Jak pisaliśmy tutaj >>> Poczta Polska, aby pomóc w przeprowadzeniu wyborów prezydenckich 10 maja zażądała od wójtów, burmistrzów i prezydentów miast przekazania jej danych osobowych milionów Polaków. W tym numerów PESEL oraz adresów. Dane mają zostać przekazane w plikach txt, spakowanych, bez hasła.
Bezprawne działanie
Procedura ta stała się przedmiotem wielu kontrowersji i krytyki ze strony prawników samorządowców. Kwestii tej przyjrzał się również Krakowski Instytut Prawa Karnego. Ze sporządzonej przez niego opinii wynika, że działanie Poczty Polskiej S.A. jest bezprawne i może nosić znamiona przestępstwa. Na dzień 23 kwietnia 2020 r. nie istnieje bowiem żaden przepis prawa, który upoważniałby organy samorządu terytorialnego, prowadzące rejestr wyborców do przekazania danych osobowych zawartych w spisach jakiejkolwiek spółce.
- Ustawa antycovidowa, która weszła już w życie wyłączyła przepisy kodeksu wyborczego w zakresie wyborów korespondencyjnych w najbliższych wyborach prezydenckich. Jednocześnie nie mamy jeszcze nowej ustawy, która byłaby podstawą do ich organizacji. Jest ona wciąż rozpatrywana, zgodnie z zasadami procesu legislacyjnego, przez Senat – mówi dr Mikołaj Małecki z Katedry Prawa Karnego Uniwersytetu Jagiellońskiego, autora bloga „Dogmaty Karnisty”, współautor opinii. Podkreśla, że w obowiązującym stanie prawnym działania Poczty Polskiej są po prostu bezprawne. Operator pocztowy mógłby co najwyżej, gdyby stosował do wyborów kodeks wyborczy, dokonywać czynności technicznych polegających na dostarczeniu już wcześniej zaadresowanej przesyłki, tak jak to robi na co dzień Nie są do tego potrzebne w żadnym zakresie dane zawarte w spisie wyborców.
Blankietowe pismo
Emocje budzi również forma w jakiej doszło do przekazania żądania przez Pocztę Polską. Pismo zostało bowiem wysłane do samorządów w nocy i nie zawierało żadnego podpisu.
- Z formalnego punktu widzenia trudno zakwalifikować to pismo jako oficjalne. Nie jest ono opatrzone ani podpisem kwalifikowanym, ani jakąkolwiek pieczęcią instytucji. W takich okolicznościach nie ma sensu odpowiadać na takiego maila, bo równie dobrze można to potraktować jako atak hakerski – twierdzi dr Mikołaj Małecki.
Operator pocztowy potwierdził jednak fakt wysyłania maili do samorządów. W odpowiedzi na nasze pytanie rzecznik prasowy Poczty Polskiej Justyna Siwek wskazała, że wniosek został rozesłany niezwłocznie po przygotowaniu zakresu danych niezbędnych firmie do właściwej obsługi wyborów korespondencyjnych. Wniosek wysłano w godzinach nocnych, bez zbędnej zwłoki. Maling ma zostać powtórzony i opatrzony podpisem kwalifikowanym.
Na pomoc RODO
W opinii Krakowskiego Instytutu Prawa Karnego podkreślono również, że żądane informacje ze spisu wyborców, takie jak numer PESEL, imię i nazwisko czy adres zamieszkania, w świetle definicji zawartej w RODO, bez wątpienia stanowią dane osobowe i jako takie podlegają ochronie prawnej. Co to oznacza w praktyce?
- W zasadzie mamy kilka możliwości. W razie przekazania przez jednostkę samorządu terytorialnego spisu wyborców Poczcie Polskiej bez podstawy prawnej (a takiej podstawy nie ma), możemy wnieść sprzeciw do operatora pocztowego – mówi dr Mikołaj Małecki.
Ekspert dodaje, również że możemy zwrócić się do samorządu jako administratora z wnioskiem o udzielenie informacji na jakiej podstawie prawnej i w jakim celu nasze dane mogą być przekazane.
W przypadku naruszenia przepisy RODO dają również możliwość dochodzenia odszkodowania za szkodę majątkową lub zadośćuczynienia za szkodę niemajątkową poniesioną w wyniku naruszenia zasad przetwarzania danych osobowych.
Znamiona przestępstwa
Dane osobowe, w tym w szczególności te zawarte w spisie wyborców, podlegają również ochronie prawnokarnej. Ich nieuprawnione udostępnienie może nosić znamiona przestępstwa – możemy przeczytać w opinii KIPK.
Komu w takich okolicznościach będzie groził akt oskarżenia?
Zgodnie z treścią art. 266 § 2 Kodeksu karnego funkcjonariusz publiczny, który osobie nieuprawnionej ujawnia informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega odpowiedzialności karnej do 3 lat pozbawienia wolności.
- Należy zwrócić uwagę, że definicja funkcjonariusza publicznego zawarta w Kodeksie karnym jest bardzo szeroka. Jest nim nie tylko wójt, burmistrz czy prezydent miasta, lecz także zwykły urzędnik. Do tego odpowiedzialność w prawie karnym ma charakter indywidualny. W tym przypadku oznacza to, że ponieść ją może każdy pracownik jednostki samorządu terytorialnego, który sporządzi spis wyborców i wyśle go do podmiotu nieuprawnionego – tłumaczy dr Mikołaj Małecki.
Co jednak w sytuacji kiedy zadanie to zostanie zlecone urzędnikowi przez przełożonego? Zdaniem dra Mikołaja Małeckiego nie zwolni go to z odpowiedzialności karnej. Nie ma bowiem przepisu ogólnego, który powodowałby taki skutek. Za to wydający takie polecenie może odpowiadać co najmniej za podżeganie do przestępstwa.
Ekspert dodaje, że nie będzie to jednak całkowicie bez znaczenia. - W pewnych okolicznościach takie polecenie może być okolicznością łagodzącą dla pracownika, która wpłynie na wysokość potencjalnie wymierzonej kary. Tak byłoby w przypadku groźby zwolnienia czy odpowiedzialności dyscyplinarnej w razie braku wykonania polecenia przełożonego – tłumaczy dr Mikołaj Małecki.
Czy dane będą bezpieczne?
Konsternację wywołała również forma w jakiej dane mają być przekazane. Ma to bowiem nastąpić w plikach txt, spakowanych, bez hasła. Rodzi to uzasadnione obawy o ich bezpieczeństwo, a konsekwencje takiego wycieku mogą być bardzo dotkliwe.
- Najczęściej kradzież danych osobowych wykorzystywana jest dla zaciągnięcia drobnych pożyczek, tzw. chwilówek. Niestety poszkodowany o zaciągnięciu pożyczki zazwyczaj dowiaduje się dopiero na etapie postępowania windykacyjnego, gdzie wysokość długu powiększona zostaje o odsetki, a często również koszty związane z dochodzeniem roszczeń przez instytucję pożyczkową. Nierzadko także, wiedzę o tym, że ktoś wykorzystał nasze dane poweźmiemy dopiero na etapie egzekucji komorniczej – mówi adwokat Piotr Kwiatkowski.
Jak dodaje mecenas Piotr Kwiatkowski udostępnienie naszych danych wrażliwych bez właściwej podstawy prawnej oraz niewłaściwie zabezpieczonych przed nieuprawnionym do nich dostępem, stanowić może działanie naruszające nasze dobra osobiste chronione na podstawie art. 23 i art. 24 k.c., implikujące powstanie możliwości dla dochodzenia roszczeń przewidzianych w art. 445 k.c. (roszczenia o zadośćuczynienie).
- W omawianej sytuacji zastosowanie znaleźć mogą również przepisy kodeksu cywilnego zapewniające ogólną ochronę prawną w przypadku wyrządzenia szkody czynem niedozwolonym (art. 415 k.c.), przy czym, w tym wypadku konieczne będzie wykazanie zaistnienia szkody oraz związku przyczynowo skutkowego między jej wystąpieniem, a zawinionym działaniem określonego podmiotu. Oczywiste jest w tym wypadku, że brak prawidłowego zabezpieczenia przy przetwarzaniu naszych danych osobowych, skutkujący wystąpieniem szkody kwalifikowany być może jako działanie zawinione – twierdzi adwokat Piotr Kwiatkowski.
Do kogo w takiej sytuacji kierować roszczenie? Zdaniem mecenasa Piotra Kwiatkowskiego udostępnienie danych osobowych wyborców (obywateli) obciążać będzie w pierwszej kolejności podmioty je udostępniające (administratorów) jako obowiązanych do ich szczególnej ochrony, tj. w tym wypadku jednostki samorządowe. Nie oznacza to jednak zupełnego wyłączenia odpowiedzialności po stronie podmiotu żądającego tych danych. Dodaje, że każdorazowo zatem, ocena podmiotu legitymowanego biernie do odpowiedzialności, zależeć będzie od przedmiotu i charakteru roszczenia, a w szczególności zaś konkretnych okoliczności jego powstania."