"Dane osobowe prosimy przesłać bez hasła". Ekspert załamuje ręce nad pismem Poczty Polskiej ws. spisów wyborców

Poczta w swoim mailu do poszczególnych samorządów zażądała przesłania - w ciągu dwóch dni roboczych - tzw. spisów wyborców. Napisała wprost, jak to ma wyglądać - w jakie pliki dane mają być spakowane i, co ciekawe, że mają nie mieć hasła. - To złamanie elementarnych zasad - słyszymy od fachowców.
Zobacz wideo

Z maila Poczty Polskiej wynika, że dane wyborców (m.in. imię i nazwisko, adres, PESEL) powinny zostać przekazane w formie dokumentu opatrzonego kwalifikowanym podpisem elektronicznym, podpisem osobistym albo podpisem zaufanym, za pośrednictwem platformy ePUAP. "Wyżej wymieniony plik powinien zostać skompresowany do pojedynczego pliku w formacie .ZIP lub .RAR, lub .GZIP, lub 7ZIP bez hasła" - czytamy w mailu, który dostali urzędnicy z poszczególnych miast i gmin.

Dane osobowe? Bez hasła?

- Jeżeli mówimy o formie, w której miałoby to być przesłane - czyli niezahasłowany, pojedynczy plik, do którego miałyby być spakowane te wszystkie dane - to w oczywisty sposób nie jest to zgodne z prawem - mówi bez cienia wątpliwości adwokat dr Paweł Litwiński, któremu tematyka związana z ochroną danych jest szczególnie bliska.

- RODO nie mówi nam wprost, jak dane należy zabezpieczać, ale jakoś zabezpieczyć je trzeba. Przesłanie tak wrażliwych danych jako załącznika, bez hasła, w fundamentalny sposób narusza reguły ochrony danych osobowych, co zresztą wielokrotnie podkreślał Urząd Ochrony Danych Osobowych - mówi dr Paweł Litwiński. I tłumaczy, że z technicznego punktu widzenia pliki można byłoby wysłać mailem, ale zahasłowane - a hasło wysyłamy wtedy innym kanałem komunikacji czyli np. SMS-em. 

Co jeśli dane ktoś ukradnie?

Samorządowcy na dziś mają mnóstwo uwag, w tym te dotyczące kwestii technczniczno-formalnych. Boją się m.in., że niezahasłowane dane ktoś może przechwycić i niezgodnie z prawem je wykorzystać. - Wystarczy dostać się do skrzynki pocztowej, do serwerów i prawdopodobieństwo ujawnienia danej wiadomości jest bardzo duże. I jeśli patrzymy z perspektywy bezpieczeństwa teleinformatycznego, to na pewno uwagi zgłaszane przez samorządowców są zasadne - mówi adwokat Paweł Litwiński. - To jest po prostu elementarz bezpieczeństwa - dodaje.

W związku z mailem, który dotarł do urzędów miast i gmin, pojawia się jeszcze jedno pytanie: kto będzie odpowiadał za ewentualny wyciek danych, skoro pod mailem z Poczty Polskiej nikt nie podpisał się z imienia i nazwiska - był jedynie podpis "Z wyrazami szacunku. Poczta Polska".

- Wszystko zależy od tego, w którym stałoby się do momencie. Czy doszłoby do wycieku w chwili transmisji danych, czy też doszłoby do wycieku po stronie Poczty Polskiej. Gdyby chodziło o moment transmisji - w wyniku braku odpowiedniego zabezpieczenia tych danych osobowych - trzeba byłoby się zastanowić, kto je powinien w odpowiedni sposób zabezpieczyć. Niezależnie od tego, co mówi Poczta, to gdyby prezydenci i wójtowie zdecydowali się na wysyłkę tych danych, to jednak oni powinni je w odpowiedni sposób zabezpieczyć, bo to oni mogliby ponieść odpowiedzialność - uważa dr Paweł Litwiński.

10 maja - dzień wyborów?

To wszystko oczywiście kwestie techniczne, bo na dziś samorządowcy mówią wprost, że nie widzą podstaw prawnych do przesłania danych osobowych wyborców. Poczta Polska co prawda powołuje się na konkretny przepis z tzw. tarczy antykryzysowej, mówiący o tym, że może wnioskować o dane wyborców, ale zdaniem wójtów, burmistrzów i prezydentów miast, przepis ten nie ma zastosowania, skoro nie ma jeszcze ustawy dotyczącej tego, jak będziemy głosować w wyborach prezydenckich 10 maja i czy będzie to głosowanie korespondencyjne.

Do tematu odniósł się też Rzecznik Praw Obywatelskich. "Należy zgodzić się, że obecnie wątpliwe jest istnienie podstawy ustawowej umożliwiającej przekazanie takich danych, zgodnie z art. 99 ustawy z 16 kwietnia 2020 r. Nie może nią być ustawa o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta RP zarządzonych w 2020 r. Jest ona bowiem dopiero procedowana w Senacie - nie jest zatem jeszcze obowiązującym prawem" - napisał RPO Adam Bodnar w liście do premiera. Czytamy tu też m.in.: "(...) komunikacja, która miała być oficjalną korespondencją w sprawie wyborów, sprawiała uzasadnione wrażenie ataku phishingowego i musiała podlegać dalszej weryfikacji. Takie praktyki należy ocenić jako mające niszczący wpływ na zaufanie do procesu wyborczego i niedopuszczalne w demokratycznym państwie prawa ze strony podmiotów publicznych". 

DOSTĘP PREMIUM