Poczta dostała bazę PESEL. Eksperci Fundacji Panoptykon: To było nielegalne

Tekst pierwotnie ukazał się na stronie Fundacji Panoptykon. Jego autorami są Anna Obem i Wojciech Klicki. Współpraca: Maria Wróblewska.

Ustawa o wyborach korespondencyjnych jeszcze nie została przyjęta, ale przygotowania do przeprowadzenia ich w tej formie trwają pełną parą. Kilka dni temu Poczta Polska postawiła na baczność samorządy, żądając wydania list wyborców, a kilka dni wcześniej – jak informuje Rzeczpospolita – otrzymała od Ministra Cyfryzacji dostęp do bazy PESEL.

Wiemy już też, że Poczta odrzuca żądania obywateli usunięcia ich danych. Odpowiadamy na pytania od wczoraj rozgrzewające Internet: czy Poczta mogła uzyskać dane z bazy PESEL? Co zrobić, jeżeli odmówiła skasowania naszych danych? Czy dostęp Poczty do bazy PESEL wystarczy, żeby zapewnić możliwość głosowania wszystkim uprawnionym obywatelom? Jakie jeszcze problemy dla bezpieczeństwa danych osobowych stwarzają pospiesznie przygotowywane wybory korespondencyjne?

Problem 1. Czy Poczta mogła pozyskać dane z rejestru PESEL?

Jak opisała "Rzeczpospolita", „18 kwietnia w życie weszła (...) ustawa – o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, czyli tzw. ustawa Covid. To tam ustawodawca zobligował ministra cyfryzacji do przekazania – w terminie dwóch dni od dnia złożenia wniosku przez operatora pocztowego – danych z rejestru PESEL, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów na prezydenta RP (art. 99 ustawy)”.

Naszym zdaniem pozyskanie przez pocztę danych z rejestru PESEL jest równie nielegalne, jak pozyskiwanie danych ze spisów wyborców od gmin. „Ustawa Covid” przewiduje udostępnianie danych Poczcie albo w związku z realizacją zadań związanych z organizacją wyborów (tryb pierwszy), albo w celu wykonania innych obowiązków nałożonych przez rząd (tryb drugi). Żaden z nich nie znajduje zastosowania.

Tryb pierwszy – udostępnianie danych w związku z organizacją wyborów – nie znajduje zastosowania z dwóch powodów:

1. Poczta nie organizuje powszechnych wyborów korespondencyjnych, bo ustawa o wyborach korespondencyjnych („ustawa kopertowa”) jeszcze nie obowiązuje (prace nad nią trwają w Senacie);
2. od wejścia w życie „ustawy Covid” (18 kwietnia) poczta nie ma też żadnych obowiązków związanych z organizacją wyborów korespondencyjnych w dotychczasowym trybie (dla osób z niepełnosprawnościami) – ten fragment Kodeksu wyborczego został zawieszony.

Premier też nie miał podstawy prawnej

Tryb drugi – udostępnianie danych w celu wykonania innych obowiązków nałożonych przez rząd – nie znajduje zastosowania z trzech powodów:

1. decyzja premiera, na którą powołuje się poczta w swoich żądaniach do samorządów (i która była najprawdopodobniej podstawą żądania wydania danych z rejestru PESEL), zobowiązuje Pocztę do podjęcia działań przygotowawczych do wyborów korespondencyjnych. Decyzja została wydana 16 kwietnia, ale od 18 kwietnia (wejście w życie „ustawy Covid”) w obiegu prawnym nie ma wyborów korespondencyjnych (stare przepisy już zostały uchylone, nowe – dotyczące powszechnego głosowania korespondencyjnego – jeszcze nie obowiązują). Dlatego ta decyzja jest bezprzedmiotowa, o czym szerzej pisze w opinii przygotowanej dla Fundacji Batorego dr Tomasz Zalasiński;
2. „inne obowiązki", których dotyczy ten tryb, nie mogą być podstawą działania poczty, bo to zbyt enigmatyczne sformułowanie, by być podstawą przekazywania danych, o czym szerzej piszemy w naszym apelu;
3. skoro w trybie drugim chodzi o „inne zadania” (niż wybory), to poczta nie może twierdzić, że „inne obowiązki" obejmują właśnie przygotowanie do wyborów, co świetnie wypunktował Związek Miast Polskich.

Podsumowując, w obecnym stanie prawnym nie da się w żaden sposób uzasadnić żądania wydawania danych Poczcie Polskiej przez samorządy i Ministerstwo Cyfryzacji (z rejestru PESEL).

Problem 2. Czy na podstawie danych z rejestru PESEL da się zorganizować wybory?

Zakres danych zawartych w rejestrze jest inny niż w spisach wyborców. Rejestr PESEL zawiera m.in. imię i nazwisko, numer PESEL oraz adres zameldowania. Zgodnie z Kodeksem wyborczym gminy prowadzą natomiast rejestry wyborców (na podstawie których sporządza się spisy wyborców) w oparciu o miejsce zamieszkania. To istotna różnica: osoba zameldowana np. w domu rodzinnym może być dopisana do spisu wyborców w mieście, w którym studiuje. Dlatego

Problem 3. Poczta odrzuca wnioski obywateli o usunięcie danych przetwarzanych niezgodnie z prawem

Nasza Ochotniczka zażądała od Poczty usunięcia przetwarzanych niezgodnie z prawem danych. Fragment otrzymanej przez nią odpowiedzi:

„Poczta Polska S.A. zobowiązana jest obecnie do realizacji ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, a także będzie zobowiązana do stosowania wymagań, określonych w przepisach ustawy, dotyczącej przeprowadzenia wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej oraz rozporządzeń, wydanych przez Ministra Aktywów Państwowych, w drodze ustawowej delegacji. Oznacza to, że Poczta Polska S.A., realizując zadania określone w ww. aktach prawnych, przetwarza i będzie przetwarzać dane osobowe na podstawie przepisów prawa, czyli art. 6 ust. 1 lit c RODO”. [pogrubienie redakcji]

W piątek 24 kwietnia namawialiśmy Was, żebyście pisali do Poczty z żądaniem usunięcia danych i skarżyli się do Prezesa UODO na naruszenie Waszych praw. Podtrzymujemy to: Wasze działania pokazują, że nie ma zgody na działanie ponad prawem i pozwalają udokumentować jego naruszanie.

Do stanowiska Prezesa UODO w sprawie przekazywania danych poczcie odnosimy się w pytaniu 6. w tekście "Wybory 2020: Co zrobić, jeśli Poczta Polska dostała moje dane?".

Problem 4. Ryzyko związane z przetwarzaniem danych

Wyżej koncentrujemy się na braku podstawy prawnej przetwarzania danych osobowych przez Pocztę Polską. Ale czy problem zniknie, kiedy w życie wejdzie „ustawa kopertowa”? Nie, bo przetwarzanie danych osobowych zgodnie z prawem to nie tylko określenie właściwej podstawy prawnej. Żeby przetwarzać dane zgodnie z prawem, należy wykonać kilka konkretnych kroków, zanim zacznie się je przetwarzać.

W pierwszej kolejności należy zmapować proces przetwarzania, czyli odpowiedzieć na pytania o to, jakie dane będą przetwarzane, po co, jak długo, w jaki sposób (np. z wykorzystaniem jakich systemów informatycznych) i kto będzie miał do nich dostęp. Dzięki temu można ocenić legalność przetwarzania danych. Poczta oblewa już przy pierwszym pytaniu: o wskazanie podstawy prawnej przetwarzania danych. Kolejne pytania dotyczą tego, czy nie jest zbieranych zbyt wiele danych, czy nie są zbyt długo przechowywane i czy osoby, których dane są przetwarzane, są odpowiednio informowane.

Kolejnym kluczowym elementem przetwarzania danych jest analiza ryzyka, czyli odpowiedź na pytanie, co może pójść nie tak. Jak przechowywane są dane? Kto ma do nich dostęp i jak są zabezpieczone? Często przywoływane zagrożenia to choćby wyciek danych, naruszenie prywatności czy udostępnienie danych osobom niepowołanym. W tym wypadku ryzyko wiąże się z naruszeniem praw wyborczych obywateli i obywatelek, od pozbawienia kogoś prawa do głosu po umożliwienie osobie trzeciej oddania głosu w czyimś imieniu. Ale na analizie ryzyka nie można poprzestać – trzeba też nim zarządzić, żeby zminimalizować ryzyko naruszenia praw podmiotów danych (w tym wypadku masowego naruszenia, bo chodzi o 30 milionów osób).

Tak na co dzień chroni nas RODO. Od prawie 4 lat wiele podmiotów prywatnych i publicznych, od szkół przez przedsiębiorstwa po organizacje pozarządowe, stają na głowach, żeby wdrożyć RODO i uniknąć negatywnych konsekwencji związanych z jego nieprzestrzeganiem. Wczoraj Prezes Urzędu Ochrony Danych Osobowych nakładał kary za nieodpowiednio wykonany obowiązek informacyjny wobec osób prowadzących działalność gospodarczą i zajmowałem się problemem kopiowania dowodów osobistych w wypożyczalniach sprzętu narciarskiego. Dziś Poczta Polska – na polecenie Premiera – przetwarza dane osobowe na podstawie prawnej, której jeszcze nie ma i w kompletnym zaprzeczeniu zasad i procedur przewidzianych prawem, a Prezes UODO wydaje stanowisko, w którym przyklepuje jej bezprawne działania. Kto poniesie konsekwencje? Z pewnością my, obywatele i obywatelki.

Co dalej?

Nie wiemy, czy wybory odbędą się w maju, czy kiedy indziej, czy będą korespondencyjne, czy będziemy mogli spokojni o własne zdrowie pójść do lokali wyborczych. Rozważania nad tym, kiedy i jak bezpiecznie przeprowadzić te wybory zostawiamy epidemiologom. Nie możemy jednak zamykać oczu na to, jak łamane są podstawowe prawa człowieka – nie tylko prawo do prywatności, ale też prawo do uczestnictwa w wyborach wielu grup społecznych – pod pretekstem wyjątkowych okoliczności spowodowanych przez pandemię.