A skoro już za kilka dni kolejne wybory, dziś czas na kilka akapitów o tym, że pamiętne udostępnienie Poczcie Polskiej danych z rejestru PESEL było nielegalne — bo organizacja wyborów kopertowych i tak była już niemożliwa (wyrok Naczelnego Sądu Administracyjnego z 13 marca 2024 r., II OSK 1630/21).
Sprawa dotyczyła skargi Rzecznika Praw Obywatelskich na udostępnienie Poczcie Polskiej danych osobowych z rejestru PESEL, na potrzeby organizacji tzw. „wyborów kopertowych” (bo koronawirus).
WSA uwzględnił skargę i stwierdził bezskuteczność czynności: zarówno złożenie przez Pocztę Polską wniosku o udostępnienie danych z rejestru PESEL, jak i sama operacja udostępnienia — dane zostały przekazane przez ówczesnego Ministra Cyfryzacji (dla przypomnienia: był nim Marek Zagórski) na płycie CD — nastąpiły bez jakiejkolwiek podstawy prawnej. Sęk bowiem w tym, że Poczta Polska S.A. nie dysponowała żadnymi uprawnieniami w zakresie organizacji wyborów prezydenckich, a odpowiedni przepis wszedł w życie dopiero kilka tygodni później (por. „Poczta Polska może uzyskać dostęp do danych osobowych wszystkich Polaków (bo koronawirus)”). Podstawą udostępnienia danych nie mógł być przy tym przepis-worek uprawniający premiera do „wydawania poleceń” epidemicznych — bo Konstytucja nie tylko nakłada na wszystkie ograny obowiązek działania zgodnego z literą prawa, ale też wyraźnie zastrzega, że państwo może pozyskiwać informacje o obywatelach wyłącznie na podstawie unormowania prawnego (wyrok WSA w Warszawie z 26 lutego 2021 r., IV SA/Wa 1817/20).
art. 99 ustawy z 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2
Operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. — Prawo pocztowe, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Dane, o których mowa w zdaniu pierwszym, przekazywane są operatorowi wyznaczonemu, w formie elektronicznej, w terminie nie dłuższym niż 2 dni robocze od dnia otrzymania wniosku. Operator wyznaczony uprawniony jest do przetwarzania danych wyłącznie w celu, w jakim otrzymał te dane.
art. 51 ust. 2 Konstytucji RP
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Skargi na to orzeczenie wniosła zarówno Poczta Polska, jak i Minister Cyfryzacji (ta skarga została cofnięta przez nowego piastuna urzędu, tuż przed wyrokowaniem), a argumenty z grubsza sprowadzały się do oceny, że dane były niezbędne już na etapie przygotowania wyborów, a nie tylko ich przeprowadzenia — zaś tak czy inaczej kluczowe dla oceny udostępnienia danych wyborców jest prawomocne rozstrzygnięcie sporu o legalność decyzji o przeprowadzeniu wyborów korespondencyjnych (por. „Dlaczego decyzja premiera o przeprowadzeniu wyborów prezydenckich przez Pocztę Polską S.A. okazała się nieważna?”).
Odnosząc się do tych argumentów Naczelny Sąd Administracyjny przypomniał, że ochrona prywatności i danych osobowych jest podniesiona do rangi gwarancji konstytucyjnej i Unijnej, przez co mamy do czynienia z zasadą, od której wyjątki mogą być wywodzone w sposób zgodny z art. 31 ust. 3 Konstytucji RP.
Ogólne zasady udostępniania danych z rejestru PESEL są uregulowane w ustawie o ewidencji ludności i brak w nich przepisu pozwalającego przekazać Poczcie Polskiej jakiekolwiek informacje na potrzeby organizacji wyborów prezydenckich. Przepisem takim jest art. 99 ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, jednak nie da się pominąć, iż ta podstawa prawna nie istniała ani w momencie wydania przez premiera Morawieckiego polecenia, ani w momencie samej czynności udostępnienia danych. Co więcej przepis ten nie może być też tłumaczony jako legalizujący fakt udostępnienia danych już wskutek i w momencie złożenia wniosku, zwalniając przy tym Ministra Cyfryzacji (jako administratora danych zgromadzonych w rejestrze PESEL) z obowiązku weryfikacji, czy dane osobowe są niezbędne do realizacji określonego zadania. Wszakże udostępnienie danych nastąpiło w celu przeprowadzenia głosowania — zaś biorąc pod uwagę całokształt sytuacji, w tym uregulowań prawnych (już choćby to, że organami wyborczymi są tylko PKW i komisarze wyborczy), organizacja wyborów kopertowych była już niemożliwa, PP nie dysponowała uprawnieniami organu wyborczego, toteż udostępnienie danych z rejestru PESEL było bezcelowe, a przetwarzanie pozyskanych informacji — nielegalne.
Dokonując wykładni unormowań nie sposób także pominąć, iż prawodawca wyłączył, w okresie obowiązywania stanu epidemii COVID-19 możliwość stosowania przepisów kodeksu wyborczego w zakresie głosowania korespondencyjnego — a skoro tak, to niedopuszczalna była ekstrapolacja jakichś przepisów z decyzji natury politycznej. Podstawą przekazania danych nie mogła być także decyzja premiera — a to dlatego, że
art. 102 pkt 4 ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2
W okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii przy przeprowadzaniu wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r. nie stosuje się przepisów ustawy z dnia 5 stycznia 2011 r. — Kodeks wyborczy w zakresie:
4) głosowania korespondencyjnego, o którym mowa w art. 53a;
Decyzja Prezesa Rady Ministrów jako akt indywidualny i konkretny nie może być uznana za źródło materialnoprawnej kompetencji. Źródłem kompetencji do realizacji zadań publicznych, których skutki kształtują prawną sytuację adresatów pozostających poza systemem władzy publicznej mogą być jedynie akty normatywne wymienione w art. 87 Konstytucji RP.
Poczta Polska nie może także skutecznie powołać się na jedną z decyzji PUODO, który umorzył postępowanie w/s skargi dotyczącej bezprawnego udostępnienia przez Ministra Cyfryzacji danych osobowych — raz, że sąd administracyjny nie jest związany jednostkowymi i pobocznymi decyzjami organu ochrony danych osobowych, a dwa, że jak na razie skarga na tę decyzję została uwzględniona (wyrok WSA w Warszawie z 25 lutego 2022 r., II SA/Wa 2286/21; por rozważania dot. wyroku WSA w Warszawie z 24 marca 2021 r., II SA/Wa 1635/20).
Stwierdzając, że udostępnienie danych z rejestru PESEL nastąpiło bez podstawy prawnej — rzekoma organizacja wyborów kopertowych przez Pocztę Polską nie jest celem usprawiedliwiającym przetwarzanie danych osobowych obywateli — NSA oddalił skargę kasacyjną.