W ostatnich dwóch latach dane osobowe (których ochrona zawsze traktowana była po macoszemu), stały się nieoczekiwanie celebrytą, tematem występującym na pierwszych stronach najlepiej poczytnych gazet i serwisów. Jak do tego doszło?
Pierwsza wielka zmiana to wprowadzenie w życie Rozporządzenia o ochronie danych, a przede wszystkim przepisów dot. sankcji. Kwoty zrobiły wrażenie. 20 milionów euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku (co w przypadku wielkich korporacji oznaczać może miliardy euro), podziałało na wyobraźnie administratorów jak i na przeciętnego Kowalskiego.
Druga zmiana nastąpiła z datą stosowania tego aktu (25.05.2018 r.) i absurdów, które wynikły z błędnej jego interpretacji. Wtedy to do świadomości społecznej przeniknął termin RODO, który stał się przedmiotem wielu żartów i memów. Nie takiej „sławy” życzyli sobie autorzy tego dokumentu, ale tak już ze sławą celebrytów bywa – albo piszą peany na Twoją cześć albo wylewają wiadro pomyj. Cała ta zła sława była spowodowana licznymi materiałami prasowymi, w których autorzy nie mieli zielonego pojęcia o czym piszą. A także dzięki opiniom i pracy „ekspertów”, którzy stali się nimi dość niespodziewanie (również dla siebie).
Trzecia zmiana to data 15 marca 2019 r. i powrót na czołówki gazet z powodu pierwszej dużej kary finansowej nałożonej przez Prezesa UODO. Kamień węgielny pod budowę nowego autorytetu Urzędu został wkopany przez Spółkę zajmującą się zbieraniem i opracowywaniem danych. Niemalże milionowa kara zadziałała na wyobraźnie opinii publicznej a przede wszystkim tych, których nazywamy „administratorami”. I w tym wypadku zadziałało „prawo celebrytów”. W świadomości społecznej pozostał jedynie fakt nałożenia tej kary, a nie brak prawomocnego zakończenia sprawy. Bowiem Wojewódzki Sąd Administracyjny w Warszawie w dniu 11 grudnia 2019 r. uchylił decyzję Urzędu i przekazał sprawę do ponownego rozpatrzenia.
Czwarta zmiana dotyczyła zaangażowania Urzędu w prawomocny wyrok NSA, w sprawie ujawnienia list poparcia kandydatów do KRS. Tym sposobem temat ochrony danych i sam Urząd stał się przedmiotem nie tylko analiz prawnych, ale również komentarzy politycznych.
Podobną sytuację mamy teraz, przy organizacji wyborów prezydenckich i przesłanego żądania Poczty Polskiej do gmin o wydanie spisu wyborców. Przy czym ostrzegam, że osoby szukające w tym artykule komentarzy natury politycznej – srogo się zawiodą.
Przypomnijmy fakty. Cała sprawa zaczęła się w jak w dobrym kryminale. W środku nocy 23 kwietnia wszystkie gminy w Polsce otrzymały wiadomość mailową od wybory2020@poczta-polska.pl z żądaniem wydania listy wyborców. Wniosek nie był poświadczony podpisem kwalifikowanym. Nie był nawet imienny, ponieważ został „podpisany” jako Poczta Polska. Skupmy się na trzech aspektach – podstawy prawnej żądania udostępnienia danych osobowych, weryfikacji odbiorcy oraz formy dostarczenia danych.
Podstawa prawna
W każdym wniosku o udostępnienie danych osobowych, podmiot żądający musi wskazać dokładnie podstawę prawną umożliwiającą otrzymanie tych informacji oraz cel. Natomiast po stronie administratora, który ma te dane udostępnić, jest weryfikacja czy odbiorca rzeczywiście jest uprawniony do otrzymania tych danych oraz upewnienie się czy jest on tym podmiotem za który się podaje. W omawianej sprawie Poczta Polska wskazała podstawę prawną – a dokładnie art. 99 ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 w związku z decyzją Prezesa Rady Ministrów z dnia 16 kwietnia 2020 r. Wskazała również cel otrzymania tych danych: „Dane te są niezbędne do realizacji zadań związanych z organizacją wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej”. Można więc powiedzieć, że Poczta dopełniła tych obowiązków. Jednak wraz z nastaniem dnia, do mediów zaczęły spływać pierwsze komentarze samorządowców. Część z nich złożyło również zawiadomienia do prokuratury ws. próby wyłudzenia danych osobowych na dużą skalę. Zareagowały również samorządowe organizacje, konstytucjonaliści i kancelarie/podmioty udzielające porad z zakresu ochrony danych osobowych. Pisząc w największym skrócie, główne zarzuty dotyczyły tego, że źródłem obowiązków po stronie Poczty Polskiej nie jest – zgodnie z art. 99 ustawy SARS – decyzja jakiegokolwiek organu administracji rządowej, lecz przepisy prawa powszechnie obowiązującego. Zwracano również uwagę na fakt, że w takich sytuacjach powinny obowiązywać terminy administracyjne (czyli 14 dni) oraz na to, że brak jest wskazanych jakichkolwiek sankcji za brak spełnienia tego obowiązku. Takiej interpretacji nie podzielił przewodniczący Państwowej Komisji Wyborczej. W jego opinii Poczta Polska jest uprawniona do otrzymania spisu wyborców na podstawie art. 99 ww. ustawy, ale pod warunkiem, że do wniosku będzie dołączona kopia rozstrzygnięcia organu administracji rządowej o nałożeniu na operatora obowiązku, z którym wiąże się konieczność pozyskania tych danych. Powyższe stanowisko zostało potwierdzone również przez Prezesa UODO. Konflikt dotyczący tego, czy ww. akty normatywne są podstawą do przekazania spisu wyborców trwają do dziś.
Forma przekazania danych i weryfikacja ich odbiorcy
Chciałbym skupić się na dwóch pozostałych aspektach, tj. formy ewentualnego przekazania danych i weryfikacji odbiorcy. Nie ulega wątpliwości, że forma żądania spisu wyborców (mail podpisany jako Poczta Polska) i instrukcja ich przekazania wołają o pomstę do nieba. I nie chodzi tu tylko o „dobrą praktykę”, ale o naruszenie kilku przepisów. Zacznijmy od formy żądania – mail w środku nocy, podpisany jako Poczta Polska. Od wielu lat szkoleniowcy, Inspektorzy powtarzają jak mantrę, że taki wniosek możemy co najwyżej oznaczyć jako spam. Po pierwsze – skąd możemy wiedzieć, że po drugiej stronie łącza rzeczywiście mamy do czynienia z Pocztą Polską? Może przesadzam? O phishingu napisano już wiele i wielu niestety do dzisiaj pada jego ofiarą. Wielokrotnie podszywano się w tym celu także pod Pocztę Polską:
Jaki przepis były w tym wypadku naruszony? Zasady udostępniania danych z rejestrów publicznych reguluje Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz wydane na jej podstawie Rozporządzenie Rady Ministrów z dnia 27 września 2005 r. w sprawie sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze publicznym. Rozporządzenie to wskazuje dokładnie zakres informacji jakie zawiera wniosek o udostępnienie danych. W § 2 ust. 1 pkt. 9 wskazano, że wniosek taki zawiera własnoręczny podpis albo weryfikowany przy pomocy kwalifikowanego certyfikatu bezpieczny podpis elektroniczny osoby reprezentującej podmiot ubiegający się o udostępnienie danych zgromadzonych w rejestrze. W związku z czym podstawą do wydania danych przez Gminę może być wyłącznie wniosek opatrzony podpisem osoby upoważnionej do reprezentowania podmiotu.
Po pierwszych reakcjach, Poczta Polska zobowiązała się do powtórzenia tej wiadomości z opatrzonym podpisem elektronicznym. Ale mleko już się rozlało. Druga kwestia to forma przekazania tych danych. Z treści żądania trudno jest określić co autor miał na myśli… Czy chce te dane otrzymać (o zgrozo) drogą mailową bez hasła, czy jednak poprzez platformę ePUAP (która swoją drogą w przeszłości też nie grzeszyła najlepszymi zabezpieczeniami – np. brak weryfikacji adresu e-mail). Jakie w tym wypadku gmina naruszyłaby przepisy? Zacznijmy od podstawowego i stojącego w hierarchii aktów prawnych w tym wypadku najwyżej, tj. Rozporządzenia o ochronie danych osobowych. Zgodnie bowiem z art. 32 ust. 1 RODO – administrator uwzględniając m.in. zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, między innymi: szyfrowanie danych osobowych i zdolność do ciągłego zapewnienia poufności przetwarzania. W kolejnym ustępie nałożono na administratora obowiązek uwzględniania w szczególności ryzyka wiążącego się z przetwarzaniem, wynikające z nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych lub w inny sposób przetwarzanych. Brzmi zbyt ogólnie? To przywołajmy Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Artykuł 20 ust. 2 tego Rozporządzenia nakłada na instytucje publiczne obowiązek zapewnienia bezpieczeństwa gdzie jest mowa m. in. o stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń. Myślę, że w tym przypadku zagrożenie można uznać za dość wysokie – mowa bowiem w niektórych gminach o danych kilkuset tysiącach wyborców. Wspomnieć również należy o wewnętrznych procedurach określających bezpieczne przetwarzanie danych osobowych w gminach.
Efekt motyla
Mail wysłany przez Pocztę Polską spowodował efekt kuli śnieżnej. Samorządowcy zaczęli zawiadamiać prokuraturę o możliwości popełnienia przestępstwa (art. 107 ustawy o ochronie danych osobowych łącznie z art. 248 pkt 2 Kodeksu karnego). Z drugiej strony mieszkańcy zaczęli skarżyć samorządowców – zarówno tych co wysłali te dane, jak i tych co się powstrzymali. W mediach społecznościowych rozpoczęły się „kampanie informacyjne” namawiające do niewyrażania zgody na przekazywanie własnych danych Poczcie (skuteczność takich działań można porównać ze skutecznością puszczania krwi przez cyrulika). Swoją drogą Ministerstwo Cyfryzacji postanowiło przekazać dane z rejestru PESEL. A europarlamentarzyści poprosili europejskie organy (EROD i EIOD) o interwencje. Opinie w tej sprawie przekazano na 26. posiedzeniu plenarnym Rady. To natomiast oburzyło Prezesa UODO, który negatywnie ocenił próby wykorzystania działalności unijnych instytucji ochrony danych osobowych do bieżącej walki politycznej, jaka ma miejsce w Polsce w związku z organizacją wyborów prezydenckich. W komunikacie z 12 maja Prezes UODO zaznaczył, że „stanowczo sprzeciwia się próbom podważania niezależności polskiego organu nadzorczego poprzez działania polityków występujących do unijnych instytucji ochrony danych osobowych o podjęcie interwencji wymierzonej w proces stosowania prawa o ochronie danych osobowych w Rzeczpospolitej Polskiej”. W sprawę również zaangażowały się fundacje i stowarzyszenia jak Sieć Obywatelska Watchdog Polska, Fundacja Panoptykon, Helsińska Fundacja Praw Człowieka i Fundacja im. S. Batorego. Organizacje poinformowały o sprawie Prezesa Urzędu Ochrony Danych Osobowych. Przy czym Watchdog Polska nie zatrzymał się tylko na komunikatach, ale postanowił zwrócić się z pytaniem do wszystkich gmin, który z włodarzy przekazał spis wyborców. W ich opinii przekazanie tych danych narusza artykuł 7 Konstytucji RP. Stowarzyszenie zamierza złożyć zawiadomienia do prokuratury na wszystkich wójtów/burmistrzów/prezydentów, którzy takie spisy przekazali – a w przypadku umorzenia postępowania przez prokuraturę, skierować sprawy do sądów.
Jeden mail, a tyle konsekwencji. Tak jak z celebrytami – jedno niewłaściwe zdjęcie na profilu, a taka burza w sieci…
Autor: Tomasz Nowiński CompNet Sp. z o.o.
© Copyright by CompNet Sp. z o. o.