Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji oraz Polska Izba Informatyki i Telekomunikacji są zaniepokojone faktem zobowiązywania przedsiębiorców telekomunikacyjnych do przekazywania do GUS szczegółowych danych osobowych abonentów usług telefonicznych, a więc danych osobowych milionów polskich obywateli oraz obywateli innych państw, którzy wykupili usługi u polskiego operatora.
Po co władzom te informacje?
Rzecznik Praw Obywatelskich 4 kwietnia 2023 r. ujawnił odpowiedź Prezesa GUS jaką ten udzielił Krajowej Izbie Gospodarczej Elektroniki i Telekomunikacji informując, że obecnie nie ma możliwości zwolnienia dostawców publicznie dostępnych usług telefonicznych z cyklicznego przekazywania danych dotyczących abonentów. KIGEiT oraz PIIiT, a wraz z nimi RPO, pytają, do czego w demokratycznym państwie prawnym potrzebne są tak szczegółowe dane obywateli i innych użytkowników sieci telekomunikacyjnej. Izby te wskazują, że niepokojący jest fakt, że nie został precyzyjnie określony cel pozyskiwania przez GUS tak szerokiego zakresu danych.
Rozporządzeniem Rady Ministrów z 19 listopada 2021 r. w sprawie programu badań statystycznych statystyki publicznej na rok 2022, zobowiązano dostawców usług telekomunikacyjnych do przekazania GUS danych o abonentach tych usług według stanu na 31 grudnia 2022 r. Chodzi m.in. o tak wrażliwe dane, jak: imię, drugie imię, nazwisko, PESEL, NIP (w przypadku obywatela polskiego prowadzącego działalność gospodarczą), numer telefonu, a nawet adres miejsca zamieszkania. Przypomnijmy, że Prezes Głównego Urzędu Statystycznego to centralny organ administracji rządowej. Prezesa GUS powołuje i odwołuje Premier.
Jaki jest cel pozyskiwania szczegółowych danych o obywatelach?
Zgodnie z art. 3 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej, statystyka ta zapewnia rzetelne, obiektywne i systematyczne informowanie społeczeństwa, organów państwa i administracji publicznej oraz podmiotów gospodarki narodowej o sytuacji ekonomicznej, demograficznej, społecznej oraz środowiska naturalnego. Jak zastrzega art. 4 ust. 2 szczegółowy zakres prowadzonych badań statystycznych statystyki publicznej powinien uwzględniać celowość, niezbędność oraz społeczną ich użyteczność. Jaki więc jest cel, do czego niezbędne są organom coraz bardziej szczegółowe dane o jego obywatelach?
Szeroki zakres danych osobowych pozyskiwany jest w celu stworzenia przez GUS tzw. operatu statystycznego. Ma on być wykorzystywany przez pracowników GUS do wykonywania zadań niemających bezpośredniego związku z badaniami statystycznymi w obszarze telekomunikacji. To budzi zastrzeżenia przywołanych izb gospodarczych. W piśmie skierowanym 24 marca 2023 r. do Prezesa Rady Ministrów, będącego jednocześnie Ministrem Cyfryzacji, Rzecznik Praw Obywatelskich zapytał o uzasadnienie takiego działania, skoro zadania te mogą być z powodzeniem realizowane przez GUS bez danych osobowych abonentów, na podstawie danych, którymi urząd już dysponuje jako podmiot publiczny.
RODO nie ochroni obywatela, administracja rządowa może robić co chce
Jednak w ustawie o statystyce publicznej zawarto przepis, który pozwala na bardzo dużo, w zakresie przetwarzania danych osobowych. Chodzi o art. 35h ust. 1, który stanowi, że do przetwarzania danych osobowych w celu wykonywania zadań określonych w ustawie przez służby statystyki publicznej nie stosuje się przepisów art. 15, art. 16, art. 18 i art. 21 rozporządzenia 2016/679 – inaczej zwanego RODO.
A co mówią wskazane przepisy unijnego rozporządzenia o ochronie danych osobowych? Art. 15 daje osobie, której dane dotyczą, uprawnienie do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe, które jej dotyczące, a jeśli tak, to jest ona uprawniona do uzyskania dostępu do nich oraz informacji takich jak: cele przetwarzania; informacje o odbiorcach, którym dane zostały lub zostaną ujawnione; planowany okres przechowywania danych osobowych, a gdy nie jest możliwe jego określenie – kryteria ustalania tego okresu; informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych; a jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle.
Art. 16 RODO, którego działanie w omawianym zakresie wyłącza wspomniany przepis art. 35h, daje prawo żądania sprostowania przetwarzanych danych osobowych, jeśli są nieprawidłowe, a także ich uzupełnienia. Derogowany art. 18 RODO umożliwia wystąpienie o ograniczenie przetwarzania w sytuacjach np. gdy: osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych, a przede wszystkim, gdy osoba taka wniosła sprzeciw na mocy art. 21 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. Przywołany art. 35h ustawy o statystyce publicznej odbiera więc obywatelowi wszystkie te uprawnienia. Nawet dowiedzenia się od GUS, czy ten przetwarza jego dane.
Podsumowanie
Czy takie zasady powinny obowiązywać w demokratycznym państwie prawa? Ustawą z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw ustanowiono, że kontrola operacyjna może być prowadzona niejawnie i polegać na uzyskiwaniu i utrwalaniu: treści rozmów; obrazu lub dźwięku osób z wszelkich miejsc, także prywatnych; treści korespondencji; danych zawartych w informatycznych nośnikach danych; uzyskiwaniu dostępu i kontroli zawartości przesyłek. Nie bez przyczyny nowelizację tę nazwano ustawą inwigilacyjną.
W Polsce od kilku lat działa już STIR – System Teleinformatycznej Izby Rozliczeniowej, gromadzący informacje na temat rachunków rozliczeniowych przedsiębiorstw, Split payment – kontrolujący dokonywane przez firmy płatności, czy MDR (Mandatory Disclosure Rules)– nadzorujący stosowanie schematów podatkowych. Od 1 lipca 2022 r. skarbówka może zaglądać na prywatne rachunki bankowe podatników bez konieczności wcześniejszego przedstawienia zarzutów podejrzenia o popełnienie przestępstw lub wykroczeń karnych, czy skarbowych.
W omawianej sprawie udostępniania danych osobowych abonentów usług telefonicznych GUS przez firmy telekomunikacyjne RPO zwrócił się do Premiera o wyjaśnienia. Szczególnie o zasadność rozszerzenia katalogu danych osobowych, o którym mowa w art. 35b ust. 1 ustawy o statystyce, udostępnianych już służbom statystyki publicznej.
Biorąc pod uwagę cały szereg nowych narzędzi umożliwiających pozyskiwanie, zbieranie i przetwarzanie rozmaitych danych o obywatelach, ich życiu, wykonywanych czynnościach, wkraczających często w sferę prywatności, należy podzielić zaniepokojenie zarówno KIGEiT oraz PIIiT, jak również Rzecznika Praw Obywatelskich. Trudno bowiem znaleźć uzasadnienie dla zbierania przez Główny Urząd Statystyczny danych, które będą przetwarzane w celach niezwiązanych z prowadzeniem statystyki. Czy zatem GUS otrzymał jakieś „tajne” zadania, spoza swojej specjalizacji, które będzie realizował w ukryciu, przy użyciu pozyskanych danych? O tym na razie nie wiadomo.
Autor: radca prawny Robert Nogacki, partner zarządzający Kancelarią Prawną Skarbiec specjalizującą się w doradztwie prawnym, podatkowym oraz strategicznym dla przedsiębiorców
