Poczta Polska poprosiła gminy o listę nazwisk, adresów i numerów PESEL 30 milionów Polaków w plikach *.txt

Gorące tematy Państwo Prawo dołącz do dyskusji (682) 23.04.2020
Poczta Polska poprosiła gminy o listę nazwisk, adresów i numerów PESEL 30 milionów Polaków w plikach *.txt

Rafał Chabasiński

Właściwie nie powinno nikogo dziwić, że prowizoryczne korespondencyjne wybory prezydenckie organizowane są w sposób niefrasobliwy. Rządzący potrafią jednak zaskoczyć. Okazuje się bowiem, że Poczta Polska dane osobowe obywateli chce uzyskać w sposób zupełnie niezabezpieczony. To proszenie się o masowy wyciek danych, za który zapłacą oczywiście Polacy. Prezes UODO najwyraźniej nie widzi problemu.

Sposób przygotowań państwa polskiego do wyborów pocztowych opiera się o prowizorkę i „jakoś to będzie”

Wybory korespondencyjne razem z ministrem Jackiem Sasinem ma przeprowadzić Poczta Polska. Obecnie przygotowania do samego głosowania odbywają się w zasadzie „bez żadnego trybu”, a więc konkretnej podstawy prawnej. Właściwa ustawa utknęła w Senacie, który zmierza skorzystać z konstytucyjnego prawa do podejmowania decyzji w jej sprawie przez 30 dni. Pozostałe aspekty przygotowań wcale nie wyłamują się ze schematu pożałowania godnej prowizorki.

Niedawno informowaliśmy o tym, jak to Poczta Polska dane osobowe Polaków ma pozyskać od gmin już teraz – na podstawie jedynie decyzji wojewodów. Teraz w sprawie pojawił się nowy wątek. Jeśli sam fakt jest bulwersujący, to jak określić proponowaną przez tą instytucję formę obchodzenia się z naszymi danymi?

Dziennikarz Dziennik Gazeta Prawna, Patryk Słowik, na swoim profilu na Facebooku relacjonuje sposób, w jaki gminy mają przekazać dane osobowe operatorowi pocztowemu. Przynajmniej według wyobrażeń tej instytucji. Przedstawia jednocześnie skan dokumentu, jaki Poczta Polska rozesłała do gmin w nocy ze środy na czwartek.

Coraz rzadziej tu piszę o polityce i prawie, bo ludzie jedynie się wkurzają, przestają być dla siebie mili. Ale dziś…

Opublikowany przez Patryka Słowika Czwartek, 23 kwietnia 2020

Poczta Polska dane osobowe Polaków traktuje z niewyobrażalną wręcz nonszalancją

W grę wchodzi przekazanie siedemnastu pozycji, w tym imienia, nazwiska, adresu czy pełnego numeru PESEL. Poczta Polska dane osobowe ma dostać w formie dokumentu o formacie .txt lub .csv. To odpowiednio najprostszy rodzaj plików tekstowych bądź arkusz kalkulacyjny typowy chociażby dla programu Microsoft Excel.

Poczta oczekuje, że pliki zostaną jej przesłane w formie jednego skompresowanego archiwum nieopatrzonego nawet żadnym hasłem, za pośrednictwem platformy e-PUAP. Mają przy tym zostać opatrzone kwalifikowanym podpisem elektronicznym, podpisem elektronicznym lub podpisem zaufanym.

W tym momencie najważniejsze pytanie brzmi: co może pójść nie tak? Przede wszystkim jeśli te nijak niezabezpieczone dane trafią w niepowołane ręce, to mogą zostać użyte przeciwko obywatelom zarówno do rozmaitych szemranych praktyk marketingowych, jak i przez zwyczajnych przestępców. Na przykład poprzez zaciąganie na ich dane osobowe rozmaitej maści pożyczek, rat czy kredytów.

Nie są to niestety rozważania czysto teoretyczne. O ile samo przekazanie danych odbędzie się za pośrednictwem platformy e-PUAP, o tyle będą one później przetwarzane przez Pocztę Polską. Wystarczy że niezabezpieczone niczym archiwum wycieknie poza systemy informatyczne Poczty. W grę wchodzi oczywiście działanie celowe. Z całą pewnością nie ma gwarancji, że Poczta Polska dane osobowe obywateli jest w stanie chronić. List rozesłany po gminach budzi obawę, że jest dokładnie przeciwnie.

Prezydenci polskich miast odmawiają podporządkowaniu się żądaniu wydania danych pozbawionemu choćby podpisu

Poczta Polska powołuje się na art. 99 ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 oraz stosowną decyzję premiera. Jan Nowak, prezes Urzędu Ochrony Danych Osobowych, nie ma żadnych uwag co do treści ustawy.

Jakby tego było mało, niektórzy włodarze miast kwestionują wykonalność obowiązku przekazania danych poczcie. I tak na przykład Urząd Miasta w Gdyni uznał, że maile rozsyłane przez Pocztę Polską nie stanowią podstawy do przekazania operatorowi czegokolwiek. A to z uwagi na brak jakiegokolwiek uwierzytelnienia treści takiego żądania.

Warto zauważyć, że te kończą się słowami „z poważaniem, Poczta Polska”. O jakiejkolwiek formie podpisu elektronicznego, będącej codziennością w administracji, na Poczcie najwyraźniej nie słyszano. Także Państwowa Komisja Wyborcza potwierdza, że gminy nie są zobowiązane do wydania operatorowi pocztowemu danych osobowych ze spisu wyborców na podstawie takiego pisma. Nic dziwnego, że prezydenci zarówno Gdyni jak i Warszawy wprost odmówili podporządkowaniu się żądaniu.

Jak wiać, wybory pocztowe przeprowadzane są w sposób urągający wszelkim możliwym standardom przyjmowanym dotychczas przez organy naszego państwa. Nie trzeba chyba dodawać, że prowizoryczna formuła wyborów rażąco podkopuje także wiarygodność całego procesu wyborczego.