W kwietniu ubiegłego roku Minister Cyfryzacji (MC), Marek Zagórski, udostępnił Poczcie Polskiej dane osobowe obywateli polskich pochodzące z rejestru PESEL. Jak ustalił Rzecznik Praw Obywatelskich (RPO), Adam Bodnar, dane zapisane zostały na płycie DVD i zabezpieczone hasłem i przekazane osobie reprezentującej Pocztę Polską, po zweryfikowaniu jej tożsamości. Hasło do danych zapisanych na DVD zostało przekazane innym kanałem komunikacyjnym.
Przekazane dane obejmowały:
- numer PESEL,
- imię (imiona),
- nazwisko
- oraz w zależności od tego, jakie dane osoba ma zarejestrowane w rejestrze PESEL – aktualny adres zameldowania na pobyt stały, a w przypadku jego braku ostatni adres zameldowania na pobyt stały, a także adres zameldowania na pobyt czasowy.
30 kwietnia 2020 r. RPO zwrócił uwagę MC, że nie było żadnej podstawy prawnej do przekazania danych osobowych Poczcie Polskiej. Minister Cyfryzacji odpowiedział, że udostępnił je na podstawie wniosku złożonego przez Pocztę Polską i specustawy covidowej – Tarczy Antykryzysowej 2.0. W maju 2020 r. RPO złożył skargę do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie i wskazał, że działania MC były nielegalne – ustawa, na którą powołał się minister, nie dawała podstaw prawnych do udostępnienia danych Poczcie Polskiej S.A.
Tarcza Antykryzysowa 2.0 co prawda pozwalała realizować zadania związane z organizacją wyborów Prezydenta RP zapowiedzianych na 10 maja, jednak 20 kwietnia, w dniu udostępnienia danych, Poczta Polska nie organizowała tych wyborów. Przepisy, które na to pozwalały, weszły w życie dopiero 9 maja.
Decyzja premiera z 16 kwietnia 2020 r. o organizacji wyborów przez Pocztę Polską była wydana z rażącym naruszeniem prawa. RPO zaskarżył tę decyzję do WSA i wygrał we wrześniu 2020 r. (premier odwołuje się do NSA). Tym samym Poczta Polska nie miała kompetencji, by taką decyzję wykonać – zatem jej wniosek do Ministra Cyfryzacji nie miał prawnego znaczenia.
RODO, zgodnie z art. 6 pozwala na przetwarzanie danych osobowych m.in. wtedy gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), lub przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). W momencie udostępnienia danych osobowych Poczcie Polskiej niestety nie można było wykazać żadnej z legalnych podstaw prawnych przetwarzania wymienionych powyżej.
Jak twierdzi RPO „Nie można zaakceptować tezy, że na podstawie art. 99 ustawy Tarcza Antykryzysowa 2.0 Poczta Polska może sięgać po dowolne dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji administracji publicznej. Akceptacja tego przepisu jako samodzielnej podstawy przetwarzania danych osobowych doprowadzałaby do sytuacji, w której Poczta Polska (jako wyznaczony operator pocztowy) mógłby dowolnie agregować dane zebrane w różnych rejestrach, a jedynym wymogiem dla takiego działania byłoby złożenie wniosku w formie elektronicznej”.
26 lutego 2021 r. WSA w Warszawie - po rozpoznaniu na posiedzeniu niejawnym w trybie uproszczonym sprawy ze skargi RPO na czynność MC w przedmiocie udostępnienia danych osobowych z rejestru PESEL Poczcie Polskiej stwierdził bezskuteczność tej czynności. Wyrok jest nieprawomocny, Minister Cyfryzacji może się odwołać do Naczelnego Sądu Administracyjnego.
Nina Kowalik
Kancelaria Wyrzykowscy