szyfrowanie danych

Wybory 2020, Poczta Polska i dane osobowe

Incydenty bezpieczeństwa, Ochrona danych, RODO

W ostatnich dniach rozgłosu nabiera sprawa wystąpienia przez Pocztę Polską z wnioskiem do urzędów miast i gmin o przekazanie jej list wyborców. Sprawa ma swój wymiar polityczny ale zajmiemy się nią tylko z punktu widzenia ochrony danych. Bezpieczeństwo informacji jest zagadnieniem wymagającym uwagi zarówno na gruncie prawa, jak i technologii. Zajmijmy się na początek kwestiami prawnymi.

Dane wrażliwe

Wbrew powtarzanym przez niektórych informacjom, dane o które poprosiła Poczta Polska nie są danymi wrażliwymi. Na liście żądanych informacji osobowych znalazło się 17 pozycji, z których poza imionami i nazwiskiem większość dotyczy danych adresowych. Wśród nich znalazł się jednak również numer PESEL. Pomimo, iż PESEL, podobnie jak numer dowodu, jest daną osobową, którą staramy się chronić bardziej od np. danych kontaktowych, nie jest on zaliczany do danych wrażliwych. Miano danych wrażliwych, a posługując się językiem RODO „szczególnych kategorii danych” Ogólne Rozporządzenie o Ochronie Danych przypisuje (w artykule 9.) informacjom związanym z:

  • pochodzeniem rasowym lub etnicznym,
  • poglądami politycznymi,
  • przekonaniami religijnymi lub światopoglądowymi,
  • przynależnośią do związków zawodowych
  • danymi genetycznymi i danymi biometrycznymi (w celu jednoznacznego zidentyfikowania osoby fizycznej)
  • danymi dotyczącymi zdrowia, seksualności lub orientacji seksualnej

A zatem nazywanie numeru PESEL bądź numeru dowodu danymi wrażliwymi jest z punktu widzenia RODO błędem. Nie zmienia to jednak faktu, że danym tym należy się stosowna ochrona.

Prawo do przetwarzania

W myśl Ogólnego Rozporządzenia o Ochronie Danych, aby przetwarzanie danych osobowych było legalne, Administrator Danych musi wskazać konkretną podstawę ich przetwarzania. Jedną z dopuszczalnych podstaw przetwarzania definiuje artykuł 6. ust.1 c) rozporządzenia: „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. W organach administracji państwowej jest to swego rodzaju świętość. Urzędy muszą przetwarzać dane osobowe, które są im niezbędne do realizacji ich ustawowych obowiązków (i to bez pytania nas o zgodę), ale jednocześnie nie mogą sobie pozwolić na jakiekolwiek nadmiarowe zbieranie danych lub przetwarzanie ich w celach nie wynikających z ich obowiązków. Co więcej, jeżeli przetwarzanie ma wynikać z „obowiązku prawnego ciążącego na administratorze”, to każdy proces przetwarzania danych musi być poparty przepisem prawa, z którego wynika określone uprawnienie danego organu.

Wniosek Poczty Polskiej

Z akapitu poprzedniego wynika zatem, iż aby urząd miasta bądź gminy mógł udostępnić dane osobowe Poczcie Polskiej musi istnieć przepis prawa, z którego taka konieczność wynika. Ową podstawę prawną w swoim wniosku o udostępnienie danych powinna podać sama Poczta Polska. Zerknijmy zatem na co powołuje się Poczta Polska w swoim wniosku:

„Na podstawie art. 99 ustawy z 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozpowszechnianiem się wirusa SARS-CoV-2 (Dz.U. z 2020 r. poz. 695), w związku z decyzją Prezesa rady Ministrów z dnia 16 kwietnia 2020 r. (BPRM.4820.2.3.2020) dotyczącą podjęcia przez Pocztę Polską S.A. czynności niezbędnych do przygotowania przeprowadzenia wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r., Poczta Polska S.A. zwraca się z wnioskiem o przekazanie danych ze spisu wyborców……”

Zernknijmy zatem do art. 99 tzw. ustawy SARS, na którą powołuje się Poczta Polska:

„Art. 99. Operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Dane, o których mowa w zdaniu pierwszym, przekazywane są operatorowi wyznaczonemu, w formie elektronicznej, w terminie nie dłuższym niż 2 dni robocze od dnia otrzymania wniosku. Operator wyznaczony uprawniony jest do przetwarzania danych wyłącznie w celu, w jakim otrzymał te dane.”

Artykuł ten mówi o dwóch przypadkach, w których Poczta Polska może się zwrócić o dane m.in. z rejestru PESEL:

  1. Dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej.
  2. Dane te są potrzebne w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej.

W cytowanym wcześniej wniosku Poczta Polska powołała się na „podjęcie czynności niezbędnych do przygotowania przeprowadzenia wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej”, czyli pierwszą z zawartych w artykule 99. przesłanek. Tymczasem na dzień dzisiejszy nie istnieje żaden przepis prawa, z którego wynikałoby, iż wybory prezydenckie odbędą się w formie innej, niż zaplanowane na 10 maja wybory w formie głosowania bezpośredniego. Nie ma zatem podstaw do uznania, iż Poczcie Polskiej potrzebne są dane z rejestrów mieszkańców. Co za tym idzie, znaczna część prezydentów największych miast (m.in. Poznania, Krakowa, Gdańska, Sopotu, Wrocławia i Bydgoszczy) uznała wniosek Poczty Polskiej za bezpodstawny. Co więcej, część z nich zwróciła uwagę na fakt, iż pismo dotarło bez wymaganego w art. 99 ustawy podpisu elektronicznego i miało charakter anonimowy. Zgłosili oni zatem do prokuratury podejrzenie przestępstwa polegającego na próbie wyłudzenia danych osobowych.

Urząd Ochrony Danych Osobowych

Po pierwszych doniesieniach medialnych na ten temat w sprawę zaangażował się prezes UODO. W swoim stanowisku (źródło) powołał się on również na art. 99 ustawy SARS, zacytujmy:

„Z powyższego przepisu prawa wynika, że operator pocztowy jest uprawniony do pozyskania od organu administracji publicznej danych osobowych wskazanych ww. przepisem prawa, jeżeli zachodzi jedna z dwóch niezależnych od siebie przesłanek. W pierwszym przypadku udostępnienie danych jest możliwe, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. Natomiast w drugim przypadku udostępnienie danych jest możliwe, jeżeli dane te są potrzebne w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Nie ulega wątpliwości, że pierwsza przesłanka w obecnie obowiązującym stanie prawnym nie występuje.”

A zatem prezes UODO jednoznacznie stwierdził, iż pierwsza z przesłanek art. 99 nie zachodzi (przypomnijmy, że to właśnie na nią powołuje się Poczta Polska we wniosku). Jednocześnie jednak stwierdził, iż:

„…Państwowa Komisja Wyborcza […] zajęła stanowisko, określające rolę operatora pocztowego, a także obowiązek współpracy z nim w zakresie udostępnienia danych ze spisu wyborców […] a tym samym uznać należy, że istnieje podstawa prawna do udostępniania tych danych operatorowi pocztowemu”

Czyli prezes UODO jako istniejącą podstawę prawną do udostępnienia danych Poczcie Polskiej (ale wyłącznie na podstawie drugiej z przesłanek zawartych w art. 99) uznał stanowisko PKW określające rolę operatora pocztowego. Czy stanowisko przedstawiciela organu państwowego uznać można za podstawę prawną? Nie czuję się kompetentny by to rozstrzygnąć. Ale spróbujmy chociaż zapoznać się z owym stanowiskiem.

Stanowisko Państwowej Komisji Wyborczej.

Stanowisko PKW pozwolę sobie zacytować w całości (źródło):

„Państwowa Komisja Wyborcza, w związku z wieloma pytaniami, wyjaśnia, że zgodnie z art. 99 ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (Dz. U. poz. 695) operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne m. in. w celu wykonania obowiązków nałożonych przez organy administracji rządowej”.

Czyli w zasadzie całe stanowisko PKW to znowu wskazanie na drugą z przesłanek art. 99 tzw. ustawy SARS. PKW nie wskazało zatem istniejącego obowiązku nałożonego na Pocztę Polską, a jedynie wskazało na przepis, na mocy którego taki obowiązek może zaistnieć.

Logika

Spróbujmy teraz poskładać to w logiczną całość podsumowując zebrane już informacje:

  1. Poczta Polska rząda udostępnienia danych pa podstawie art. 99 tzw. ustawy SARS, przy czym błędnie wybiera pierwszą z zawartych w tym artykule podstaw. Pomińmy jednak ten fakt i załóżmy, że wniosek Poczty jest prawidłowy i odwołuje się do „obowiązków nałożonych przez organy administracji rządowej”, a nie do organizacji wyborów.
  2. Urząd Ochrony Danych Osobowych stwierdza, iż owy obowiązek ciążący na Poczcie Polskiej wynika ze stanowiska Państwowej Komisji Wyborczej.
  3. Państwowa Komisja Wyborcza w swoim stanowisku odwołuje się z powrotem do art. 99 ustawy SARS mówiącego o możliwości nałożenia obowiązku na operatora poczty przez organy administracji rządowej.

I tutaj kółko się zamyka. Czego brakuje w całej układance? Brakuje informacji o tym który organ państwowy i jaki obowiązek nałożył na Pocztę Polską, bo to dopiero byłoby podstawą do skorzystania przez nią z drugiej z przesłanek zawartych w art. 99 ustawy SARS.

Nie będę nawet próbował stwierdzić, czy ten cały bałagan jest zamierzony, czy instytucje państwowe same pogubiły się już w tym chaosie. Mogę tylko współczuć osobom pełniącym funkcje Inspektora Ochrony Danych w jednostkach administracji państwowej i cieszyć się, że jakiś czas temu zdecydowałem się nie podejmować tego typu wyzwań w swojej karierze zawodowej.

Co o sprawie sądzą prawnicy?

Ponieważ, jak już wspomniałem, nie jestem prawnikiem, całą sprawę starałem się ocenić jedynie z punktu widzenia osoby zajmującej się ochroną informacji i posługującej się logiką. W kwestiach prawnych oddam natomiast głos radcy prawnemu. Oto kilka z punktów opinii, pod którą podpisał się prof. UAM dr hab. Krystian M. Ziemski (źródło):

5) Źródłem obowiązków po stronie Poczty Polskiej S.A., dotyczących realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej nie jest – zgodnie z art. 99 ustawy SARS – polecenie (decyzja czy inne rozstrzygnięcie) jakiegokolwiek organu administracji rządowej (bez względu na jego pozycję w strukturze administracji), lecz przepisy prawa powszechnie obowiązującego.

6) Nałożone na Pocztę Polską S.A. przez organy administracji rządowej obowiązki stanowiące podstawę do udostępnienia danych w trybie art. 99 ustawy SARS mają mieć charakter inny aniżeli realizacja zadań związanych z organizacją wybo­rów Prezydenta Rzeczypospolitej Polskiej. Obowiązki te muszą być nałożone na podstawie powszechnie obowiązujących aktów normatywnych.

7) Wyłącznie polecenia dotyczące spraw innych niż realizacja zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej spełniają drugą z przesłanek określonych w art. 99 ustawy SARS zobowiązując wójta (burmistrza, prezydenta miasta) do udostępnienia wnioskowanych danych.

Techniczny aspekt bezpieczeństwa

Na koniec pozostawiłem sobie równie kontrowersyjną kwestię formy przekazania danych Poczcie Polskiej. Zacytujmy fragment wniosku:

„Wyżej wymieniony plik powienien zostac skompresowany do pojedyńczego pliku w formacie ZIP lub RAR lub GZIP lub 7ZIP bez hasła

Ale spokojnie, nie jest to jeszcze powód do alarmu, ponieważ:

„Dane powinny zostać przekazane w formie dokumentu/pliku tekstowego opatrzonego kwalifikowanym podpisem elektronicznym lub podpisem osobistym albo podpisem zaufanym, za pośrednictwem platformy ePUAP

Tutaj pojawia się pytanie o bezpieczeństwo platformy ePUAP. Przeszukując Internet możemy się natknąć m.in. na artykuły kolegów z Niebezpiecznika, którzy często poruszali ten temat:

Zaufany profil ePUAP nie jest bezpieczny, twierdzi jego autor
Najważniejszy system e-administracji nie ma zabezpieczenia, które ma niemal każdy e-sklep
Obejście dwuskładnikowego uwierzytelnienia w epuap
Od miesiąca wyciekają dane z profilu zaufanego, być może ktoś zalogował się także i na twoje konto

Pierwszy z nich jest dość stary (2012 r.), pozostałe pochodzą z roku 2018. Załóżmy jednak, że wszystkie opisywane problemy zostały już rozwiązane i sam ePUAP jako platforma wymiany danych gwarantuje odpowiedni poziom poufności. Co jeszcze może się zdarzyć? Wyobraźmy sobie plik tekstowy zawierający miliony rekordów z danymi osobowymi. Ktoś ten plik musi wygenerować (ma na to tylko 2 dni) – zrobi to zapewne urzędowy informatyk. On sam jednak nie prześle go, ponieważ dokument ma być podpisany. Informatyk (w urzędach gmin często zatrudniony jako zewnętrzny podmiot obsługujący niejednokrotnie wiele instytucji) musi zatem przekazać plik komuś z pracowników urzędu. Jak to zrobi? Pendrive? E-mail? Owy plik po przesłaniu ePUAP-em pozostanie pewnie również na komputerze pracownika. Ewentualnie zostanie nieumiejętnie usunięty w sposób umożliwiający jego odzyskanie. A teraz przypomnijmy sobie wszystkie przypadki udanego odzyskania poufnych danych z zakupionych na Allegro dysków, nośników pamięci bądź komputerów. I dodajmy do tego przypadki omyłkowego wysłania nie tego załącznika mailem, albo pozostawienia na serwerze niezabezpieczonych danych (np. niedawny wyciek z KSSIP). Daruję już sobie gdybanie co może się stać z tymi plikami po stronie Poczty Polskiej.

Czy w obecnej sytuacji możemy czuć się spokojni o swoje dane osobowe? Czy możemy zaufać, że instytucje państwowe zadbają odpowiednio o ich bezpieczne i zgodne z prawem przetwarzanie? Pozostawiam Was z tym pytaniem.

Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

facebookObserwuj
TwitterObserwuj

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.