Europejska Rada Ochrony Danych o transferze danych z PESEL: Konieczna podstawa prawna!

Podczas 26. posiedzenia plenarnego 8 maja 2020 Europejska Rada Ochrony Danych przyjęła wspólne stanowisko w sprawie polskich wyborów prezydenckich.

Jak pisaliśmy w OKO.press zgodnie z politycznym układem Kaczyński-Gowin wybory 10 maja w Polsce odbędą się, ale żaden obywatel ani obywatelka w nich nie zagłosuje. Prezydenta mamy wybrać w głosowaniu korespondencyjnym. Kiedy? Tego nadal nie ustalono.

Przygotowania do wyborów pocztowych polskie władze zaczęły jednak już pod koniec kwietnia, choć nie miały do tego podstawy prawnej. Ustawa o głosowaniu pocztowym nadal nie weszła w życie. Mimo to minister cyfryzacji Marek Zagórski (na zdjęciu) udostępnił Poczcie Polskiej dane z rejestru PESEL.

Europarlamentarzyści z Europejskiej Partii Ludowej Andrzej Halicki i Roberta Metsola (z Malty) poprosili europejskie organy o interwencję. Zwracają uwagę na potencjalne naruszenie przepisów RODO.

EROD tłumaczy, że ujawnienie danych osobowych - w tym przekazanie ich pomiędzy podmiotami - zawsze wymaga podstawy prawnej i zgodności z unijnymi przepisami ochrony danych. W przypadku wyborów korespondencyjnych rządzący muszą zapewnić specjalne zabezpieczenia, by zachować tajność i nienaruszalność danych dotyczących poglądów politycznych.

Przewodnicząca EROD, Andrea Jelinek podkreśla:

"Wybory są podstawą funkcjonowania demokratycznego społeczeństwa. Dlatego EROD przywiązuje szczególną wagę do przetwarzania danych osobowych do celów wyborczych. Zachęcamy administratorów danych, zwłaszcza organy publiczne, by dawały dobry przykład i przetwarzały dane osobowe w sposób przejrzysty, niepozostawiający wątpliwości co do podstawy prawnej tej operacji".

EROD wyjaśnia zarazem, że egzekwowanie przepisów RODO leży po stronie krajowych organów nadzorczych, np. polskiego UODO. To polski urząd powinien ocenić skalę domniemanych naruszeń.

"Niemniej jednak EROD będzie nadal bacznie przyglądać się temu, jak przetwarzane są dane osobowe w kontekście wyborów. Pozostaje gotowa wspierać wszystkich swoich członków, w tym polskie organy nadzorcze, w tym zakresie" - czytamy w stanowisku.

Ujawnione dane obywateli UE

O przekazaniu pocztowcom danych z rejestru PESEL poinformował przewodniczącą EROD Wojciech Rafał Wiewiórowski, który od 2019 roku pełni funkcję Europejskiego Inspektora Ochrony Danych.

"Jakkolwiek sprawa ta nie leży w kompetencjach EIOD, stoimy na stanowisku, że dotyczy ona interpretacji Rozporządzenia [...] z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych [RODO - red.] i jako taka powinna zostać rozpatrzona przez Europejską Radę Ochrony Danych, zwłaszcza ze względu na dużą liczbę osób, których dotyczą dane" - napisał Wiewiórowski w liście do Andrei Jelinek.

O ile rolą Inspektora jest przede wszystkim czuwanie nad tym, by unijne instytucje przestrzegały przepisów RODO, to Rada pilnuje ich przestrzegania i spójnego stosowania w państwach członkowskich UE. W jej skład wchodzi także EIOD.

"Biorąc pod uwagę fakt, że w Powszechnym Elektronicznym Systemie Ewidencji Ludności (rejestrze PESEL) mogą znajdować się dane osobowe obywateli innych państw członkowskich Unii, sprawa ma także aspekt transgraniczny, który może zainteresować krajowe urzędy ochrony danych" - wskazał Wiewiórowski.

Europejski Inspektor poprosił także, by sprawa wydania danych z rejestru polskiej poczcie została potraktowana priorytetowo z uwagi na zbliżający się termin wyborów prezydenckich. Niepokoi go skala potencjalnych implikacji dla ochrony danych obywateli UE.

"Byłbym wdzięczny, gdyby ten temat trafił do agendy na najbliższym posiedzeniu plenarnym EROD 5 maja" - czytamy w piśmie.

Bezprawny transfer danych

O udostępnieniu Poczcie Polskiej danych PESEL poinformował Wiewiórowskiego europoseł Koalicji Obywatelskiej Andrzej Halicki, były minister cyfryzacji. 28 kwietnia 2020 przesłał EIOD pismo, w którym przytacza m.in. opinię prawną Krakowskiego Instytutu Prawa Karnego.

Karniści z UJ napisali w niej, że polskie władze nie miały podstawy prawnej, by przekazać dane obywateli Poczcie Polskiej. Zastrzeżenia prawników budzi zarówno apel do samorządów o udostępnienie spisu wyborców, jak i transfer danych z rejestru PESEL.

"Polecenie przekazania Poczcie Polskiej S.A. spisu wyborców zawierających dane wszystkich wyborców, celem organizacji wyborów korespondencyjnych, w stanie prawnym na dzień 23 kwietnia 2020 r. nie posiada podstawy prawnej i może nosić znamiona przestępstwa. Przestępstwem może być także przekazanie spisu wyborców [...] podmiotowi nieuprawnionemu" - czytamy w opinii KIPK.

"W stanie prawnym obowiązującym na dzień 23 kwietnia 2020 r. Poczta Polska S.A. nie może realizować żadnych zadań związanych z organizacją wyborów Prezydenta. Brak jest jakichkolwiek powszechnie obowiązujących przepisów, które nakładałyby na Pocztę Polską S.A. zadania związane z organizacją wyborów Prezydenta" - piszą.

Halicki w swoim piśmie przytacza również podobne stanowisko Biura Analiz Sejmowych, z 25 kwietnia. Eksperci BAS również odnieśli się do próśb o udostępnienie danych ze spisu wyborców, jakie Poczta Polska kierowała do samorządów. Przekazanie takich danych BAS uznało za niedopuszczalne "w obowiązującym porządku prawnym".

Wiewiórowski odpisał eurodeputowanemu już następnego dnia. Podkreślił, że nie ma kompetencji, by interpretować przepisy dotyczące zarządzania danymi w spisach wyborców. Podkreśla zarazem, że niepokoi go udostępnienie Poczcie Polskiej danych PESEL. Nie widzi związku między tym zdarzeniem, a procedurami prawa wyborczego.

"Wydaje się bowiem oczywiste, że rejestr PESEL nie jest w żadnym stopniu tożsamy ze spisem (spisami) wyborców" - pisał EIOD w odpowiedzi na wiadomość Halickiego. Ponownie poprosił Prezesa Urządu Ochrony Danych Osobowych o informację, jakie działania podjął dla ochrony danych osobowych w rejestrze.

7 maja, w reakcji na ponaglenie Wiewiórowskiego, prezes UODO Jan Nowak ponownie poprosił ministerstwo cyfryzacji o wyjaśnienia: podstawy prawne i cel udostępnienia. A także o uzasadnienie decyzji i wskazanie zakresu przekazanych informacji.

Ministerstwo: wszystko zgodnie z prawem

Ministerstwo Cyfryzacji rzecz jasna próbuje bronić decyzji o przekazaniu Poczcie danych z PESEL. Minister Marek Zagórski tłumaczył w Sejmie 29 kwietnia, że "dane zostały zaszyfrowane, przekazane na zaszyfrowanym dysku, zostały przewiezione specjalnym konwojem".

Minister stwierdził także, że Poczta Polska nie jest przecież byle firmą.

Jak pisaliśmy wyżej eksperci - także ci zatrudnieni dziś w Sejmie - stoją na stanowisku, że w obowiązującym stanie prawnym Poczta Polska nie ma uprawnień, by domagać się danych w celu organizacji wyborów.

Minister tłumaczył jednak, że wszystko odbyło na podstawie ustawy "o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2", która weszła w życie 18 kwietnia.

Zagórski pominął jednak kluczowy fakt. Poczta Polska nie może prosić o dane w związku z organizacją wyborów, bo na ten moment niczego formalnie nie organizuje.

Wreszcie koronny argument. Ministerstwo Cyfryzacji wskazuje, że Poczta Polska dostała już dostęp do danych z rejestru PESEL - w 2014 roku, za rządów PO-PSL. Otrzymała je na podstawie ustawy o opłatach abonamentowych.

Rzeczywiście tak było. Problem w tym, że dane udostępniono wówczas poczcie zgodnie z prawem i do konkretnego celu: realizacji przepisów ustawy o opłatach abonamentowych. Pocztowcy nie mogli ich wykorzystać do przygotowania wyborów w 2020 roku, dlatego ponownie zwrócili się do Ministerstwa.

Jak przypomniał na Twitterze Andrzej Halicki, w 2014 w Polsce nie obowiązywały jeszcze przepisy RODO. Ustawa o ochronie danych osobowych, wdrażająca to rozporządzenie, działa od maja 2018 roku. To dlatego dzisiejszy transfer danych, bez podstawy prawnej i z potencjalnym naruszeniem RODO, zwrócił uwagę organów UE.