Wybory korespondencyjne a RODO

Wybory to aktualny i trzeba przyznać bardzo gorący temat. Głównie za sprawą pandemii koronawirusa, która uniemożliwia przeprowadzenie ich w normalnym trybie. A dlaczego piszemy o tym na naszym blogu? Z uwagi na zagrożenie spowodowane COVID-19 i powszechną izolację, pojawił się projekt przeprowadzenia wyborów „kopertowych” czyli korespondencyjnie. Projekt zakłada, że ok 30 milionów obywateli uprawnionych do głosowania wybierze prezydenta z pomocą Poczty Polskiej. Ten pomysł wzbudził sporo kontrowersji i pytań w kontekście RODO i ochrony danych osobowych. W dzisiejszym wpisie postanowiliśmy podsumować ten temat, przedstawić główne problemy, pytania i odpowiedzieć na najważniejsze z nich.

 

Na czym polegają wybory korespondencyjne?

 

Pomysł wyborów korespondencyjnych już zdążył wywołać niemałe poruszenie. Na czym dokładnie polega? Zacznijmy od tego, że oficjalnie prace nad projektem ustawy z 6 kwietnia 2020 r. o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r wciąż trwają. W chwili gdy piszemy ten wpis, projekt znajduje się w senacie, skąd wróci do Sejmu najpóźniej 6 maja, a więc na kilka dni przed planowanym terminem przeprowadzenia wyborów. Według projektu, pakiety wyborcze mają być przesyłkami nierejestrowanymi i mają być dostarczone przez Pocztę Polskę. A co za tym idzie Poczta Polska będzie potrzebować spisu wszystkich wyborców (czyli ich danych) aby pozyskać adresy, na które wysyłać będzie pakiety.

Tak jak wspomnieliśmy,zarówno sama ustawa jak i tryb jej procedowania sprawia, że wątpliwości związanych z przeprowadzeniem „kopertowych” wyborów jest coraz więcej. Pojawiają się problemy natury prawnej ale i praktycznej. Kilka z nich przedstawiamy poniżej.

 

Problemy z ochroną danych osobowych wyborców

 

Różne środowiska sygnalizują już od jakiegoś czasu, że w praktyce trudno będzie przeprowadzić wybory w trybie korespondencyjnym, zachowując przy tym ich niezbędne cechy takie jak powszechność, tajność, równość czy bezpieczeństwo. Kwestie zgodności z Konstytucją pomijamy, zostawiając to specjalistom. Co ciekawa sama Poczta Polska zwróciła uwagę, że przy obecnych założeniach może być to trudne do wykonania. Chodzi między innymi o fakt, że zgodnie z projektem w terminie przypadającym od 7 dni do dnia przypadającego przed dniem głosowania, pakiety wyborcze mają być doręczone bezpośrednio do oddawczej skrzynki pocztowej wyborcy (lub pod adres wyborcy wskazany w części A spisu wyborców, o którym mowa w art. 26 § 6 pkt 1 ustawy z 5 stycznia 2011 r. – Kodeks wyborczy). Wiele z tych przesyłek może nie zostać odebranych, co sprawi, że w skrzynkach pocztowych znajdą się dane osobowe ok 30 milionów Polaków. W skrzynkach, które jak przyznaje Poczta (a my przecież to powszechnie wiemy i widzimy na co dzień), nie są w odpowiedni sposób zabezpieczone. Często nie mają zamków, są otwarte albo bardzo łatwe do otwarcia. Do tego należy dodać, że niektórzy w ogóle nie mają skrzynek pocztowych.

 

Z drugiej strony, Poczta Polska zwróciła się już do niektórych wójtów, burmistrzów, prezydentów miast o udostępnienie spisów wyborców, czyli w praktyce – danych osobowych wszystkich wyborców. W kontekście RODO, bez odpowiedniego umocowania w prawie, taka prośba jest bezzasadna. Samo polecenie premiera, czy fakt, że przygotowywane są odpowiednie przepisy, jest nie wystarczające. A co za tym idzie, władze gmin, które udostępniłyby dane obywateli, naraziły by się na odpowiedzialność karną i odszkodowawczą wobec osób, których dane zostały udostępnione. W prośbie Poczty Polskiej o powierzenie danych powołano się na podstawę prawną z art. 99 ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (Dz. U. z 2020 r. poz. 695) oraz decyzję Prezesa Rady Ministrów z dnia 16 kwietnia 2020 r. (BPRM.4820.2.3.2020) ws. podjęcia przez Pocztę Polską S.A. czynności niezbędnych do przygotowania przeprowadzenia wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r. Zasadność tej podstawy prawnej budzi poważne wątpliwości. Zwłaszcza gdy weźmiemy pod uwagę, że projekt ustawy o głosowaniu korespondencyjnym jest w trakcie prac i nie wiadomo czy kiedykolwiek wejdzie w życie i w jakiej dokładnie formie. To nie wszystkie problemy jakie pojawiają się w związku z tym tematem.

 

 

Jak wynika z art. 26 Kodeksu wyborczego, spis wyborców na potrzeby wyborów sporządza urząd gminy na podstawie danych adresowych ze stałego rejestru wyborców zamieszkałych na obszarze tej gminy. Tworzy się go jedynie z tzw. „części A”, obejmującej obywateli polskich uprawnionych do głosowania, oraz ich dane osobowe, takie jak nazwisko i imię (imiona), imię ojca, datę urodzenia, numer ewidencyjny PESEL i adres zamieszkania. A w rozumieniu i z definicji RODO są to dane osobowe. Zakładając, że w pakietach wyborczych znajdą się wspomniane informacje, istnieje bardzo duże ryzyko naruszenia zasad bezpieczeństwa ochrony danych osobowych (RODO). Może się też okazać, że dane nie znajdą się w pakietach, będzie za to formularz, w który każdy wyborca wpisze dane samodzielnie. W obu przypadkach ryzyko ich ujawnienia jest wysokie.

 

Pomimo zapewnień Ministra Aktywów Państwowych, odpowiedzialnego za organizację wyborów oraz władz Poczty Polskiej duże wątpliwości budzi stopień zabezpieczenia danych udostępnionych Poczcie oraz wysokie ryzyko wystąpienia incydentów bezpieczeństwa polegających na ujawnieniu danych osobowych osobom nieuprawnionym. Do wycieku danych może dojść właściwie na każdym etapie procesu wyborczego organizowanego poza wpływem Państwowej Komisji Wyborczej i w warunkach, które nie są w tej chwili określone. Na ten moment nie ma żadnych konkretnych przepisów, które by to normowały. Wielu wątpliwości nie rozwiewa nawet sama ustawa, która nawet jeżeli wejdzie w życie, to w wielu miejscach zawiera zapisy „Minister Aktywów Państwowych wyda rozporządzenie, w którym określi…” Oczywiście wspomniane rozporządzenia nie mogą być wydane przed wejściem w życie stosownej ustawy, dlatego też dzisiaj, cytując klasyka, „jedyne co wiemy, to, że nie wiemy nic”. Należy również pamiętać, że procedury to jedno, a dopilnowanie ich przestrzegania to druga sprawa. Trudno jednak oczekiwać odpowiedniego przygotowania, wypełnienia i zabezpieczenia przestrzegania procedur, których na niecałe dwa tygodnie przed wyborami praktycznie nie ma.

 

Jak administrator danych ma wywiązać się ze swoich obowiązków? Jak przechowywać zebrane dane i przez jaki okres? A co z klauzulą informacyjną, którą powinna otrzymać każdy wyborca, którego dane są przetwarzane? Na te pytania póki co nie ma żadnej sensownej odpowiedzi. Nawet niedawno ogłoszone stanowisko UODO nie wiele wnosi do sprawy.

 

Czy wybory korespondencyjne są zgodne z RODO?

 

Wydaje się, że wątpliwości i przedstawionych problemów jest na tyle dużo, że przeprowadzenie wyborów w trybie zdalnym wydaje się na ten moment niemożliwe. Zaskakujące jest natomiast stanowisko Prezesa Urzędu Ochrony Danych Osobowych (UODO), który nie widzi większych przeciwwskazań w przeprowadzeniu wyborów w proponowanej formie. Nie zgłosił też uwag do samej ustawy.

Prezes UODO wydał oświadczenie (tutaj możecie przeczytać je w całości), w którym stwierdził, że PKW pełni kluczową rolę w procesie wyborczym (przypomnijmy, że zgodnie z projektem ustawy o wyborach korespondencyjnych PKW przestaje być ich organizatorem).. Dlatego jej stanowisko jest wiążące i dane ze spisów wyborczych można udostępniać. Tak jak wspomnieliśmy prezes UODO nie wniósł też żadnych uwag do projektu ustawy, która w praktyce pozbawia PKW możliwości tworzenia wzorów kart wyborczych (z naszymi danymi osobowymi). UODO nie zgłosił uwag również do zabezpieczeń procedur przetwarzania i powierzania danych.

 

Według UODO, przepisy prawa wskazują, że operator pocztowy jest uprawniony do pozyskania od organu administracji publicznej danych osobowych wyborców, jeżeli zachodzi jedna z dwóch niezależnych od siebie przesłanek. W pierwszym przypadku udostępnienie danych jest możliwe, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. Natomiast w drugim przypadku udostępnienie danych jest możliwe, jeżeli dane te są potrzebne w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Oczywiście Prezes UODO podkreślił, że zasady ochrony danych osobowych wskazane w RODO muszą być przestrzegane, muszą być wdrożone też stosowne środki organizacyjne. Urząd Ochrony Danych Osobowych będzie współpracować z inspektorami ochrony danych (IOD) i przyglądać się całemu procesowi.

 

Pozostaje mieć nadzieję, że nie są to tylko puste obietnice. Pytanie czy takie zapewnienia są wystarczające patrząc na charakter i powagę sytuacji. Naszym zdaniem nie. Brakuje konkretnych i wdrożonych rozwiązań ustrojowych i prawnych, aby wybory w formie korespondencyjnej mogły zostać przeprowadzone w sposób właściwy i co ważne – bezpieczny. Niewłaściwe jest naszym zdaniem, aby jedynie na podstawie decyzji premiera i ogólnie sformułowanego przepisu art. 99 ustawy „covidowej” Poczta Polska pozyskiwała i przetwarzała dane osobowe wszystkich obywateli. Jeśli posiadacie argumenty, informację które pomogą nam zmienić podejście, bardzo prosimy podajcie je w komentarzach do tego wpisu. Zachęcamy do dyskusji i wzorem prezesa UODO też będziemy przyglądać się z uwagą tej sprawie…