Artykuł 06.07.2020 7 min. czytania Tekst Image W maju Poczta Polska pozyskała dane milionów obywateli i obywatelek z rejestru PESEL i przetwarzała je w celu organizacji wyborów, które miały się odbyć 10 maja. Naszym zdaniem zrobiła to nielegalnie, bo bez podstawy prawnej. Dlatego do sądu trafił właśnie pozew zarzucający poczcie naruszenie prawa do ochrony danych. Tym działaniem chcemy pokazać, że nie można sięgać po dane ani jednego, ani tym bardziej 30 milionów obywateli bez solidnej podstawy prawnej i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych. Idziemy do sądu Do sądu okręgowego w Warszawie trafił w piątek pozew Wojciecha Klickiego, prawnika i wieloletniego członka zespołu Fundacji Panoptykon, reprezentowanego przez zespół prawników z kancelarii Lubasz i Wspólnicy. Poczta twierdzi, że przetwarzała dane na podstawie decyzji premiera. Specjaliści od ochrony danych osobowych są jednak zgodni, że nie była to wystarczająca podstawa prawna do pozyskania danych wyborców, co oznacza, że poczta przetwarzała dane nielegalnie. Jeśli sąd stwierdzi, że poczta złamała prawo, nakaże jej usunąć dane lub zweryfikuje, czy – zgodnie z pojawiającymi się w przestrzeni publicznej zapewnieniami – rzeczywiście usunęła dane milionów obywateli ze swoich baz, a także nakaże spółce przeprosiny i zasądzi symboliczne odszkodowanie. Jeśli sąd stwierdzi, że poczta złamała prawo, nakaże jej usunąć dane lub zweryfikuje, czy – zgodnie z pojawiającymi się w przestrzeni publicznej zapewnieniami – rzeczywiście usunęła dane milionów obywateli ze swoich baz, a także nakaże spółce przeprosiny i zasądzi symboliczne odszkodowanie. Ale nie o pieniądze tu chodzi, a o rozstrzygnięcie, czy nasze dane osobowe mogą być przekazywane między instytucjami publicznymi bez wyraźnej podstawy prawnej, na podstawie decyzji premiera czy ministra. Jeśli sąd przyzna nam rację, będzie to jasny sygnał dla polityków, że muszą traktować poważnie prawa obywateli. Otworzy się też furtka do podważenia innych działań rządu, które naraziły prywatność obywateli pod pretekstem walki z pandemią koronawirusa (np. nakazanie operatorom telekomunikacyjnym udostępnienia rządowi lokalizacji osób poddanych kwarantannie). Sprzeciwiamy się nielegalnemu przetwarzaniu danych Przypomnijmy: zaplanowane na 10 maja wybory prezydenckie nie mogły się odbyć w zwykłym trybie z uwagi na trwającą pandemię koronawirusa. Tak zwana ustawa kopertowa, która miała umożliwić wybory korespondencyjne, weszła w życie 9 maja – zbyt późno, żeby na jej podstawie wybory mogły zostać zorganizowane w planowanym terminie. Mimo tego już 16 kwietnia, kiedy ustawa była jeszcze procedowana w Senacie, poczta zażądała od samorządów przekazania danych ze spisów wyborców. Gdy te gremialnie odmówiły, okazało się, że poczta dysponuje już danymi z rejestru PESEL, które udostępniło jej Ministerstwo Cyfryzacji. Zaapelowaliśmy wówczas do samorządowców, by nie łamali prawa i nie przekazywali danych ze spisów wyborców poczcie, a zaniepokojonym obywatelom i obywatelkom podpowiadaliśmy, jak mogą zadbać o swoje prawa. W obu operacjach sięgnięcia po dane (z gminnych spisów wyborców oraz z rejestru PESEL) poczta powoływała się na art. 99 tzw. ustawy covidowej, który pozwala jej pozyskiwać różne dane na potrzeby wyborów lub „realizacji innych obowiązków”. Rzecz w tym, że w chwili wysłania żądań poczta nie była prawnie zobowiązana do przygotowywania wyborów. Na gruncie ówczesnych przepisów nie miała też „innych obowiązków”, które uzasadniałyby przetwarzanie tych danych. Mogła się powołać tylko na ogólną decyzję premiera, w której polecił on poczcie „podjęcie realizacji niezbędnych czynności zmierzających do przygotowania wyborów Prezydenta RP, poprzez przygotowanie infrastruktury organizacyjnej oraz pozyskanie niezbędnych zasobów materialnych”. Nie było w niej jednak ani słowa o danych osobowych. Nie mniejsze kontrowersje wzbudził też sposób, w jaki poczta miała uzyskać dane: te z rejestru PESEL trafiły do firmy na płycie CD, a samorządy miały przekazać je w niezabezpieczonym hasłem pliku .txt. Poczta nie zrealizowała też obowiązku informacyjnego i w żaden sposób nie poinformowała obywateli o pozyskaniu ich danych. Przekazanie poczcie danych wszystkich Polek i Polaków odbyło się bez podstawy prawnej i naszym zdaniem było skandalicznym naruszeniem prawa ochrony danych osobowych. Pierwszym adresem, pod który należy się zwrócić w przypadku naruszenia prawa ochrony danych osobowych, jest Prezes UODO. Niestety – w wydanym w reakcji na debatę publiczną oświadczeniu z 24 kwietnia Prezes UODO stwierdził, że przekazanie poczcie danych ze spisów wyborców i rejestru PESEL na podstawie tzw. ustawy covidowej było zgodne z prawem. Dlatego postanowiliśmy skorzystać z drugiej przewidzianej prawem ścieżki i pozwać firmę przed sądem cywilnym. Pozew jako narzędzie ochrony danych osobowych Do tej pory sądy cywilne nie miały zbyt wielu okazji, by wypowiadać się w sprawach dotyczących ochrony danych osobowych. Dzieje się tak zapewne dlatego, że postępowanie sądowe jest trudniejsze dla skarżących i wiąże się z koniecznością poniesienia kosztów już na starcie. Daje jednak – w przeciwieństwie do postępowania przed Prezesem UODO – możliwość ubiegania się o odszkodowanie. Prezes może tylko nałożyć karę na administratora, a ta trafia do budżetu państwa. W przypadku Poczty Polskiej, która jest spółką Skarbu Państwa, byłoby to przekładanie pieniędzy z jednej kieszeni do drugiej. Wybranie ścieżki sądowej nie oznacza, że Prezes UODO nie będzie zaangażowany w toczący się proces: sąd powinien powiadomić go o wszczętym postępowaniu. Zgodnie z przepisami w sytuacji, w której w UODO toczy się sprawa dotycząca tego samego naruszenia, sąd powinien zawiesić postępowanie. Jednak naszym zdaniem taka sytuacja nie będzie miała miejsca: sąd może rozstrzygać i nie musi zawieszać postępowania, bo przed UODO nie toczy się sprawa dotyczącego tego samego naruszenia (Prezes UODO już odmówił wszczęcia postępowania w związku ze skargami złożonymi przez zaniepokojonych obywateli). Istnieje natomiast możliwość, że Prezes UODO – powiadomiony przez sąd – przyłączy się do postępowania. Wyrok sądu może mieć znaczenie też dla innej sprawy. W połowie kwietnia ujawniliśmy, że pod koniec marca premier wydał decyzje nakazujące operatorom telekomunikacyjnym przekazanie rządowi danych o lokalizacji osób poddanych kwarantannie. W tym wypadku również zlekceważono zasadę wynikającą z RODO: jeśli podstawą przetwarzania danych osobowych jest przepis prawa, przepis ten musi być zawarty w ustawie (a nie w rozporządzeniu czy decyzji). Wyrok w sprawie przeciwko poczcie może mieć zatem znaczenie w ewentualnych sporach zainicjowanych w związku z przekazaniem danych rządowi przez operatorów telekomunikacyjnych. Liczymy też na to, że nasze pozwy zwrócą uwagę praktyków ochrony danych osobowych i innych pokrzywdzonych osób na możliwość egzekwowania RODO przez sądy cywilne. A korzystny wyrok sądu da jasny sygnał, że bez solidnej podstawy prawnej i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych nie można sięgać po dane ani jednego, ani 30 milionów obywateli. W sprawie reprezentuje nas kancelaria Lubasz i Wspólnicy, a inicjatywę wspiera Fundusz Obywatelski. Dziękujemy! Aktualizacja (9.07.2020) 6 lipca Poczta Polska wydała oświadczenie, w którym odniosła się do sprawy. Poczta twierdzi, że dane z rejestru PESEL były jej potrzebne do „przygotowania procesu logistycznego (ekspedycyjno-rozdzielczego)” w związku z obowiązkami nałożonymi na nią przez Premiera. Firma podtrzymuje też, że art. 99 ustawy covidowej oraz decyzja Premiera były wystarczającymi podstawami prawnymi do pozyskania danych. W swoim oświadczeniu Poczta Polska dodała, że pozyskane dane zostały już usunięte. Tezy zawarte w oświadczeniu Poczty będą przedmiotem badania sądu. Czekamy z niecierpliwością na bardziej szczegółowe wyjaśnienia, dlaczego do procesu ekspedycyjno-rozdzielczego Poczcie niezbędne były imiona, nazwiska i adresy wszystkich Polek i Polaków. Oczywiście o wszystkim będziemy informować na naszej stronie! Dorzuć się do kosztów sądowych tej sprawy. Wspieraj Panoptykon darowiznami. Wojciech Klicki Autor Temat dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Zobacz także Podcast Koniec „Tarczy prywatności”. I co dalej? Rozmowa z Marcinem Marutą 16 lipca Trybunał Sprawiedliwości Unii Europejskiej w głośnej sprawie Schrems II stwierdził, że Stany Zjednoczone nie gwarantują ochrony danych osobowych na takim poziomie, jakiego wymaga UE. A konkretnie nie gwarantuje jej „Tarcza prywatności” – umowa między Unią a Stanami, która od 2016 r.… 08.10.2020 Dźwięk Artykuł Konwent Ochrony Danych i Informacji pod patronatem Panoptykonu W dniach 6-7 października 2021 r. odbędzie się 10. edycja Konwentu Ochrony Danych i Informacji. Wydarzenie to łączy teorię z praktyką w obszarze ochrony danych i informacji. To forum wymiany poglądów i myśli specjalistów i specjalistek ze świata nauki, administracji i biznesu. Tegoroczna edycja… 14.09.2021 Tekst Artykuł Problem Facebooka jest problemem nas wszystkich Medialna burza wokół Cambridge Analytica oddala nas od sedna problemu. Mniejsza o to, na czyim serwerze znalazły się dane 50 milionów użytkowników Facebooka i czy trafiły tam w wyniku naruszenia regulaminu serwisu społecznościowego, czy też w wyniku porozumienia obu firm. Z perspektywy użytkowników… 21.03.2018 Tekst
