Dzisiaj jest: 22.11.2024, imieniny: Cecylii, Jonatana, Marka

RODO nie ochroni obywatela, administracja rządowa może robić co chce

Dodano: 06.09.2023 Czytane: 38 Autor:

Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji oraz Polska Izba Informatyki i Telekomunikacji są zaniepokojone faktem zobowiązywania przedsiębiorców telekomunikacyjnych do przekazywania do GUS szczegółowych danych osobowych abonentów usług telefonicznych, a więc danych osobowych milionów polskich obywateli oraz obywateli innych państw, którzy wykupili usługi u polskiego operatora.

RODO nie ochroni obywatela, administracja rządowa może robić co chce

Rzecznik Praw Obywatelskich 4 kwietnia 2023 r. ujawnił odpowiedź Prezesa GUS, jaką ten udzielił Krajowej Izbie Gospodarczej Elektroniki i Telekomunikacji, informując, że obecnie nie ma możliwości zwolnienia dostawców publicznie dostępnych usług telefonicznych z cyklicznego przekazywania danych dotyczących abonentów.

KIGEiT oraz PIIiT, a wraz z nimi RPO, pytają, do czego w demokratycznym państwie prawnym potrzebne są tak szczegółowe dane obywateli i innych użytkowników sieci telekomunikacyjnej. Izby te wskazują, że niepokojący jest fakt, że nie został precyzyjnie określony cel pozyskiwania przez GUS tak szerokiego zakresu danych.

Rozporządzeniem Rady Ministrów z 19 listopada 2021 r. w sprawie programu badań statystycznych statystyki publicznej na rok 2022, zobowiązano dostawców usług telekomunikacyjnych do przekazania GUS danych o abonentach tych usług według stanu na 31 grudnia 2022 r.

Chodzi m.in. o tak wrażliwe dane, jak: imię, drugie imię, nazwisko, PESEL, NIP (w przypadku obywatela polskiego prowadzącego działalność gospodarczą), numer telefonu, a nawet adres miejsca zamieszkania. Przypomnijmy, że Prezes Głównego Urzędu Statystycznego to centralny organ administracji rządowej. Prezesa GUS powołuje i odwołuje Premier.

Jaki jest cel pozyskiwania szczegółowych danych o obywatelach?
 

Zgodnie z art. 3 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej, statystyka ta zapewnia rzetelne, obiektywne i systematyczne informowanie społeczeństwa, organów państwa i administracji publicznej oraz podmiotów gospodarki narodowej o sytuacji ekonomicznej, demograficznej, społecznej oraz środowiska naturalnego.

Jak zastrzega art. 4 ust. 2, szczegółowy zakres prowadzonych badań statystycznych statystyki publicznej powinien uwzględniać celowość, niezbędność oraz społeczną ich użyteczność. Jaki więc jest cel, do czego niezbędne są organom coraz bardziej szczegółowe dane o jego obywatelach?

Szeroki zakres danych osobowych pozyskiwany jest w celu stworzenia przez GUS tzw. operatu statystycznego. Ma on być wykorzystywany przez pracowników GUS do wykonywania zadań niemających bezpośredniego związku z badaniami statystycznymi w obszarze telekomunikacji. To budzi zastrzeżenia przywołanych izb gospodarczych.

W piśmie skierowanym 24 marca 2023 r. do Prezesa Rady Ministrów, będącego jednocześnie Ministrem Cyfryzacji, Rzecznik Praw Obywatelskich zapytał o uzasadnienie takiego działania, skoro zadania te mogą być z powodzeniem realizowane przez GUS bez danych osobowych abonentów, na podstawie danych, którymi urząd już dysponuje jako podmiot publiczny.
 

RODO nie ochroni obywatela, administracja rządowa może robić co chce
 

Jednak w ustawie o statystyce publicznej zawarto przepis, który pozwala na bardzo dużo, w zakresie przetwarzania danych osobowych. Chodzi o art. 35h ust. 1, który stanowi, że do przetwarzania danych osobowych w celu wykonywania zadań określonych w ustawie przez służby statystyki publicznej nie stosuje się przepisów art. 15, art. 16, art. 18 i art. 21 rozporządzenia 2016/679 – inaczej zwanego RODO.

A co mówią wskazane przepisy unijnego rozporządzenia o ochronie danych osobowych? Art. 15 daje osobie, której dane dotyczą, uprawnienie do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe, które jej dotyczące, a jeśli tak, to jest ona uprawniona do uzyskania dostępu do nich oraz informacji takich jak:

  • cele przetwarzania,
  • informacje o odbiorcach, którym dane zostały lub
  • zostaną ujawnione,
  • planowany okres przechowywania danych osobowych, a gdy nie jest możliwe jego określenie – kryteria ustalania tego okresu,
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych,
  • jeżeli dane nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle.

Art. 16 RODO, którego działanie w omawianym zakresie wyłącza wspomniany przepis art. 35h, daje prawo żądania sprostowania przetwarzanych danych osobowych, jeśli są nieprawidłowe, a także ich uzupełnienia.

Derogowany art. 18 RODO umożliwia wystąpienie o ograniczenie przetwarzania w sytuacjach np. gdy: osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych, a przede wszystkim, gdy osoba taka wniosła sprzeciw na mocy art. 21 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Przywołany art. 35h ustawy o statystyce publicznej odbiera więc obywatelowi wszystkie te uprawnienia. Nawet dowiedzenia się od GUS, czy ten przetwarza jego dane.
 

Podsumowanie
 

Czy takie zasady powinny obowiązywać w demokratycznym państwie prawa? Ustawą z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw ustanowiono, że kontrola operacyjna może być prowadzona niejawnie i polegać na uzyskiwaniu i utrwalaniu:

  • treści rozmów,
  • obrazu lub dźwięku osób z wszelkich miejsc, także prywatnych,
  • treści korespondencji,
  • danych zawartych w informatycznych nośnikach danych,
  • uzyskiwaniu dostępu i kontroli zawartości przesyłek.

Nie bez przyczyny nowelizację nazwano inwigilacyjną.

W Polsce od kilku lat działa już STIR – System Teleinformatycznej Izby Rozliczeniowej, gromadzący informacje na temat rachunków rozliczeniowych przedsiębiorstw, Split payment – kontrolujący dokonywane przez firmy płatności, czy MDR (Mandatory Disclosure Rules) – nadzorujący stosowanie schematów podatkowych. Od 1 lipca 2022 r. skarbówka może zaglądać na prywatne rachunki bankowe podatników bez konieczności wcześniejszego przedstawienia zarzutów podejrzenia o popełnienie przestępstw lub wykroczeń karnych, czy skarbowych.

W omawianej sprawie udostępniania danych osobowych abonentów usług telefonicznych GUS przez firmy telekomunikacyjne RPO zwrócił się do Premiera o wyjaśnienia. Szczególnie o zasadność rozszerzenia katalogu danych osobowych, o którym mowa w art. 35b ust. 1 ustawy o statystyce, udostępnianych już służbom statystyki publicznej.

Biorąc pod uwagę bardzo wiele nowych narzędzi umożliwiających pozyskiwanie, zbieranie i przetwarzanie rozmaitych danych o obywatelach, ich życiu, wykonywanych czynnościach, wkraczających często w sferę prywatności, należy podzielić zaniepokojenie zarówno KIGEiT oraz PIIiT, jak i Rzecznika Praw Obywatelskich.

Trudno bowiem znaleźć uzasadnienie dla zbierania przez Główny Urząd Statystyczny danych, które będą przetwarzane w celach niezwiązanych z prowadzeniem statystyki. Czy zatem GUS otrzymał jakieś „tajne” zadania, spoza swojej specjalizacji, które będzie realizował w ukryciu, przy użyciu pozyskanych danych? O tym na razie nic nie wiadomo.
 

Autor: radca prawny, partner zarządzający Kancelarią Prawną Skarbiec

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.