- Tym działaniem chcemy pokazać, że nie można sięgać po dane ani jednego, ani tym bardziej 30 milionów, obywateli bez solidnej podstawy prawnej i dobrze przemyślanych procedur zapewniających bezpieczeństwo i integralność danych - mówi członek zespołu Fundacji Wojciech Klicki, który złożył pozew, a przed sądem będzie reprezentowany przez zespół prawników z kancelarii Lubasz i Wspólnicy.
Czytaj: Samorządy nie chciały udostępnić Poczcie danych wyborców, zrobiło to Ministerstwo Cyfryzacji>>
Decyzja premiera bez podstawy prawnej
Poczta twierdzi, że przetwarzała dane na podstawie decyzji premiera. Specjaliści od ochrony danych osobowych uważają jednak, że nie była to wystarczająca podstawa prawna do pozyskania danych wyborców, co oznacza, że poczta przetwarzała dane nielegalnie. Jeśli sąd stwierdzi, że poczta złamała prawo, nakaże jej usunąć dane lub zweryfikuje, czy – zgodnie z pojawiającymi się w przestrzeni publicznej zapewnieniami – rzeczywiście usunęła dane milionów obywateli ze swoich baz, a także nakaże spółce przeprosiny i zasądzi symboliczne odszkodowanie.
Czytaj w LEX: Ważne pytania o ochronę danych osobowych podczas epidemii koronawirusa >
Powołanie na przepisy, których nie było
Poczta Polska sięgając po dane z gminnych spisów wyborców oraz z rejestru PESEL powoływała się na art. 99 tzw. ustawy covidowej, który pozwala jej pozyskiwać różne dane na potrzeby wyborów lub „realizacji innych obowiązków”. Jednak w chwili wysłania żądań poczta nie była prawnie zobowiązana do przygotowywania wyborów, przepisy w tej sprawie były dopiero przygotowywane. Na gruncie obowiązujących wtedy przepisów nie miała też „innych obowiązków”, które uzasadniałyby przetwarzanie tych danych. Mogła się powołać tylko na ogólną decyzję premiera, w której polecił on poczcie „podjęcie realizacji niezbędnych czynności zmierzających do przygotowania wyborów Prezydenta RP, poprzez przygotowanie infrastruktury organizacyjnej oraz pozyskanie niezbędnych zasobów materialnych”. Nie było w niej jednak ani słowa o danych osobowych.
Czytaj w LEX: Okiem IOD-a: zasady udostępniania danych osobowych innym podmiotom >
Postępowanie bez udziału UODO
Eksperci Fundacji Panoptykon przyznają, że pierwszym adresem, pod który należy się zwrócić w przypadku naruszenia prawa ochrony danych osobowych, jest Prezes UODO. - Niestety, w wydanym w reakcji na debatę publiczną oświadczeniu z 24 kwietnia Prezes UODO stwierdził, że przekazanie poczcie danych ze spisów wyborców i rejestru PESEL na podstawie ustawy „covidowej” było zgodne z prawem. Dlatego postanowiliśmy skorzystać z drugiej przewidzianej prawem ścieżki i pozwać firmę przed sądem cywilnym - czytamy w oświadczeniu Fundacji.
Czytaj w LEX: Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu >
Czytaj także: RPO skarży do WSA przekazanie danych PESEL Poczcie Polskiej>>