W maju Poczta Polska pozyskała dane milionów obywateli i obywatelek z rejestru PESEL i przetwarzała je w celu organizacji wyborów, które miały się odbyć 10 maja.
Zrobiła to nielegalnie, bo bez podstawy prawnej, dlatego do sądu trafił właśnie pozew zarzucający poczcie naruszenie prawa do ochrony danych.
Tym działaniem chcemy pokazać, że nie można sięgać po dane ani jednego, ani tym bardziej 30 milionów, obywateli bez solidnej podstawy prawnej i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych.
Do sądu okręgowego w Warszawie trafił w piątek pozew Wojciecha Klickiego, prawnika i wieloletniego członka zespołu Panoptykonu, reprezentowanego przez zespół prawników z kancelarii Lubasz i Wspólnicy. Poczta twierdzi, że przetwarzała dane na podstawie decyzji premiera. Specjaliści od ochrony danych osobowych są jednak zgodni, że nie była to wystarczająca podstawa prawna do pozyskania danych wyborców, co oznacza, że poczta przetwarzała dane nielegalnie.
Jeśli sąd stwierdzi, że poczta złamała prawo, nakaże jej usunąć dane lub zweryfikuje, czy – zgodnie z pojawiającymi się w przestrzeni publicznej zapewnieniami – rzeczywiście usunęła dane milionów obywateli ze swoich baz, a także nakaże spółce przeprosiny i zasądzi symboliczne odszkodowanie.
Ale nie o pieniądze tu chodzi, a rozstrzygnięcie, czy nasze dane osobowe mogą być przekazywane między instytucjami publicznymi bez wyraźnej podstawy prawnej, na podstawie decyzji premiera czy ministra. Jeśli sąd przyzna Panoptykonowi rację, będzie to jasny sygnał dla polityków, że muszą traktować poważnie prawa obywateli. Otworzy się też furtka do podważenia innych działań rządu, które naraziły prywatność obywateli pod pretekstem walki z pandemią koronawirusa (np. nakazanie operatorom telekomunikacyjnym udostępnienia rządowi lokalizacji osób poddanych kwarantannie).
Sprzeciwiamy się nielegalnemu przetwarzaniu danych
Przypomnijmy: zaplanowane na 10 maja wybory prezydenckie nie mogły się odbyć w zwykłym trybie z uwagi na trwającą pandemię koronawirusa. Ustawa „kopertowa”, która miała umożliwić wybory korespondencyjne, weszła w życie 9 maja – zbyt późno, żeby na jej podstawie wybory mogły zostać zorganizowane w planowanym terminie. Mimo tego już 16 kwietnia, kiedy ustawa była jeszcze procedowana w Senacie, poczta zażądała od samorządów przekazania danych ze spisów wyborców. Gdy te gremialnie odmówiły, okazało się, że poczta dysponuje już danymi z rejestru PESEL, które udostępniło jej Ministerstwo Cyfryzacji. Zaapelowaliśmy wówczas do samorządowców, by nie łamali prawa i nie przekazywali danych ze spisów wyborców poczcie, a zaniepokojonym obywatelom i obywatelkom podpowiadaliśmy, jak mogą zadbać o swoje prawa.
W obu operacjach sięgnięcia po dane (z gminnych spisów wyborców oraz z rejestru PESEL) poczta powoływała się na art. 99 tzw. ustawy covidowej, który pozwala jej pozyskiwać różne dane na potrzeby wyborów lub „realizacji innych obowiązków”. Rzecz w tym, że w chwili wysłania żądań poczta nie była prawnie zobowiązana do przygotowywania wyborów. Na gruncie ówczesnych przepisów nie miała też „innych obowiązków”, które uzasadniałyby przetwarzanie tych danych. Mogła się powołać tylko na ogólną decyzję premiera, w której polecił on poczcie „podjęcie realizacji niezbędnych czynności zmierzających do przygotowania wyborów Prezydenta RP, poprzez przygotowanie infrastruktury organizacyjnej oraz pozyskanie niezbędnych zasobów materialnych”. Nie było w niej jednak ani słowa o danych osobowych.
Nie mniejsze kontrowersje wzbudził też sposób, w jaki poczta miała uzyskać dane: te z rejestru PESEL trafiły do firmy na płycie CD, a samorządy miały przekazać je w niezabezpieczonym hasłem pliku .txt. Poczta nie zrealizowała też obowiązku informacyjnego i w żaden sposób nie poinformowała obywateli o pozyskaniu ich danych.
Przekazanie poczcie danych wszystkich Polek i Polaków odbyło się bez podstawy prawnej i było naruszeniem prawa ochrony danych osobowych.
Pierwszym adresem, pod który należy się zwrócić w przypadku naruszenia prawa ochrony danych osobowych, jest Prezes UODO. Niestety – w wydanym w reakcji na debatę publiczną oświadczeniu z 24 kwietnia Prezes UODO stwierdził, że przekazanie poczcie danych ze spisów wyborców i rejestru PESEL na podstawie ustawy „covidowej” było zgodne z prawem. Dlatego postanowiliśmy skorzystać z drugiej przewidzianej prawem ścieżki i pozwać firmę przed sądem cywilnym.
Pozew jako narzędzie ochrony danych osobowych
Do tej pory sądy cywilne nie miały zbyt wielu okazji, by wypowiadać się w sprawach dotyczących ochrony danych osobowych. Dzieje się tak zapewne dlatego, że postępowanie sądowe jest trudniejsze dla skarżących i wiąże się z koniecznością poniesienia kosztów już na starcie. Z drugiej strony – w przeciwieństwie do postępowania przed Prezesem UODO – daje możliwość ubiegania się o odszkodowanie. Prezes może tylko nałożyć karę na administratora, a ta trafia do budżetu państwa. W przypadku Poczty Polskiej, która jest spółką Skarbu Państwa, byłoby to przekładanie pieniędzy z jednej kieszeni do drugiej.
Wybranie ścieżki sądowej nie oznacza, że Prezes UODO nie będzie zaangażowany w toczący się proces: sąd powinien powiadomić go o wszczętym postępowaniu. Zgodnie z przepisami, w sytuacji, w której w UODO toczy się sprawa dotycząca tego samego naruszenia, sąd powinien zawiesić postępowanie. Jednak naszym zdaniem taka sytuacja nie będzie miała miejsca: sąd może rozstrzygać i nie musi zawieszać postępowania, bo przed UODO nie toczy się sprawa dotyczącego tego samego naruszenia (Prezes UODO już odmówił wszczęcia postępowania w związku ze skargami złożonymi przez zaniepokojonych obywateli). Istnieje natomiast możliwość, że Prezes UODO – powiadomiony przez sąd – przyłączy się do postępowania.
Wyrok sądu może mieć znaczenie też dla innej sprawy. W połowie kwietnia ujawniliśmy, że premier wydał pod koniec marca decyzje nakazujące operatorom telekomunikacyjnym przekazanie rządowi danych o lokalizacji osób poddanych kwarantannie. W tym wypadku również zlekceważono zasadę wynikającą z RODO: jeśli podstawą przetwarzania danych osobowych jest przepis prawa, przepis ten musi być zawarty w ustawie (a nie w rozporządzeniu czy decyzji). Wyrok w sprawie przeciwko poczcie może mieć zatem znaczenie w ewentualnych sporach zainicjowanych w związku z przekazaniem danych rządowi przez operatorów telekomunikacyjnych.
Liczymy też na to, że nasze pozwy zwrócą uwagę praktyków ochrony danych osobowych i innych pokrzywdzonych osób na możliwość egzekwowania RODO przez sądy cywilne. A korzystny wyrok sądu da jasny sygnał, że bez solidnej podstawy prawne i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych, nie można sięgać po dane ani jednego, ani 30 milionów obywateli.
W sprawie Fundację Panoptykon reprezentuje kancelaria Lubasz i Wspólnicy a inicjatywę wspiera Fundusz Obywatelski.