Brak podstawy prawnej do przetwarzania danych na przykładzie wyborów korespondencyjnych.

Pozew Pana Wojciecha Klickiego z fundacji Panoptykon złożony w lipcu 2020, to symboliczny sprzeciw wobec przetwarzania danych osobowych przez Pocztę Polską bez podstawy prawnej. W sprawie chodzi oczywiście o dane blisko 30 mln Polaków, które PP otrzymała w ramach organizowanych przez Prezesa Rady Ministrów wyborów korespondencyjnych. Mimo tego, że ustawa dotycząca organizacji wyborów korespondencyjnych weszła w życie 9 maja 2020 roku, to według różnych źródeł PP dysponowała danymi osobowymi z bazy PESEL już od 16 lub 22 kwietnia 2020. Okazuje się, że nasz krajowy operator pocztowy wystąpił do Ministerstwa Cyfryzacji o przekazanie danych, na podstawie „ogólnej decyzji Premiera”. W owym czasie poczta nie posiadała prawnego zobowiązania do organizacji wyborów. Zatem powoływanie się na art. 99 „ustawy covidowej” jest robieniem dobrej miny do złej gry.

Przypomnę jedynie, że Wojewódzki Sąd Administracyjny w Warszawie po skardze złożonej przez Rzecznika Praw Obywatelskich, stwierdził już, że w sprawie organizacji wyborów korespondencyjnych i przekazania danych obywateli PP, doszło do rażące naruszenie przepisów prawa przez Premiera. W całej tej sprawie ciekawy jest jeszcze wątek organizacji Watchdog Polska – walczącej z kolei o to, by lokalni samorządowcy, którzy postąpili zgodnie z nielegalnym żądaniem Premiera i przekazali dane operatorowi, ponieśli odpowiedzialność karną.

Przy okazji tej doniosłej sprawy, warto przeanalizować własne rejestry i zorientować się, czy mamy podstawy prawne do przetwarzania wszystkich danych jakie znajdują się w naszym posiadaniu. Żeby taka inwentaryzacja przebiegała sprawnie, warto skorzystać z rejestru czynności przetwarzania oraz procedury retencji danych.