Pozyskiwanie danych osobowych wyborców. Oświadczenie prezesa UODO

W związku z powtarzającymi się pytaniami i wątpliwościami kierowanymi do organu nadzorczego dotyczącymi pozyskiwania danych osobowych wyborców przez operatora pocztowego w celu organizacji wyborów na Prezydenta Rzeczypospolitej Polskiej, Prezes Urzędu Ochrony Danych Osobowych przedstawia swoje stanowisko w sprawie.

W polskim systemie prawa to Państwowa Komisja Wyborcza odgrywa kluczową rolę przy organizacji wyborów. Do zadań Państwowej Komisji Wyborczej zgodnie z art. 160 §  1.  Kodeksu wyborczego należy m.in. sprawowanie nadzoru nad przestrzeganiem prawa wyborczego oraz sprawowanie nadzoru nad prowadzeniem i aktualizowaniem rejestru wyborców oraz sporządzaniem spisów wyborców. W świetle obowiązujących przepisów prawa to Państwowa Komisja Wyborcza, a nie Prezes Urzędu Ochrony Danych Osobowych, jest organem odpowiedzialnym za właściwy przebieg wyborów na Prezydenta RP.

Prezes UODO pragnie zwrócić uwagę, że funkcjonujemy w specyficznym okresie pandemii, w którym wiele organów państwa stara się zapewnić ich, w miarę możliwości, normalne funkcjonowanie. W tym celu została uchwalona tzw. specustawa, która w czasie pandemii reguluje wiele aspektów naszego życia.

Zgodnie z art. 99 obowiązującej od 18 kwietnia 2020 r. ustawy z 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (Dz. U. poz. 695) operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Dane, o których mowa w zdaniu pierwszym, przekazywane są operatorowi wyznaczonemu, w formie elektronicznej, w terminie nie dłuższym niż 2 dni robocze od dnia otrzymania wniosku. Operator wyznaczony uprawniony jest do przetwarzania danych wyłącznie w celu, w jakim otrzymał te dane.

Z powyższego przepisu prawa wynika, że operator pocztowy jest uprawniony do pozyskania od organu administracji publicznej danych osobowych wskazanych ww. przepisem prawa, jeżeli zachodzi jedna z dwóch niezależnych od siebie przesłanek. W pierwszym przypadku udostępnienie danych jest możliwe, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. Natomiast w drugim przypadku udostępnienie danych jest możliwe, jeżeli dane te są potrzebne w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Nie ulega wątpliwości, że pierwsza przesłanka w obecnie obowiązującym stanie prawnym nie występuje.

W związku z wprowadzeniem ww. przepisu prawa Państwowa Komisja Wyborcza, która zgodnie z art. 157 §  1 ustawy z dnia 5 stycznia 2011 r. - Kodeks wyborczy (Dz. U. z 2019 r. poz. 684 i 1504 oraz z 2020 r. poz. 568, 695), dalej: Kodeks wyborczy, jest stałym najwyższym organem wyborczym właściwym w sprawach przeprowadzania wyborów i referendów, zajęła stanowisko, określające rolę operatora pocztowego, a także obowiązek współpracy z nim w zakresie udostępnienia danych ze spisu wyborców[1].

Z powyższego stanowiska wynika, że w obrocie prawnym istnieje rozstrzygnięcie organu administracji rządowej, którego kopia w ocenie Państwowej Komisji Wyborczej powinna być dołączona do wniosku operatora wyznaczonego (operator w treści wniosków powołał się na decyzję Prezesa Rady Ministrów z dnia 16 kwietnia 2020 r.), nakładające obowiązek, o którym mowa w art. 99 ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, dla realizacji którego potrzebne jest pozyskanie danych osobowych przez operatora pocztowego, a tym samym uznać należy, że istnieje podstawa prawna do udostępniania tych danych operatorowi pocztowemu, o ile wniosek operatora o udostępnienie danych spełnia wymagania co do formy określone ww. przepisem prawa. Zgodnie bowiem z art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietna 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119  z 04.05.2016, str. 1, z późn. zm.[2]), dalej: RODO, przetwarzanie jest zgodne z prawem jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.      

 Należy ponadto wskazać, że Prezes Urzędu Ochrony Danych Osobowych podkreśla rolę zasad ochrony danych osobowych wskazanych w art. 5 RODO. Przepis art. 5 ust. 1 lit. f RODO jasno stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zarówno podmioty zobowiązane do przekazania danych osobowych, jak i operator wyznaczony, powinni zapewnić wysoki standard zabezpieczeń systemów informatycznych wykorzystywanych do przetwarzania tych danych, by zminimalizować ryzyka ich niezgodnego z prawem ujawnienia. W celu wyeliminowania ryzyka naruszenia praw lub wolności osób głosujących w wyborach powinny zostać wdrożone adekwatne środki organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Prezes Urzędu Ochrony Danych Osobowych będzie przyglądać się całemu procesowi, współpracować z inspektorami ochrony danych, a w przypadku naruszeń podejmie stosowne kroki wobec administratorów danych.

źródło: UODO.gov.pl