Fundacja Panoptykon pozywa Pocztę Polską za nielegalne przetwarzanie danych osobowych
W maju Poczta Polska pozyskała dane milionów obywateli z rejestru PESEL i przetwarzała je w celu organizacji wyborów 10 maja. Zrobiła to nielegalnie, bo bez podstawy prawnej – dowodzi Fundacja Panoptykon. Do sądu trafił właśnie pozew zarzucający poczcie naruszenie prawa do ochrony danych. Podobny problem dotyczy też operatorów telekomunikacyjnych.
Do sądu okręgowego w Warszawie trafił w piątek pozew przygotowany przez prawników współpracujących z Fundacją Panoptykon. Fundacja dowodzi, że nie można sięgać po dane ani jednego, ani tym bardziej 30 milionów obywateli bez solidnej podstawy prawnej i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych. Poczta Polska twierdzi, że przetwarzała dane na podstawie decyzji premiera. Specjaliści od ochrony danych osobowych są jednak zgodni, że nie była to wystarczająca podstawa prawna do pozyskania danych wyborców, co oznacza, że poczta przetwarzała dane nielegalnie.
Problem dotyczy też operatorów telekomunikacyjnych
Jeśli sąd stwierdzi, że poczta złamała prawo, nakaże jej usunąć dane lub zweryfikuje, czy – zgodnie z pojawiającymi się w przestrzeni publicznej zapewnieniami – rzeczywiście usunęła dane milionów obywateli ze swoich baz, a także nakaże spółce przeprosiny i zasądzi symboliczne odszkodowanie.
Jak przekonuje Fundacja Panoptykon, głównym celem jej pozwu jest rozstrzygnięcie, czy nasze dane osobowe mogą być przekazywane między instytucjami publicznymi bez wyraźnej podstawy prawnej, na podstawie decyzji premiera czy ministra. Jeśli sąd przyzna rację fundacji, otworzy się furtka do podważenia innych działań rządu, które naraziły prywatność obywateli pod pretekstem walki z pandemią koronawirusa. Dotyczy to między innymi kwestii nakazania operatorom telekomunikacyjnym udostępnienia rządowi lokalizacji osób poddanych kwarantannie.
Zobacz: Komisja Europejska domaga się wyjaśnień w sprawie wcześniejszego zakończenia kadencji prezesa UKE
Jak to były z danymi przejętymi przez Pocztę Polską?
Zaplanowane na 10 maja wybory prezydenckie nie mogły się odbyć w zwykłym trybie z uwagi na trwającą pandemię koronawirusa. Rząd forsował wybory korespondencyjne. Dnia 16 kwietnia, kiedy ustawa o nowej formie wyborów była jeszcze procedowana w Senacie, poczta zażądała od samorządów przekazania danych ze spisów wyborców. Gdy te odmówiły, okazało się, że poczta dysponuje już danymi z rejestru PESEL, które udostępniło jej Ministerstwo Cyfryzacji.
W obu operacjach sięgnięcia po dane (z gminnych spisów wyborców oraz z rejestru PESEL) poczta powoływała się na art. 99 tzw. ustawy covidowej, który pozwala jej pozyskiwać różne dane na potrzeby wyborów lub „realizacji innych obowiązków”. Rzecz w tym, że w chwili wysłania żądań poczta nie była prawnie zobowiązana do przygotowywania wyborów. Na gruncie ówczesnych przepisów nie miała też „innych obowiązków”, które uzasadniałyby przetwarzanie tych danych. Mogła się powołać tylko na ogólną decyzję premiera, w której polecił on poczcie „podjęcie realizacji niezbędnych czynności zmierzających do przygotowania wyborów Prezydenta RP, poprzez przygotowanie infrastruktury organizacyjnej oraz pozyskanie niezbędnych zasobów materialnych”. Nie było w niej jednak ani słowa o danych osobowych.
Nie mniejsze kontrowersje wzbudził też sposób, w jaki poczta miała uzyskać dane: te z rejestru PESEL trafiły do firmy na płycie CD, a samorządy miały przekazać je w niezabezpieczonym hasłem pliku TXT. Poczta nie zrealizowała też obowiązku informacyjnego i w żaden sposób nie poinformowała obywateli o pozyskaniu ich danych.
