Baza PESEL w rękach Poczty. To dopiero początek problemów z wyborami kopertowymi

Artykuł

Ustawa o wyborach korespondencyjnych jeszcze nie została przyjęta, ale przygotowania do przeprowadzenia ich w tej formie trwają pełną parą. Kilka dni temu Poczta Polska postawiła na baczność samorządy, żądając wydania list wyborców, a kilka dni wcześniej – jak informuje Rzeczpospolita – otrzymała od Ministra Cyfryzacji dostęp do bazy PESEL. Wiemy już też, że Poczta odrzuca żądania obywateli usunięcia ich danych. Odpowiadamy na pytania od wczoraj rozgrzewające Internet: czy Poczta mogła uzyskać dane z bazy PESEL? Co zrobić, jeżeli odmówiła skasowania naszych danych? Czy dostęp Poczty do bazy PESEL wystarczy, żeby zapewnić możliwość głosowania wszystkim uprawnionym obywatelom? Jakie jeszcze problemy dla bezpieczeństwa danych osobowych stwarzają pospiesznie przygotowywane wybory korespondencyjne?

Problem 1. Czy Poczta mogła pozyskać dane z rejestru PESEL?

Jak opisała Rzeczpospolita, „18 kwietnia w życie weszła (...) ustawa – o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 czyli tzw. ustawa Covid. To tam ustawodawca zobligował ministra cyfryzacji do przekazania – w terminie dwóch dni od dnia złożenia wniosku przez operatora pocztowego – danych z rejestru PESEL, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów na prezydenta RP (art. 99 ustawy)”.

Naszym zdaniem pozyskanie przez pocztę danych z rejestru PESEL jest równie nielegalne, jak pozyskiwanie danych ze spisów wyborców od gmin. „Ustawa Covid” przewiduje udostępnianie danych Poczcie albo w związku z realizacją zadań związanych z organizacją wyborów (tryb pierwszy), albo w celu wykonania innych obowiązków nałożonych przez rząd (tryb drugi). Żaden z nich nie znajduje zastosowania.

Tryb pierwszy – udostępnianie danych w związku z organizacją wyborów – nie znajduje zastosowania z dwóch powodów:

  1. Poczta nie organizuje powszechnych wyborów korespondencyjnych, bo ustawa o wyborach korespondencyjnych („ustawa kopertowa”) jeszcze nie obowiązuje (prace nad nią trwają w Senacie);
  2. od wejścia w życie „ustawy Covid” (18 kwietnia) poczta nie ma też żadnych obowiązków związanych z organizacją wyborów korespondencyjnych w dotychczasowym trybie (dla osób z niepełnosprawnościami) – ten fragment Kodeksu wyborczego został zawieszony.

Tryb drugi – udostępnianie danych w celu wykonania innych obowiązków nałożonych przez rząd – nie znajduje zastosowania z trzech powodów:

  1. decyzja premiera, na którą powołuje się poczta w swoich żądaniach do samorządów (i która była najprawdopodobniej podstawą żądania wydania danych z rejestru PESEL), zobowiązuje Pocztę do podjęcia działań przygotowawczych do wyborów korespondencyjnych. Decyzja została wydana 16 kwietnia, ale od 18 kwietnia (wejście w życie „ustawy Covid”) w obiegu prawnym nie ma wyborów korespondencyjnych (stare przepisy już zostały uchylone, nowe – dotyczące powszechnego głosowania korespondencyjnego – jeszcze nie obowiązują). Dlatego ta decyzja jest bezprzedmiotowa, o czym szerzej pisze w opinii przygotowanej dla Fundacji Batorego dr Tomasz Zalasiński;
  2. „inne obowiązki", których dotyczy ten tryb nie mogą być podstawą działania poczty, bo to zbyt enigmatyczne sformułowanie, by być podstawą przekazywania danych, o czym szerzej piszemy w naszym apelu;
  3. skoro w trybie drugim chodzi o „inne zadania” (niż wybory), to poczta nie może twierdzić, że „inne obowiązki" obejmują właśnie przygotowanie do wyborów, co świetnie wypunktował Związek Miast Polskich.

Podsumowując, w obecnym stanie prawnym nie da się w żaden sposób uzasadnić żądania wydawania danych Poczcie Polskiej przez samorządy i Ministerstwo Cyfryzacji (z rejestru PESEL).

Problem 2. Czy na podstawie danych z rejestru PESEL da się zorganizować wybory?

Zakres danych zawartych w rejestrze jest inny niż w spisach wyborców. Rejestr PESEL zawiera m.in. imię i nazwisko, numer PESEL oraz adres zameldowania. Zgodnie z Kodeksem wyborczym gminy prowadzą natomiast rejestry wyborców (na podstawie których sporządza się spisy wyborców) w oparciu o miejsce zamieszkania. To istotna różnica: osoba zameldowana np. w domu rodzinnym może być dopisana do spisu wyborców w mieście, w którym studiuje. Dlatego wyłącznie na podstawie danych zawartych w rejestrze PESEL nie da się przygotować wyborów korespondencyjnych zapewniających osobom zamieszkującym poza adresem stałego zameldowania możliwość wzięcia udziału w głosowaniu.

Problem 3. Poczta odrzuca wnioski obywateli o usunięcie danych przetwarzanych niezgodnie z prawem

Nasza Ochotniczka zażądała od Poczty usunięcia przetwarzanych niezgodnie z prawem danych. Fragment otrzymanej przez nią odpowiedzi:

„Poczta Polska S.A. zobowiązana jest obecnie do realizacji ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, a także będzie zobowiązana do stosowania wymagań, określonych w przepisach ustawy, dotyczącej przeprowadzenia wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej oraz rozporządzeń, wydanych przez Ministra Aktywów Państwowych, w drodze ustawowej delegacji. Oznacza to, że Poczta Polska S.A. realizując zadania określone w ww. aktach prawnych przetwarza i będzie przetwarzać dane osobowe na podstawie przepisów prawa, czyli art. 6 ust. 1 lit c RODO”. [pogrubienie nasze]

Czyli Poczta idzie w zaparte – podstawą przetwarzania danych jest „ustawa Covid”, a obowiązek ich wykorzystywania wypływa także z… nieobowiązującej jeszcze „ustawy kopertowej”.

W piątek namawialiśmy Was, żebyście pisali do Poczty z żądaniem usunięcia danych i skarżyli się do Prezesa UODO na naruszenie Waszych praw. Podtrzymujemy to: Wasze działania pokazują, że nie ma zgody na działanie ponad prawem i pozwalają udokumentować jego naruszanie.

Do stanowiska Prezesa UODO w sprawie przekazywania danych poczcie odnosimy się w pytaniu 6. w tekście Wybory 2020: Co zrobić, jeśli Poczta Polska dostała moje dane?.

Problem 4. Ryzyko związane z przetwarzaniem danych

Wyżej koncentrujemy się na braku podstawy prawnej przetwarzania danych osobowych przez Pocztę Polską. Ale czy problem zniknie, kiedy w życie wejdzie „ustawa kopertowa”? Nie, bo przetwarzanie danych osobowych zgodnie z prawem to nie tylko określenie właściwej podstawy prawnej. Żeby przetwarzać dane zgodnie z prawem, należy wykonać kilka konkretnych kroków zanim zacznie się je przetwarzać.

W pierwszej kolejności należy zmapować proces przetwarzania, czyli odpowiedzieć na pytania o to, jakie dane będą przetwarzane, po co, jak długo, w jaki sposób (np. z wykorzystaniem jakich systemów informatycznych) i kto będzie miał do nich dostęp. Dzięki temu można ocenić legalność przetwarzania danych. Poczta oblewa już przy pierwszym pytaniu: o wskazanie podstawy prawnej przetwarzania danych. Kolejne pytania dotyczą tego, czy nie jest zbieranych zbyt wiele danych, czy nie są zbyt długo przechowywane i czy osoby, których dane są przetwarzane, są odpowiednio informowane.

Czy czujecie się odpowiednio poinformowani? My nie.

Kolejnym kluczowym elementem przetwarzania danych jest analiza ryzyka, czyli odpowiedź na pytanie, co może pójść nie tak. Jak przechowywane są dane? Kto ma do nich dostęp i jak są zabezpieczone? Często przywoływane zagrożenia to choćby wyciek danych, naruszenie prywatności czy udostępnienie danych osobom niepowołanym. W tym wypadku ryzyko wiąże się z naruszeniem praw wyborczych obywateli i obywatelek, od pozbawienie kogoś prawa do głosu po umożliwienie osobie trzeciej oddania głosu w czyimś imieniu. Ale na analizie ryzyka nie można poprzestać – trzeba też nim zarządzić, żeby zminimalizować ryzyko naruszenia praw podmiotów danych (w tym wypadku masowego naruszenia, bo chodzi o 30 milionów osób).

Tak na co dzień chroni nas RODO. Od prawie 4 lat wiele podmiotów prywatnych i publicznych, od szkół przez przedsiębiorstwa po organizacje pozarządowe, stają na głowach, żeby wdrożyć RODO i uniknąć negatywnych konsekwencji związanych z jego nieprzestrzeganiem. Wczoraj Prezes Urzędu Ochrony Danych Osobowych nakładał kary za nieodpowiednio wykonany obowiązek informacyjny wobec osób prowadzących działalność gospodarczą i zajmowałem się problemem kopiowania dowodów osobistych w wypożyczalniach sprzętu narciarskiego. Dziś Poczta Polska – na polecenie Premiera – przetwarza dane osobowe na podstawie prawnej, której jeszcze nie ma i w kompletnym zaprzeczeniu zasad i procedur przewidzianych prawem, a Prezes UODO wydaje stanowisko, w którym przyklepuje jej bezprawne działania. Kto poniesie konsekwencje? Z pewnością my, obywatele i obywatelki.

Co dalej?

Nie wiemy, czy wybory odbędą się w maju, czy kiedy indziej, czy będą korespondencyjne, czy będziemy mogli spokojni o własne zdrowie pójść do lokali wyborczych. Rozważania nad tym, kiedy i jak bezpiecznie przeprowadzić te wybory zostawiamy epidemiologom. Nie możemy jednak zamykać oczu na to, jak łamane są podstawowe prawa człowieka – nie tylko prawo do prywatności, ale też prawo do uczestnictwa w wyborach wielu grup społecznych – pod pretekstem wyjątkowych okoliczności spowodowanych przez pandemię.

Anna Obem, Wojciech Klicki

Współpraca: Maria Wróblewska

Pomóż nam szybko i sprawnie reagować na łamanie prawa. Przekaż 1% podatku (KRS: 0000327613) i wpłać darowiznę na konto Panoptykonu.

Komentarze

Dziękuję za ten artykuł, jak najwięcej osób powinno przeciwstawić się łamaniu praw obywatelskich, w tym wypadku także RODO i walczyć o ochronę własnych danych osobowych. Jeżeli moje dane nie zostaną usunięte na moją prośbę, będzie to jawne pogwałcenie RODO i chętnie przyłączę się do pozwu zbiorowego.

A co właściwie z ZAKRESEM udostępnionych danych? W rejestrze PESEL są np. skany wszystkich dowodów osobistych, jakie człowiek miał, po co Poczcie takie dane?

Czy jesli mam prawo do glosowania (a nie obowiazek) to nie jest to wystarczajacy powod zeby Poczta Polska dala mi prawo do zapomnienia?

Czy jesli w Polsce nie ma juz praworzadnych organow to mamy szanse jako zatroskany narod wyjsc z tym do UE, Trybunalu czy cokolwiek tam jest poza naszymi granicami?

Wlasnie. Czy wiadome jest jakiś był zakres tych przekazanych danych? PESEL to jeszcze historia zameldowań (historyczne adresy), stan cywilny +historia stanu cywilnego, dokumenty tożsamości, dane z dowodów wzrost, kolor oczu, itd. W bazie PESEL znajdują się wszelkie osoby zameldowane w Polsce w tym również obcokrajowcy nieuprawnieni do udziału w wyborach..

Dobry artykuł , załączcie jeszcze do niego gotowy formularz z argumentacją skargi i zastrzeżenia ,i miejscem na Imie i nazwisko i gdzie to wysłać . Chetnych bedzie wielu

czy można sie ubezpieczyć, np. w "Warcie" lub "PZU" od skutków nielegalnego/przestępczego wykorzystania naszych danych przekazanych bezprawnie Poczcie Polskiej?

Czy można poczcie zakomunikować że jeśli na podstawie moich danych ktoś weźmie kredyt to ona zostanie pociągnięta do odpowiedzialności? Po to ja chronię swoje dane osobowe, by rząd udostępniał je lekką ręką? Moim zdaniem po tej sprawie wszyscy naciągnięci na kredyty powinni masowo oskarżać Pocztę Polską.

Pracowałam w PP SA 25 lat i wiem, że nie wszyscy pracownicy są uczciwi. Niektórzy przychodzą na "chwilę" i mają gdzieś uczciwą pracę. Nakradną i się "ulatniają".

Jak już pisałem
Informacja to BROŃ współczesnego pola walki.
PIS to szkodnik w Polsce straszny , nie dość że demoluje prawo, demokracje zasady społecznego zaufania to jeszcze rozdaje na prawo i lewo nasze DANE. A dane to informacja , a informacja to broń dzisiejszego pola walki Przekazanie danych PESEL operatorowi pocztowemu jest równoznaczne z udostępnieniem ich wszelkim koncernom i wywiadom państw obcych . Ja rozumiem że pisowscy decydenci nie maja nawet tyle wyobraźni by zdać sobie sporawe z tego co zrobili , mam jednak nadzieje że przyszła władza zrobi porządek  z tymi ,którzy de facto upublicznili dane z bazy PESEL. W moim rozumieniu takie działania  jak ministra cyfryzacji to zdecydowanie więcej niż GŁUPOTA , to ocieranie się o zdradę Państwa.

Cały czas mam wrażanie, że pod płaszczykiem patriotyczno - narodowym pisowska władza tak naprawdę z przekonania lub z głupoty służy Kremlowi,  a działania takie jak to upublicznienie bazy danych o Obywatelach tylko mnie w tym przekonuje.
za
https://villk308488492.wordpress.com/2020/04/30/informacja-to-bron

Ja również przyłączę sie. Nie pozwole na takie bezprawie i bez mojej zgody nikt nie ma prawa udostępniac moich danych, a w szczególniści mojego peselu.

Może to dobra okazja na wdrożenie nacisków, aby w końcu systemowo utrudnić robienie szwindli na cudze konto gdy się zna czyjś PESEL (choćby branie chwilówek połączone z systemem automatycznego generowania wezwań komorniczych - tzw. e-sąd - albo możliwość założenia kont/pobrania informacji w różnych systemach jako inwigilowany/stalkowany). Aby identyfikator PESEL przestał w końcu być traktowany jak hasło.

Artykuł jest świetny. Niestety martwię się że RODO wcale nas nie chroni. Zgodnie z art. 2 ust. 2 lit. a RODO nie jest stosowane dla gałęzi prawa nieregulowanych przepisami unijnymi. Prawo wyborcze należy do tych gałęzi. Tylko czy aktualne zapisy ustaw to już prawo wyborcze czy jeszcze nie? Zostanie nam konstytucja ...

Prezesem UODO jest człowiek Jarosława Kaczyńskiego, wsadzony tam żeby nie przeszkadzał w działaniach rządzącej partii.
Może jakąś nadzieją są sądy, ale one przecież orzekają na podstawie ustaw. A te są pisane przez PiS.
Kontrolę ustaw kiedyś zapewniał Trybunał Konstytucyjny.

Poczta Polska odmówiła mi usunięcia danych.
UODO- w piśmie które właśnie otrzymałem również nie podejmuje żadnych działań by wymóc na PP usunięcie gdyż ich posiadanie przez PP jest zgodne z wieloma ustawami, rozporządzeniami itp COVID-19 :-(
Tak więc to nie działa i nikt nie usuwa danych na moją prośbę!
Może Panoptykon ma jakiś "złoty środek" by wymóc na instytucji usunięcie bo na chwilę obecną to tylko "odbijam się" od urzędów.

Dodaj komentarz