Wolelibyśmy, żeby to był fejk news. Niestety z odpowiedzi jakiej udzieliła nam Poczta Polska wynika, że to prawda. [TU WSTAW EMOJI Z WYŁUPIASTYMI OCZAMI]

Tu Poczta! Tym razem nie z awizem…

Niecałe 3 godziny temu na Twitterze posłanka Agnieszka Pomaska opublikowała treść e-maili, jakie – według jej relacji – trafiły do urzędów gmin o drugiej w nocy.

Nie ma czasu, pan nie pakuje tego w kopertę, pan mi to wyśle pocztówką!

TL;DR: Poczta Polska poprosiła o przekazanie danych wyborców w formie pliku TXT lub CSV, spakowanego, bez hasła. Są poważne problemy z interpretacją w jaki sposób dane miałyby zostać przesłane, nie mówiąc już czy jest odpowiednia ku temu podstawa prawna.

Sprawa jest bulwersująca, ale osoby komentujące pismo w social mediach niepotrzebnie dolewają oliwy do ognia. Niektórzy sugerują, że plik ma być wysłany mailem na adres wybory2020@poczta-polska.pl. Wspomniany adres e-mail faktycznie został podany w piśmie, ale w celu wysyłania ewentualnych pytań, a nie danych. Przynajmniej tak my to rozumiemy. Sam EPUAP nie jest idealny, ale dane przez niego przesyłane nie są publicznie dostępne. Chociaż zdarza się, że nie trafiają tam gdzie powinny… Dodajmy jeszcze, żę korespondencji w EPUAP (jeśli zostanie dobrze zaadresowana) teoretycznie nie ma potrzeby szyfrować. Zresztą, gdyby nawet ją zaszyfrować, to pewnie i tak hasło większość nadawców przekazywałaby w kolejnej wiadomości…

I tu koniec naszej obrony pisma od Poczty Polskiej. Bo dalszą części pisma i sposób jego przesłania, pod kątem bezpieczeństwa i prywatności trudno będzie obronić.

EPUAP-em czy nie?

Przesyłane pliki mają być jakoś przekazywane i – w zależności od tego jak ktoś odczyta pismo – mają być przekazane albo “za pośrednictwem ePUAP” albo… jakkolwiek. We wniosku napisano bowiem:

Dane (…) powinny zostać przekazane (…) w formie dokumentu/pliku tekstowego (…) opatrzonego kwalifikowanym podpisem elektronicznym lub podpisem osobistym albo podpisem zaufanym, za pośrednictwem platformy ePUAP…

Wielu samorządowców zwraca uwagę na to, że nie wiadomo, czy “za pośrednictwem platformy ePUAP” odnosi się do samego podpisu danych czy ogólnie do sposobu przekazania pliku. Skoro wielu ludzi ma problemy z interpretacją to przedstawiciele gmin mogą w różny sposób realizować wniosek. Oby nikt z nich nie wpadł na pomysł wysłania go e-mailem…

Na marginesie, w zasadzie do odpowiedzialności należałoby pociągnąć każdą gminę, która na podstawie tego e-maila jakiekolwiek dane odesłała. E-mail jest niepodpisany (zarówno cyfrowo, jak i tekstowo), więc mamy nadzieję, że nikt nie wziął go na poważnie. I przyznajemy, że rozumiemy tych, co potraktowali wiadomość od Poczty Polskiej jako phishing. Faktycznie sprawia takie wrażenie, dopóki nie zajrzy się w nagłówki.

Poczta Polska: “tak, bo możemy”

Początkowo też wątpiliśmy czy to pismo jest prawdziwe. Po cichu liczyliśmy na jakieś dezinfo ze strony wschodnich sąsiadów. Niestety, inne osoby, w tym Piotr Borawski, wiceprezydent Gdańska również opublikowały pismo. To samo we Wrocławiu. O ile zdawaliśmy sobie sprawę, że Poczta może się upomnieć o te dane, to czy naprawdę zrobiła to w taki sposób i to o godzinie 2 w nocy?

Zwróciliśmy się więc do Poczty Polskiej S.A. z następującym zestawem pytań:

1. Czy Poczta Polska rzeczywiście wystąpiła z takimi wnioskami do urzędów miast i gmin (do maila załączona była kopia wniosków – przyp. red)?

2. Dlaczego Poczta Polska wymaga przesłania tych danych bez zabezpieczeń?

3. Czy Poczta Polska nie uważa takiej akcji za szczególnie ryzykowną?

4. Czy przeprowadzono analizę ryzyka takiej operacji?

Liczyliśmy na zdementowanie informacji lub podjęcie dyskusji o bezpieczeństwie, ale się przeliczyliśmy. Rzeczniczka Poczty Polskiej Justyna Siwek udzieliła nam następującej odpowiedzi (pogrubienie dodane przez redakcję).

Panie Redaktorze, kierowany do samorządów wniosek o przekazanie danych ze spisu wyborców wynika z roli, jaką Poczta Polska ma pełnić w obsłudze głosowania w ramach wyborów prezydenckich. Rola ta polegać będzie na dostarczeniu do wyborców pakietów wyborczych, a następnie przekazania kart wyborczych do obwodowych komisji wyborczych. Poczta Polska dokłada wszelkich starań, aby jak najlepiej wywiązać się z obowiązku obsługi wyborów korespondencyjnych. Obecny zakres obowiązków operatora wyznaczonego wynika z art. 99 ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (Dz. U. z 2020 r. poz. 695) oraz decyzji Prezesa Rady Ministrów z dnia 16 kwietnia 2020 r. (BPRM.4820.2.3.2020) dotyczącej podjęcia przez Pocztę Polską S.A. czynności niezbędnych do przygotowania przeprowadzenia wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r. Wniosek wysłany przez Pocztę Polską do samorządów zawierał szczegółową informację o wyżej wymienionej podstawie prawnej. Zgodnie z przywołaną ustawą, „operator wyznaczony (…) po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej (…)”. W związku z powyższym wniosek został rozesłany niezwłocznie po przygotowaniu zakresu danych niezbędnych Poczcie Polskiej do właściwej obsługi wyborów korespondencyjnych. Wniosek wysłano w formie elektronicznej w godzinach nocnych, bez zbędnej zwłoki. Dziś (23.04.2020) mailing zostanie powtórzony i opatrzony podpisem kwalifikowanym. Jednocześnie przypominamy, że zgodnie z ww. ustawą Poczta Polska uprawniona jest do przetwarzania danych obywateli wyłącznie w celu, w jakim otrzymała te dane, a więc organizacji wyborów prezydenckich. Zapewniamy, że Poczta Polska przykłada najwyższą wagę do ochrony danych osobowych.

Czyli – pisząc krótko – to jednak nie był phishing ani dezinfo. PP uważa, że ma podstawę prawną i zapewnia, że przykłada najwyższą wagę do ochrony danych. W to nie wątpimy, ale szkoda, że Poczta Polska nie podjęła z nami żadnej dyskusji o poziomie zabezpieczeń. Nie odniosła się do pytania o analizę ryzyka. Na szczęście zapowiedziano powtórkę mailingu, tym razem podpisanego podpisem kwalifikowanym.

Tło prawne

W polityce nurzać się nie lubimy i robić tego nie będziemy, ale czasami musimy trochę “popaprać się” w prawie. Warto więc wiedzieć, że działania Poczty Polskiej związane ze zbieraniem danych wyborców mogą być podejmowane na podstawie ekspresowo uchwalonej Ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, a konkretnie na podstawie jej art. 99.:

Art. 99. Operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Dane, o których mowa w zdaniu pierwszym, przekazywane są operatorowi wyznaczonemu, w formie elektronicznej, w terminie nie dłuższym niż 2 dni robocze od dnia otrzymania wniosku. Operator wyznaczony uprawniony jest do przetwarzania danych wyłącznie w celu, w jakim otrzymał te dane.

Niestety tworzenie prawa podlega dokładnie tym samym regułom co tworzenie kodu. Jeśli zrobi się to szybko to z pewnością nie wypatrzymy błędów, a w tym przypadku powstało coś naprawdę problemowego. Oto mamy przepis, który umożliwia spółce akcyjnej zasysanie danych osobowych od organów administracji. W normalnych warunkach takie rozwiązanie powinno być wprowadzone ostrożnie i przedyskutowane na wielu poziomach.

Pomiędzy samorządowcami a rządem już teraz narasta spór o przekazywanie danych do PP SA.. W sprawie interweniowała m.in. posłanka Zielonych Małgorzata Tracz, która skierowała do Wojewodów, Prezesa UODO oraz Prezesa Poczty Polskiej pismo przekonujące, że w istocie nie ma podstaw prawnych do przesyłania spółce spisu wyborców. Nie nam oceniać na ile słuszne są argumenty posłanki natomiast warto odnotować, że na gruncie prawnym też toczy się o tym dyskusja. Warto też odnotować, że niektórzy prawnicy odradzają:

Protestuje także fundacja Panoptykon:

póki ustawa o wyborach korespondencyjnych nie została przyjęta, Poczta nie jest organizatorem wyborów, a polecenia Premiera nie mogą być podstawą przetwarzania list wyborców. Żądanie Poczty Polskiej jest niezgodne z prawem, a urzędy nie powinny go realizować (…) Poczta Polska łamie prawo, żądając danych. Złamią je także samorządowcy, jeśli te dane przekażą bez podstawy prawnej.

Podobnego zdania jest też prawniczy guru ochrony danych osobowych, dr Paweł Litwiński, który poza meandrami prawnymi, punktuje też brak podpisu w e-mailu:

Z całym szacunkiem dla tej instytucji, ale to mało: nie wiemy, od kogo pochodzi wiadomość i czy ten ktoś ma prawo reprezentowania Poczty.

Doskonale zdajemy sobie sprawę, że po drugiej stronie politycznej barykady padają argumenty o tym, że wybory to święto demokracji i po prostu trzeba je zorganizować, by w kraju nie wystąpił chaos. Niezależnie jednak od sympatii politycznych i zgadzania się bądź nie z argumentami jednej czy drugiej strony, trzeba mieć świadomość, że jeśli już coś się realizuje, a zwłaszcza wybory, to warto pomyśleć o “bezpieczeństwie” tego czegoś na każdym z etapów. Tym bardziej, jeśli w grę wchodzi wyciek danych większości obywateli… nie mówiąc już o “przyzwyczajaniu” gmin do reagowania na niepodpisane, wyglądające jak phishing e-maile…

PS. Patrzcie jaką fajną domenę ktoś kupił. Taką wcale nie phishingową:

poczta-poiska[.]pl

A teraz zapiszcie ją przez duże “i”. Chcecie więcej przykładów takich sztuczek? To lepiej tu nie klikaj.

Przeczytaj także: