W interesie podmiotu składającego petycję lub w interesie publicznym, można złożyć petycję do organów władzy publicznej, czyli żądanie podjęcia działania w zakresie kompetencji adresata petycji.
Ustawa o petycjach
Problematykę petycji reguluje ustawa z dnia 11 lipca 2014 r. o petycjach (dalej: u.o.p.). Zgodnie z art. 2 ust. 1 u.o.p. petycję może złożyć osoba fizyczna albo osoba prawa, przedsiębiorca a także osoba prywatna, jak również grupa tych podmiotów – zwana podmiotem wnoszącym petycję (wnioskodawcą). Ustawa określa zakres danych jaki należy zamieścić w petycji: oznaczenie wnioskodawcy (imię i nazwisko lub nazwę), adres zamieszkania lub siedziby i adres do korespondencji.
Jeśli wnioskodawca chciałby wzmocnić swój głos skierowany do organu administracji publicznej, może dodatkowo zebrać głosy poparcia dla petycji. Osoby popierające petycję nie są wnioskodawcą, natomiast wnioskodawca, jeśli nie działa w celach czysto osobistych lub domowych, będzie (o wątpliwościach wynikających ze statusu danych poniżej) wobec nich administratorem. Administratorem wobec tych osób będzie również odbiorca czyli organ.
Jakie dane będą zebrane od osób popierających. Ustawa tego nie reguluje, wystarczy i taka jest praktyka, że będzie to imię i nazwisko, chyba że np. ze względu na przedmiot petycji istotne jest żeby popierający byli mieszkańcami jakiejś miejscowości (dzielnicy), której dotyczy sprawa. W tym miejscu nasuwa się wątpliwość czy w takim razie mamy do czynienia z danymi osobowymi i zastosowaniem rodo. To zależy od kontekstu. W małej miejscowości gdzie osoby się znają (tym samym zbierający wnioskodawca zna osoby popierające), można osobę popierającą zidentyfikować po samym imieniu i nazwisku i w ten sposób stwierdzić kto popiera inicjatywę. Jeśli jednak akcja jest ogólnokrajowa, a dane zbierane są przez formularz na www o identyfikacji można by mówić ewentualnie tylko w przypadku unikatowego imienia i nazwiska.
Dane osobowe
Węzłowe zagadnienie na gruncie całej gałęzi prawa, jakim jest definicja danych osobowych, jest bardzo kontrowersyjne i doczekało się rozbieżnych interpretacji organów nadzorczych i sądów.
„dane osobowe” oznaczają wszelkie informacje o
- zidentyfikowanej lub
- możliwej do zidentyfikowania
osobie fizycznej („osobie, której dane dotyczą”);
możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Test możliwości identyfikacji; Tzw. klauzula rozsądku
(26) Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych.
Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
(30) Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Tożsamość
Przede wszystkim o tym czy określona informacja ma status danych osobowych decyduje kontekst, w tym w szczególności kto i w jaki sposób je przetwarza. Nie można o informacji przesądzić, że stanowi dane osobowe, bez uwzględnienia kontekstu – wynika to z przyjętej w rodo koncepcji subiektywnej przesłanki identyfikowalności osoby. Zidentyfikować znaczy ustalić unikalne cechy (tożsamość) osoby, które pozwalają wyodrębnić ją z ogółu ludzi, w taki sposób aby można je wykorzystać (przetworzyć). Nie należy pod wpływem języka potocznego kojarzyć tożsamości z imieniem i nazwiskiem. Raczej trzeba patrzeć na „tożsamość” tak jak na tytuł popularnej serii „Tożsamość Bourne’a”. To nie nazwisko Bourne stanowi tożsamość o której mowa w tytule, tylko unikalna przeszłość, o której bohater filmu zapomniał. Jeśli informacja jest bezużyteczna dla tego kto ją posiada, nie można mówić o jej przetwarzaniu (wykorzystaniu) i dlatego nie stanowi danych osobowych. Jakkolwiek imię i nazwisko składa się na tożsamość, to często jest składnikiem niewystarczającym do identyfikacji (odróżnienia, wykorzystania). Czyli
- zidentyfikować to inaczej odróżnić, wyodrębnić, a
- tożsamość to cecha odróżniająca –
żeby osobę zidentyfikować trzeba zebrać jej dane identyfikacyjne (tożsamość).
Operacja ujawnienia
O kwalifikacji informacji decyduje też sposób jej wykorzystania, ta sama informacja może nie stanowić danych osobowych jeśli jest przechowywana (bo ten kto przechowuje nie jest w stanie zidentyfikować osoby), ale uzyska status danych osobowych jeśli zostanie ujawniona – czyli przykładowo spółka A nie przetwarza danych osobowych przechowując informację, ale zaczyna przetwarzać dane osobowe jeśli zdecyduje się je ujawnić publicznie, bo dostęp może uzyskać ktoś dla kogo te dane wystarczą do identyfikacji osoby i wykorzystania – operacja ujawnienia przesądzi o statusie informacji i zastosowaniu rodo, ponieważ powstanie prawdopodobieństwo (analiza ryzyka), że inna osoba dokona identyfikacji. Operacja ujawnienia jest szczególnie istotna w kontekście ustalania statusu informacji – czy stanowią dane osobowe – ponieważ wydatnie podnosi ryzyko, że informacje staną się danymi osobowymi.
Zestawienie stanowisk
Zestawienie różnych stanowisk nt. tych samych kategorii danych prezentuje UODO (Przegląd stanowisk UODO i orzecznictwa krajowego w zakresie pojęcia danych osobowych, Warszawa 31 marca 2023), przykładowo:
- Nr rejestracyjny samochodu UODO uznaje za dane osobowe, NSA nie: „(…) numer rejestracyjny pojazdu służy przede wszystkim identyfikacji pojazdu i do niego jest przypisany. Nie jest bowiem możliwe, w sposób prosty i łatwy, powiązać numer rejestracyjny pojazdu z konkretną osobą – właściciela lub użytkownika pojazdu”. Tu zgadzam się z NSA. To że samochód jest zaparkowany w jakimś miejscu, co dokumentuje zdjęcie, nie świadczy o tym kto jest jego posiadaczem czy dzierżycielem, nie można łatwo ustalić kto jest jego właścicielem.
- Nr telefonu UODO uznaje za dane osobowe, WSA nie (Wyrok WSA w Warszawie z 25.11.2022 r. II SA/Wa 710/22). Tu zgadzam się z UODO, telefon (podobnie jak mail) zawsze identyfikuje osobę – wyodrębnia ją spośród innych i to w sposób, który pozwala łatwo na nią oddziaływać, przez samo dzwonienie czy dodatkowo komunikaty, nie ma żadnego znaczenia czy w adresie e-mail znajduje się imię i nazwisko. Czyli w przeciwieństwie do imienia i nazwiska, nr telefonu czy mail, stanowi cechę osoby (tożsamość) przez którą zawsze można na nią oddziaływać (każdorazowo na tego, kto posiada urządzenie końcowe z tym nr czy skrzynkę z adresem mailowym), w tym naruszać jej prawo do prywatności. Mało tego, nawet gdyby adres czy nr był nieaktywny, z punktu widzenia celu rodo, liczy się intencja tego kto przetwarza (wykorzystuje). Oczywiście uwzględniając motyw 14 rodo, jeśli nawet adres mailowy zawiera imię i nazwisko pracownika, ale pracodawca jest osobą prawną, to przetwarzane są dane osoby prawnej, a nie dane osobowe, chyba że komunikat ingeruje w prywatność pracownika, a nie w życie gospodarcze jego pracodawcy.
Możliwość sięgnięcia do danych przetwarzanych przez innego ado
- Adres IP, wydaje się że UODO uznaje za dane osobowe. Moim zdaniem, podobnie jak każda inna informacja, dla tych którzy mogą go wykorzystać (możliwości faktyczne lub prawne – wykazanie interesu prawnego w celu uzyskania dodatkowych informacji, które dopiero zestawione dadzą efekt identyfikacji) będzie stanowił dane osobowe, dla innych nie. To samo PESEL. Jeśli ktoś znajdzie kartkę z czyimś peselem i wprowadzi ją do segregatora (zbioru) czy zeskanuje i zapisze na dysku, to czy on przetwarza (przechowuje) dane osobowe? Pomijając fakt, że nikt racjonalny nie podejmuje działań bezcelowych, gdyby teoretycznie ktoś zrobił coś takiego, nie mając dostępu do rejestru pesel, to jest dla niego tylko ciąg cyfr, które równie dobrze mógłby sam wygenerować na zasadzie losowania. Dopiero pesel połączony z prawidłowym imieniem i nazwiskiem to jest zestaw, który potencjalnie można wykorzystać. Oczywiście ta subiektywna możliwość zidentyfikowania musi uwzględniać również możliwość sięgnięcia do danych przetwarzanych przez innego administratora w celu ich zestawienia i identyfikacji, ale jeśli ta możliwość zależy od wykazania interesu prawnego, to tej możliwości nie ma dopóki interes prawny nie wystąpi i nie zostanie wykazany przed odpowiednim organem sądowym czy powołanym do ścigania przestępstw, czy też przed administratorem do którego kierowane jest żądanie udostępnienia brakujących do identyfikacji danych. Nie tylko nie ma uzasadnionego prawdopodobieństwa możliwości, czego wymaga motyw 26, ale nie ma w ogóle możliwości – jak powiedziano w sprawie Breyer, użycie takiego sposobu nie może być uznane za możliwe, ponieważ jest zakazane prawem. I tu warto zauważyć, że ta możliwość sięgnięcia zawsze zależy od wykazania interesu prawnego, nawet jeśli by na gruncie prawa krajowego nie było odpowiednich przepisów, to bez przejścia testu równowagi z art. 6 ust. 1 lit. f rodo, ujawnienie i zestawienie nie było by możliwe (jest zakazane prawem wynikającym z rodo). Krótko mówiąc, żeby sięgnąć do danych przetwarzanych przez innego ado, w celu ich zestawienia i identyfikacji osoby, trzeba mieć podstawę legalizacyjną, dopóki podstawy legalizacyjnej nie ma, sposób ten jest zakazany prawem, a szczątkowa informacja, niewystarczająca do identyfikacji dla tego kto ją posiada, nie ma statusu danych osobowych. Przykładowo dostęp do rejestru PESEL reguluje art. 46 ustawy o ewidencji ludności:
2. Dane, o których mowa w ust. 1, mogą być udostępnione:
1) osobom i jednostkom organizacyjnym, jeżeli wykażą w tym interes prawny;
2) jednostkom organizacyjnym, w celach badawczych, statystycznych, badania opinii publicznej, jeżeli po wykorzystaniu dane te zostaną poddane takiej modyfikacji, która nie pozwoli ustalić tożsamości osób, których dane dotyczą;
3) innym osobom i jednostkom organizacyjnym, jeżeli wykażą interes faktyczny w otrzymaniu danych, pod warunkiem uzyskania zgody osób, których dane dotyczą;
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 lipca 2022 r. w sprawie o sygn. akt II SA/ Wa 3993/21:
W ocenie Sądu Prezes UODO nie wyjaśnił, na jakiej podstawie ustalił, że istnieje „uzasadnione prawdopodobieństwo zidentyfikowania” (Skarżącego) w powiązaniu z adresem IP oraz ID plików cookies . Sąd wskazał przy tym, że organ nie ustalił charakteru adresu IP Skarżącego, tzn. czy był to adres przypisany na stałe czy był zmienny. Zdaniem WSA organ nadzorczy nie rozważył też kwestii możliwości prawnych zwrócenia się przez Spółkę do właściwego organu w celu uzyskania od dostawcy dostępu do internetu informacji pozwalających – w połączeniu z adresem IP – na identyfikację Skarżącego. W ocenie Sądu organ nadzorczy w przedmiotowej sprawie postrzega możliwość zidentyfikowania osoby fizycznej jedynie poprzez wskazanie jej imienia i nazwiska, a nie jako uczestnika postępowania w środowisku cyfrowym.
Potwierdzenie obowiązku stosowania tzw. „klauzuli rozsądku” w procesie kwalifikacji identyfikatora internetowego w postaci zmiennego adresu IP jako danej osobowej stanowi wyrok Trybunału Sprawiedliwości Unii Europejskiej z 19 października 2016 r. w sprawie C-582/14 Breyer.
Jak skonstatował Trybunał (pkt 44), „[…] nie wydaje się zatem, by okoliczność, że dodatkowe informacje konieczne do identyfikacji użytkownika strony internetowej są w posiadaniu nie dostawcy usług medialnych online, lecz dostawcy dostępu do Internetu dla tego użytkownika, mogła wykluczać to, iż dynamiczne adresy IP zarejestrowane przez dostawcę usług medialnych online stanowią dla niego dane osobowe w rozumieniu art. 2 lit. a) dyrektywy 95/46 […]”. Trybunał zaznaczył jednak również, że „[…] należy (…) ustalić, czy możliwość połączenia dynamicznego adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu stanowi sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą […]”. Odwołując się do opinii rzecznika generalnego, Trybunał wskazał, że „(…) nie miałoby to miejsca w przypadku, gdyby identyfikacja osoby, której dane dotyczą, była zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się ona z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydaje się w rzeczywistości znikome […]”.
Na stronie 7 zaskarżonej decyzji PUODO przywołał wprawdzie pkt 67 wyroku Trybunału Sprawiedliwości Unii Europejskiej z 1 października 2019 r. w sprawie C-673/17 – Planet49, stwierdzając, że Trybunał wskazał, iż „(…) instalowanie plików cookie, o którym mowa w postępowaniu głównym, wiąże się z przetwarzaniem danych osobowych […]”. Zacytowane stwierdzenie zostało jednak oparte na ustaleniach zawartych w punkcie 45 wyroku Trybunału, gdzie stwierdzono, że „(…) pliki cookie, które mogą być instalowane na urządzeniu końcowym użytkownika uczestniczącego w loterii promocyjnej zorganizowanej przez spółkę Planet49, zawierają numer przypisany do danych rejestracyjnych tego użytkownika, który w formularzu uczestnictwa w tej grze musi wpisać swoje imię i nazwisko oraz adres. Sąd odsyłający dodaje, że skojarzenie tego numeru z tymi danymi powoduje personalizację danych przechowywanych przez pliki cookie, gdy użytkownik korzysta z Internetu, wobec czego zbieranie tych danych za pomocą plików cookie jest przetwarzaniem danych osobowych […]”.
Sąd podkreśla, że miał na uwadze, iż zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska. Konstatacja ta jest szczególnie istotna w środowisku cyfrowym, w którym identyfikacja sprowadza się do oznaczenia danego użytkownika w celu wywierania na niego określonego wpływu (zob. D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81). Identyfikacja osoby nie wymaga zatem znajomości jej imienia lub nazwiska, wymaga natomiast znajomości pewnych unikalnych cech tej osoby, które odróżniają ją od innych. W ten sposób należy rozumieć zwrot „można zidentyfikować” – nie tylko jako możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz jako możliwość wskazania tej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r., str. 181).
Identyfikacja, uwierzytelnianie, autoryzacja
Rodo nie definiuje pojęcia identyfikacji, ale korzystając z wykładni funkcjonalnej, nie ma wątpliwości, że chodzi o możliwość dotarcia (fizycznego lub zdalnego) do wyróżnionej osoby, oddziaływania na nią lub wykorzystania (przetwarzania) jej danych przez inną osobę. Pojęcie identyfikacji i danych osobowych należy odczytywać wspólnie z pojęciem przetwarzania, a przetwarzanie w świetle całości regulacji rodo oznacza wykorzystywanie dla celu. Samo imię i nazwisko nikogo nie identyfikuje, można wręcz powiedzieć, że nie ma żadnej doniosłości praktycznej bez kontekstu. Dopiero jeśli przykładowo połączymy to z informacją o miejscu zatrudnienia, to imię i nazwisko stanowi tożsamość, którą można wykorzystać np. do uwierzytelnienia (weryfikacji tożsamości przez okazanie dowodu lub hasła) i autoryzacji (zezwolenia na dostęp).
Podsumowanie
Wracając do petycji, samo zebranie imienia i nazwiska osób popierających nie przesądza czy będzie podlegało rodo. W razie wątpliwości z ostrożności można spełnić obowiązek informacyjny podczas zbierania danych, podstawą będzie zgoda, wyrażona przez samo zachowanie (np. kliknięcie przycisku „podpisz”), bez potrzeby używania klauzuli zgody.
Inaczej wypadnie ocena jeśli to wnioskodawca wyrazi zgodę (art. 4 ust. 3 u.o.p.) na publikację jego imienia i nazwiska na stronie www organu, do którego składa petycję. Takie ujawnienie (rozpowszechnienie), powoduje że mamy do czynienia z danymi osobowymi, bo jest prawdopodobne że kojarząc przedmiot petycji, ktoś (potencjalnie dowolny internauta z okolicy/miejscowości wnioskodawcy) zidentyfikuje osobę wnioskodawcy.
Organ publiczny jest administratorem danych wnioskodawcy i ewentualnie osób popierających (jeśli z ostrożności albo ze względu na okoliczności uznamy, że imię i nazwisko stanowi w tym wypadku dane osobowe). Przetwarza dane w celu załatwienia petycji na podstawie art. 6 ust. 1 lit. c lub e rodo, właściwie bardziej pasuje lit. e, ponieważ wykonuje zadanie publiczne. W zakresie ewentualnej zgody na publikację danych wnioskodawcy przetwarza na podstawie art. 6 ust. 1 lit. a.
Przepisy
USTAWA z dnia 11 lipca 2014 r. o petycjach
Art. 2. [Podmioty wnoszące petycję; przedmiot petycji]
1. Petycja może być złożona przez osobę fizyczną, osobę prawną, jednostkę organizacyjną niebędącą osobą prawną lub grupę tych podmiotów, zwaną dalej „podmiotem wnoszącym petycję”, do organu władzy publicznej, a także do organizacji lub instytucji społecznej w związku z wykonywanymi przez nią zadaniami zleconymi z zakresu administracji publicznej.
2. Petycja może być złożona w interesie:
1) publicznym;
2) podmiotu wnoszącego petycję;
3) podmiotu trzeciego, za jego zgodą.
3. Przedmiotem petycji może być żądanie, w szczególności, zmiany przepisów prawa, podjęcia rozstrzygnięcia lub innego działania w sprawie dotyczącej podmiotu wnoszącego petycję, życia zbiorowego lub wartości wymagających szczególnej ochrony w imię dobra wspólnego, mieszczących się w zakresie zadań i kompetencji adresata petycji.
Art. 4. [Forma wniesienia petycji; treść petycji]
1. Petycję składa się w formie pisemnej albo za pomocą środków komunikacji elektronicznej.
2. Petycja powinna zawierać:
1) oznaczenie podmiotu wnoszącego petycję; jeżeli podmiotem wnoszącym petycję jest grupa podmiotów, w petycji należy wskazać oznaczenie każdego z tych podmiotów oraz osobę reprezentującą podmiot wnoszący petycję;
2) wskazanie miejsca zamieszkania albo siedziby podmiotu wnoszącego petycję oraz adresu do korespondencji; jeżeli podmiotem wnoszącym petycję jest grupa podmiotów, w petycji należy wskazać miejsce zamieszkania lub siedzibę każdego z tych podmiotów;
3) oznaczenie adresata petycji;
4) wskazanie przedmiotu petycji.
3. Petycja może zawierać zgodę na ujawnienie na stronie internetowej podmiotu rozpatrującego petycję lub urzędu go obsługującego danych osobowych podmiotu wnoszącego petycję lub podmiotu, o którym mowa w art. 5 ust. 1.
4. Petycja składana w formie pisemnej powinna być podpisana przez podmiot wnoszący petycję, a jeżeli podmiotem wnoszącym petycję nie jest osoba fizyczna lub gdy petycję wnosi grupa podmiotów – przez osobę reprezentującą podmiot wnoszący petycję.
5. Petycja składana za pomocą środków komunikacji elektronicznej może być opatrzona kwalifikowanym podpisem elektronicznym oraz powinna zawierać także adres poczty elektronicznej podmiotu wnoszącego petycję.
Art. 5. [Petycja składana w interesie podmiotu trzeciego]
1. Petycja składana w interesie podmiotu trzeciego zawiera także imię i nazwisko albo nazwę, miejsce zamieszkania albo siedzibę oraz adres do korespondencji lub adres poczty elektronicznej tego podmiotu.
2. Podmiot, o którym mowa w ust. 1, wyraża zgodę na złożenie w jego interesie petycji w formie pisemnej albo za pomocą środków komunikacji elektronicznej. Zgoda jest dołączana do petycji.
3. W razie powstania wątpliwości co do istnienia lub zakresu zgody, o której mowa w ust. 2, adresat petycji może, w terminie 30 dni od dnia złożenia petycji, zwrócić się do podmiotu, w interesie którego petycja jest składana, o potwierdzenie zgody w terminie 14 dni z pouczeniem, że w przypadku braku takiego potwierdzenia petycja nie będzie rozpatrzona. Potwierdzenie zgody następuje w formie, o której mowa w ust. 2.
Art. 8. [Informacja o wniesieniu petycji na stronie internetowej podmiotu]
1. Na stronie internetowej podmiotu rozpatrującego petycję lub urzędu go obsługującego niezwłocznie zamieszcza się informację zawierającą odwzorowanie cyfrowe (skan) petycji, datę jej złożenia oraz – w przypadku wyrażenia zgody, o której mowa w art. 4 ust. 3 – imię i nazwisko albo nazwę podmiotu wnoszącego petycję lub podmiotu, w interesie którego petycja jest składana.
2. Informacja, o której mowa w ust. 1, jest niezwłocznie aktualizowana o dane dotyczące przebiegu postępowania, w szczególności dotyczące zasięganych opinii, przewidywanego terminu oraz sposobu załatwienia petycji.
Art. 13. [Zawiadomienie o sposobie załatwienia petycji]
1. Podmiot rozpatrujący petycję zawiadamia podmiot wnoszący petycję o sposobie jej załatwienia wraz z uzasadnieniem w formie pisemnej albo za pomocą środków komunikacji elektronicznej.
2. Sposób załatwienia petycji nie może być przedmiotem skargi.
Art. 14. [Zbiorcza informacja o rozpatrzonych petycjach]
Podmiot właściwy do rozpatrzenia petycji, a w przypadku, o którym mowa w art. 9 – Sejm, Senat lub organ stanowiący jednostki samorządu terytorialnego, corocznie, w terminie do dnia 30 czerwca, umieszcza na swojej stronie internetowej lub stronie internetowej urzędu go obsługującego zbiorczą