Ekspert ds. RODO o przekazaniu danych Poczcie i wycieku kart: Jesteśmy zdruzgotani. Niedopuszczalne

Robert Kędzierski
Po tym jak Poczta Polska otrzymała dane wyborców z rejestru PESEL, wśród ekspertów rozgorzała dyskusja: czy była ku temu podstawa prawna? Jarosław Feliński, prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych (SIODO), twierdzi, że polecenie premiera w tym wypadku nie wystarczy. Podobnie jak e-mail przesłany nocą. - MY, ludzie, zajmujący się tą tematyką ochrony prywatności i wolności osób fizycznych od dwudziestu lat, jesteśmy zdruzgotani - stwierdza.

Przekazanie danych wyborców Poczcie Polskiej wzbudziło falę komentarzy. Eksperci zwracają uwagę, że podstawa prawna, na którą powołało się Ministerstwo Cyfryzacji, udostępniając dane, jest wątpliwa. Wątpliwości stały się jeszcze większe, kiedy jeden z pakietów wyborczych, którymi Polacy mają posługiwać się w wyborach prezydenckich 2020, został przekazany jednemu z kandydatów startujących w wyborach. O opinię zapytaliśmy eksperta.

Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych: Premier ma prawo wydawać polecenia, ale w zgodzie z ustawą

Robert Kędzierski. Czy może Pan wyjaśnić zamieszanie związane z ujawnianiem danych zwykłego obywatela w kontekście wyborów prezydenckich? Co każdy z nas powinien wiedzieć? Czy wniosek poczty był poprawnie złożony?

Jarosław Feliński, prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych (SIODO). Sytuacja związana z przesłanymi do samorządów 23 kwietnia w godzinach nocnych pismami wymaga wyjaśnienia, z kilku ważnych powodów. Otóż przesłane e-maile miały charakter wniosku. Wniosek w znaczeniu słownikowym jest co najwyżej prośbą. Wynikiem zaś rozpoznania w takiej sytuacji może być odpowiedź pozytywna lub negatywna, z kolei wskazany w art. 99 termin 2 dni roboczych wydaje się koniecznością.

Poza tym najistotniejsza kwestia związana z legalnością przetwarzania łączy się spójnością warunków określonych w Konstytucji RP (art.51.5), RODO (art. 6 ust. 3) i ustawie Kodeks wyborczy (art. 26 §7).

Część ekspertów twierdzi, że przesłanka do przekazania Poczcie naszych danych jest. Chodzi o interes publiczny.

Oprócz przesłanki kierunkowej - realizacji zadania w interesie publicznym (art. 6 ust.1 lit. e RODO) - warunkiem przetwarzania określonego rodzaju danych jest przepis krajowy, w którym jak podkreślono w RODO, "podstawa prawna musi być określona - zgodnie z art. 6 ust. 3. Co więcej, podmiot określony w tym zakresie musi funkcjonować w zgodności z ustawowym uprawnieniem, czego na dzień 23 kwietnia nie zapewniono z powodu niezakończenia prac nad ustawą w Senacie RP.

Wartym zwrócenia uwagi i podkreślenia jest fakt, iż w art. 99 "COVID19" wskazano, iż Poczta Polska "otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej". Czyli nie ma tu mowy o przywołanym w piśmie zakresie części A spisu wyborców, lecz o różnych rejestrach.

A może przepisy dałoby się inaczej sformułować?

Gdyby w stosunku do podmiotu (którym jest Poczta Polska) spełniono warunki, w myśl których stałaby się transmiterem poleceń (obowiązków i danych) ustawowych między podmiotami zaangażowanymi w przygotowanie wyborów, nie można byłoby mieć zastrzeżeń i obaw o nasze dane.

Nie budzi mojego zdziwienia rozważna asekuracja samorządowców w tak nieczytelnej sytuacji prawnej. Uzasadniona obawa wzmocniona została "nietypowością" e-maila, gdyż pismo PKW wskazywało na konieczność zapewnienia podpisu elektronicznego osób odpowiedzialnych, a także dołączenia stosownych pism uwierzytelniających, czego nie spełniono.

Wiele przepisów obliguje administratorów do szczególnej staranności w obrocie danymi przy wykorzystaniu wysokich technologii, w tym przekazania danych podmiotom nieuprawnionym lub podszywającym się – podkreślam wytyczne Urzędu ODO w zakresie pracy zdalnej z marca 2020 r. dlatego też jednostki samorządu terytorialnego mają obowiązek zachowania ostrożności w przekazywaniu danych osobowych. Stąd też powściągliwość gmin zasługuje na pochwałę.

Czy nie zdziwił pana fakt, że samorządowcy mieli przesyłać pliki niezabezpieczone?

Tego nie można pozostawić bez komentarza. W piśmie Poczty Polskiej żądano przesłania danych "bez hasła" na wskazany, nieautoryzowany adres. W tym miejscu gratuluję i dziękuję za kontakt oraz błyskawiczną reakcję absolwentom moich studiów dla inspektorów ochrony danych. Doskonale poradzili sobie z rozpoznaniem sytuacji i przedstawili wstępne propozycje rozwiązania problemu. Świadczy to jak ważną postacią w JST [Jednostkach Samorządu Terytorialnego - red.]  - i nie tylko - jest kompetentny i wykwalifikowany inspektor ODO z doświadczeniem.

W kontekście komentowanych zdarzeń, możemy uznać, że mamy do czynienia jedynie z próbami usankcjonowania Poczty Polskiej jako podmiotu legalnie przetwarzającego dane w trybie ustawowym, którego to trybu w tej chwili niestety nie mamy.

Czy przekazanie danych można tłumaczyć poleceniem premiera?

Wszystkie polskie organy - prezydent, organy samorządowe, ministerstwa – jako organy władzy publicznej działają na podstawie i w granicach prawa. Prezes Rady Ministrów i właściwi ministrowie, biorąc pod uwagę szczególną sytuację epidemiczną, mają obowiązek stosować prawo, wydawać określone polecenia, ale z należnym poszanowaniem przepisów określonych w randze ustawy lub ustaw.

A jak pan skomentuje "wyciek" pakietu wyborczego?

Informacja o przekazaniu i upublicznieniu lub bardziej medialnie wycieku pakietu do głosowania budzi spore zaniepokojenie wśród ekspertów, którzy ochroną danych osobowych zajmują się na co dzień. My, ludzie, zajmujący się tą tematyką ochrony prywatności i wolności osób fizycznych od dwudziestu lat, zanim pojawiło się RODO - jesteśmy zdruzgotani.

Czy którykolwiek z członków Obwodowej Komisji będzie w stanie rozpoznać autentyczność otrzymanego pakietu? Dla przeciętnego członka komisji wyborczej odróżnienie prawdziwej karty od fałszywej może być niemożliwe.

W jaki sposób i jakimi narzędziami mieliby to ustalić? Nie zapominajmy również, że przez ręce członków komisji przejdą tysiące takich pakietów. Tak więc, może powstać generalne skojarzenie i wątpliwości co do autentyczności pakietów.

Jak można było doprowadzić do takiej sytuacji? 

Jest to rzecz absolutnie niedopuszczalna. W Polsce uprawnionych do rozpoznania, zlecania, nadzorowania i rozliczania takich zleceń jest wiele służb o specjalnym znaczeniu i obowiązkach, liczne organy, które powinny zajmować się otoczeniem przygotowaniem i realizacją wyborów w RP na odpowiednim poziomie.

Informacja o zdarzeniu, że w niejasnych, nieczytelnych okolicznościach jakaś firma uzyskuje niezabezpieczone karty, nie sprzyja poczuciu bezpieczeństwa państwa, jak również obywatela, wyborcy.

Do tego wszystkiego dochodzi jeszcze kwestia zakażenia pracownika sortującego pakiety.

W kontekście tej informacji, przyznaję, że niepokój związany z obrotem dokumentami wyborczymi wzrasta. Zapewne nikt nie życzy sobie otrzymania pism powiększonych o patogen COVID-19.

Czytaj też: Czy ministerstwo mogło przekazać dane wyborców Poczcie? Ekspert: Polakom przysługuje sprzeciw

Zobacz wideo Debata prezydencka w Gazeta.pl. Wolne odpowiedzi kandydatów