Joanna Pietrzak: Czy Poczta Polska jest gotowa na publiczną usługę hybrydową?

Nie sposób nie dostrzec, że na lekkość Poczty Polskiej w podejściu do tematu ochrony danych osobowych mają wpływ dotychczasowe działania prezesa UODO, a właściwie ich brak.

Publikacja: 10.10.2024 05:15

Joanna Pietrzak: Czy Poczta Polska jest gotowa na publiczną usługę hybrydową?

Foto: Adobe Stock

Prezes Urzędu Ochrony Danych Osobowych jest zaniepokojony skalą naruszeń ochrony danych osobowych związanych z gubieniem przesyłek nadanych przez administratorów danych. Dlatego zwrócił się do prezesa Poczty Polskiej z prośbą o podjęcie pilnych działań mających na celu wypracowanie rozwiązań w zakresie ograniczenia tego typu zdarzeń i wzmocnienie współpracy z nadawcami takiej korespondencji – czytamy na stronie www.uodo.gov.pl.

Prezes UODO zwrócił uwagę, że liczne przypadki utraty przesyłek lub doręczanie ich do niewłaściwych osób stanowią poważny problem dla administratorów danych. Muszą oni zgłaszać organowi nadzorczemu naruszenia ochrony danych osobowych z uwagi na to, że w przesyłkach są dane osobowe – w wielu przypadkach są to dane szczególnej kategorii.

Doręczenia hybrydowe. Co to takiego?

Brzmi niepokojąco, Poczta Polska gubi przesyłki, także te rejestrowane. Skala problemu jest trudna do zbagatelizowania, o czym świadczy m. in. wystąpienie prezesa UODO. Tymczasem ustawa z 18 grudnia 2020 r. o doręczeniach elektronicznych stawia przed operatorem publicznym nowe wyzwania. Usługa hybrydowa, bo o niej mowa, łączy komunikację elektroniczną z tradycyjnym doręczeniem. W uproszczeniu organ administracji nadaje korespondencję w formie elektronicznej, ta jest drukowana i kopertowana w jednej z placówek pocztowych na terytorium kraju (modelowo – w placówce pocztowej adresata), a następnie doręczana w tradycyjnej, papierowej formie odbiorcy wykluczonemu cyfrowo. Poczta Polska ma monopol na świadczenie usługi doręczenia hybrydowego.

Czytaj więcej

Obowiązkowe e-Doręczenia jeszcze później. Ministerstwo podało nowy termin

Poczta i RODO. Jest dużo pytań o ochronę danych osobowych

Czy operator publiczny jest gotów sprostać nowym wyzwaniom? Czy dysponuje odpowiednim zapleczem technicznym niezbędnym do wydruku i kopertowania korespondencji nadanej w postaci elektronicznej? W jakim zakresie wdrożono środki techniczne i organizacyjne gwarantujące zachowanie tajemnicy pocztowej na każdym etapie zautomatyzowanego przekształcania dokumentu elektronicznego w tradycyjną przesyłkę listową? Czy Poczta Polska, borykająca się, a może raczej – bagatelizująca od lat problem zaginionych przesyłek, dysponuje wystarczającym potencjałem i kompetencjami w zakresie ochrony danych osobowych, aby gwarantować realizację usług doręczenia hybrydowego z poszanowaniem RODO? I wreszcie, kiedy prezes UODO dostrzeże możliwość, a nawet konieczność stosowania wobec Poczty Polskiej instrumentów dyscyplinujących przewidzianych w RODO?

Nie sposób nie dostrzec, że na swego rodzaju lekkość Poczty w podejściu do tematu ochrony danych osobowych mają wpływ dotychczasowe działania prezesa UODO, a właściwie ich brak. Organ przyznaje, że dotychczas kierowane do Poczty Polskiej zalecenia nie przyniosły oczekiwanych rezultatów. W latach 2019–2020 organ nadzorczy prowadził z Pocztą Polską korespondencję i wówczas operator pocztowy zobowiązał się m.in. do przeprowadzenia szkoleń pracowników z zakresu ochrony danych osobowych. Dziś prezes mówi „sprawdzam”, ale w dyskursie z Pocztą ponownie używa środków, o których nieefektywności przekonani są wszyscy, którzy z usług Poczty Polskiej są zmuszeni korzystać. Zalecenia, które organ nadzoru kieruje do operatora publicznego jako środek niewiążący prawnie, są de facto pozbawione znaczenia. Zwłaszcza wówczas, gdy w konsekwencji ich niewykonania organ nie sięga po dotkliwsze instrumenty.

W procesie doręczenia przesyłek zawierających dane osobowe Poczta Polska wypełnia definicję podmiotu przetwarzającego. Nadawca przesyłki jako administrator danych powierza poczcie dane zawarte w korespondencji w celu wykonania usługi doręczenia. Ostrzeżenia, upomnienia, prawo organu nadzorczego do nakazania określonego działania adresowane mogą być na podstawie art. 58 RODO w tym samym zakresie do administratora, jak i podmiotu przetwarzającego. Co więcej, prezes UODO ma prawo nałożyć na podmiot przetwarzający karę pieniężną za naruszenie przepisów RODO. Innymi słowy, w świetle RODO podmiot przetwarzający ponosi odrębną od administratora odpowiedzialność za przetwarzanie danych osobowych, a za naruszenia w tym zakresie może zostać surowo ukarany. Organ nadzorczy dysponuje zatem pełną paletą środków, od dyscyplinujących po represyjne, które może i powinien stosować wobec Poczty Polskiej.

Co więc stoi temu na przeszkodzie? Abstrahując od kontekstu politycznego, widać wyraźną niechęć urzędników UODO do stosowania definicji, a tym samym mechanizmów RODO w kontekście przetwarzania danych osobowych z udziałem Poczty Polskiej.

Dane w przesyłce. Co z bezpieczeństwem?

Zgodnie ze stanowiskiem UODO z lipca 2021 r. (w świetle niedawnego wystąpienia prezesa przyjąć należy, że pozostaje ono aktualne) Poczta Polska nie jest podmiotem przetwarzającym względem danych osobowych zawartych w przesyłce. „(…) Tylko nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce, a tym samym może ocenić, jakim ryzykiem dla praw i wolności osoby fizycznej skutkuje utrata przesyłki”. Podążając tym tokiem rozumowania, wiedza o charakterze danych determinuje uznanie podmiotu za procesora. Jeżeli tej wiedzy nie ma, nie jest podmiotem przetwarzającym. Nawet życzliwa polemika z prezentowanym stanowiskiem musi prowadzić do wniosku, że już samo nadanie przesyłki jako rejestrowanej (za dodatkową, niemałą opłatą) powinno być dla operatora sygnałem, że doręczając tego rodzaju korespondencję, należy zastosować wyższy niż przeciętny poziom staranności (także, a może przede wszystkim, w odniesieniu do bezpieczeństwa danych, które zawiera).

Status Poczty Polskiej wymyka się spod oceny urzędnikom UODO. Twierdzą, że jest ona administratorem danych zawartych na kopercie, ale co z danymi w kopercie? Przecież to o ich bezpieczeństwo chodzi.

Przyjmując (słusznie), że nadawca korespondencji pozostaje administratorem danych w niej zawartych, nie sposób nie dostrzec, że nie ma on żadnej kontroli nad procesem doręczenia. Nie ma tym samym wpływu na bezpieczeństwo danych zawartych w przesyłce będącej w doręczeniu. Kto w tym czasie pozostaje odpowiedzialny za ochronę przesyłanych danych? Jestem przekonana, że odpowiedź zna prezes UODO.

Bez oręża, które jak na razie prezes UODO trzyma wobec Poczty Polskiej w odwodzie, nie uda się stworzyć bezpiecznych warunków dla przetwarzania danych osobowych w ramach usługi doręczenia hybrydowego

Joanna Pietrzak

Naiwnością jest przy tym twierdzenie, że obrót pocztowy na dużą skalę należy zabezpieczyć odpowiednio wysokimi karami umownymi, które pełniłyby funkcję prewencyjną. Nie można bowiem zapominać, że Poczta jest monopolistą na rynku. Jeżeli godzi się na odstępstwa od adhezyjnego wzorca umowy, to mają one jedynie redakcyjny charakter. Z całą pewnością publiczny operator pocztowy nie będzie negocjował wysokości kar, które pozostają symboliczne i – jak widać – nie motywują do dokładniejszego przyjrzenia się zjawisku, o próbie zaradzenia problemowi nie wspominając.

Bez oręża, które jak na razie prezes UODO trzyma wobec Poczty Polskiej w odwodzie, nie uda się stworzyć bezpiecznych warunków dla przetwarzania danych osobowych w ramach usługi doręczenia hybrydowego. Dotychczas wobec publicznego operatora nie orzeczono żadnej sankcji za naruszenie przepisów o ochronie danych osobowych.

Czytaj więcej

Urząd Ochrony Danych Osobowych chce podwoić liczbę kontroli

E-doręczenia przesunięte na 1 stycznia 2025 r. Zostało mało czasu

Pytany o liczbę postępowań prowadzonych wobec Poczty Polskiej prezes UODO wezwał mnie do wykazania interesu publicznego „w uzyskaniu informacji publicznej przetworzonej”. Myślę, że w interesie nas wszystkich, w interesie wykluczonego cyfrowo „Kowalskiego”, którego korespondencję Poczta Polska już nie tylko doręczy, ale także wydrukuje, jest zbadanie, czy w tak newralgicznym obszarze, jakim jest bezpieczeństwo danych osobowych, operator publiczny jest w stanie sprostać nowym obowiązkom. Czasu na diagnozę i zastosowanie ewentualnej kuracji jest niewiele, mimo że obowiązek stosowania doręczeń elektronicznych został po raz kolejny przesunięty, tym razem ostatecznie, na 1 stycznia 2025 r.

Autorka jest radcą prawnym, IOD w Biurze KRRiT

Prezes Urzędu Ochrony Danych Osobowych jest zaniepokojony skalą naruszeń ochrony danych osobowych związanych z gubieniem przesyłek nadanych przez administratorów danych. Dlatego zwrócił się do prezesa Poczty Polskiej z prośbą o podjęcie pilnych działań mających na celu wypracowanie rozwiązań w zakresie ograniczenia tego typu zdarzeń i wzmocnienie współpracy z nadawcami takiej korespondencji – czytamy na stronie www.uodo.gov.pl.

Prezes UODO zwrócił uwagę, że liczne przypadki utraty przesyłek lub doręczanie ich do niewłaściwych osób stanowią poważny problem dla administratorów danych. Muszą oni zgłaszać organowi nadzorczemu naruszenia ochrony danych osobowych z uwagi na to, że w przesyłkach są dane osobowe – w wielu przypadkach są to dane szczególnej kategorii.

Pozostało 91% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Opinie Prawne
Maciej Gawroński: Nie mnóżmy strażników sztucznej inteligencji
Materiał Promocyjny
Z kartą Simplicity można zyskać nawet 1100 zł, w tym do 500 zł już przed świętami
Opinie Prawne
Zabójstwo drogowe. Legislacyjny bubel roku w wykonaniu PiS
Opinie Prawne
Tomasz Pietryga: W sprawie Jolanty Brzeskiej państwo poniosło porażkę na całej linii
Opinie Prawne
Tomasz Pietryga: Spóźniona o kilka lat ustawa frankowa dziś może jedynie zaszkodzić
Materiał Promocyjny
Strategia T-Mobile Polska zakładająca budowę sieci o najlepszej jakości przynosi efekty
Opinie Prawne
Tomasz Pietryga: Weryfikacja sędziów nawet 24 godziny na dobę może nie pomóc
Materiał Promocyjny
Polscy przedsiębiorcy coraz częściej ubezpieczeni