RPO wnosi o uznanie, że czynność Ministra była bezskuteczna i twierdzi, że gdyby WSA zgodził się z tymi argumentami, Poczta Polska nie mogłaby już wyjaśniać faktu posiadania płyty z danymi 30 mln obywateli tym, że przekazał je oficjalnie Minister Cyfryzacji.

Czytaj: Samorządy nie chciały udostępnić Poczcie danych wyborców, zrobiło to Ministerstwo Cyfryzacji>>
 

Dane na wybory 10 maja 

Skarga dotyczy tego, że 22 kwietnia 2020 r. Minister Cyfryzacji udostępnił spółce Poczta Polska S.A. dane osobowe z rejestru PESEL dotyczące żyjących obywateli polskich, którzy uzyskali pełnoletność dnia 10 maja 2020 r. i których krajem zamieszkania jest Polska. Jak wynika z wyjaśnień z MC, jakie otrzymał Rzecznik, dane obywateli zapisane zostały na płycie DVD i zabezpieczone hasłem. Płytę przekazano osobie reprezentującej Pocztę Polską po uprzednim zweryfikowaniu jej tożsamości. Przesyłka była konwojowana przez Pocztę Polską. Hasło do danych zapisanych na płycie nie zostało przekazane razem z płytą lecz osobnym kanałem komunikacyjnym. Przekazane dane obejmowały:

  •     numer PESEL,
  •     imię (imiona),
  •     nazwisko
  •     oraz w zależności od tego jakie dane osoba posiada zarejestrowane w rejestrze PESEL – aktualny adres zameldowania na pobyt stały, a w przypadku jego braku ostatni adres zameldowania na pobyt stały, a także adres zameldowania na pobyt czasowy.

Ministerstwo Cyfryzacji zaznaczało, że na płycie nie było informacji o datach zameldowania i wymeldowania, natomiast w przypadku adresu zameldowania na pobyt czasowy udostępniono informację o przewidywanej dacie pobytu pod adresem czasowym. Ponadto przekazano informacje o tym, czy osoba posiada aktualnie zarejestrowany wyjazd czasowy poza granice kraju (bez wskazywania kraju wyjazdu).

Czytaj: 
Wybory korespondencyjne odłożone, ale poczta ma dane wyborców>>

SN: Pismo szefa PKW o przekazaniu poczcie danych wyborców było legalne>>
 

Czy była do tego podstawa prawna

Rzecznik 30 kwietnia 2020 r. zwrócił uwagę Ministrowi Cyfryzacji, że nie miał podstawy prawnej, by przekazać dane obywateli spółce Poczta Polska. Minister odpowiedział jednak, że dostał z Poczty wniosek od upoważnionej osoby, a dane wydał na podstawie specustawy kowidowej (Tarczy Antykryzysowej 2.0 z 16 kwietnia), ponieważ na jej podstawie Prezes Rady Ministrów polecił Poczcie Polskiej zorganizowanie wyborów.

W piśmie procesowym RPO dowodzi jednak, że ustawa przywoływana przez ministra nie dawała mu podstaw do wydania spółce Poczta Polska płyty z danymi 30 mln obywateli.

 

Przekazano dane, gdy nie było jeszcze ustawy

Ustawa, na którą powołuje się Minister, pozwalała realizować zadania związane z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej zapowiedzianych na 10 maja. Tyle że 20 kwietnia Poczta Polska nie organizowała tych wyborów. Przepisy, które na to pozwalały, weszły w życie dopiero 9 maja (prezydent podpisał je 8 maja).
- Zatem decyzja Premiera z 16 kwietnia 2020 r., była wydana z rażącym naruszeniem prawa (RPO zakarżył ją do WSA), to Poczta Polska nie miała kompetencji, by taką decyzję wykonać – zatem jej wniosek do Ministra Cyfryzacji nie miał prawnego znaczenia - argumentuje RPO. 
Jego zdaniem wynika z tego, że decyzja wydana na podstawie ustawy kowidowej była niewykonalna i jej niewykonalność ma charakter trwały.

RODO pozwala, ale nie na coś takiego

Rzecznik przypomina, że RODO (rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych) pozwala na przetwarzanie danych osobowych wyłącznie kiedy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Tyle że w Polsce takiej podstawy prawnej nie było.

Tarcza antykryzysowa dobra na wszystko?

Nie może zostać zaakceptowana teza, że na podstawie art. 99 ustawy Tarcza Antykryzysowa 2.0 Poczta Polska może sięgać po dowolne dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej. Akceptacja tego przepisu ustawowego jako samodzielnej podstawy przetwarzania danych osobowych doprowadzałaby do sytuacji, w której Poczta Polska (jako wyznaczony operator pocztowy) mógłby dowolnie agregować dane zebrane w różnych rejestrach, a jedynym wymogiem dla takiego działania byłoby złożenie wniosku w formie elektronicznej.
- Należy wskazać, że tego rodzaju sytuacja, w której operatorowi jest przyznana nieograniczona możliwość agregacji danych z rejestrów publicznych sprzeczna jest również z systemowym podejściem do ochrony danych osobowych przyjętym w Konstytucji - napisał RPO.

Konstytucja chroni naszą prywatność

Rzecznik przypomina, że artykuł 47 Konstytucji zawiera gwarancje ochrony prywatności, a art. 51 odnosi się bezpośrednio do aspektów ochrony prywatności związanych z przetwarzaniem informacji o jednostce. Jak zauważył Trybunał Konstytucyjny, autonomia informacyjna jednostki, oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów (wyrok TK z dnia 19 lutego 2002 r., sygn. akt U 3/01). Wszelkie ograniczenia tego prawa muszą być ustanowione w ustawie, nie mogą naruszać istoty wolności i praw i muszą służyć usprawiedliwionym konstytucyjnie celom.  Art. 99 Tarczy 2.0 nie wystarcza, bo nie wypełnia on wymogów, jakie trzeba spełnić, by skutecznie ograniczyć prawa obywateli zapisane w Konstytucji.