadanych potrzebnych, żeby te dokumenty zweryfikować, wyszukać i porównać.

• imię, nazwisko, pełniona funkcja, jednostka lub instytucja publiczna
• rok i typ dokumentu, data podpisania, źródło publikacji, link do dokumentu źródłowego
• jawne składniki majątku, dochody, zobowiązania i inne pola wymagane formularzem oświadczenia
• transkrypcje, fragmenty dokumentów, metadane jakości odczytu AI i oznaczenia problemów w danych
• dane statystyczne i porównawcze wynikające z jawnych dokumentów, np. rankingi lub agregaty

Nie chcemy publikować danych ustawowo wyłączonych z jawności, w szczególności adresów zamieszkania, dokładnego położenia nieruchomości, numerów identyfikacyjnych, podpisów ani informacji, które pozwalają zidentyfikować ruchomość, jeżeli przepisy albo źródło wyłączają je z publikacji. Jeżeli taka informacja pojawi się w wyniku błędu źródła, odczytu AI lub ekstrakcji, usuwamy albo ograniczamy ją po weryfikacji.

Dane pozyskujemy z publicznie dostępnych źródeł: Biuletynów Informacji Publicznej, stron Sejmu i Senatu, sądów, prokuratur, urzędów oraz innych oficjalnych publikacji zawierających oświadczenia majątkowe lub informacje o osobach pełniących funkcje publiczne.

Ponieważ danych nie pozyskujemy bezpośrednio od osób, których dotyczą, ta strona pełni funkcję informacji publicznej z art. 14 RODO. Indywidualne informowanie każdej osoby byłoby przy tej skali niewspółmiernie trudne, dlatego publikujemy pełną klauzulę w serwisie i utrzymujemy prosty kanał kontaktu.

W wielu przepisach dotyczących oświadczeń majątkowych pojawia się sześć lat jako okres przechowywania dokumentu. Przykłady to art. 35 ust. 7 ustawy o wykonywaniu mandatu posła i senatora, art. 87 § 7 Prawa o ustroju sądów powszechnych oraz art. 24h ust. 6 ustawy o samorządzie gminnym. Te przepisy są dla nas ważnym sygnałem przy ocenie proporcjonalności dalszej publikacji.

Sam upływ sześciu lat nie musi automatycznie usuwać interesu publicznego w archiwizacji, ale podwyższa próg konieczności. Jeżeli dokument jest starszy niż sześć lat, osoba, której dane dotyczą, może zażądać usunięcia danych albo ograniczenia ich publicznej ekspozycji. Po takim zgłoszeniu sprawdzamy, czy dokument nadal jest dostępny w źródle, czy publikacja identyfikowalnych danych jest konieczna dla celu archiwalnego i czy wystarczy forma mniej ingerująca, np. ograniczenie do metadanych lub agregatów.

Jeżeli dalsza publikacja nie jest już niezbędna, usuwamy dane z publicznej części serwisu albo ograniczamy sposób ich prezentacji. Jeżeli pozostaje szczególny, aktualny interes publiczny, możemy utrzymać ograniczony zakres danych, dokumentując powód i stosując zasadę minimalizacji.

Art. 89 ust. 1 RODO wymaga, żeby cele archiwalne, historyczne lub statystyczne były realizowane z odpowiednimi zabezpieczeniami oraz z poszanowaniem minimalizacji danych. W praktyce oznacza to u nas:

• nie rozszerzamy celu na reklamę, sprzedaż leadów, scoring kredytowy ani decyzje dotyczące konkretnych osób
• pokazujemy dane z kontekstem źródła i jakości, żeby można było wrócić od liczby do dokumentu
• ograniczamy ekspozycję danych technicznych odwiedzających: bez Google Analytics, bez cookies analitycznych i bez zapisu surowego IP w analityce popularności
• respektujemy ustawowe wyłączenia jawności; jeżeli w źródle albo odczycie AI pojawi się informacja ustawowo wyłączona, traktujemy zgłoszenie jako pilne
• wnioski o korektę, ograniczenie lub usunięcie oceniamy względem aktualnego interesu publicznego, wieku dokumentu i zakresu identyfikowalnej publikacji

Dane z publicznych oświadczeń są widoczne dla użytkowników serwisu w zakresie opisanym powyżej. Dane mogą być też przetwarzane przez dostawców infrastruktury technicznej, hostingu, bazy danych, poczty elektronicznej i narzędzi bezpieczeństwa, ale tylko w zakresie potrzebnym do działania serwisu.

Jeżeli dostawca infrastruktury wiąże się z przekazaniem danych poza Europejski Obszar Gospodarczy, wymagamy podstaw przewidzianych w RODO, w szczególności decyzji stwierdzającej odpowiedni poziom ochrony albo standardowych klauzul umownych.

Liczymy zbiorczo, które profile i pozycje są najczęściej czytane, żeby tworzyć listy ostatnio otwieranych stron i wykrywać nadużycia. Robimy to bez cookies: serwer chwilowo używa IP i user-agenta tylko do obliczenia miesięcznego skrótu HMAC, a do bazy nie zapisuje surowego IP ani pełnego user-agenta.

Jeśli przeglądarka wysyła sygnał Do Not Track albo Global Privacy Control, zdarzenie analityczne nie jest zapisywane.

Formularz „Zgłoś błąd” zapisuje treść zgłoszenia, wskazany profil lub dokument, adres strony, źródło zgłoszenia oraz opcjonalny e-mail do kontaktu. Zgłoszenie nie zmienia danych automatycznie; trafia do kolejki weryfikacji i może później skutkować ręczną korektą, ograniczeniem albo usunięciem danych.

Dane ze zgłoszeń przechowujemy przez okres potrzebny do obsługi sprawy, kontroli jakości i rozliczalności. Jeżeli podasz e-mail, użyjemy go wyłącznie do kontaktu w sprawie zgłoszenia.

Nie ustawiamy cookies analitycznych ani reklamowych. Strona może zapamiętać wybór motywu jasnego lub ciemnego w pamięci przeglądarki, żeby interfejs wyglądał tak samo przy kolejnej wizycie.

Odczyt dokumentów może obejmować multimodalną transkrypcję AI i automatyczną ekstrakcję danych do wspólnego schematu. To nie jest zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO: serwis nie wydaje decyzji prawnych, finansowych ani urzędowych dotyczących osób.

Dane mogą zawierać błędy transkrypcji AI, ekstrakcji albo interpretacji. Przy każdej wątpliwości pierwszeństwo ma dokument źródłowy, a błędy można zgłaszać do weryfikacji.

Osobie, której dane dotyczą, przysługuje prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania oraz przenoszenia danych w zakresie, w jakim ma ono zastosowanie. Możesz też złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Prawo do usunięcia opisuje art. 17 RODO. W szczególności możesz żądać usunięcia danych, gdy nie są już niezbędne do celu, dla którego były przetwarzane. W przypadku oświadczeń starszych niż sześć lat traktujemy takie żądanie jako wniosek o pilną ocenę dalszej konieczności publikacji.

Żądanie można wysłać na kontakt@ktomaco.pl. W zgłoszeniu najlepiej podać link do profilu lub dokumentu, zakres żądania i krótkie uzasadnienie, zwłaszcza gdy chodzi o dokument po upływie ustawowego okresu przechowywania albo o dane wyłączone z jawności.

Ta klauzula została ułożona według obowiązku informacyjnego z art. 14 RODO, ponieważ dane pochodzą z publicznych dokumentów, a nie bezpośrednio od osób, których dotyczą. Obejmuje w szczególności:

• tożsamość i kontakt administratora
• cele, podstawę prawną i prawnie uzasadniony interes
• kategorie danych i źródła ich pochodzenia
• odbiorców lub kategorie odbiorców
• kryteria przechowywania danych
• prawa osoby, której dane dotyczą
• informację o skardze do organu nadzorczego
• informację o automatyzacji i profilowaniu