Pozywamy Pocztę Polską za nielegalne przetwarzanie danych osobowych

Artykuł
pozew przeciwko poczcie - logo

W maju Poczta Polska pozyskała dane milionów obywateli i obywatelek z rejestru PESEL i przetwarzała je w celu organizacji wyborów, które miały się odbyć 10 maja. Naszym zdaniem zrobiła to nielegalnie, bo bez podstawy prawnej. Dlatego do sądu trafił właśnie pozew zarzucający poczcie naruszenie prawa do ochrony danych. Tym działaniem chcemy pokazać, że nie można sięgać po dane ani jednego, ani tym bardziej 30 milionów obywateli bez solidnej podstawy prawnej i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych.

Idziemy do sądu

Do sądu okręgowego w Warszawie trafił w piątek pozew Wojciecha Klickiego, prawnika i wieloletniego członka zespołu Fundacji Panoptykon, reprezentowanego przez zespół prawników z kancelarii Lubasz i Wspólnicy. Poczta twierdzi, że przetwarzała dane na podstawie decyzji premiera. Specjaliści od ochrony danych osobowych są jednak zgodni, że nie była to wystarczająca podstawa prawna do pozyskania danych wyborców, co oznacza, że poczta przetwarzała dane nielegalnie.

Jeśli sąd stwierdzi, że poczta złamała prawo, nakaże jej usunąć dane lub zweryfikuje, czy – zgodnie z pojawiającymi się w przestrzeni publicznej zapewnieniami – rzeczywiście usunęła dane milionów obywateli ze swoich baz, a także nakaże spółce przeprosiny i zasądzi symboliczne odszkodowanie.

Jeśli sąd stwierdzi, że poczta złamała prawo, nakaże jej usunąć dane lub zweryfikuje, czy – zgodnie z pojawiającymi się w przestrzeni publicznej zapewnieniami – rzeczywiście usunęła dane milionów obywateli ze swoich baz, a także nakaże spółce przeprosiny i zasądzi symboliczne odszkodowanie. Ale nie o pieniądze tu chodzi, a o rozstrzygnięcie, czy nasze dane osobowe mogą być przekazywane między instytucjami publicznymi bez wyraźnej podstawy prawnej, na podstawie decyzji premiera czy ministra. Jeśli sąd przyzna nam rację, będzie to jasny sygnał dla polityków, że muszą traktować poważnie prawa obywateli. Otworzy się też furtka do podważenia innych działań rządu, które naraziły prywatność obywateli pod pretekstem walki z pandemią koronawirusa (np. nakazanie operatorom telekomunikacyjnym udostępnienia rządowi lokalizacji osób poddanych kwarantannie).

Sprzeciwiamy się nielegalnemu przetwarzaniu danych

Przypomnijmy: zaplanowane na 10 maja wybory prezydenckie nie mogły się odbyć w zwykłym trybie z uwagi na trwającą pandemię koronawirusa. Tak zwana ustawa kopertowa, która miała umożliwić wybory korespondencyjne, weszła w życie 9 maja – zbyt późno, żeby na jej podstawie wybory mogły zostać zorganizowane w planowanym terminie. Mimo tego już 16 kwietnia, kiedy ustawa była jeszcze procedowana w Senacie, poczta zażądała od samorządów przekazania danych ze spisów wyborców. Gdy te gremialnie odmówiły, okazało się, że poczta dysponuje już danymi z rejestru PESEL, które udostępniło jej Ministerstwo Cyfryzacji. Zaapelowaliśmy wówczas do samorządowców, by nie łamali prawa i nie przekazywali danych ze spisów wyborców poczcie, a zaniepokojonym obywatelom i obywatelkom podpowiadaliśmy, jak mogą zadbać o swoje prawa.

W obu operacjach sięgnięcia po dane (z gminnych spisów wyborców oraz z rejestru PESEL) poczta powoływała się na art. 99 tzw. ustawy covidowej, który pozwala jej pozyskiwać różne dane na potrzeby wyborów lub „realizacji innych obowiązków”. Rzecz w tym, że w chwili wysłania żądań poczta nie była prawnie zobowiązana do przygotowywania wyborów. Na gruncie ówczesnych przepisów nie miała też „innych obowiązków”, które uzasadniałyby przetwarzanie tych danych. Mogła się powołać tylko na ogólną decyzję premiera, w której polecił on poczcie „podjęcie realizacji niezbędnych czynności zmierzających do przygotowania wyborów Prezydenta RP, poprzez przygotowanie infrastruktury organizacyjnej oraz pozyskanie niezbędnych zasobów materialnych”. Nie było w niej jednak ani słowa o danych osobowych.

Nie mniejsze kontrowersje wzbudził też sposób, w jaki poczta miała uzyskać dane: te z rejestru PESEL trafiły do firmy na płycie CD, a samorządy miały przekazać je w niezabezpieczonym hasłem pliku .txt. Poczta nie zrealizowała też obowiązku informacyjnego i w żaden sposób nie poinformowała obywateli o pozyskaniu ich danych.

Przekazanie poczcie danych wszystkich Polek i Polaków odbyło się bez podstawy prawnej i naszym zdaniem było skandalicznym naruszeniem prawa ochrony danych osobowych. 

Pierwszym adresem, pod który należy się zwrócić w przypadku naruszenia prawa ochrony danych osobowych, jest Prezes UODO. Niestety – w wydanym w reakcji na debatę publiczną oświadczeniu z 24 kwietnia Prezes UODO stwierdził, że przekazanie poczcie danych ze spisów wyborców i rejestru PESEL na podstawie tzw. ustawy covidowej było zgodne z prawem. Dlatego postanowiliśmy skorzystać z drugiej przewidzianej prawem ścieżki i pozwać firmę przed sądem cywilnym.

Pozew jako narzędzie ochrony danych osobowych 

Do tej pory sądy cywilne nie miały zbyt wielu okazji, by wypowiadać się w sprawach dotyczących ochrony danych osobowych. Dzieje się tak zapewne dlatego, że postępowanie sądowe jest trudniejsze dla skarżących i wiąże się z koniecznością poniesienia kosztów już na starcie. Daje jednak – w przeciwieństwie do postępowania przed Prezesem UODO – możliwość ubiegania się o odszkodowanie. Prezes może tylko nałożyć karę na administratora, a ta trafia do budżetu państwa. W przypadku Poczty Polskiej, która jest spółką Skarbu Państwa, byłoby to przekładanie pieniędzy z jednej kieszeni do drugiej.

Wybranie ścieżki sądowej nie oznacza, że Prezes UODO nie będzie zaangażowany w toczący się proces: sąd powinien powiadomić go o wszczętym postępowaniu. Zgodnie z przepisami w sytuacji, w której w UODO toczy się sprawa dotycząca tego samego naruszenia, sąd powinien zawiesić postępowanie. Jednak naszym zdaniem taka sytuacja nie będzie miała miejsca: sąd może rozstrzygać i nie musi zawieszać postępowania, bo przed UODO nie toczy się sprawa dotyczącego tego samego naruszenia (Prezes UODO już odmówił wszczęcia postępowania w związku ze skargami złożonymi przez zaniepokojonych obywateli). Istnieje natomiast możliwość, że Prezes UODO – powiadomiony przez sąd – przyłączy się do postępowania.

Wyrok sądu może mieć znaczenie też dla innej sprawy. W połowie kwietnia ujawniliśmy, że pod koniec marca premier wydał decyzje nakazujące operatorom telekomunikacyjnym przekazanie rządowi danych o lokalizacji osób poddanych kwarantannie. W tym wypadku również zlekceważono zasadę wynikającą z RODO: jeśli podstawą przetwarzania danych osobowych jest przepis prawa, przepis ten musi być zawarty w ustawie (a nie w rozporządzeniu czy decyzji). Wyrok w sprawie przeciwko poczcie może mieć zatem znaczenie w ewentualnych sporach zainicjowanych w związku z przekazaniem danych rządowi przez operatorów telekomunikacyjnych.

Liczymy też na to, że nasze pozwy zwrócą uwagę praktyków ochrony danych osobowych i innych pokrzywdzonych osób na możliwość egzekwowania RODO przez sądy cywilne. A korzystny wyrok sądu da jasny sygnał, że bez solidnej podstawy prawnej i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych nie można sięgać po dane ani jednego, ani 30 milionów obywateli.

W sprawie reprezentuje nas kancelaria Lubasz i Wspólnicy, a inicjatywę wspiera Fundusz Obywatelski. Dziękujemy!

Aktualizacja (9.07.2020)

6 lipca Poczta Polska wydała oświadczenie, w którym odniosła się do sprawy. Poczta twierdzi, że dane z rejestru PESEL były jej potrzebne do „przygotowania procesu logistycznego (ekspedycyjno-rozdzielczego)” w związku z obowiązkami nałożonymi na nią przez Premiera. Firma podtrzymuje też, że art. 99 ustawy covidowej oraz decyzja Premiera były wystarczającymi podstawami prawnymi do pozyskania danych. W swoim oświadczeniu Poczta Polska dodała, że pozyskane dane zostały już usunięte.

Tezy zawarte w oświadczeniu Poczty będą przedmiotem badania sądu. Czekamy z niecierpliwością na bardziej szczegółowe wyjaśnienia, dlaczego do procesu ekspedycyjno-rozdzielczego Poczcie niezbędne były imiona, nazwiska i adresy wszystkich Polek i Polaków. Oczywiście o wszystkim będziemy informować na naszej stronie!

Dorzuć się do kosztów sądowych tej sprawy. Wspieraj Panoptykon darowiznami.

Komentarze

Uznaliśmy, że najpierw chcemy, żeby sąd doręczył go pozwanej spółce, ale jak tylko to się stanie (czyli za kilka tygodni), wtedy opublikujemy pozew, oczywiście z możliwością jego wykorzystywania!

A ja chciałbym otrzymać od Poczty Polskiej klauzulę informacyjną RODO.
Chciałbym się dowiedzieć, komu moje dane przekazali i czy jeszcze je mają. Wg RODO powinni wszystkie dane już usunąć - bo zniknął cel przetwarzania.
A obowiązek przekazania klauzuli mają - wynika on z art. 14 RODO. UODO nałożył nawet karę ok. 1 mln zł na Bisnode za to, że nie wykonali obowiązku informacyjnego.
Czy jest ktoś kto otrzymał klauzulę informacyjną? Czy Poczty Poloskiej RODO nie dotyczy?

Jeżeli to jest prawda
Głównym źródłem przychodu były granty celowe z: Fundacji Batorego (123.000 PLN), 10.000 USD z Internet Society i 75.000 USD z Open Society Institute to macie moim zdaniem słabą wiarygodność.

@nieMOPR: znaczy pozew napisany jest w Twoim imieniu? Mieszkasz w ogóle w gminie, która przekazała Twoje dane poczcie?

@RaV: Jeżeli chcesz otrzymać "klauzulę" od poczty, to lepiej zwrócić się do poczty, a nie w komentarzu na jakimś blogu. Aczkolwiek, skoro RODO dotyczy przetwarzania danych, które nie są przetwarzanie na podstawie odrębnych przepisów, to raczej w tym przypadku faktycznie możesz sobie tylko "chcieć" klauzuli.

@Kasandra: A co jest nieprawdą?

Chciałbym otrzymać klauzulę, którą Poczta Polska miała OBOWIĄZEK mi dostarczyć.
A nie piszę do nich bo się boję Sasina.
Nie piszę również skargi do UODO bo to by było nieskuteczne - skoro organ nadzorczy (UODO) uważa, że łamanie prawa jest zgodne z prawem.

Tak więc pozostało mi skomlenie w komentarzu na jakimś blogu...

Myślę, że poczta nie miała takiego OBOWIĄZKU. Bo po pierwsze te przetwarzanie było wyłączone z RODO, a po drugie obowiązek informacyjny trzeba dopełnić po raz pierwszy kontaktując się z osobą, której dane się przetwarza (a to zdaje się nie miało miejsca).

@Watchdog i @Wojciech, czy po wykorzystaniu powtórnie tego pozwu kolejny sąd może nałożyć kolejną symboliczną karę w sprawie tej samej ale z powództwa innego obywatela?

do MOPR:
Litości, jak możesz pisać, że przetwarzanie było "wyłączone z RODO"? To zakrawa na żart (może to sarkazm) albo na całkowitą nieznajomość tematu.
Jeśli chodzi o obowiązek informacyjny to on rodzi się w momencie pozyskiwania danych a nie (jak piszesz) "po raz pierwszy kontaktując się z osobą". Jeśli zabierasz głos na tym blogu, to proszę przeczytaj chociaż troszkę przepis, który komentujesz. Wystarczy w googlu wpisać "RODO 14" i już.

1. Mogę pisać, że przetwarzanie było wyłączone z RODO, bo tak było. Jeżeli uważasz, że RODO jest nadrzędnym aktem w Polsce, to spróbuj na jego podstawie usunąć czyjeś dane z np. z baz Kościoła Katolickiego, CEIDG albo z publikacji prasowych.
2. Nie wystarczy tylko wpisać "RODO 14", ale też warto przeczytać dalej niż 2 pierwsze ustępy.

A i raczej nie będę dalej dyskutował. Bo lubię to robić z osobami kulturalnymi, z niekulturalnymi natomiast tego nie praktykuję.

@Htr - niebawem opublikujemy treść pozwu (czekamy z tym kilka dni, żeby w pierwszej kolejności zapoznała się z nim poczta), będzie go można wykorzystać. Inny sąd, do którego trafi analogiczna sprawa będzie mógł inaczej rozstrzygnąć sprawę, nic nie stoi też na przeszkodzie, żeby także zasądził odszkodowanie.

Ale czy w całej tej aferze gorzej nie zachowały się gminy? To je powinno się pozwać. Poczta tylko poprosiła o dane i je dostała. Niewielkim nadużyciem było proszenie. O wiele gorsze jest nieprzestrzeganie prawa przez urzędników.

@Htr - taka zasada obowiązuje na gruncie prawa karnego. A tu mówimy o pozwie cywilnym - sąd rozstrzygnie, czy poczta naruszyła moje prawo. W sprawie z pozwu iksińskiego, inny sąd rozstrzygnie, czy poczta naruszyła jego prawo.

@umm - na pewno część samorzadów, czyli te, które udostępniły dane, także zachowało się nieprawidłowo. Jednak moim zdaniem to poczta w całej tej awanturze była "czarnym charakterem", bo to ona zażądała udostępnienie i od samorządów, i od ministerstwa, od niej wszystko się zaczęło. Dlatego wyrok w sprawie z mojego pozwu rozstrzygnie legalność całych przygotowań do wyborów 10 maja wiążących się z przekazywaniem danych.

"Sprzeciwiamy się nielegalnemu przetwarzaniu danych" a ja sie sprzeciwiam jakiemukolwiej przetwarzaniu danych bez zgody obywatela. Czy Panoptykon nie powienien przypadkiem walczyc aby "legalne" przetwarzanie danych uczynic nielegalnym?

@Hitlr - walczymy o to, żeby to, co poczta uznała za legalne, uczynić nielegalnym. Jednak nie zawsze jest tak, że brak zgody równa się nielegalność. Państwo w bardzo wielu obszarach wykorzystuje dane nie na podstawie zgody, a np. w celu realizacji zadań fiskalnych. Trudno przecież sobie wyobrazić, żeby urząd skarbowy potrzebował zgody podatnika na weryfikację, czy zapłacił odpowiednią wysokość podatku.

Dodaj komentarz