Publicystyka - ngo.pl

W mediach między wierszami wyczuwalna jest narracja „rodozy”, oparta na przeświadczeniu, że PESEL jest wyjątkową daną osobową, połączonym z patrzeniem na każdą niemal sytuację wyłącznie przez pryzmat „który przepis RODO podpiąć”.

Przywoływane są przy tym opinie znanych ekspertów ochrony danych osobowych, które najlepiej podsumowuje post^[1] dra Pawła Litwińskiego:

(…)„Partii politycznej mogą być przekazywane środki finansowe jedynie przez obywateli polskich mających stałe miejsce zamieszkania na terenie Rzeczypospolitej Polskiej, z zastrzeżeniem przepisów art. 24 ust. 4 i 7, art. 28 ust. 1 oraz przepisów ustaw dotyczących wyborów do Sejmu Rzeczypospolitej Polskiej i do Senatu Rzeczypospolitej Polskiej oraz wyborów do Parlamentu Europejskiego w zakresie dotacji podmiotowej”.

(…)

Ktoś więc pewnie doszedł do wniosku, że PESEL umożliwia weryfikacje tego warunku – problem w tym, że nie pozwoli, bo numery PESEL mogą mieć także osoby nie będące obywatelami polskimi (a już tym bardziej PESEL nic nie mówi o miejscu zamieszkania).

Szukałem więc dalej – i trafiłem na przepisy dotyczące prowadzenia i bieżącego aktualizowania rejestru wpłat przez partie polityczne. W rejestrze umieszcza się:

1) imię, nazwisko, imię ojca oraz miejsce zamieszkania osoby dokonującej wpłaty;

2) datę wpłaty;

3) wysokość wpłaty.

Stąd wydaje mi się, że ci, co proszą o imię ojca, postępują właściwie – ale skąd ten PESEL? Nie mam pojęcia. Wiem za to, że jego zbieranie w kontekście wpłat dla partii politycznych jest zbieraniem nadmiarowych danych, a więc naruszeniem zasady minimalizacji danych osobowych – bo skoro przepisy nie nakazują zbierania numeru PESEL, a ten numer nie jest potrzebny do realizacji celu przetwarzania danych, to naruszenie wydaje się oczywiste. (…) moim zdaniem można tutaj mówić o naruszeniu przepisów RODO, ze wszelkimi tego konsekwencjami.

Wydaje się, że sytuacja nie jest jednak tak czarno-biała, jak jest przedstawiana.

Przyjęto niewłaściwy trop: PESEL nie jest daną stosowaną jedynie do ustalenia obywatelstwa (a przynajmniej nie sam w sobie), lecz także do ustalenia tożsamości! Owszem, PESEL jest nadawany obywatelom, ale słusznie dostrzeżono, że nie tylko im. Ważniejsza jest podstawowa właściwość PESELu – jego unikalność.

Wróćmy do prawa. Przepis, na który powołuje się dr Litwiński – art. 25 ust. 9 –  wprowadzono do ustawy o partiach politycznych (uopp)^[2] tzw. ustawą antykorupcyjną Kukiza^[3]. W uzasadnieniu tej zmiany ciężko jednak szukać dążenia do ograniczenia przetwarzania danych, przeciwnie – jasne jest, że intencją projektodawców było dostarczenie jak najwięcej danych obywatelom. Można więc przyjąć zupełnie przeciwną perspektywę: do danych, które już partie przetwarzały w celu ustalenia, czy mogą przyjąć darowiznę, dodatkowo wymagane są informacje o miejscowości zamieszkania i imieniu ojca. Wcześniej wystarczała deklaracja obywatelstwa polskiego i stałego zamieszkania na terytorium RP, a te dane nie wystarczyłyby do realizacji wymogu ujawniania w rejestrze danych osoby, która przekroczyła próg^[4] i limit wpłat^[5].

W ustawie mamy więc rozłączne cele i w konsekwencji podstawy i zakresy przetwarzania: przyjęcie wpłaty a ujawnienie łącznych wpłat w rejestrze. Jeśliby przyjąć, że zestaw danych wymaganych ujawnieniem w rejestrze (tj. z art. 25) jest kompletny, partia nie mogłaby przetwarzać numeru konta ani innych informacji pochodzących z transakcji. Art. 25 można interpretować literalnie – określa jedynie format rejestru i w duchu nowelizacji jako pozwalający opinii publicznej poznać, kto płaci wysokie kwoty na rzecz partii.

Zauważmy, że od obecności danych potrzebnych do ujawnienia w rejestrze ustawodawca nie warunkuje poprawności złożonych sprawozdań czy informacji. Na marginesie uważam, że takie uwarunkowanie byłoby ze wszech miar pożądane, a brak ujawnienia w rejestrze winien stanowić podstawę do sankcji przewidzianych już wcześniej w uopp^[6], a nie określonych osobnym, notabene wadliwym^[7], przepisem.

Spójrzmy na taki hipotetyczny przypadek. Przypuśćmy, że partia dostaje wpłaty na 1000 zł i 9500 zł z różnych kont w odstępie kilku miesięcy. Obie pochodzą od Jana Kowalskiego (syna Stanisława), który deklaruje zamieszkanie w Warszawie. Partia jednak nie posiada innych danych i zakłada, że ma do czynienia z tą samą osobą: ujawnia jej dane w rejestrze wpłat na stronie internetowej ponieważ przekroczono próg, powyżej którego partia zobowiązana jest do wykazania wpłat w rejestrze prowadzonym on-line.

Jakie są szanse, że dochodzi do zbieżności danych? Stosunkowo duże w przypadku głównych partii i głównych miast.

Co gdyby Jan Kowalski, czy to przy ubieganiu się o zatrudnienie, czy już w pracy w urzędzie obecnie kierowanym przez polityczną konkurencję, spotkał się ze szklanym sufitem? Dopiero później zrozumie, co się stało: jego dane znalazły się w rejestrze darczyńców opozycyjnej partii. Poczułby się zapewne pokrzywdzony przez partię, której przelał względnie małe środki, nieprzekraczające kwoty wymagającej upublicznienia w rejestrze. Nie da się również ukryć, że wykazanie takiej osoby i jej rzekomych łącznych wpłat, de facto bezpodstawne, może być odbierane jako ujawnianie preferencji politycznych (nawet domniemanych).

Partia nie może skontaktować się z nadawcą przelewu, ponieważ nawet jeśli ma dostęp do jego danych kontaktowych, przyjmując art. 25 ust. 9 uopp jako kompletny zestaw przepisów, nie ma prawa przetwarzać danych wymienionych (jest tylko miejsce, tj. miejscowość^[8], nie adres). Co więcej, gdyby pytała tylko wtedy, gdy istnieje potrzeba, mogłaby pośrednio ujawnić, że istnieje inny Jan Kowalski, który wpłaca pieniądze na partię. Nawet jeśli uznalibyśmy, że przetwarzanie adresu jest dozwolone, partia nie może bezwiednie przyjąć, że dane przekazane przez bank są poprawne, ponieważ mogą dotyczyć adresu zameldowania bądź korespondencyjnego, a niekoniecznie zamieszkania.

Mało prawdopodobne jest również, że partia otrzyma odpowiedź w ciągu 2 tygodni, tj. w czasie, w którym ma obowiązek ujawnienia wpłaty wraz z danymi. W związku z tym musiałaby już od pierwszej wpłaty próbować zbierać dane od wszystkich darczyńców. Jeśli jednak kolejna wpłata spowoduje przekroczenie progu przez osoby o zbieżnych danych, konieczne byłoby zwrócenie wszystkich darowizn. Na marginesie zauważmy, że podanie danych nie jest też warunkowane żadnym przymusem czy odmową realizacji usługi wobec darczyńcy, który odmówiłby podania PESEL-u. Nawet jeśli partia ostatecznie nie zdecydowała się przyjąć wpłaty, to ciężko określić to jako negatywny skutek niepodania danych dla osoby, której dane dotyczą.

Innym przypadkiem jest jeszcze przekroczenie limitu wpłat. Tutaj już bez szczególnej dedukcji – zbieżne dane na łączną kwotę przekraczającą limity wywołują konieczność zwrotu nadwyżki.

W moim odczuciu partia nie naruszyła zasady minimalizacji, pytając o PESEL podczas przyjmowania wpłaty na swoje konto, a przetwarzanie jest niezbędne do realizacji zasady jawności finansowania partii politycznych, wyrażonej art. 11 ust. 2 Konstytucji RP i weryfikacji podstawy do przyjęcia środków pieniężnych. Przetwarzanie zaś może odbywać się w interesie osoby, której PESEL dotyczy, albowiem ogranicza ryzyko bezpodstawnego ujawnienia preferencji politycznych, które konieczne jest do realizacji wolności politycznej chronionej konstytucją^[9], Powszechną Deklaracją Praw Człowieka^[10] i Kartą Praw Podstawowych UE^[11], jak również mityguje przetwarzanie danych nieprawidłowych.

PS. Czy coś jest rażącego w tym, o jakie konkretnie dane poprosiło PiS? Tak, brak informacji o konieczności podania imienia ojca! Oznacza to bowiem, że partia nawet nie zamierza właściwie realizować obowiązku z art. 25 uopp.

PPS. Uprzedzając pytanie dlaczego inne partie nie „żądają” podania PESELu, odpowiadam… no cóż… analiza ryzyka. ;)

Sylwester Oracz jest ekspertem Fundacji Odpowiedzialna Polityka z zakresu nowych technologii w wyborach i kontroli finansowania polityki.

^{[1] LinkedIn, 31.08.2024: https://www.linkedin.com/posts/pawe%C5%82-litwi%C5%84ski_rodo-gdpr-autopromocja-activity-7235564794412494848-Bu02}

^{[2] Ustawy z dnia 27 czerwca 1997 r. o partiach politycznych (Dz.U.2023.0.1215 t.j.) – uopp}

^{[3] Ustawa z dnia 14 października 2021 r. o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw (Dz.U. 2021 poz. 2054)}

^{[4] Art. 25 ust. 10 uopp}

^{[5] Art. 25 ust. 4, art. 36a ust. 1-2 uopp}

^{[6] Por. art. 34a-34c i 38a-39. Oczywiście jest to wniosek}_ ^{de lege ferenda}_

^{[7] Zob. art. 27b i 27c upp. Porównaj też z Pismem PKW do Marszałka Sejmu, 8 listopada 2022: https://pkw.gov.pl/aktualnosci/informacje/pismo-panstwowej-komisji-wyborczej-do-marszalka-sejmu-w-sprawie-przepisow-regulujacych-nakladanie-ka}

^{[8] Przypis w załączniku do Rozporządzenia Ministra Finansów z dnia 23 maja 2022 r. (Dz. Ust. 2022 poz. 1120)}

^{[9] Art. 11 ust. 1 Konstytucji RP}

^{[10] Art. 2 i 19-21 Powszechnej Deklaracji Praw Człowieka}

^{[11] Art. 12 i 21 Karty Praw Podstawowych Unii Europejskiej}