Joanna Pietrzak: Czy Poczta Polska jest gotowa na publiczną usługę hybrydową?

Nie sposób nie dostrzec, że na lekkość Poczty Polskiej w podejściu do tematu ochrony danych osobowych mają wpływ dotychczasowe działania prezesa UODO, a właściwie ich brak.

Publikacja: 10.10.2024 05:15

Foto: Adobe Stock

Joanna Pietrzak

Prezes Urzędu Ochrony Danych Osobowych jest zaniepokojony skalą naruszeń ochrony danych osobowych związanych z gubieniem przesyłek nadanych przez administratorów danych. Dlatego zwrócił się do prezesa Poczty Polskiej z prośbą o podjęcie pilnych działań mających na celu wypracowanie rozwiązań w zakresie ograniczenia tego typu zdarzeń i wzmocnienie współpracy z nadawcami takiej korespondencji – czytamy na stronie www.uodo.gov.pl.

Prezes UODO zwrócił uwagę, że liczne przypadki utraty przesyłek lub doręczanie ich do niewłaściwych osób stanowią poważny problem dla administratorów danych. Muszą oni zgłaszać organowi nadzorczemu naruszenia ochrony danych osobowych z uwagi na to, że w przesyłkach są dane osobowe – w wielu przypadkach są to dane szczególnej kategorii.

Doręczenia hybrydowe. Co to takiego?

Brzmi niepokojąco, Poczta Polska gubi przesyłki, także te rejestrowane. Skala problemu jest trudna do zbagatelizowania, o czym świadczy m. in. wystąpienie prezesa UODO. Tymczasem ustawa z 18 grudnia 2020 r. o doręczeniach elektronicznych stawia przed operatorem publicznym nowe wyzwania. Usługa hybrydowa, bo o niej mowa, łączy komunikację elektroniczną z tradycyjnym doręczeniem. W uproszczeniu organ administracji nadaje korespondencję w formie elektronicznej, ta jest drukowana i kopertowana w jednej z placówek pocztowych na terytorium kraju (modelowo – w placówce pocztowej adresata), a następnie doręczana w tradycyjnej, papierowej formie odbiorcy wykluczonemu cyfrowo. Poczta Polska ma monopol na świadczenie usługi doręczenia hybrydowego.

Czytaj więcej

W sądzie i w urzędzie

Obowiązkowe e-Doręczenia jeszcze później. Ministerstwo podało nowy termin

Termin wdrożenia obowiązku stosowania e-Doręczeń zostanie przesunięty na 1 stycznia 2025 r. - poinformowało w piątek Ministerstwo Cyfryzacji.

Poczta i RODO. Jest dużo pytań o ochronę danych osobowych

Czy operator publiczny jest gotów sprostać nowym wyzwaniom? Czy dysponuje odpowiednim zapleczem technicznym niezbędnym do wydruku i kopertowania korespondencji nadanej w postaci elektronicznej? W jakim zakresie wdrożono środki techniczne i organizacyjne gwarantujące zachowanie tajemnicy pocztowej na każdym etapie zautomatyzowanego przekształcania dokumentu elektronicznego w tradycyjną przesyłkę listową? Czy Poczta Polska, borykająca się, a może raczej – bagatelizująca od lat problem zaginionych przesyłek, dysponuje wystarczającym potencjałem i kompetencjami w zakresie ochrony danych osobowych, aby gwarantować realizację usług doręczenia hybrydowego z poszanowaniem RODO? I wreszcie, kiedy prezes UODO dostrzeże możliwość, a nawet konieczność stosowania wobec Poczty Polskiej instrumentów dyscyplinujących przewidzianych w RODO?

Nie sposób nie dostrzec, że na swego rodzaju lekkość Poczty w podejściu do tematu ochrony danych osobowych mają wpływ dotychczasowe działania prezesa UODO, a właściwie ich brak. Organ przyznaje, że dotychczas kierowane do Poczty Polskiej zalecenia nie przyniosły oczekiwanych rezultatów. W latach 2019–2020 organ nadzorczy prowadził z Pocztą Polską korespondencję i wówczas operator pocztowy zobowiązał się m.in. do przeprowadzenia szkoleń pracowników z zakresu ochrony danych osobowych. Dziś prezes mówi „sprawdzam”, ale w dyskursie z Pocztą ponownie używa środków, o których nieefektywności przekonani są wszyscy, którzy z usług Poczty Polskiej są zmuszeni korzystać. Zalecenia, które organ nadzoru kieruje do operatora publicznego jako środek niewiążący prawnie, są de facto pozbawione znaczenia. Zwłaszcza wówczas, gdy w konsekwencji ich niewykonania organ nie sięga po dotkliwsze instrumenty.

W procesie doręczenia przesyłek zawierających dane osobowe Poczta Polska wypełnia definicję podmiotu przetwarzającego. Nadawca przesyłki jako administrator danych powierza poczcie dane zawarte w korespondencji w celu wykonania usługi doręczenia. Ostrzeżenia, upomnienia, prawo organu nadzorczego do nakazania określonego działania adresowane mogą być na podstawie art. 58 RODO w tym samym zakresie do administratora, jak i podmiotu przetwarzającego. Co więcej, prezes UODO ma prawo nałożyć na podmiot przetwarzający karę pieniężną za naruszenie przepisów RODO. Innymi słowy, w świetle RODO podmiot przetwarzający ponosi odrębną od administratora odpowiedzialność za przetwarzanie danych osobowych, a za naruszenia w tym zakresie może zostać surowo ukarany. Organ nadzorczy dysponuje zatem pełną paletą środków, od dyscyplinujących po represyjne, które może i powinien stosować wobec Poczty Polskiej.

Co więc stoi temu na przeszkodzie? Abstrahując od kontekstu politycznego, widać wyraźną niechęć urzędników UODO do stosowania definicji, a tym samym mechanizmów RODO w kontekście przetwarzania danych osobowych z udziałem Poczty Polskiej.

Dane w przesyłce. Co z bezpieczeństwem?

Zgodnie ze stanowiskiem UODO z lipca 2021 r. (w świetle niedawnego wystąpienia prezesa przyjąć należy, że pozostaje ono aktualne) Poczta Polska nie jest podmiotem przetwarzającym względem danych osobowych zawartych w przesyłce. „(…) Tylko nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce, a tym samym może ocenić, jakim ryzykiem dla praw i wolności osoby fizycznej skutkuje utrata przesyłki”. Podążając tym tokiem rozumowania, wiedza o charakterze danych determinuje uznanie podmiotu za procesora. Jeżeli tej wiedzy nie ma, nie jest podmiotem przetwarzającym. Nawet życzliwa polemika z prezentowanym stanowiskiem musi prowadzić do wniosku, że już samo nadanie przesyłki jako rejestrowanej (za dodatkową, niemałą opłatą) powinno być dla operatora sygnałem, że doręczając tego rodzaju korespondencję, należy zastosować wyższy niż przeciętny poziom staranności (także, a może przede wszystkim, w odniesieniu do bezpieczeństwa danych, które zawiera).

Status Poczty Polskiej wymyka się spod oceny urzędnikom UODO. Twierdzą, że jest ona administratorem danych zawartych na kopercie, ale co z danymi w kopercie? Przecież to o ich bezpieczeństwo chodzi.

Przyjmując (słusznie), że nadawca korespondencji pozostaje administratorem danych w niej zawartych, nie sposób nie dostrzec, że nie ma on żadnej kontroli nad procesem doręczenia. Nie ma tym samym wpływu na bezpieczeństwo danych zawartych w przesyłce będącej w doręczeniu. Kto w tym czasie pozostaje odpowiedzialny za ochronę przesyłanych danych? Jestem przekonana, że odpowiedź zna prezes UODO.

Bez oręża, które jak na razie prezes UODO trzyma wobec Poczty Polskiej w odwodzie, nie uda się stworzyć bezpiecznych warunków dla przetwarzania danych osobowych w ramach usługi doręczenia hybrydowego

Joanna Pietrzak

Naiwnością jest przy tym twierdzenie, że obrót pocztowy na dużą skalę należy zabezpieczyć odpowiednio wysokimi karami umownymi, które pełniłyby funkcję prewencyjną. Nie można bowiem zapominać, że Poczta jest monopolistą na rynku. Jeżeli godzi się na odstępstwa od adhezyjnego wzorca umowy, to mają one jedynie redakcyjny charakter. Z całą pewnością publiczny operator pocztowy nie będzie negocjował wysokości kar, które pozostają symboliczne i – jak widać – nie motywują do dokładniejszego przyjrzenia się zjawisku, o próbie zaradzenia problemowi nie wspominając.

Bez oręża, które jak na razie prezes UODO trzyma wobec Poczty Polskiej w odwodzie, nie uda się stworzyć bezpiecznych warunków dla przetwarzania danych osobowych w ramach usługi doręczenia hybrydowego. Dotychczas wobec publicznego operatora nie orzeczono żadnej sankcji za naruszenie przepisów o ochronie danych osobowych.

Czytaj więcej

Warszawa, 08.07.2024. Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski podczas konferencji

Dane osobowe

Urząd Ochrony Danych Osobowych chce podwoić liczbę kontroli

Urząd Ochrony Danych Osobowych przeprowadził w 2023 r. 33 kontrole, a w tym roku było ich już 58. Z kolei kary nałożone 2023 r. wyniosły łącznie 1,23 mln zł, podczas gdy tylko jedna kara z tego roku - nałożona na Morele.net - to aż 3,8 mln zł.

E-doręczenia przesunięte na 1 stycznia 2025 r. Zostało mało czasu

Pytany o liczbę postępowań prowadzonych wobec Poczty Polskiej prezes UODO wezwał mnie do wykazania interesu publicznego „w uzyskaniu informacji publicznej przetworzonej”. Myślę, że w interesie nas wszystkich, w interesie wykluczonego cyfrowo „Kowalskiego”, którego korespondencję Poczta Polska już nie tylko doręczy, ale także wydrukuje, jest zbadanie, czy w tak newralgicznym obszarze, jakim jest bezpieczeństwo danych osobowych, operator publiczny jest w stanie sprostać nowym obowiązkom. Czasu na diagnozę i zastosowanie ewentualnej kuracji jest niewiele, mimo że obowiązek stosowania doręczeń elektronicznych został po raz kolejny przesunięty, tym razem ostatecznie, na 1 stycznia 2025 r.

Autorka jest radcą prawnym, IOD w Biurze KRRiT

Polityka Rząd Ministerstwo Cyfryzacji Cyfryzacja Firmy Dane Osobowe Poczta Polska RODO e-doręczenia

Pozostało 91% artykułu

Minister rodziny, pracy i polityki społecznej Agnieszka Dziemianowicz-Bąk (L) oraz posłanki Lewicy A

Opinie Prawne

Tomasz Pietryga: Czy wolne w Wigilię ma sens? Biznes wcale nie musi na tym stracić

Na wprowadzenie wolnej Wigilii w tym roku jest już za późno. Posłowie zbyt długo zwlekali z inicjatywą, a forsowanie jej na ostatnią chwilę może przynieść więcej szkód niż korzyści. Ale nie oznacza to jednak, że o wolnej Wigilii nie należy rozmawiać, szczególnie że lata 90. już dawno szczęśliwie za nami, a dziś liczy się tzw. work-life balance.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Opinie Prawne

Robert Gwiazdowski: Awantura o składki. Dlaczego Janusz zapłaci, a Johanes już nie?

Jak taki Janusz założy spółkę Kawa Latte sp. z o.o., w której będzie jedynym wspólnikiem, to zapłaci składkę zdrowotną. A jak jakiś Johanes ma w Berlinie spółkę Latte-Kaffee GmbH i ona założy spółkę w Warszawie, to nie zapłaci składki zdrowotnej. Dlaczego z tego powodu żadnego wzmożenia wśród naukowców i działaczy nie ma?

Opinie Prawne

Łukasz Guza: Trzy wnioski po rządowych zmianach składki zdrowotnej

Najwyższy czas podyskutować szerzej o zasadach oskładkowania zarobków. Problem w tym, że dialogu nie ma.

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wiceminister s

Opinie Prawne

Tomasz Pietryga: Rząd wypuszcza więźniów. Czy to rozsądne?

Za liberalizacją polityki karnej powinny iść działania, które zminimalizowałyby ryzyko powrotu skazanych na przestępczą drogę. Dziś nie idzie to w parze.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Szczecin, 16.10.2024. Jeden z podejrzanych w sprawie wyłudzania podatku od towarów i usług oraz orga

Opinie Prawne

Tomasz Pietryga: Fiskus wchodzi do internetu. Czy podatnicy powinni się obawiać?

Dostęp do nowych technologii sprawił, że skarbówce znacznie łatwiej kontrolować podatników w sieci, zarówno dużych przedsiębiorców, jak i zwykłych Kowalskich handlujących na platformach sprzedażowych.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Banki

Bank Pekao SA z ofertą EKO kredytu mieszkaniowego

Z roku na rok przybywa na rynku zarówno domów, jak i mieszkań, które są zbudowane z materiałów przyjaznych środowisku oraz posiadają rozwiązania oszczędzające zarówno energię, jak i wodę. Patrząc na obecne trendy oraz wymogi narzucane przez UE, budownictwo stawiające na rozwiązania ekologiczne będzie się rozwijać. Bank Pekao, który od wielu lat wspiera rozwiązania proekologiczne, przygotował dla klientów ofertę EKO kredytu mieszkaniowego.

Biznes

Chcemy być liderem zrównoważonego rozwoju

Jeżeli marki nie zmienią podejścia do zrównoważonego rozwoju dzisiaj to nie wygramy i nie zmniejszymy wpływu na środowisko, a wręcz przeciwnie – mówi Małgorzata Rybak-Dowżyk z T-Mobile Polska. Opowiada, co robi telekom aby być neutralnym dla środowiska i zdradza jakie ma efekty.

Materiał Partnera

Skuteczna obronność wymaga integracji danych

Kluczem do osiągnięcia przewagi stała się zdolność do pozyskiwania danych z lądu, powietrza, wody, kosmosu i cyberprzestrzeni, a następnie ich szybkiego przetwarzania i dostarczania do dowódców oraz żołnierzy – mówi generał Mary A. Legere, dyrektorka zarządzająca w Accenture Global Defense.

Materiał Partnera

Europejczycy chcą ochrony klimatu, ale mają obawy o koszty

Mieszkańcy Europy z jednej strony nadal wierzą, że transformacja energetyczna zabezpieczy dobrobyt następnych pokoleń. Z drugiej jednak strony obawiają się, że koszty ochrony klimatu dotkną ich finansowo. Z badania klimatycznego zleconego przez Fundację E.ON wynika, że Europejczycy popierają transformację, ale oczekują od rządów swoich państw konkretnego planu i większego zdecydowania w działaniu.

Biznes

Infrastruktura energetyczna potrzebuje ochrony

Polska nie wypracowała standardów dotyczących cyberbezpieczeństwa w energetyce, a realizuje olbrzymie inwestycje w sektorze. Powszechność niesprawdzonych technologii w infrastrukturze krytycznej może przynieść zgubne skutki – ocenia prezes Apatora Maciej Wyczesany.

dr Anna Bernaziuk, Edyta Kalińska, Tomasz Reiter

Materiał Partnera

Naszym priorytetem jest audyt i działanie w interesie publicznym

Liczba audytorów badających spółki giełdowe się zmniejsza. W grze pozostają tylko firmy, które mogą skutecznie odpowiedzieć na wyzwania – podkreślają członkowie zarządu BDO dr Anna Bernaziuk, Edyta Kalińska i Tomasz Reiter.

Biznes

Potrzebny jest broker łączący naukę i biznes

W Polsce główną barierą ciągle hamującą rozwój innowacji jest brak współpracy i przepływu informacji między światami nauki i biznesu – mówi Witold M. Orłowski, główny doradca ekonomiczny PwC w Polsce, Akademia Finansów i Biznesu Vistula, Politechnika Warszawska.

Materiał Partnera

Dyrektywa CSRD zmieni warunki także dla mniejszych firm

Chociaż nowe, bardziej wymagające zasady raportowania niefinansowego obejmą na razie tylko duże spółki, to unijne regulacje muszą już uwzględniać również ich dostawcy z sektora MŚP.