Wątpliwości co do działań polskich władz w tym zakresie mają organy Unii Europejskiej. Unijny komisarz ds. sprawiedliwości Didier Reynders zapowiedział w czwartek, że Komisja Europejska już przeanalizowała i będzie nadal się przyglądać, jak wykorzystywane są bazy danych w kontekście wyborów prezydenckich w Polsce.

Nowy termin wyborów to wszystkie czynności od nowa>>

 

Trzeba sprawdzić, czy poczta dostała dane

Choć część jednostek samorządu terytorialnego odmówiła przekazania danych o mieszkańcach, to bazy Poczty Polskiej uzupełniło ją najprawdopodobniej Ministerstwo Cyfryzacji, bo oficjalnie  informowało, że podzieliło się z pocztą danymi z bazy PESEL.

Czytaj:
Samorządy nie chciały udostępnić Poczcie danych wyborców, zrobiło to Ministerstwo Cyfryzacji>>
Przekazaniem przez gminy danych wyborców Poczcie Polskiej zajmie się prokuratura>>

 

- Dużo osób zgłasza swoje pretensje do samorządów, a - moim zdaniem - nie jest to do końca dobrze wybrany adresat, bo one nie za bardzo tutaj zawiniły - mówi dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p. - Niemniej, najpierw trzeba dowiedzieć się, czy poczta ma nasze dane. Radziłabym tu skierowanie do samorządów lub do MC, jeżeli to ono przekazało dane, zapytania w trybie dostępu do informacji publicznej. To są takie ustalenia, których możemy dokonać na potrzeby dalszego postępowania. Skoro nie przekazano danych, to szkoda fatygi, by pisać do poczty - tłumaczy.

Dodaje, że warte odnotowania są dwa prawa - prawo do ochrony danych osobowych i prawo do informacji publicznej, które z reguły bywają postrzegane jako ze sobą sprzeczne się tutaj wzajemnie wzmacniają. - W analizowanym stanie rzeczy mam prawo dowiedzieć się, czy takie działanie podmiotu zobowiązanego do udostępnienia informacji publicznej miało miejsce. Oczywiście o to samo można zapytać pocztę - tłumaczy dr Sakowska-Baryła.

Czytaj w LEX: Weryfikacja kontrahentów, a przetwarzanie danych osobowych >

Wtóruje jej dr Mirosław Gumularz, radca prawny w kancelarii GKK Legal, tłumacząc, że art. 15 RODO daje każdej osobie prawo, by wiedział o odbiorcach lub kategoriach odbiorców jej danych. - Oczywiście jest tam wyłączenie, że nie można tej informacji udzielić, jeżeli może to naruszyć prawa lub wolności innych, ale tutaj raczej nie mamy do czynienia z taką sytuacją - mówi.

  

Sprzeciw lub prawo do zapomnienia

Gdy już wiadomo, że poczta ma dane osobowe, można sięgnąć po przepisy RODO, a konkretnie rozdział trzeci unijnego rozporządzenia. - Można zgłosić sprzeciw lub zażądać usunięcia danych. Radzę tutaj tych uprawnień nie kumulować, bo niektóre z nich w praktyce prowadzą do tych samych rezultatów, jeżeli jednocześnie zgłoszę sprzeciw i zażądam usunięcia, to w zasadzie powinnam osiągnąć ten sam finalny skutek w postaci usunięcia danych, ale w przypadku odmowy realizacji uprawnienia argumentacja organu w przypadku każdego z tych uprawnień będzie inna - mówi dr Sakowska-Baryła.  Zauważa, że przy wniesieniu sprzeciwu poczta ma większe pole do manewru, bo ma prawo - a podstawie art. 21 ust. 1  dokonania oceny - czy zachodzą określone tam okoliczności.

Czytaj w LEX: Ważne pytania o ochronę danych osobowych podczas epidemii koronawirusa >

Zażądanie usunięcia danych radzi również dr Gumularz, który podkreśla, że sprzeciw musi być umotywowany, a to czy podniesione argumenty są słuszne, ocenia administrator. -  Moim zdaniem, jednak lepiej od razu powołać się na art. 17 ust. 1 lit b, czyli żądać usunięcia danych, bo były przetwarzane bez podstawy prawnej. Tu warto zaznaczyć, że tak w rozumieniu RODO, jak i Konstytucji, tą podstawą prawną są przepisy rangi ustawowej, bo mam wrażenie, że się teraz o tym zapomina. Można byłoby jeszcze próbować żądania ograniczenia przetwarzania danych, czyli niejako zablokowania możliwości wykorzystania ich choćby w czasie wyborów, ale to - moim zdaniem - gorszy pomysł, niż żądanie usunięcia -tłumaczy.

Czytaj w LEX: Zagrożenie koronawirusem a prawo do prywatności >

  

Do UODO lub do sądu

Jeżeli poczta nie usunie danych, można złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych. Skargę może złożyć osoba fizyczna, jeżeli nieprawidłowe przetwarzanie dotyczy jej danych osobowych. W przypadku, gdy skarga dotyczy przetwarzania danych osobowych innej osoby, konieczne jest pełnomocnictwo udzielone przez tę osobę do jej reprezentowania w postępowaniu przed prezesem Urzędu. Można ją złożyć przez ePUAP.

- Jednocześnie, bo te uprawnienia się nie wykluczają, można wystąpić z powództwem do sądu okręgowego na podstawie art. 79 RODO, a także zażądać odszkodowania lub zadośćuczynienia, jeżeli możliwe jest wykazanie szkody majątkowej lub niemajątkowej na podstawie art. 82 RODO. Można argumentować, że naruszono prawa wynikające z tego rozporządzenia, zarówno w zakresie praw określonych w rozdziale 3, jak i innych uprawnień, które kształtują przepisy RODO. Choćby dlatego, że nie ma tu mowy o minimalizacji przetwarzania danych, bo to, czego zażądała poczta w tym wypadku, było nieadekwatne, wziąwszy pod uwagę wybory korespondencyjne - mówi dr Sakowska-Baryła.

Czytaj w LEX: Niezbędność przetwarzania danych jako warunek konieczny dla wypełnienia obowiązku prawnego administratora >

Kolejną możliwością jest wystąpienie z powództwem o ochronę dóbr osobistych w oparciu o art. 23 i 24 Kodeksu cywilnego. - Ciekawym pomysłem przy tej ostatniej ścieżce byłoby złożenie wniosku o zabezpieczenie roszczenia, sąd mógłby wtedy - być może - w ogóle zablokować możliwość wykorzystywania naszych danych do czasu rozstrzygnięcia powództwa - mówi dr Gumularz. - Problemem może być wykazanie istnienia dobra, bo w orzecznictwie SN ochrona danych osobowych rozumiana jest przez pryzmat prawa do prywatności, a to jest uznawane za pasywne dobro, takie w które ktoś nie może wkraczać. Tu natomiast wychodzimy z inicjatywą, aktywnie żądając usunięcia danych. Po wejściu RODO, moim zdaniem, to prawo trzeba rozumieć szerzej - zgodnie z Kartą Praw Podstawowych, a zatem także tak, że możemy je aktywnie realizować i to również podlega ochronie - mówi dr Gumularz.

Czytaj w LEX: Praktyczne problemy w związku z realizacją prawa do bycia zapomnianym i możliwe rozwiązania/wskazówki >

 

Poczta zawiadamia, że przetwarza dane

Jak wskazuje dr Sakowska-Baryła, na Poczcie Polskiej spoczywa też obowiązek powiadomienia, że przetwarza nasze dane. -  Ale termin maksymalny to miesiąc, więc jeszcze ma na to czas, co więcej może to zostać ujawnione przy pierwszym kontakcie, czyli w tym przypadku np., przy doręczeniu pakietu wyborczego. Nie widzę tu podstaw do zastosowania zwolnienia z obowiązku informacyjnego na podstawie art. 14 ust. 5 RODO - tłumaczy dr Sakowska Baryła. Dodaje natomiast, że chybionym argumentem będzie tu tłumaczenie, że poczta już i tak miała pewną część danych obywateli, bo służyły jej do rozliczania opłat abonamentowych, bo użycie ich w związku z obsługą wyborów to zmiana celu przetwarzania, a tego poczta nie może zrobić sama z siebie.

Czytaj w LEX: Wypełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą >

Zaniepokojony obywatel może też zainteresować się tym, jak zabezpieczone są jego dane osobowe, bo tu też RODO (art. 23 i 32) nakłada na administratora pewne obowiązki i z pewnością przesłanie danych zwykłym mailem nie jest ich dopełnieniem. O to, w jaki sposób przekazano dane, można wystąpić w trybie dostępu do informacji publicznej.