Warszawa, dnia 17
marca
2025 r.
Decyzja
DKN.5131.1.2025
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7 ust. 1, art. 60, art. 101, art. 102 ust. 1 pkt 1 i ust. 3 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. a) i art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, a także w związku z art. 170 oraz art. 153 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Ministra Cyfryzacji (ul. Królewska 27, 00-060 Warszawa) oraz Pocztę Polską S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa), Prezes Urzędu Ochrony Danych Osobowych,
1) stwierdzając naruszenie przez Ministra Cyfryzacji (ul. Królewska 27, 00-060 Warszawa) art. 6 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych zgromadzonych w rejestrze Powszechnego Elektronicznego Systemu Ewidencji Ludności, poprzez ich udostępnienie 22 kwietnia 2020 r. bez podstawy prawnej w zakresie: numeru PESEL, imion, nazwisk, ostatniego aktualnego adresu zameldowania na pobyt stały (a gdy go brak: ostatniego nieaktualnego), adresu zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu), a także aktualnie zarejestrowanego wyjazdu czasowego poza granice kraju, wszystkich osób pełnoletnich 10 maja 2020 r., które w dniu wygenerowania danych posiadały w ww. rejestrze zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska,
na rzecz Poczty Polskiej S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa),
co skutkowało naruszeniem zasady zgodności przetwarzania z prawem określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
nakłada na Ministra Cyfryzacji (ul. Królewska 27, 00-060 Warszawa) administracyjną karę pieniężną w kwocie 100 000 zł (słownie: sto tysięcy złotych),
2) stwierdzając naruszenie przez Pocztę Polską S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa) art. 6 ust. 1 rozporządzenia 2016/679, polegające na przetwarzaniu bez podstawy prawnej udostępnionych tej spółce 22 kwietnia 2020 r. przez Ministra Cyfryzacji (ul. Królewska 27, 00-060 Warszawa) danych osobowych zgromadzonych w rejestrze Powszechnego Elektronicznego Systemu Ewidencji Ludności, w zakresie: numeru PESEL, imion, nazwisk,ostatniego aktualnego adresu zameldowania na pobyt stały (a gdy go brak: ostatniego nieaktualnego), adresu zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu), a także aktualnie zarejestrowanego wyjazdu czasowego poza granice kraju, wszystkich osób pełnoletnich 10 maja 2020 r., które w dniu wygenerowania danych posiadały w ww. rejestrze zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska,
co skutkowało naruszeniem zasady zgodności przetwarzania z prawem określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
nakłada na Pocztę Polską S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa) administracyjną karę pieniężną w kwocie 27 124 816 zł (słownie: dwadzieścia siedem milionów sto dwadzieścia cztery tysiące osiemset szesnaście złotych).
________________________________________________________________________
Ustalenie, że analizowany proces przetwarzania danych osobowych przez Ministra Cyfryzacji i Pocztę Polską S.A. z siedzibą w Warszawie był realizowany pomimo braku podstawy prawnej z art. 6 ust. 1 rozporządzenia 2016/679 wiąże się ze stwierdzeniem, że wskazani administratorzy naruszyli swoim działaniem także art. 5 ust. 1 lit. a) ww. aktu prawnego – łamiąc wyrażoną w nim zasadę zgodności z prawem, rzetelności i przejrzystości.
________________________________________________________________________
Uzasadnienie
1. Decyzją z 16 kwietnia 2020 r. ((…)) Prezes Rady Ministrów, polecił Poczcie Polskiej S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa), zwanej dalej „Spółką”, realizację działań, polegających na podjęciu i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym, co miało mieć związek z koniecznością przeciwdziałania COVID-19, w szczególności poprzez przygotowanie struktury organizacyjnej, zapewnienie niezbędnej infrastruktury oraz pozyskanie koniecznych zasobów materialnych i kadrowych. Następnie, 22 kwietnia 2020 r. Minister Cyfryzacji (ul. Królewska 27, 00-060 Warszawa), zwany dalej „Ministrem”, udostępnił Spółce, na złożony przez nią 20 kwietnia 2020 r. wniosek, dane osobowe zgromadzone w rejestrze Powszechnego Elektronicznego Systemu Ewidencji Ludności (dalej zwanego: „rejestrem PESEL”) w zakresie: numeru PESEL, imion, nazwisk, ostatniego aktualnego adresu zameldowania na pobyt stały (a gdy go brak: ostatniego nieaktualnego), adresu zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu), a także aktualnie zarejestrowanego wyjazdu czasowego poza granice kraju, wszystkich osób pełnoletnich 10 maja 2020 r., które w dniu wygenerowania danych posiadały w ww. rejestrze zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska (około 30 mln osób[1]). Nastąpiło to, jak wskazano w ww. wniosku, w związku z realizacją zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. Miały się one odbyć 10 maja 2020 r. – w czasie, w którym starano się ograniczać możliwości szybkiego rozwoju epidemii COVID-19. Działania ww. stały się przedmiotem wielu dyskusji m.in. w mediach i wzbudziły liczne kontrowersje oraz niepokój części opinii publicznej.
2. W następstwie udostępnienia tych danych osobowych, do Prezesa Urzędu Ochrony Danych Osobowych (dalej zwanego: „Prezesem UODO” lub „organem nadzorczym”), wpłynęło 178 skarg na nieprawidłowości w procesie przetwarzania danych osobowych przez Ministra lub przez Spółkę. Zaistniała sytuacja zaniepokoiła jednak nie tylko wiele osób, których dane zostały udostępnione w wyniku powyższych działań – stała się ona również przyczynkiem do stanowczych działań Rzecznika Praw Obywatelskich (dalej: „RPO”), który już 29 kwietnia 2020 r. złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie (dalej: „WSA”) skargę na ww. decyzję Prezesa Rady Ministrów w przedmiocie polecenia Spółce realizacji działań w zakresie przeciwdziałania COVID-19 zmierzających do przygotowania i przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym. Niedługo po tym, tj. 15 maja 2020 r., RPO złożył do WSA skargę na czynność Ministra z 22 kwietnia 2020 r. polegającą na wyżej opisanym udostępnieniu Spółce danych osobowych z rejestru PESEL. W następstwie złożonych przez Rzecznika Praw Obywatelskich skarg, WSA oraz Naczelny Sąd Administracyjny (dalej: „NSA”) wydały wyroki (opisane w pkt 11 i 12 niniejszej decyzji), w wyniku czego została stwierdzona prawomocnie:
- nieważność decyzji Prezesa Rady Ministrów wydanej 16 kwietnia 2020 r., znak: (…) (opisanej w pkt 4 poniżej), która zainicjowała złożenie przez Spółkę ww. wniosku,
- bezskuteczność czynności Ministra polegającej na ww. udostępnieniu Spółce danych osobowych z rejestru PESEL.
W wyrokach tych ustalono zarówno stan faktyczny, jak i prawny, które Prezes UODO przyjął jako wiążące, mając na uwadze m.in. treść art. 170 w związku z art. 153 p.p.s.a.[2]. W sposób oczywisty musiało mieć to wpływ na działania podejmowane do tej pory przez organ nadzorczy. Cofnął on więc m.in. złożoną przez siebie skargę kasacyjną od wyroku WSA z 23 kwietnia 2021 r., sygn. II SA/Wa 1750/20, uchylającego postanowienie Prezesa UODO z 7 lipca 2020 r, sygn. (…), o odmowie wszczęcia postępowania w sprawie wniesionej do organu indywidualnej skargi osoby fizycznej na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Ministra oraz Spółkę, w związku z organizacją „wyborów kopertowych”. Postanowienie NSA (sygn. akt III OSK 6133/21)o umorzeniu postępowania kasacyjnego na skutek cofnięcia przez Prezesa UODO ww. skargi kasacyjnej zostało wydane 9 kwietnia 2024 r., zaś ostatni z wyroków WSA i NSA, o których mowa w pkt 11 i 12 niniejszej decyzji został wydany 28 czerwca 2024 r. Organ nadzorczy podejmował wówczas kolejne działania w sprawach indywidualnych, a ponadto uznał następnie za konieczne dokonanie czynności, o których mowa w pkt 3 poniżej.
3. Biorąc pod uwagę m.in. znaczącą ilość skarg, o których mowa w pkt 2 powyżej, a także wydane przez WSA oraz NSA prawomocne wyroki (opisane w pkt 11 i 12 niniejszej decyzji, które w sposób wiążący wpłynęły na dotychczasową ocenę prawną sytuacji opisanej w pkt 1 powyżej), Prezes UODO uznał za konieczne wszczęcie z urzędu (pismo z 10 stycznia 2025 r. znak: (…)) postępowania administracyjnego w przedmiocie możliwości naruszenia przez Ministra oraz Spółkę obowiązków wynikających z przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679, w związku z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. (sygn. (…)). Czyniąc to, miał również na uwadze treść art. 189g § 1 Kodeksu postępowania administracyjnego[3]. Prowadząc wszczęte w niniejszej sprawie postępowanie administracyjne, Prezes UODO związany był (zgodnie, jak wyżej wskazano, z art. 170 i art. 153 p.p.s.a.) ustaleniami WSA i NSA zawartymi w ww. wyrokach. W ukształtowanym tymi orzeczeniami stanie prawnym, organ nadzorczy wydał decyzję uwzględniającą wiążące ustalenia faktyczne, które legły u podstaw wydania tych wyroków oraz ustalenia i oceny prawne sądów zawarte w tych wyrokach (o których mowa w pkt 2 powyżej).
Prezes UODO, w wyniku przeprowadzonego postępowania administracyjnego, ustalił następujący stan faktyczny:
4. Decyzją z 16 kwietnia 2020 r. (znak: (…)) Prezes Rady Ministrów, powołując się na art. 11 ust. 2 w zw. z art. 11 ust. 2a, ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (dalej zwanej: „ustawą COVID-19”) w zw. z art. 104 Kodeksu postępowania administracyjnego, polecił Spółce realizację działań, polegających na podjęciu i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym, co miało mieć związek z koniecznością przeciwdziałania COVID-19, w szczególności poprzez przygotowanie struktury organizacyjnej, zapewnienie niezbędnej infrastruktury oraz pozyskanie koniecznych zasobów materialnych i kadrowych. W decyzji tej, zwanej dalej „Decyzją PRM z 16 kwietnia 2020 r.”, zaznaczono również, że realizacja polecenia ma na celu przeciwdziałanie COVID-19, poprzez zapobieżenie rozprzestrzeniania się wirusa SARS-CoV-2 w wyniku gromadzenia się ludzi w dużych grupach w następstwie realizacji przez nich czynnego prawa do głosowania w wyborach prezydenckich w formie wizyty w lokalu wyborczym.(Kopia tej decyzji – w aktach sprawy).
5. W następstwie wydania Decyzji PRM z 16 kwietnia 2020 r., Spółka wystąpiła 20 kwietnia 2020 r. do Ministra Cyfryzacji z „Wnioskiem o przesłanie z rejestru PESEL” (znak: (…)) danych, o których mowa niżej. We wniosku tym, zwanym dalej „Wnioskiem Spółki z 20 kwietnia 2020 r.” Spółka, powołując się na art. 99 ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (zwanej dalej „u.s.i.w.”) i w związku z realizacją zadań związanych z organizacją wyborów Prezydenta Rzeczpospolitej Polskiej, zwróciła się o przekazanie w formie elektronicznej danych z rejestru PESEL w następującym zakresie:
1) adresy:
- ostatni (aktualny albo ostatni nieaktualny jeśli osoba nie posiada aktualnego) zameldowania na pobyt stały:
a) TERYT (7-mio znakowy kod TERYT gminy),
b) SIMC – identyfikator miejscowości,
c) ULIC – identyfikator ulicy,
d) kod pocztowy,
e) województwo (nazwa),
f) powiat (nazwa),
g) gmina (nazwa). Dla miast z dzielnicami, nazwa dzielnicy będzie w nazwie gminy,
h) miejscowość,
i) ulica,
j) nr domu,
k) nr lokalu,
l) wskaźnik aktualności adresu;
- adres zameldowania na pobyt czasowy oraz data upływu deklarowanego terminu pobytu – według wskazanego w poprzednim tiret w lit. a) – l) schematu; Zaznaczono również, że dane te nie obejmują adresów nieaktualnych (tj. takich, które posiadają datę wymeldowania z pobytu czasowego);
- data wyjazdu poza granice Rzeczypospolitej Polskiej trwającego dłużej niż 6 miesięcy – jeżeli wyjazd jest aktualny tj. nie posiada daty powrotu lub data powrotu jest z przyszłości na dzień wygenerowania danych;
- data powrotu z wyjazdu poza granice Rzeczypospolitej Polskiej trwającego dłużej niż 6 miesięcy – jeżeli jest datą z przyszłości w dniu wygenerowania danych;
2) Dane obywatela:
a) Imię,
b) Drugie imię,
c) Nazwisko,
d) Numer PESEL.
We wniosku tym zaznaczono również, że przekazanie danych, o których mowa powyżej, dotyczy wyłącznie osób pełnoletnich w dniu 10 maja 2020 r., które na dzień wygenerowania przekazanych danych posiadają w rejestrze PESEL zarejestrowane obywatelstwo polskie oraz figurują jako osoby żyjące i dla których jako kraj zamieszkania wskazano Polskę. Wyjaśniono również, że dane te są potrzebne i zostaną wykorzystane wyłącznie w celu realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej (we wniosku tym jest mowa o zbudowaniu najbardziej aktualnej bazy adresów wyborców do doręczenia pakietów wyborczych), a po zrealizowaniu celu zostaną usunięte z systemu teleinformatycznego operatora.
(Kopia pisma Spółki do Ministra z 20 kwietnia 2020 r. – w aktach sprawy).
6. Spółka (będąca operatorem wyznaczonym do świadczenia usług powszechnych na lata 2016-2025[4]), pozyskała od Ministra na skutek ww. wniosku dane osobowe zawarte w rejestrze PESEL. Przekazanie ich Spółce (na nośniku danych: płycie DVD) w związku z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. nastąpiło 22 kwietnia 2020 r.
(Kopia pisma Spółki do Urzędu Ochrony Danych Osobowych, dalej zwanego „UODO”, z 12 września 2024 r. – w aktach sprawy).
7. Minister oświadczył, że nie udostępnił danych wszystkich obywateli polskich „(…) a jedynie - żyjących obywateli polskich, którzy w dniu 10 maja 2020 r. byli osobami pełnoletnimi i ich kraj zamieszkania to Polska”. Wskazał, że udostępnienie nastąpiło na podstawie art. 99 u.s.i.w. Podkreślił również, że zgodnie z art. 6 ust. 1 lit. c) rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek taki dla Ministra, jako administratora danych przetwarzanych w rejestrze PESEL, wynikał w jego ocenie z ww. art. 99 u.s.i.w.
(Kopia pisma Ministra do UODO z 21 listopada 2024 r. – w aktach sprawy).
8. Spółka również wskazała, że w związku z przygotowaniem udziału w organizacji wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r. pozyskała dane z rejestru PESEL, w celu realizacji tych zadań, na podstawie art. 99 u.s.i.w. oraz Decyzji PRM z 16 kwietnia 2020 r. Spółka zaznaczyła, że Minister udostępnił jej dane osób pełnoletnich 10 maja 2020 r., które w dniu wygenerowania danych posiadały w rejestrze PESEL zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska.
(Kopia pisma Spółki do UODO z 19 sierpnia 2024 r. – w aktach sprawy).
9. W związku z upływem dnia, na który wyznaczona została przez Marszałka Sejmu RP data wyborów na Prezydenta Rzeczypospolitej Polskiej, tj. 10 maja 2020 r., Minister zwrócił się 12 maja 2020 r. do Spółki z prośbą o niezwłoczne przekazanie do Ministerstwa Cyfryzacji oświadczenia złożonego przez osobę upoważnioną zgodnie z zasadami reprezentacji Spółki o trwałym usunięciu danych przekazanych Spółce na płycie DVD w dniu 22 kwietnia 2020 r. oraz wszystkich kopii danych.
(Kopia pisma z 12 maja 2020 r., znak: (…) – w aktach sprawy).
10. W związku z ustaniem celu przetwarzania danych osobowych (tj. przygotowywaniem Spółki do wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r., które miały odbyć się 10 maja 2020 r.), Spółka trwale usunęła wszystkie dane osobowe pozyskane z rejestru PESEL (przekazane przez Ministra). Usunięcie nastąpiło w dniach 15-22 maja 2020 r.
(Kopia pisma Spółki do UODO z 19 sierpnia 2024 r. – w aktach sprawy).
11. WSA w wyroku z 15 września 2020 r. (sygn. akt VII SA/Wa 992/20), zwanym dalej: „Wyrokiem WSA z 15 września 2020 r.”, wydanym w sprawie ze skargi m. in. Rzecznika Praw Obywatelskich na Decyzję PRM z 16 kwietnia 2020 r., stwierdził nieważność tej decyzji (zob.: (…)). Skargi kasacyjne złożone w tej sprawie zostały oddalone przez NSA wyrokiem z 28 czerwca 2024 r. (sygn. akt III OSK 4524/21) wskutek czego ww. wyrok WSA z 15 września 2020 r. stał się prawomocny (zob.: (…)).
12. WSA w wyroku z 26 lutego 2021 r. (sygn. akt IV SA/Wa 1817/20), zwanym dalej: „Wyrokiem WSA z 26 lutego 2021 r.”, w sprawie ze skargi Rzecznika Praw Obywatelskich na czynność Ministra Cyfryzacji, stwierdził bezskuteczność czynności Ministra z 22 kwietnia 2020 r. polegającej na udostępnieniu Spółce danych osobowych z rejestru PESEL, dotyczących żyjących obywateli polskich, którzy uzyskali pełnoletność 10 maja 2020 r. i których krajem zamieszkania jest Polska (zob.: (…)). Skarga kasacyjna złożona w tej sprawie została oddalona przez NSA wyrokiem z 13 marca 2024 r. (sygn. akt II OSK 1630/21), wskutek czego wyrok WSA z 26 lutego 2021 r. stał się prawomocny (zob.: (…)). W tym ostatnim wyroku NSA wskazał również, że „W dniu 22 kwietnia 2020 r. Minister Cyfryzacji udostępnił spółce (…) dane osobowe z prowadzonego przez Ministra rejestru PESEL. Udostępnione dane obejmowały: 1) numer PESEL, 2) imię, imiona, 3) nazwisko oraz 4) w zależności od tego jakie dane osoba posiada zarejestrowane w rejestrze PESEL - aktualny adres zameldowania na pobyt stały, a w przypadku jego braku ostatni adres zameldowania na pobyt stały, a także adres zameldowania na pobyt czasowy. Nie przekazano informacji o datach zameldowania i wymeldowania, natomiast w przypadku adresu zameldowania na pobyt czasowy udostępniono informację o przewidywanej dacie pobytu pod adresem czasowym. Ponadto, przekazano informacje o tym, czy osoba posiada aktualnie zarejestrowany wyjazd czasowy poza granice kraju (bez wskazywania kraju wyjazdu)”[5].
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje:
13. W myśl art. 34 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, dalej: „u.o.d.o.”) Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego. Uprawnienia naprawcze przysługujące organowi nadzorczemu w wypadku stwierdzenia naruszenia przepisów rozporządzenia 2016/679 statuuje art. 58 ust. 2 lit. a) do j) rozporządzenia 2016/679. Przepis ten przewiduje m.in. zastosowanie, oprócz lub zamiast środków, o których mowa w tym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (lit. i).
14. Zgodnie z art. 1 ust. 2 pkt 5 u.o.d.o., ustawa ta określa postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Stosownie do art. 60 u.o.d.o. Prezes UODO prowadzi postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.
15. Z powyższego wynika zatem, że postępowanie prowadzone przez Prezesa UODO ma na celu ustalenie czy w sprawie doszło do naruszenia przepisów o ochronie danych osobowych, a w razie stwierdzenia tego naruszenia, skorzystanie z uprawnień naprawczych. Ocena dokonywana przez Prezesa UODO służy zatem zbadaniu zasadności skorzystania przez niego jako organ nadzorczy z uprawnień naprawczych, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.
I. Podstawa prawna przetwarzania danych osobowych.
16. W art. 5 rozporządzenia 2016/679 określa się zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W myśl art. 5 ust. 1 lit. a) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Przestrzeganie ww. zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
17. Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w zakresie w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Należy zaznaczyć, że przepis art. 6 ust. 1 lit. f) rozporządzenia 2016/679 nie ma zastosowania do przetwarzania danych osobowych przez organy publiczne w ramach realizacji swoich zadań.
18. Katalog przesłanek legalności przetwarzania danych osobowych wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
19. Zgodnie z art. 6 ust. 3 rozporządzenia 2016/679 podstawa przetwarzania, o którym mowa w art. 6 ust. 1 lit. c) i e), musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
Dalej przepis ten wskazuje, że cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w art. 6 ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
20. W niniejszej sprawie organ nadzorczy zobowiązany jest dokonać analizy wynikających z ustaw podstaw prawnych wskazanych w Decyzji PRM z 16 kwietnia 2020 r. oraz we Wniosku Spółki z 20 kwietnia 2020 r. o przekazanie w formie elektronicznej danych z rejestru PESEL z uwzględnieniem faktu związania organu wyrokami wskazanymi w pkt 11 i 12 niniejszej decyzji, wynikającego z wyrażonej w art. 170 p.p.s.a. zasady związania prawomocnym orzeczeniem sądu. Zgodnie bowiem z wyrokiem Wojewódzkiego Sądu Administracyjnego w Gdańsku z 27 marca 2024 r. (sygn. akt I SA/Gd 1109/23), »Wyrażona w art. 170 p.p.s.a. istota mocy wiążącej prawomocnego orzeczenia sądu sprowadza się do tego, że organy państwowe i sądy muszą brać pod uwagę fakt istnienia i treść prawomocnego orzeczenia sądu oraz ogół skutków prawnych z niego wynikających. Wprawdzie powaga rzeczy osądzonej obejmuje sentencję orzeczenia, jednak biorąc pod uwagę, że istota sądowej kontroli wyraża się w ocenie prawnej, ta zaś wyrażona jest w uzasadnieniu, to na zakres powagi rzeczy osądzonej w rozumieniu art. 171 p.p.s.a. wskazują motywy. W sytuacji, gdy zachodzi związanie prawomocnym orzeczeniem sądu i ustaleniami faktycznymi, które legły u jego podstaw, niedopuszczalne jest w innej sprawie o innym przedmiocie dokonywanie ustaleń i ocen prawnych sprzecznych z prawomocnie osądzoną sprawą. Rozstrzygnięcie zawarte w prawomocnym orzeczeniu stwarza stan prawny taki, jaki z niego wynika.
Sądy rozpoznające między tymi samymi stronami inny spór muszą przyjmować, że dana kwestia prawna kształtuje się tak, jak przyjęto w prawomocnym, wcześniejszym wyroku (por. wyrok NSA z 28 października 2022 r. sygn. akt III FSK 778/22; powołane orzeczenia dostępne w Centralnej Bazie Orzeczeń Sądów Administracyjnych na stronie orzeczenia.nsa.gov.pl, dalej jako "CBOSA").
W orzecznictwie Naczelnego Sądu Administracyjnego prezentowany jest również pogląd, że jakkolwiek związanie prawomocnym wyrokiem wiąże tylko w danej sprawie, może odnosić się do innych postępowań w zakresie, w jakim w wyroku tym rozstrzygnięta została określona kwestia prawna, która ma znaczenie dla rozstrzygnięcia w innej sprawie jako zagadnienie wstępne, czy też dalszy element kształtujący proces stosowania prawa przez sąd (zob. wyroki NSA z dnia 31 maja 2016 r., sygn. akt II OSK 2295/14, z dnia 24 listopada 2020 r., sygn. akt II FSK 1014/19, CBOSA)«.
Ponadto w wyroku z 14 listopada 2023 r., sygn. akt III OSK 2623/21, Naczelny Sąd Administracyjny wskazał, że »Całkowicie bezpodstawny jest zarzut naruszenia art. 170 p.p.s.a., ponieważ Prezes UODO był związany, stosownie do treści tego przepisu wyrokami zapadłymi w sprawie udostępnienia informacji publicznej, w postaci załączników do zgłoszeń kandydatów na członków Krajowej Rady Sądownictwa obejmujących wykazy sędziów popierających zgłoszenia, wyrokami: WSA w Warszawie z dnia 29 sierpnia 2018 r., sygn. akt II SA/Wa 484/18 oraz NSA z dnia 28 czerwca 2019 r., sygn. akt I OSK 4282/18. Przypomnieć należy, że zgodnie z art. 170 p.p.s.a. "orzeczenie prawomocne wiąże nie tylko strony i sąd, który je wydał, lecz również inne sądy i inne organy państwowe, a w przypadkach w ustawie przewidzianych także inne osoby". Zauważa się, że "ratio legis art. 170 p.p.s.a. polega na tym, że gwarantuje on zachowanie spójności i logiki działania organów państwowych, zapobiegając funkcjonowaniu w obrocie prawnym rozstrzygnięć nie do pogodzenia w całym systemie sprawowania władzy (wyrok NSA z 19 maja 1999 r., IV SA 2543/98). Podzielić należy pogląd doktryny, że "jakkolwiek związanie prawomocnym wyrokiem wiąże tylko w danej sprawie, może odnosić się do innych postępowań w zakresie, w jakim w wyroku tym rozstrzygnięta została określona kwestia prawna, która ma znaczenie dla rozstrzygnięcia w innej sprawie jako zagadnienie wstępne, czy też dalszy element kształtujący proces stosowania prawa przez sąd" (B. Dauter (w:) A. Kabat, M. Niezgódka-Medek, B. Dauter, Prawo o postępowaniu przed sądami administracyjnymi. Komentarz, wyd. II, LEX/el. 2021, art. 170). Artykuł 170 p.p.s.a. posiada charakter porządkujący i oznacza, że w sprawie, w której zapadło prawomocne orzeczenie sądu administracyjnego, podmioty, których dotyczy to orzeczenie są zobowiązane do uznania, iż kwestia prawna stanowiąca treść rozstrzygnięcia sądu kształtuje się tak jak zostało to w nim stwierdzone. Niedopuszczalne jest zatem, aby inny podmiot poza ściśle określonymi w działach VII i VIIa p.p.s.a. przypadkami podważał lub zmieniał treść orzeczenia. Moc wiążąca prawomocnego orzeczenia sądu administracyjnego jest wyznaczona przez granice przedmiotowe rozpoznawanej sprawy, które "zgodnie z regułami rządzącymi postępowaniem sądowoadministracyjnym są wyznaczone przez rzeczywisty zakres rozstrzygnięcia zawartymi w tym wyroku" (T. Woś (w:) H. Knysiak-Sudyka, M. Romańska, T. Woś, Prawo o postępowaniu przed sądami administracyjnymi. Komentarz, wyd. VI, Warszawa 2016, art. 171), a zatem zakres rozstrzygnięcia dotyczącego oceny legalności działania lub zaniechania organu administracji publicznej wyznacza granice przedmiotowe danej sprawy. Natomiast granice podmiotowe zakresu związania orzeczeniem sądu administracyjnego art. 170 p.p.s.a. określa, jako "istota mocy wiążącej prawomocnego orzeczenia sądu określona w komentowanym przepisie wyraża się w tym, że organy państwowe muszą brać pod uwagę fakt istnienia i treść prawomocnego orzeczenia sądu oraz ogół skutków prawnych z niego wynikających" (Prawo o postępowaniu przed sądami administracyjnymi. Komentarz, red. R. Hauser. M. Wierzbowski, Legalis 2021, art. 170, teza 1). Nie budzi więc wątpliwości, że zarówno sądy jak i organy administracji publicznej zobowiązane są do wykonania i respektowania prawomocnego wyroku sądu administracyjnego«.
Ponadto w wyroku z 7 listopada 2019 r., sygn. akt II SA/Lu 392/19, Wojewódzki Sąd Administracyjny w Lublinie wskazał, że „Przepis art. 153 p.p.s.a. wyraża zasadę związania sądu oraz organu, którego działanie lub bezczynność były przedmiotem zaskarżenia, oceną prawną wyrażoną w orzeczeniu sądu. Ocena prawna, o której stanowi ten przepis, może dotyczyć zarówno samej wykładni prawa, jak i braku wyjaśnienia w kontrolowanym postępowaniu administracyjnym istotnych okoliczności stanu faktycznego. Z kolei art. 170 p.p.s.a. przewiduje, że orzeczenie prawomocne wiąże nie tylko strony i sąd, który je wydał, lecz również inne sądy i inne organy państwowe, a w przypadkach w ustawie przewidzianych także inne osoby. Związanie oceną prawną, o której mowa w art. 153 p.p.s.a. i w art. 170 p.p.s.a., oznacza, że takie orzeczenie ma istotne znaczenie dla prowadzonych po jego wydaniu postępowań administracyjnych i sądowoadministracyjnych, dotyczących powiązanych przedmiotowo spraw.”
21. Decyzja PRM z 16 kwietnia 2020 r. została wydana m.in. z powołaniem się na art. 11 ust. 2 w zw. z art. 11 ust. 2a, ust. 3 ustawy COVID-19. Art. 11 ust. 2 ww. ustawy w brzmieniu obowiązującym na dzień wydania tej decyzji stanowił, że „Prezes Rady Ministrów, z własnej inicjatywy lub na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki może, w związku z przeciwdziałaniem COVID-19, wydawać polecenia obowiązujące inne, niż wymienione w ust. 1, osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej oraz przedsiębiorców. Polecenia są wydawane w drodze decyzji administracyjnej, podlegają one natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia”. W Decyzji PRM z 16 kwietnia 2020 r., jak już wyżej wskazano, Prezes Rady Ministrów polecił Spółce „realizację działań w zakresie przeciwdziałania COVID-19, polegających na podjęciu i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym, w szczególności poprzez przygotowanie struktury organizacyjnej, zapewnienie niezbędnej infrastruktury oraz pozyskanie koniecznych zasobów materialnych [i] kadrowych”.
22. Następstwem wydania ww. Decyzji PRM z 16 kwietnia 2020 r. było złożenie do Ministra Cyfryzacji Wniosku Spółki z 20 kwietnia 2020 r. o przekazanie w związku z realizacją zadań związanych z organizacją wyborów Prezydenta Rzeczpospolitej Polskiej w formie elektronicznej danych z rejestru PESEL w zakresie wskazanym już w pkt 5 niniejszej decyzji. We wniosku tym Spółka powołała się na art. 99 u.s.i.w. Przepis ten, w brzmieniu z dnia złożenia Wniosku Spółki z 20 kwietnia 2020 r., przewidywał, że „Operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Dane, o których mowa w zdaniu pierwszym, przekazywane są operatorowi wyznaczonemu, w formie elektronicznej, w terminie nie dłuższym niż 2 dni robocze od dnia otrzymania wniosku. Operator wyznaczony uprawniony jest do przetwarzania danych wyłącznie w celu, w jakim otrzymał te dane”.
23. Minister realizując ww. Wniosek udostępnił 22 kwietnia 2020 r. Spółce (będącej – jak już wskazano w pkt 6 niniejszej decyzji – operatorem wyznaczonym do świadczenia usług powszechnych na lata 2016-2025) dane osobowe zawarte w rejestrze PESEL. Nastąpiło to poprzez wydanie nośnika informatycznego, tj. płyty DVD. Jak wynika z materiału dowodowego zebranego w sprawie, wobec istnienia w obrocie prawnym powołanych wyżej wyroków, tj. ww. wyroku WSA z 15 września 2020 r. (sygn. akt VII SA/Wa 992/20) stwierdzającego nieważność ww. decyzji Prezesa Rady Ministrów z 16 kwietnia 2020 roku, utrzymanego w mocy ww. wyrokiem NSA z 28 czerwca 2024 r. (sygn. akt III OSK 4524/21) oraz ww. wyroku WSA z 26 lutego 2021 r. (sygn. akt IV SA/Wa 1817/20), stwierdzającego bezskuteczność czynności z 22 kwietnia 2020 r. polegającej na udostępnieniu spółce Poczta Polska S.A. danych osobowych z rejestru PESEL, dotyczących żyjących obywateli polskich, którzy uzyskali pełnoletność dnia 10 maja 2020 r. i których krajem zamieszkania jest Polska, jako wydanej z naruszeniem przepisów prawa, obowiązujących w dacie jej dokonania, utrzymanego w mocy ww. wyrokiem NSA z 13 marca 2024 r. (sygn. akt II OSK 1630/21), w ocenie Prezesa UODO, Minister Cyfryzacji nie legitymował się żadną z przesłanek z art. 6 ust. 1 rozporządzenia 2016/679 do udostępnienia danych osobowych z rejestru PESEL na rzecz Spółki w celu organizacji wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r., a Spółka nie legitymowała się żadną z przesłanek z art. 6 ust. 1 rozporządzenia 2016/679 do przetwarzania ww. danych w powyższym celu. W kontekście bowiem stwierdzenia nieważności rozstrzygnięcia Prezesa Rady Ministrów z 16 kwietnia 2020 r., nakładającego na Pocztę Polską S.A. obowiązek, o którym mowa w art. 99 ustawy u.s.i.w. oraz stwierdzenia bezskuteczności czynności udostępnienia przez Ministra Cyfryzacji na rzecz Spółki danych osobowych z rejestru PESEL, jako czynności naruszającej przepisy prawa, nie sposób uznać, by istniała podstawa prawna do udostępnienia przez Ministra Cyfryzacji tych danych operatorowi pocztowemu i pozyskania danych osobowych przez Pocztę Polską S.A. mająca oparcie w art. 6 ust. 1 lit. c) rozporządzenia 2016/679 w zw. z art. 99 ustawy u.s.i.w. W dacie bowiem udostępnienia ww. danych osobowych, jak to stwierdziły w powołanych orzeczeniach WSA i NSA, nie istniał żaden przepis prawa przewidujący dla operatora wyznaczonego realizację zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, dla realizacji których niezbędne byłoby przetwarzanie danych z rejestru PESEL. Warto w tym miejscu powołać uzasadnienie ww. wyroku NSA z 13 marca 2024 r. (sygn. akt II OSK 1630/21), w którym NSA w szczególności stwierdził, że cyt.: »W prawie krajowym zasady udostępniania danych z rejestru PESEL oraz rejestrów mieszkańców uregulowane zostały w przepisach ustawy o ewidencji ludności (art. 45 i n.). Dane z tego rejestru udostępnia się podmiotom wymienionym w art. 46 ust. 1, jednakże tylko w zakresie niezbędnym do realizacji ich ustawowych zadań; związek ten musi wynikać z konieczności posiadania danych osobowych objętych rejestrem dla osiągnięcia celu wyznaczonego treścią zadania (udostępnienie obligatoryjne). Dane z rejestru PESEL mogą być udostępnione także innym podmiotom określonym w art. 46 ust. 2, jednakże po spełnieniu wszystkich wymogów zawartych w tym przepisie (udostępnienie fakultatywne). Przepis art. 99 ustawy z 2020 r. [u.s.i.w.], objęty podstawami kasacyjnymi, stanowi niewątpliwie przepis szczególny w stosunku do przedstawionej regulacji ogólnej dotyczącej udostępniania danych z rejestru PESEL. (…) P. S.A. [Spółka] w swym wniosku o udostępnienie danych z rejestru PESEL, powołując się na uprawnienie wynikające z art. 99 ustawy, wskazała, że „dane są potrzebne i zostaną wykorzystane wyłącznie w celu realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej”. Minister Cyfryzacji miał więc obowiązek zweryfikowania tego wniosku, a mianowicie czy wniosek ten jest uzasadniony realizacją zadań związanych z organizacją wyborów. To zaś z kolei powodowało konieczność kolejnej weryfikacji, tym razem posiadania przez operatora wyznaczonego kompetencji do realizacji zadań z zakresu organizacji wyborów, ponieważ samego art. 99 ustawy z 2020 r. nie można uznać za źródło takiej (takich) kompetencji. Źródeł tych należy bowiem poszukiwać w przepisach prawa wyborczego (w Kodeksie wyborczym bądź w przepisach szczególnych). Gdyby w obowiązującym w dacie rozpatrywania wniosku porządku prawnym nie było odpowiednich przepisów udzielających P. S.A. kompetencji związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, tym samym przedmiotowy wniosek nie powinien być uwzględniony (…)«. Ponadto NSA w uzasadnieniu ww. wyroku stwierdził cyt.: „Przede wszystkim przepisy ustawy - Kodeks wyborczy nie przewidywały dla operatora wyznaczonego w rozumieniu ustawy - Prawo pocztowe konieczności przetwarzania danych osobowych do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. (…) Gdyby więc ustawodawca uznał, że zachodzi potrzeba wprowadzenia w tych niewątpliwie nadzwyczajnych okolicznościach niezbędnej regulacji prawnej przewidującej dla operatora wyznaczonego realizację zadań, głównie natury technicznej, związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, które uzasadniałaby nadto przetwarzanie danych z rejestru PESEL na potrzeby realizacji tych zadań, taka regulacja mogłaby zostać wprowadzona do porządku prawnego w drodze ustawy. Dopiero wówczas pozytywna regulacja w tej materii mogłaby stanowić podstawę do procedowania w oparciu o art. 99 ustawy z 2020 r. [u.s.i.w.] (…) W dniu podjęcia zaskarżonej czynności brak było innych przepisów rangi ustawowej przewidujących dla operatora wyznaczonego materialnoprawnej (ustawowej) kompetencji do przetwarzania danych osobowych na potrzeby realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. Brak ich w szczególności w ustawie z 2020 r. i w ustawie z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (…). Zasady i tryb przeprowadzania wyborów Prezydenta Rzeczypospolitej Polskiej określa ustawa (art. 127 ust. 7 Konstytucji RP). Oznacza to, że zadania związane z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej przewidziane dla komisji wyborczych, komisarzy wyborczych, urzędników wyborczych, organów gmin itd. określone być mogą w przepisach rangi ustawowej. Także zadania o charakterze technicznym w procedurze wyborczej, przewidziane dla operatora wyznaczonego w rozumieniu ustawy - Prawo pocztowe, przede wszystkim związane z przetwarzaniem danych osobowych, mogą zostać uregulowane jedynie w ustawie. Jak już wskazano, w powołanej decyzji Prezesa Rady Ministrów z dnia 16 kwietnia 2020 r. polecającej P. S.A. realizację określonych w niej działań, przykładowo w niej wymienionych, jest mowa o czynnościach zmierzających do przygotowania i przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym. Z rozstrzygnięcia zawartego w tej decyzji nie wynika potrzeba przetwarzania przez spółkę danych osobowych z rejestru PESEL w związku z poleceniem podjęcia tych działań” (zob. wyrok NSA z 13 marca 2024 r., sygn. akt II OSK 1630/21, (…)). Zasadne jest również przytoczenie uzasadnienia ww. wyroku WSA z 26 lutego 2021 r. (sygn. akt IV SA/Wa 1817/20), w którym WSA stwierdził w szczególności, że zaskarżona czynność jest wadliwa albowiem została podjęta z naruszeniem przez Ministra Cyfryzacji art. 99 u.s.i.w., polegającym na udostępnieniu Poczcie Polskiej S.A. danych z rejestru PESEL w sytuacji, w której wbrew wymaganiom ww. przepisu brak było podstaw do uznania, iż dane te były potrzebne Poczcie Polskiej S.A. do zadeklarowanej przez nią we wniosku realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. W dacie dokonania zaskarżonej czynności przez Ministra Cyfryzacji (tj. w dniu 22 kwietnia 2020 r.) Poczcie Polskiej S.A. nie przysługiwały bowiem żadne własne kompetencje w zakresie organizacji wyborów Prezydenta Rzeczypospolitej Polskiej, do wykonania których potrzebne były udostępnione przez Ministra dane. Jednocześnie na żadnym etapie sprawy Poczta Polska S.A. nie powoływała się na fakt, a przede wszystkim nie wykazała, że udostępnione dane miałyby jej być potrzebne (stosownie do przewidzianej w przepisie alternatywy) w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Ponadto w uzasadnieniu ww. wyroku z 26 lutego 2021 r. WSA wskazał cyt.: „(…) Organ [Minister Cyfryzacji], do którego wpłynął wniosek Uczestnika [Poczty Polskiej S.A.] o udostępnienie na podstawie art.99 u.s.i.w. danych z rejestru PESEL, potrzebnych do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej, winien był stwierdzić w oparciu o obowiązujące ustawodawstwo, że: 1) Uczestnikowi nie przysługują żadne kompetencje (zadania) w zakresie organizacji wyborów Prezydenta Rzeczypospolitej Polskiej, do realizacji których niezbędne byłoby udostępnienie ww. danych, 2) na Uczestnika nie zostały nałożone żadne inne obowiązki, które takiego udostępnienia by wymagały. Oznacza to, że ustawowe przesłanki do udostępnienia Uczestnikowi danych z rejestru PESEL, przewidziane w art.99 u.s.i.w., nie zostały spełnione” (zob. wyrok WSA z 26 lutego 2021 r., sygn. akt IV SA/Wa 1817/20, (…)). Podobnie NSA w uzasadnieniu ww. wyroku z 28 czerwca 2024 r. (sygn. akt III OSK 4524/21) stwierdził w szczególności cyt.: »(…) art. 11 ust. 2 ustawy covidowej nie mógł stanowić wyłącznej i samodzielnej podstawy prawnej wydania przez Prezesa Rady Ministrów Poczcie Polskiej polecenia „podjęcia i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 roku w trybie korespondencyjnym”. Wydając decyzję organ nie powołał się na żaden przepis prawa, w oparciu o który dałoby się odtworzyć materialnoprawną podstawę wydanego Poczcie Polskiej polecenia. Tak Sąd pierwszej instancji, jak i Naczelny Sąd Administracyjny nie znajdują podstawy prawnej dla wydania Poczcie Polskiej polecenia zobowiązującego do podjęcia czynności zmierzających do przygotowania przeprowadzenia wyborów prezydenckich w trybie korespondencyjnym. Zasadniczą przyczyną tak kategorycznej oceny jest fakt, że na dzień wydania decyzji z 16 kwietnia 2020 roku nie obowiązywała podstawa prawna, która umożliwiałaby przeprowadzenie wyborów Prezydenta RP w 2020 roku wyłącznie w trybie korespondencyjnym, a skoro tak, to z założenia nie mogła obowiązywać podstawa prawna do wydania polecenia, które zobowiązywałoby do podjęcia czynności zmierzających do przygotowania ich przeprowadzenia« (zob. wyrok NSA z 28 czerwca 2024 r., sygn. akt III OSK 4524/21, (…)). Z kolei WSA w uzasadnieniu ww. wyroku z 15 września 2020 r. (sygn. akt VII SA/Wa 992/20) wskazał w szczególności cyt.: »W dacie orzekania przez Prezesa Rady Ministrów zaskarżoną decyzją nie istniał żaden przepis rangi ustawowej, który wyłączałby stosowanie art. 157 § 1 w zw. z art. 187 § 1 i § 2 Kodeksu wyborczego, przyznając uprawnienia PKW jakiemukolwiek innemu organowi administracji publicznej. Nie można w tym zakresie skutecznie prawnie twierdzić, że takim przepisem był art. 11 ust. 2 w zw. z art. 11 ust. 2a, ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Powołane w zaskarżonej decyzji przepisy, mające zdaniem organu stanowić podstawę prawną treści wydawanego polecenia, nie pozwalały bowiem Prezesowi Rady Ministrów na takie działanie, które w rzeczywistości stanowiło niedopuszczalną prawnie zmianę ustawy – Kodeks wyborczy. To, że organ ten został upoważniony do wydawania poleceń w związku z przeciwdziałaniem COVID-19 nie jest bowiem równoznaczne z tym, że został upoważniony do zmiany prawa obowiązującego przez określenie innej, niż PKW osoby, jako uprawnionej do jakichkolwiek czynności w zakresie przygotowania wyborów prezydenckich, w drodze decyzji administracyjnej. (…) Wydając zaskarżoną decyzję, Prezes Rady Ministrów wywiódł podstawę prawną zawartego w niej polecenia z art. 11 ust. 2 w zw. z art. 11 ust. 2a, ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Tym niemniej, jak już była o tym mowa w poprzedzającej części uzasadnienia, przepisy te nie upoważniały tego organu do polecenia Poczcie Polskiej S.A. „realizacji działań w zakresie przeciwdziałania COVID-19, polegających na podjęciu i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r., w trybie korespondencyjnym, w szczególności poprzez przygotowanie struktury organizacyjnej, zapewnienie niezbędnej infrastruktury oraz pozyskanie koniecznych zasobów materialnych kadrowych”. Powołane w decyzji przepisy upoważniały wyłącznie do wydawania poleceń w związku z przeciwdziałaniem COVID-19, a nie takich, jakie określone zostały w sentencji decyzji, w zakresie dotyczącym wyborów Prezydenta Rzeczypospolitej Polskiej« (zob. wyrok WSA z 15 września 2020 r., sygn. akt VII SA/Wa 992/20 (…)).
Prezes UODO w pełni podziela zaprezentowane powyżej stanowiska sądów administracyjnych i dokonaną przez nie kompleksową analizę stanu prawnego obowiązującego w dacie wydania ww. decyzji z 16 kwietnia 2020 r. przez Prezesa Rady Ministrów i w dacie przekazania danych osobowych przez Ministra Cyfryzacji na rzecz Poczty Polskiej S.A., konsekwencją czego koniecznym jest stwierdzenie, że w niniejszej sprawie nie zachodziła żadna z przesłanek z art. 6 ust. 1 rozporządzenia 2016/679 uprawniająca do udostępnienia danych osobowych przez Ministra Cyfryzacji na rzecz Spółki oraz ich pozyskania i przetwarzania przez Spółkę w celu realizacji zadań związanych z organizacją wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r.
24. Spółka otrzymała jednak i przetwarzała udostępnione jej dane osobowe w okresie od ich przekazania przez Ministra 22 kwietnia 2020 r. aż do chwili ich usunięcia (co nastąpiło 15-22 maja 2020 r.). Fakt udostępnienia danych osobowych i ich przetwarzania miał miejsce pomimo tego, że zarówno Minister, jak i Spółka, nie posiadali do tego podstaw prawnych. Należy przy tym podkreślić, że w analizowanym stanie faktycznym nie można również przyjąć, że podstaw do konwalidacji działań Ministra można szukać w obowiązujących wówczas przepisach ustawy o ewidencji ludności[6] (art. 46 ust. 1 i 2), co stanowiło przedmiot szerszej analizy zarówno WSA w wyroku z 26 lutego 2021 r. jak i NSA w wyroku z 13 marca 2024 r., a odpowiednie fragmenty uzasadnień w tym zakresie zostały wskazane w części II.B niniejszego uzasadnienia.
25. W tym miejscu należy również zaznaczyć, że w analizowanym stanie faktycznym wątpliwości organu nadzorczego nie budzi to, że zarówno Minister, jak i Spółka pełniły funkcję administratora przedmiotowych danych osobowych. Spółka otrzymawszy dane osobowe w związku ze złożonym przez siebie wnioskiem, samodzielnie dokonywała działań pozwalających przypisać jej funkcję administratora danych zgodnie z art. 4 pkt 7 rozporządzenia 2016/679, m.in. ustalając sposoby przetwarzania danych osobowych udostępnionych jej przez Ministra. Prezes UODO nie ma również wątpliwości co do tego, że administratorem danych jest Minister Cyfryzacji jako organ, a nie osoba piastująca to stanowisko w chwili udostępnienia danych osobowych Spółce (tj. 22 kwietnia 2020 r.).
26. Rozwijając ostatnie z powyższych stwierdzeń, należy podkreślić, że w Wytycznych 07/2020[7] Europejskiej Rady Ochrony Danych (dalej: EROD), wskazano, że „Definicja administrowania może wynikać z przepisów prawa lub analizy elementów stanu faktycznego lub okoliczności sprawy”. W świetle powyższego podkreślić należy, że zasady dostępu do danych osobowych przetwarzanych w ramach rejestru PESEL oraz cele, w jakich taki dostęp może nastąpić, szczegółowo określają przepisy prawa, w tym ustawa o ewidencji ludności. Z przepisów tych jednoznacznie wynika, że to minister właściwy do spraw informatyzacji jako organ administracji publicznej (a nie osoba w danym momencie piastująca to stanowisko) zapewnia utrzymanie i rozwój rejestru PESEL, w celu realizacji zadań określonych w ustawie (art. 6 ust. 2 ustawy o ewidencji ludności). Wskazane przepisy przesądzają zatem, że status administratora posiada Minister Cyfryzacji (organ) i to na nim ciążą obowiązki wynikające z przepisów rozporządzenia 2016/679. W konsekwencji nie można mówić w takim przypadku, że o ustaleniu podmiotu mającego status administratora decydują rzeczywiste działania osoby piastującej stanowisko ministerialne, skoro to właśnie przepis prawa przyznaje określonemu podmiotowi (administratorowi) uprawnienia do przetwarzania danych osobowych. Niezależnie od powyższego podkreślić należy, że z analizy stanu faktycznego w niniejszej sprawie jednoznacznie wynika, że administratorem – przede wszystkim z uwagi na prawny i faktyczny dostęp do rejestru PESEL – jest w badanym aspekcie Minister Cyfryzacji (organ). Zatem, nawet gdyby nie istniały wskazane wyżej szczegółowe przepisy prawa, odpowiedź na pytanie, kto jest administratorem, byłaby taka sama.
27. Zgodnie z definicją zawartą w art. 4 ust. 7 rozporządzenia 2016/679, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. W przypadku danych osobowych zawartych w rejestrze PESEL, których dotyczy niniejsza decyzja, administratorem jest w badanym aspekcie organ administracji publicznej, czyli Minister Cyfryzacji, nie zaś osoba fizyczna pełniąca funkcję piastuna tego organu.
28. Ponadto Wytyczne 07/2020 wskazują, że „Czasami przedsiębiorstwa i organy publiczne wyznaczają konkretną osobę odpowiedzialną za realizację działań związanych z przetwarzaniem. Nawet jeżeli do zapewnienia zgodności z przepisami o ochronie danych wyznaczona zostanie konkretna osoba fizyczna, osoba ta nie będzie administratorem, lecz będzie działać w imieniu podmiotu prawnego (przedsiębiorstwa lub organu publicznego), który będzie ponosić ostateczną odpowiedzialność w przypadku naruszenia przepisów na skutek działania w charakterze administratora”.
29. Przyjęcie innego stanowiska skutkowałoby koniecznością uznania, że każdorazowo wraz ze zmianą osoby piastującej funkcję organu administracji publicznej (w tym przypadku Ministra Cyfryzacji) następowałaby zmiana administratora danych. Takie podejście jest jednak nie tylko sprzeczne z obowiązującymi przepisami, na co wskazano już wyżej, ale także niedopuszczalne z punktu widzenia możliwości realizacji obowiązków prawnych administratora z uwagi na to, że wówczas za realizację obowiązków administratora wynikających z rozporządzenia 2016/679 odpowiedzialny byłby nie organ administracji publicznej, tylko jego piastun.
30. Piastun organu administracji publicznej, który dopuścił się naruszenia przepisów prawa, w tym przepisów o ochronie danych osobowych, może jednak ponieść odpowiedzialność karną, np. w związku z przekroczeniem swoich uprawnień (m. in. art. 107 ust. 1 u.o.d.o.). Ponadto, stosownie do przepisów zawartych w rozdziale I działu 5 Kodeksu pracy[8], może on ponieść odpowiedzialność majątkową za wyrządzoną szkodę w wysokości nieprzewyższającej kwoty trzymiesięcznego wynagrodzenia przysługującego mu w dniu wyrządzenia szkody (art. 119 Kodeksu pracy), chyba że szkodę wyrządził umyślnie. Wówczas obowiązany jest do jej naprawienia w pełnej wysokości (art. 122 Kodeksu pracy), co w praktyce pozwala na wyegzekwowanie administratorowi w takim przypadku od osoby (pracownika) odpowiedzialnej za naruszenie przepisów o ochronie danych osobowych kwoty odpowiadającej wysokości poniesionej przez pracodawcę, na skutek jej umyślnego działania, szkody (odpowiedzialność regresowa). Natomiast niniejsza decyzja jest związana z odpowiedzialnością o charakterze administracyjnym ponoszoną przez administratora danych (Ministra Cyfryzacji oraz Spółkę) za naruszenie przepisów rozporządzenia 2016/679. Jak jednak wskazano, administrator danych osobowych dysponuje środkami prawnymi, które pozwalają mu na dochodzenie odpowiedzialności prawnej i finansowej – w szczególności w cywilnoprawnym postępowaniu regresowym, tudzież w drodze pociągnięcia osoby winnej naruszenia przepisów o ochronie danych osobowych do odpowiedzialności karnej za ich naruszenie. Prezes UODO stoi na stanowisku, że dla zapewnienia skutecznej ochrony danych osobowych konieczne są efektywne mechanizmy dochodzenia odpowiedzialności za ich naruszenie przez administratorów, w tym także w odniesieniu do pracowników administratora, w tym osób zatrudnionych w strukturze administratora na podstawie powołania jako piastuni organu. Odpowiedzialność ta powinna być jednak dochodzona w odpowiednich procedurach, wskazanych wyżej.
II. Stwierdzenie nieważności Decyzji PRM z 16 kwietnia 2020 r. oraz bezskuteczności czynności Ministra z 22 kwietnia 2020 r. polegającej na udostępnieniu Spółce danych osobowych z rejestru PESEL.
II.A Stwierdzenie nieważności Decyzji PRM z 16 kwietnia 2020 r.
31. WSA w uzasadnieniu wyroku z 15 września 2020 r. (sygn. akt VII SA/Wa 992/20) wskazał w szczególności:
- „(…) jedynym najwyższym organem wyborczym Rzeczypospolitej Polskiej uprawnionym do jakichkolwiek działań związanych z wyborami powszechnymi była w dniu wydania zaskarżonej decyzji PKW [Państwowa Komisja Wyborcza – przyp. wł.], a nie Prezes Rady Ministrów. Kompetencje PKW nie zostały także - do dnia wydawania zaskarżonej decyzji - w żaden prawny sposób przyznane innemu organowi publicznemu lub podmiotowi.
Wydanie przez Prezesa Rady Ministrów w dniu 16 kwietnia 2020 r. zaskarżonej decyzji, polecającej Poczcie Polskiej S.A. podjęcie działań – leżących z mocy ustawy wyłącznie w gestii PKW i KBW [Krajowego Biura Wyborczego – przyp. wł.] – a polegających na podjęciu i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r., w trybie korespondencyjnym, w szczególności poprzez przygotowanie struktury organizacyjnej, zapewnienie niezbędnej infrastruktury oraz pozyskanie koniecznych zasobów materialnych kadrowych stanowiło więc rażące naruszenie ww. przepisów Kodeksu wyborczego.
W dacie orzekania przez Prezesa Rady Ministrów zaskarżoną decyzją nie istniał żaden przepis rangi ustawowej, który wyłączałby stosowanie art. 157 § 1 w zw. z art. 187 § 1 i § 2 Kodeksu wyborczego, przyznając uprawnienia PKW jakiemukolwiek innemu organowi administracji publicznej. Nie można w tym zakresie skutecznie prawnie twierdzić, że takim przepisem był art. 11 ust. 2 w zw. z art. 11 ust. 2a, ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych”.
- „Wprawdzie 6 kwietnia 2020 r. Sejm RP uchwalił ustawę o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r., przewidującą przeprowadzenie wyborów wyłącznie w formie korespondencyjnej, ale ustawa ta nie uzyskała poparcia Senatu R.P., który 5 maja 2020 r. wniósł o jej odrzucenie. Sejm jednak odrzucił uchwałę Senatu, a Prezydent Rzeczypospolitej ustawę podpisał, ale dopiero 8 maja 2020 r. Ustawa ta weszła w życie 9 maja 2020 r.”.
- »(…) powołane przez Prezesa Rady Ministrów w decyzji, jako podstawa prawna art. 11 ust. 2 w zw. z art. 11 ust. 2a, ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych do wydawania poleceń określonym podmiotom wyraźnie stanowiły, że polecenia te mają pozostawać w związku z przeciwdziałaniem COVID-19. Przepisy te nie upoważniały natomiast Prezesa Rady Ministrów do zlecenia czynności zmierzających do przygotowania przeprowadzenia wyborów Poczcie Polskiej, a w efekcie do faktycznej zmiany prawa obowiązującego (ustawy Kodeks wyborczy) poprzez wydanie decyzji o podjęciu i realizacji przez jakikolwiek inny podmiot niż Krajowe Biuro Wyborcze, niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. i to w trybie nieprzewidzianym ustawą, tj. w "trybie korespondencyjnym"«.
32. NSA w uzasadnieniu wyroku z 28 czerwca 2024 r. (sygn. akt III OSK 4524/21) stwierdził zaś w szczególności, że:
- »(…) art. 11 ust. 2 ustawy covidowej nie mógł stanowić wyłącznej i samodzielnej podstawy prawnej wydania przez Prezesa Rady Ministrów Poczcie Polskiej polecenia „podjęcia i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 roku w trybie korespondencyjnym”. Wydając decyzję organ nie powołał się na żaden przepis prawa, w oparciu o który dałoby się odtworzyć materialnoprawną podstawę wydanego Poczcie Polskiej polecenia. Tak Sąd pierwszej instancji, jak i Naczelny Sąd Administracyjny nie znajdują podstawy prawnej dla wydania Poczcie Polskiej polecenia zobowiązującego do podjęcia czynności zmierzających do przygotowania przeprowadzenia wyborów prezydenckich w trybie korespondencyjnym. Zasadniczą przyczyną tak kategorycznej oceny jest fakt, że na dzień wydania decyzji z 16 kwietnia 2020 roku nie obowiązywała podstawa prawna, która umożliwiałaby przeprowadzenie wyborów Prezydenta RP w 2020 roku wyłącznie w trybie korespondencyjnym, a skoro tak, to z założenia nie mogła obowiązywać podstawa prawna do wydania polecenia, które zobowiązywałoby do podjęcia czynności zmierzających do przygotowania ich przeprowadzenia«.
- » (…) wyłączną kompetencję do podjęcia działań związanych z organizacją i przeprowadzeniem wyborów prezydenckich posiada Krajowe Biuro Wyborcze, które obsługuje Państwową Komisję Wyborczą. To Krajowe Biuro Wyborcze ma podjąć wszelkie niezbędne działania zapewniające organom wyborczym odpowiednie warunki i zasoby organizacyjne, osobowe, techniczne i finansowe konieczne do przeprowadzenia wyborów. Wydanie polecenia zobowiązującego Pocztę Polską do "podjęcia i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r., w trybie korespondencyjnym, w szczególności poprzez przygotowanie struktury organizacyjnej, zapewnienie niezbędnej infrastruktury oraz pozyskanie koniecznych zasobów materialnych kadrowych" w sposób oczywisty ingeruje w kompetencje Krajowego Biura Wyborczego. To nie Poczta Polska, lecz Krajowe Biuro Wyborcze posiada prawne umocowanie do zapewnienia warunków niezbędnych do przeprowadzenia wyborów«.
II.B Stwierdzenie bezskuteczności czynności Ministra z 22 kwietnia 2020 r. polegającej na udostępnieniu Spółce danych osobowych z rejestru PESEL.
33. W wyroku WSA z 26 lutego 2021 r. (sygn. akt IV SA/Wa 1817/20) Sąd ten stwierdził, że ww. zaskarżona czynność jest wadliwa, ponieważ została podjęta z naruszeniem przez Ministra art. 99 u.s.i.w.. W uzasadnieniu tego wyroku WSA wskazał w szczególności, że:
- „Przyjęcie, iż art.99 u.s.i.w. co do zasady stanowił wskazaną w art.6 ust.3 RODO podstawę do przetwarzania danych w celach wskazanych w art. 6 ust. 1 lit. c i e RODO nie zwalniało jednakże administratora rejestru PESEL (…) z obowiązku wyczerpującego zbadania warunków i zakresu dopuszczalnego przetwarzania (tj. udostępnienia danych Uczestnikowi)”.
- „(…) rekonstrukcja przez Organ [Ministra – przyp. wł.] normy prawnej, mającej wynikać z art.99 u.s.i.w., konieczna do ustalenia precyzyjnego zakresu uprawnień Uczestnika [Spółki – przyp. wł.] i kompetencji Ministra, które ewentualnie mogłyby być realizowane w oparciu o art.99 u.s.i.w., nie mogła opierać się na założeniu, iż przepis ten samodzielnie i arbitralnie, tj. w oderwaniu od innych uregulowań systemu prawa, upoważniał Organ do udostępnienia Uczestnikowi danych z rejestru PESEL, czy też, że wystarczającą podstawą do udostępnienia tych danych mogło być w szczególności:
1) samo zadeklarowanie przez Uczestnika, że dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej (bądź też hipotetyczne zadeklarowanie, iż dane te są potrzebne w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej) ewentualnie;
2) wydanie przez Prezesa RM, na podstawie art. 11 ust. 2 w zw. z art. 11 ust. 2a i 3 ustawy z dnia 2 marca 2020 r., decyzji z dnia [...] kwietnia 2020 r. znak [...], polecającej Uczestnikowi realizację działań w zakresie przeciwdziałania COVID-19, polegających na podjęciu i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym.
(…) legalność udostępnienia Uczestnikowi w dniu [...] kwietnia 2020 r., na podstawie art.99 u.s.i.w., danych osobowych z prowadzonego przez Organ rejestru PESEL, dotyczących żyjących obywateli polskich, którzy uzyskali pełnoletność dnia 10 maja 2020 r. i których krajem zamieszkania jest Polska, była bezwzględnie uzależniona od ustalenia przez Organ, iż w dacie tej Uczestnik posiadał ustawowo określone kompetencje w zakresie realizacji takich zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, które uzasadniały dysponowanie w/w danymi, ewentualnie, że na Uczestniku spoczywały wówczas jakiekolwiek inne obowiązki nałożone przez organy administracji rządowej, które również uzasadniałyby dysponowanie przez Uczestnika danymi z rejestru PESEL.
Oznacza to, iż przy rekonstrukcji normy wynikającej z art.99 u.s.i.w. Organ był zobligowany do uwzględnienia w szczególności przepisów regulujących w dacie dokonania zaskarżonej czynności zasady przeprowadzania wyborów Prezydenta Rzeczypospolitej Polskiej i ewentualnie przewidziane tam kompetencje i zadania Uczestnika”.
- „(…) Organ, do którego wpłynął wniosek Uczestnika o udostępnienie na podstawie art.99 u.s.i.w. danych z rejestru PESEL, potrzebnych do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej, winien był stwierdzić w oparciu o obowiązujące ustawodawstwo, że: 1) Uczestnikowi nie przysługują żadne kompetencje (zadania) w zakresie organizacji wyborów Prezydenta Rzeczypospolitej Polskiej, do realizacji których niezbędne byłoby udostępnienie w/w danych, 2) na Uczestnika nie zostały nałożone żadne inne obowiązki, które takiego udostępnienia by wymagały. Oznacza to, iż ustawowe przesłanki do udostępnienia Uczestnikowi danych z rejestru PESEL, przewidziane w art.99 u.s.i.w., nie zostały spełnione”.
- „Uznać należy, iż w dniu [...] kwietnia 2020 r. Uczestnik nie spełniał żadnego z warunków, uprawniających go do uzyskania z rejestru PESEL danych dotyczących żyjących obywateli polskich, którzy uzyskali pełnoletność dnia 10 maja 2020 r. i których krajem zamieszkania jest Polska. Stosownie do powyższego:
(i) Uczestnik nie spełniał wymogów do obligatoryjnego uzyskania danych, określonych w art.46 ust.1 pkt 1 – 6 u.e.l., albowiem nie był którymkolwiek z podmiotów wymienionych w pkt 1 – 3 i 6, a o ile przyjąć nawet, iż jako jednoosobowa spółka Skarbu Państwa jest on państwową jednostką organizacyjną, o której mowa w pkt 6, to nie wykazał, iż dane te były mu potrzebne do realizacji zadań publicznych określonych w odrębnych przepisach;
(ii) Uczestnik nie spełniał przesłanek do fakultatywnego uzyskania danych, określonych w art.46 ust.2 pkt 1 – 5 u.e.l., w tym w szczególności nie wykazał, iż w dacie udostępnienia legitymował się jakimkolwiek własnym, tj. dotyczącym sfery jego uprawnień i obowiązków jako podmiotu prawa (nie zaś związanym z ewentualnym wykonywaniem obowiązków o charakterze publicznym) interesem w uzyskaniu danych dotyczących żyjących obywateli polskich, którzy uzyskali pełnoletność dnia 10 maja 2020 r. i których krajem zamieszkania jest Polska”.
34. Z kolei NSA w wyroku z 13 marca 2024 r. (sygn. akt II OSK 1630/21) w szczególności stwierdził, że:
- »P. S.A. [Spółka – przyp. własny] w swym wniosku o udostępnienie danych z rejestru PESEL, powołując się na uprawnienie wynikające z art. 99 ustawy, wskazała, że „dane są potrzebne i zostaną wykorzystane wyłącznie w celu realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej”. Minister Cyfryzacji miał więc obowiązek zweryfikowania tego wniosku, a mianowicie czy wniosek ten jest uzasadniony realizacją zadań związanych z organizacją wyborów. To zaś z kolei powodowało konieczność kolejnej weryfikacji, tym razem posiadania przez operatora wyznaczonego kompetencji do realizacji zadań z zakresu organizacji wyborów, ponieważ samego art. 99 ustawy z 2020 r. nie można uznać za źródło takiej (takich) kompetencji. Źródeł tych należy bowiem poszukiwać w przepisach prawa wyborczego (w Kodeksie wyborczym bądź w przepisach szczególnych). Gdyby w obowiązującym w dacie rozpatrywania wniosku porządku prawnym nie było odpowiednich przepisów udzielających P. S.A. kompetencji związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, tym samym przedmiotowy wniosek nie powinien być uwzględniony«.
- „Przede wszystkim przepisy ustawy - Kodeks wyborczy nie przewidywały dla operatora wyznaczonego w rozumieniu ustawy - Prawo pocztowe konieczności przetwarzania danych osobowych do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej”.
- „Gdyby więc ustawodawca uznał, że zachodzi potrzeba wprowadzenia w tych niewątpliwie nadzwyczajnych okolicznościach niezbędnej regulacji prawnej przewidującej dla operatora wyznaczonego realizację zadań, głównie natury technicznej, związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, które uzasadniałaby nadto przetwarzanie danych z rejestru PESEL na potrzeby realizacji tych zadań, taka regulacja mogłaby zostać wprowadzona do porządku prawnego w drodze ustawy. Dopiero wówczas pozytywna regulacja w tej materii mogłaby stanowić podstawę do procedowania w oparciu o art. 99 ustawy z 2020 r. [u.s.i.w. – przyp. własny]”
- „W dniu podjęcia zaskarżonej czynności brak było innych przepisów rangi ustawowej przewidujących dla operatora wyznaczonego materialnoprawnej (ustawowej) kompetencji do przetwarzania danych osobowych na potrzeby realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej. Brak ich w szczególności w ustawie z 2020 r. i w ustawie z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (…)”.
- „Z rozstrzygnięcia zawartego w tej decyzji [Decyzji PRM z 16 kwietnia 2020 r. – przyp. wł.] nie wynika potrzeba przetwarzania przez spółkę danych osobowych z rejestru PESEL w związku z poleceniem podjęcia tych działań”.
- »Nie znajduje usprawiedliwienia zarzut naruszenia przez Sąd pierwszej instancji art. 46 ust. 2 pkt 1 ustawy o ewidencji ludności przez błędną wykładnię tego przepisu. Przewiduje on możliwość udostępnienia danych z rejestru PESEL oraz rejestru mieszkańców osobom i jednostkom organizacyjnym, jeżeli wykażą w tym interes prawny. Sąd w trakcie wyjaśniania podstawy prawnej swego rozstrzygnięcia nawiązał, i słusznie, do regulacji prawnej zawartej w art. 46 ust. 1 i 2 ustawy o ewidencji ludności stwierdzając, że w jego ocenie nie można przyjmować, by brak podstaw do udostępnienia danych z rejestru PESEL w oparciu o art. 99 ustawy z 2020 r. mógł być konwalidowany przez wykazanie, że operator wyznaczony w rozumieniu ustawy - Prawo pocztowe spełnia wymogi udostępnienia mu danych z rejestru na zasadach ogólnych. W odniesieniu do możliwości fakultatywnego udostępniania danych na podstawie art. 46 ust. 2 pkt 1 ustawy o ewidencji ludności stwierdził, że spółka w swym wniosku nie powoływała się na istnienie po jej stronie własnego, indywidualnego interesu prawnego w zakresie jej uprawnień lub obowiązków do przetwarzania danych z rejestru, lecz na wykonywanie zadań o charakterze publicznym. Spółka składając wniosek nie występowała jednak jako "podmiot zewnętrzny", ale jako organ w rozumieniu funkcjonalnym, a jak wykazano - bez kompetencji (dostatecznego ustawowego umocowania) do realizacji zadań związanych z organizacją wyborów«.
III. Ocena Prezesa UODO.
35. Jak wskazano już wcześniej, wyliczenie przesłanek dopuszczalności przetwarzania danych osobowych, zawarte w art. 6 ust. 1 rozporządzenia 2016/679, jest enumeratywne (jest to katalog zamknięty), a każda z nich ma charakter równoprawny, autonomiczny i niezależny. Dla legalności procesu przetwarzania danych (każdej czynności stanowiącej ich przetwarzanie) niezbędne, a zarazem wystarczające jest zatem spełnienie jednej z nich.
36. Jednocześnie, mając na względzie konstytucyjną regułę praworządności (art. 7 Konstytucji RP), zasadnym jest przyjęcie, że legalność analizowanych działań Ministra powinna być weryfikowana przede wszystkim w kontekście spełnienia warunków dopuszczalności przetwarzania danych określonych w art. 6 ust. 1 lit. c) rozporządzenia 2016/679. Ze względu na to, że oceniany proces przetwarzania danych przez Spółkę miał służyć realizacji określonych zadań w sferze publicznej, do podjęcia których Spółka miała być zobligowana Decyzją PRM z 16 kwietnia 2020 r., również i on wymaga weryfikacji w pierwszej kolejności z punktu widzenia spełnienia wymogów określonych ww. przepisem.
37. Decydującymi z punktu widzenia oceny legalności analizowanych działań Ministra i Spółki w kontekście przepisów o ochronie danych osobowych są zarazem rozstrzygnięcia zawarte w opisanych wyżej wyrokach sądowych, tj. w wyroku WSA z 15 września 2020 r. (sygn. akt VII SA/Wa 992/20) stwierdzającym nieważność Decyzji PRM z 16 kwietnia 2020 r., utrzymanym w mocy ww. wyrokiem NSA z 28 czerwca 2024 r. (sygn. akt III OSK 4524/21) oraz w wyroku WSA z 26 lutego 2021 r. (sygn. akt IV SA/Wa 1817/20) stwierdzającym bezskuteczność czynności Ministra z 22 kwietnia 2020 r. polegającej na udostępnieniu Spółce, z rejestru PESEL, danych osobowych dotyczących żyjących obywateli polskich, którzy uzyskali pełnoletność 10 maja 2020 r. i których krajem zamieszkania jest Polska, jako wydanej z naruszeniem przepisów prawa obowiązujących w dacie jej dokonania, utrzymanym w mocy ww. wyrokiem NSA z 13 marca 2024 r. (sygn. akt II OSK 1630/21). Wyrażona w ww. wyrokach sądów administracyjnych ocena prawna dotycząca działań Prezesa Rady Ministrów oraz Ministra Cyfryzacji w oczywisty sposób rzutuje również na ocenę działań Spółki (będących następstwem i realizacją Decyzji PRM z 16 kwietnia 2020 r.) i skutkuje koniecznością uznania, że analizowane przetwarzanie danych osobowych przez Ministra (polegające na ich udostępnieniu na rzecz Spółki), jak również przetwarzanie tych danych przez Spółkę (w sposób polegający na ich pozyskaniu od Ministra i poddaniu procesowi dalszego przetwarzania dla celów związanych z organizacją wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 roku, który to proces zakończył się finalnie z chwilą usunięcia tych danych) nie znajdowało oparcia w art. 6 ust. 1 rozporządzenia 2016/679.
38. Mając na uwadze, że w powołanych wyrokach stwierdzono nieważność decyzji Prezesa Rady Ministrów z 16 kwietnia 2020 r., nakładającej na Spółkę obowiązki w obszarze realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów w trybie korespondencyjnym oraz bezskuteczność czynności Ministra Cyfryzacji służącej zapewnieniu Spółce możliwości realizacji tych obowiązków – tj. udostępnienia na rzecz Spółki danych osobowych z rejestru PESEL, jako czynności naruszającej przepisy prawa, należy uznać, że oceniane czynności przetwarzania danych (ich udostępnienie przez Ministra na rzecz Spółki oraz pozyskanie przez Spółkę i poddanie procesowi dalszego przetwarzania dla celów organizacji wyborów) nie znajdowały oparcia w art. 6 ust. 1 lit c) rozporządzenia 2016/679. Wskazane w powyższych orzeczeniach ustalenia i oceny prawne sądów administracyjnych obligują do przyjęcia, że skoro w dacie realizacji ww. czynności przetwarzania danych nie istniała po stronie Spółki norma kompetencyjna uprawniająca ją do działań w obszarze przygotowania wyborów Prezydenta Rzeczypospolitej Polskiej, to udostępnienia przedmiotowych danych przez Ministra na rzecz Spółki i ich pozyskania oraz dalszego przetwarzania przez Spółkę dla potrzeb związanych z przygotowaniem tych wyborów, nie sposób uznać za czynności przetwarzania realizowane w celu wypełnienia obowiązków spoczywających na ww. administratorach, ani z punktu widzenia realizacji tych obowiązków niezbędne.
39. Z podanych względów, będąc związanym wyrażonymi w ww. wyrokach stanowiskami sądów administracyjnych i dokonaną przez nie kompleksową analizą stanu prawnego obowiązującego w dacie wydania Decyzji PRM z 16 kwietnia 2020 r. i w dacie przekazania danych osobowych przez Ministra na rzecz Spółki (ich pozyskania przez Spółkę od Ministra), a tym samym w pełni je podzielając, organ nadzorczy ustalił, że w niniejszej sprawie nie zachodziła przesłanka z art. 6 ust. 1 lit. c) rozporządzenia 2016/679 uprawniająca do udostępnienia danych osobowych przez Ministra na rzecz Spółki oraz ich pozyskania i przetwarzania w okresie od 22 kwietnia 2020 r. do 15-22 maja 2020 r. przez Spółkę w celu realizacji zadań związanych z organizacją wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r.
40. Z tego samego powodu analizowane czynności przetwarzania (udostępnienie danych z rejestru PESEL przez Ministra oraz ich pozyskanie i poddanie procesowi dalszego przetwarzania przez Spółkę) nie mogą być ocenione jako legalne na warunkach określonych w art. 6 ust. 1 lit. e) rozporządzenia 2016/679.W obu regulowanych tym przepisem przypadkach – tj. zarówno w sytuacji, gdy przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym, jak i gdy jest ono niezbędne w ramach sprawowania władzy publicznej powierzonej administratorowi – zadanie, jak i sprawowanie władzy publicznej muszą zostać sprecyzowane w przepisach, o których mowa w art. 6 ust. 3 rozporządzenia 2016/679. Tymczasem w badanej sprawie – w świetle powołanych wyroków sądów administracyjnych – regulacje takie nie istniały. Wtórnym jest w tej sytuacji, iż oparcie przetwarzania na podstawie z art. 6 ust. 1 lit. e) rozporządzenia 2016/679 wiąże się z przyznaniem osobom, których dane mają być przetwarzane, dodatkowych, szczególnych uprawnień regulowanych w art. 21 rozporządzenia 2016/679. Zgodnie z tym przepisem, podmiot danych jest uprawniony do wniesienia sprzeciwu, z przyczyn związanych z jego szczególną sytuacją – wobec przetwarzania dotyczących go danych osobowych. Sprzeciw skutkuje tym, że administrator nie może już przetwarzać tych danych osobowych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, albo podstaw do ustalenia, dochodzenia lub obrony roszczeń. W rozpatrywanej sprawie oczywistym jest, że działania Ministra oraz Spółki nie wiązały się – nawet w założeniach – z zamiarem badania zasadności i respektowania ewentualnego stanowiska podmiotów danych wobec ich przetwarzania, wyrażanego w formie sprzeciwu.
41. Dla porządku należy wskazać, że oceniane czynności przetwarzania nie znajdowały również oparcia w art. 6 ust. 1 lit. d) rozporządzenia 2016/679 (niezbędność przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej). Gdyby nawet próbować uznać, że czynności Ministra i Spółki służyć miały realizacji żywotnych interesów osób, których dane dotyczą (niezdefiniowanym precyzyjnie celom w zakresie ochrony ich życia i zdrowia), to w sytuacji braku po stronie wskazanych administratorów przepisów kompetencyjnych w zakresie realizacji czynności związanych z organizacją wyborów, a zarazem braku określonych kompetencji dotyczących ochrony zdrowia, oczywistym jest, że ww. przesłanka nie mogła być w przedmiotowej sprawie spełniona. Respektowanie samodzielnego, autonomicznego charakteru przesłanek dopuszczalności przetwarzania danych nie może prowadzić do wniosków, które stałyby w sprzeczności z konstytucyjną zasadą legalizmu działania władzy publicznej. Władza ta nie może zatem wykraczać poza zakres określonych prawem kompetencji, odwołując się do potrzeb związanych z ochroną żywotnych interesów osób, których dane dotyczą. Z jednej bowiem strony, zasadnym wydaje się założenie, że całokształt organizacji państwa – w jego sferze publicznej – służyć ma szeroko rozumianym, żywotnym interesom obywateli. Z drugiej, bez wątpienia określone struktury państwa, jak również określone podmioty sektora prywatnego, dedykowane są osiąganiu celów w obszarze ochrony życia i zdrowia, nie należą do nich przy tym ani Minister, ani Spółka. Wreszcie organizacja wyborów, również w okresie szczególnym – z uwagi na sytuację pandemiczną – sama w sobie nie służy w sposób bezpośredni ochronie życia lub zdrowia. Nie sposób zanegować potrzeby i zasadności dyskusji dotyczącej ewentualnych, adekwatnych modyfikacji w obszarze realizacji procedury wyborczej w sytuacji, gdy termin wyborów przypadał na okres pandemii, niemniej celem zasadniczym działań Ministra i Spółki było przygotowanie wyborów, a nie działania służące ochronie żywotnych interesów podmiotów danych w sferze ich zdrowia. Z tego też względu nie sposób uznać za spełnione kryterium niezbędności analizowanego procesu przetwarzania danych (ich udostępnienia przez Ministra i pozyskania przez Spółkę) dla realizacji żywotnych interesów podmiotów danych (w obszarze ochrony ich życia i zdrowia). Wedle prezentowanego w literaturze przedmiotu stanowiska pojęcie niezbędności przetwarzania danych z punktu widzenia ochrony żywotnych interesów podmiotów danych cyt.: „(…) należy rozumieć w podobny sposób jak na gruncie przepisu art. 6 ust. 1 lit. b. Oznacza ono zatem, że przetwarzanie danych dla ochrony żywotnych interesów podmiotu danych lub innej osoby fizycznej musi być, rozsądnie oceniając, potrzebne (…) musi występować bezpośredni związekpomiędzy ochroną żywotnego interesu a potrzebą przetwarzania danych osobowych.” (D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6). Podkreśla się również, że cyt.: „Aby można było oprzeć przetwarzanie danych na omawianej przesłance, powinno być niezbędne do ochrony żywotnych interesów osoby, tzn. nieprzetwarzanie danych mogłoby prowadzić do zagrożenia lub naruszenia żywotnych interesów tej osoby. Rozstrzygnięcie, czy przetwarzanie danych jest niezbędne, powinno być dokonywane indywidualnie, w konkretnym przypadku, z uwzględnieniem faktycznych okoliczności przetwarzania danych” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 6).
42. Brak zaistnienia w badanej sprawie pozostałych przesłanek dopuszczalności przetwarzana danych nie wymaga szerszego uzasadnienia. Analizowany proces przetwarzania danych miał być bowiem w założeniu realizowany w ramach sprawowania władztwa publicznego. Bez wątpienia przetwarzanie danych uzasadniane koniecznością przygotowania wyborów nie wiązało się z przyjęciem możliwości podejmowania przez podmioty danych indywidualnych decyzji odnośnie do dopuszczalności takich czynności przetwarzania danych czy ustalania ich warunków. Oczywiste jest zatem, że omawiane czynności przetwarzania danych nie były realizowane na warunkach określonych w art. 6 ust. 1 lit. a) (na podstawie zgody osób, których dane dotyczą) bądź art. 6 ust. 1 lit. b) rozporządzenia 2016/679 (jako niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osób, których dane dotyczą, przed zawarciem umowy).
43. Wykluczone jest również przyjęcie, że kwestionowane przetwarzanie danych osobowych znajdowało oparcie w art. 6 ust. 1 lit. f) rozporządzenia 2016/679. Przesłanka ta nie może być nawet teoretycznie analizowania jako podstawa badanego procesu przetwarzania danych w zakresie, w jakim był on realizowany przez Ministra (udostępnienie danych osobowych na rzecz Spółki) – a to z uwagi na regulację zawartą w art. 6 ust. 1 in fine.
44. Ustalenie, że analizowany proces przetwarzania danych osobowych przez Ministra i Spółkę był realizowany pomimo braku podstawy prawnej z art. 6 ust. 1 rozporządzenia 2016/679 wiąże się ze stwierdzeniem, że wskazani administratorzy naruszyli swoim działaniem także art. 5 ust. 1 lit. a) ww. aktu prawnego – łamiąc wyrażoną w nim zasadę zgodności z prawem, rzetelności i przejrzystości.
45. W warunkach, w jakich doszło do nieuprawnionego przetwarzania przez Ministra oraz Spółkę szczególnie obszernego zestawu danych osobowych pochodzących z rejestru PESEL, którego potrzebę uzasadniano powołując się na trwający wówczas stan pandemii i konieczność ochrony dóbr najistotniejszych z punktu widzenia obywateli – tj. ich życia i zdrowia (w ten bowiem sposób uzasadniano działania służące przygotowaniu przeprowadzenia wyborów w trybie korespondencyjnym), waga i znaczenie reguł jakości danych, w tym ww. reguły oraz konieczność jej respektowania wydają się szczególnie doniosłe. Jak wskazuje się w literaturze przedmiotu cyt.: „Obowiązek rzetelności przetwarzania danych oznacza, że administrator nie powinien (…) wykorzystywać jego [podmiotu danych] trudnej sytuacji, ograniczeń bądź przymusowego położenia, wykorzystywać swojej silniejszej pozycji, narzucając uciążliwe warunki przetwarzania danych, a powinien szanować wolę i respektować interesy oraz słuszne oczekiwania osoby, której dane dotyczą” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5).
46. Należy w tym miejscu wskazać, że zasada zgodności z prawem, sformułowana w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (będąca jedną z podstawowych zasad przetwarzania danych osobowych ), „(…) określana również mianem legalności przetwarzania danych, oznacza wymóg przestrzegania norm ustanowionych w przepisach prawa. Zasada zgodności przetwarzania danych z prawem ma szeroki zakres przedmiotowy, nie chodzi tu tylko o przepisy komentowanego rozporządzenia, ale także o przepisy zawarte w innych aktach normatywnych. (…) Wśród przepisów dotyczących przetwarzania danych szczególną rolę pełnią wymogi odnoszące się do zgodności przetwarzania z prawem (określane także, jako tzw. podstawy dopuszczalności przetwarzania danych lub przesłanki legalności przetwarzania danych), określone w przepisach art. 6, 9 i 10 komentowanego rozporządzenia. Przepisy te wskazują przypadki, gdy przetwarzanie danych jest prawnie dopuszczalne (ujmując to najprościej:, kiedy można zgodnie z prawem przetwarzać dane osobowe)” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5).
47. Przy analizie przedmiotowej sprawy kluczowe jest podkreślenie i wyraźne wybrzmienie tego, że fakt bezpodstawnego udostępnienia danych osobowych z rejestru PESEL oraz ich przetwarzania przez Spółkę, zagrażał prawidłowej realizacji praw przysługującym obywatelom na mocy Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 ze zm.). Jest to szczególnie ważne, jako że zgodnie z art. 47 Konstytucji RP każda osoba ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Zaznaczenia wymaga, że prawo do prywatności jest jednym z podstawowych praw człowieka, a jego ochrona stanowi element zasadniczy systemu wartości. Jednocześnie, skutki naruszeń nieuprawnionego dostępu do informacji mogą być dochodzone na podstawie przepisów prawa cywilnego, karnego oraz administracyjnego. W przedmiotowej materii wypowiedział się również Sąd Apelacyjny w Warszawie w wyroku z 19 listopada 2019 r., sygn. akt VI ACa 397/18, wskazując, że „Prawo do prywatności w świetle regulacji konstytucyjnych ujmowane jest przede wszystkim przez pryzmat autonomii jednostki wywodzonej z godnościowej koncepcji osoby ludzkiej, stanowiącej, w świetle art. 30 Konstytucji RP, źródło wszelkich praw i wolności. Prawo do ochrony życia prywatnego, stanowiące przedmiot ochrony na gruncie art. 47 Konstytucji RP, oznacza prawo jednostki do decydowania o swoim życiu osobistym. Jednostka, jako podmiot obdarzony autonomią woli, ma prawo samodzielnie wyznaczać obszar swojej prywatności, w szczególności wytyczać granice dostępności swojego życia osobistego i informacji o nim dla innych. Prawo do prywatności w aspekcie autonomii informacyjnej jednostki oznacza uprawnienie do decydowania, które informacje jej dotyczące dostępne będą osobom trzecim”. W korelacji z ww. przepisem pozostaje również art. 51 Konstytucji RP, zgodnie z którym każdy obywatel ma prawo do ochrony danych osobowych. Zdaniem Sądu Apelacyjnego w Warszawie (wyrok z 23 sierpnia 2018 r., sygn. akt VI ACa 1927/16) „Prawo do ochrony danych osobowych stanowi emanację prawa do autonomii informacyjnej, pozwalając jednostce w określonym zakresie kontrolować sposób i zakres udostępnianych informacji jej dotyczących. W przypadku jego naruszenia, stosownie do konkretnych okoliczności sprawy, może dojść do naruszenia określonych dóbr osobistych, podlegających odrębnemu reżimowi, chronionych przepisami Konstytucji, jak również w szczególności w ramach regulacji art. 23 k.c. i 24 k.c”.
48. Warto w tym miejscu przytoczyć stwierdzenia NSA, który rozpatrując kwestię bezskuteczności przedmiotowej czynności Ministra, w ww. wyroku z 13 marca 2024 r. odniósł się wprost do zasad konstytucyjnych: „Ochrona danych osobowych obywateli, w tym ich danych znajdujących się w powszechnym elektronicznym systemie ewidencji ludności (rejestrze PESEL), w którym gromadzone są podstawowe dane identyfikujące tożsamość oraz status administracyjnoprawny osób fizycznych, ma silne podstawy w przepisach konstytucyjnych i prawa unijnego. W orzecznictwie i doktrynie podkreśla się, że zachodzi nierozerwalny związek pomiędzy prawem osób, których dane są przetwarzane, do ochrony tych danych z prawem do prywatności, wartością chronioną na podstawie art. 47 Konstytucji Rzeczypospolitej Polskiej. W relacjach z organami władzy publicznej przepis ten powinien być traktowany jako zasada, od której wyjątki dopuszczalne są jedynie wówczas, gdy spełniają wymogi określone w art. 31 ust. 3 Konstytucji (por. M. Wild [w:] Konstytucja RP Komentarz, red. M. Safjan i L. Bosek, Tom I Wydawnictwo C.H. Beck Warszawa 2016, s. 1174). Zgodnie zaś z art. 51 ust. 2 Konstytucji władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Trybunał Konstytucyjny podkreślając znaczenie prawa do prywatności uznaje, że prawo to - podobnie jak inne prawa i wolności jednostki - nie ma charakteru absolutnego i może podlegać ograniczeniom. Konieczne jest jednak, by ograniczenia te formułowane były w sposób czyniący zadość wymaganiom konstytucyjnym (zob. wyrok TK z 24 czerwca 1997 r., sygn. K 21/96, OTK 1997/2/23). Oznacza to, że ograniczenie prawa do prywatności przejawiające się w udostępnianiu przez administratora informacji o obywatelach (danych osobowych) może nastąpić tylko wtedy, gdy przemawia za tym inna wyraźnie określona norma, zasada lub wartość konstytucyjna, a stopień tego ograniczenia pozostaje w odpowiedniej proporcji do rangi interesu, któremu ograniczenie to ma służyć”.
49. Reasumując przeanalizowane powyżej argumenty, wyraźnego podkreślenia wymaga fakt, że Minister, jak i Spółka bezpodstawnie – odpowiednio – udostępniając i przetwarzając dane osobowe z rejestru PESEL, przetwarzali dane osobowe niezgodnie z obowiązującymi przepisami prawa, a więc z naruszeniem przepisów, tj. art. 6 ust. 1 rozporządzenia 2016/679, a w konsekwencji z naruszeniem zasady zgodności z prawem, wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679.
IV. Ustosunkowanie się do pism Spółki, które wpłynęły do Prezesa UODO 26 i 27 lutego 2025 r.
50. Spółka po otrzymaniu pisma informującego ją o tym, że Prezes UODO przeprowadził postępowanie administracyjne, w wyniku którego zgromadził materiał dowodowy wystarczający do wydania decyzji w przedmiotowej sprawie (co miało miejsce 19 lutego 2025 r.), złożyła dwa pisma: pierwsze wpłynęło do UODO 26 lutego 2025 r., a kolejne – dzień później.
IV.A. Ustosunkowanie się do pisma Spółki, które wpłynęło do Prezesa UODO 26 lutego 2025 r.
51. Pismem, które wpłynęło do Prezesa UODO 26 lutego 2025 r. (zwanym dalej: „pismem z 26 lutego 2025 r.”), Spółka, reprezentowana przez swojego pełnomocnika, wskazała, że w jej ocenie prowadzone w niniejszej sprawie postępowanie nie zgromadziło dotąd niezbędnych dowodów, w konsekwencji czego organ nadzorczy zaniechał ustalenia całokształtu stanu faktycznego, zgodnie z art. 7 Kodeksu postępowania administracyjnego (dalej również: „k.p.a.”), art. 77 § 1 k.p.a. i art. 80 k.p.a. (do czego Prezes UODO odniesie się w dalszych punktach niniejszej części IV.A) i w związku z tym złożyła szereg wniosków.
52. Po pierwsze, Spółka wniosła o przedłużenie postępowania na podstawie art. 35 k.p.a., co najmniej o 30 dni, z uwagi na szczególne skomplikowanie sprawy, a także obszerność materiału, który należy przeanalizować. Zdaniem Spółki wskazuje na to np. zmiana poglądu w przedmiotowej sprawie przez Prezesa UODO, przy czym powołała się ona na stanowisko organu nadzorczego opublikowane w kwietniu 2020 r. na stronie internetowej Prezesa UODO, na decyzje o umorzeniu postępowań (jak należy zakładać, Spółka odnosiła się w tym miejscu do postępowań zainicjowanych indywidualnymi skargami, zwieńczonych wydaniem decyzji w okresie poprzedzającym prawomocne zakończenie spraw, w których wydano wyroki WSA i NSA opisane w punktach 11 i 12 niniejszej decyzji), a następnie na tegoroczną wypowiedź Prezes UODO, w której stwierdził „nie ma wątpliwości, że w tej sprawie doszło do naruszenia ochrony danych”.
53. Wniosek, o którym mowa w pkt 52 powyżej, należy w opinii organu nadzorczego uznać za pozbawiony jakichkolwiek podstaw. Zgodnie bowiem z art. 35 § 1 k.p.a. organy administracji publicznej obowiązane są załatwiać sprawy bez zbędnej zwłoki. Niezwłocznie powinny być załatwiane sprawy, które mogą być rozpatrzone w oparciu o dowody przedstawione przez stronę łącznie z żądaniem wszczęcia postępowania lub w oparciu o fakty i dowody powszechnie znane albo znane z urzędu organowi, przed którym toczy się postępowanie, bądź możliwe do ustalenia na podstawie danych, którymi rozporządza ten organ (§ 2). Z kolei załatwienie sprawy wymagającej postępowania wyjaśniającego powinno nastąpić nie później niż w ciągu miesiąca, a sprawy szczególnie skomplikowanej – nie później niż w ciągu dwóch miesięcy od dnia wszczęcia postępowania, zaś w postępowaniu odwoławczym – w ciągu miesiąca od dnia otrzymania odwołania (§ 3).
54. Jak wskazano w piśmiennictwie dotyczącym art. 35 k.p.a.: »Celem komentowanych przepisów jest zapewnienie szybkiego i sprawnego załatwiania spraw. Zgodnie z zasadą ogólną, zawartą w art. 12, organy administracji powinny działać w sprawie wnikliwie i szybko. (…) Określenie „bez zbędnej zwłoki” nie oznacza, że sprawa ma być załatwiona natychmiast, ale tak szybko, jak jest to możliwe. Pracownik organu nie może zatem odłożyć załatwienia sprawy do dnia upływu ustawowego terminu jej załatwienia, ale powinien załatwić ją w jak najkrótszym terminie (R. Hauser, Terminy załatwiania spraw w k.p.a. w doktrynie i orzecznictwie sądowym, RPEiS 1997, nr 1, s. 1). (…) organ po (…) zebraniu i analizie posiadanych danych powinien natychmiast rozstrzygnąć sprawę« (P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 35).
55. Terminy określone w art. 35 k.p.a. są zakładanymi maksymalnymi terminami rozstrzygania spraw. Organ badający sprawę dąży do jej załatwienia w możliwie najkrótszym terminie. Innymi słowy nie byłoby zasadne czynienie organowi zarzutu, że załatwił sprawę (rozstrzygnął ją decyzją) w terminie krótszym niż maksymalny, czy nie wydłużył czasu trwania postępowania do maksymalnego przewidzianego w art. 35 k.p.a. – o ile wcześniej dysponował materiałem dowodowym wystarczającym do wydania decyzji. Jednocześnie, ocena poziomu skomplikowania sprawy – istotna z punktu widzenia określenia zasadności wydłużenia czasu trwania postępowania – nie jest dokonywana przez stronę. Jak wskazuje się w literaturze cyt.: »Szczególnie skomplikowany charakter sprawy administracyjnej może być uzasadniony ze względu na złożony stan faktyczny sprawy, wymagający przeprowadzenia starannego i wnikliwego postępowania wyjaśniającego, jak i ze względu na niejasny stan prawny, wymagający starannej wykładni przepisów prawa lub też z uwagi na precedensowy charakter rozstrzygnięcia. Zakwalifikowanie danej sprawy jako „sprawy wymagającej postępowania wyjaśniającego”, względnie jako „sprawy szczególnie skomplikowanej” należy do organu prowadzącego postępowanie« (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2025, art. 35).
56. W obliczu prawomocnych wyroków sądów administracyjnych opisanych w pkt 11 i 12 niniejszej decyzji, w których zawarto wiążącą ocenę wskazującą na nieważność Decyzji PRM z 16 kwietnia 2020 r. i bezskuteczność czynności Ministra z 22 kwietnia 2020 r., doszło do oczywistej zmiany sytuacji prawnej z punktu widzenia możliwości dokonania merytorycznej oceny omawianych działań Ministra i Spółki ze strony organu nadzorczego oraz jej jedynego dopuszczalnego kierunku. W tej zmienionej rzeczywistości prawnej wydanie rozstrzygnięcia administracyjnego dotyczącego ww. działań Ministra i Spółki i ich konsekwencji na gruncie przepisów o ochronie danych osobowych stało się możliwe, zasadne i konieczne oraz – jak się wydaje – społecznie oczekiwane – stanowiąc wyraz realizacji obowiązku prawnego organu nadzorczego zapewnienia przestrzegania przepisów o ochronie danych osobowych i wyciągania konsekwencji z ich naruszania. Mając na uwadze wiążący charakter ww. wyroków i fakt, że została w nich przesądzona kwestia braku prawnego uzasadnienia dla działań Ministra polegających na udostępnieniu na rzecz Spółki określonych kategorii danych osobowych z rejestru PESEL, a w konsekwencji braku prawnego uzasadnienia dla ich pozyskania i dalszego przetwarzania przez Spółkę, nie można zgodzić się z argumentami Spółki dotyczącymi poziomu skomplikowania rozstrzyganej sprawy administracyjnej, czy zakresu i charakteru materiału dowodowego niezbędnego dla oceny zgodności tych działań z przepisami o ochronie danych osobowych. Mając na uwadze, że rozstrzygnięcie ogranicza się do oceny kwestii dopuszczalności ww. działań na gruncie przepisów o ochronie danych osobowych i jej konsekwencji, zaś jej kierunek został niejako zdeterminowany z uwagi na ww. wyroki – w oczywisty sposób dostępne również dla stron niniejszego postępowania, nie sposób również mówić o precedensowym charakterze rozstrzygnięcia przedmiotowej sprawy, który miałby w sposób konieczny rzutować na długość poprzedzającego jego wydanie postępowania administracyjnego (na co wskazywała Spółka w kolejnym wniosku omówionym w punkcie 58 niniejszej decyzji).
57. W kontekście argumentów Spółki dotyczących skomplikowania lub precedensowego charakteru sprawy, a także pozostałych wniosków zawartych w piśmie z 26 lutego 2025 r., należy zwrócić również uwagę na zasadę, z którą wiąże się ww. art. 35 k.p.a., tj. zasadę szybkości i prostoty postępowania wynikającą z art. 12 k.p.a. Przepis ten (w § 1) stanowi, że organy administracji publicznej powinny działać w sprawie wnikliwie i szybko, posługując się możliwie najprostszymi środkami prowadzącymi do jej załatwienia, a sprawy, które nie wymagają zbierania dowodów, informacji lub wyjaśnień, powinny być załatwione niezwłocznie (§ 2). W doktrynie wskazuje się, że „Zasada szybkości i prostoty postępowania nakazuje organom administracji publicznej działać wnikliwie i szybko, posługując się możliwie najprostszymi środkami prowadzącymi do jej załatwienia (art. 12). Szybkość administracyjnego stosowania prawa jest wartością operacyjną, która sprzyja urzeczywistnieniu zasady praworządności. (…). Celem omawianej zasady jest doprowadzenie do możliwie szybkiego wydania decyzji, a zatem omawiana zasada realizuje również postulat niezawodności postępowania administracyjnego (niezawodności wydania decyzji). Niezasadne powstrzymywanie się przez organ od wydania decyzji lub uchylanie się od rozstrzygnięcia sprawy narusza art. 12 § 1” (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2025, art. 12). W kontekście m.in. wspomnianego już w tej decyzji wielokrotnie art. 170 p.p.s.a., który stanowi, że orzeczenie prawomocne wiąże nie tylko strony i sąd, który je wydał, lecz również inne sądy i inne organy państwowe, a w przypadkach w ustawie przewidzianych także inne osoby, należy podkreślić, że przeprowadzanie zbędnych czynności w sytuacji związania organu nadzorczego wyrokami wskazanymi w pkt 11 i 12 niniejszej decyzji byłoby sprzeczne z zasadami ekonomiki postępowania.
58. W piśmie z 26 lutego 2025 r. Spółka wniosła również na podstawie art. 10 § 1 k.p.a. o zapewnienie stronie rzeczywiście czynnego udziału w postępowaniu (poprzez realizację wniosków dowodowych z niniejszego pisma), a przed wydaniem decyzji o wyznaczenie terminu co najmniej 30 dni na zapoznanie się z kompletnymi aktami, co umożliwi rzetelne i kompleksowe wypowiedzenie się przez stronę w odniesieniu do całości zgromadzonych dowodów i materiałów. Spółka wskazała przy tym, że w niniejszym postępowaniu organ nadzorczy nie odbierał wyjaśnień od strony. Zdaniem Spółki, jej pisma składane wobec organu nadzorczego w innych postępowaniach nie mogą być uznane za wystarczające, a strona ma prawo do przedstawienia swojego stanowiska w niniejszym postępowaniu. Sprawa ma zaś charakter precedensowy – nigdy wcześniej analogiczna kwestia nie była badana, bo nigdy dotąd nie było analogicznej sprawy.
59. Również ten wniosek (o którym mowa w poprzednim punkcie) w ocenie Prezesa UODO nie powinien być uwzględniony, a wyjaśniając przyjęte w tym zakresie stanowisko, organ nadzorczy odniesie się w sposób ogólny również do kolejnych wniosków dowodowych opisywanych następnych punktach zawierających ich przytoczenie.
60. Zgodnie z art. 10 § 1 k.p.a. organy administracji publicznej obowiązane są zapewnić stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwić im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. Spółka skorzystała z możliwości wglądu do akt postępowania dwukrotnie: 23 stycznia 2025 r. oraz tuż po odebraniu zawiadomienia o zgromadzeniu przez organ nadzorczy materiału dowodowego wystarczającego do wydania decyzji w niniejszej sprawie: 21 lutego 2025 r. Spółka po otrzymaniu tego zawiadomienia doręczyła Prezesowi dwa pisma: z 26 lutego 2025 r. zawierające przede wszystkim wnioski dowodowe, a także z 27 lutego 2025 r., które zawiera wyrażone przez Spółkę stanowisko w sprawie. W fakcie uznania przez Prezesa UODO, że żadne z tych pism nie prowadzi do uzyskania przez niego informacji, które miałyby wpływ na ocenę dopuszczalności udostępnienia przez Ministra danych osobowych oraz legalności ich dalszego przetwarzania przez Spółkę (co zostało już ocenione w sposób wiążący dla organu nadzorczego przez sądy w wyrokach opisanych w pkt 11 i 12 niniejszej decyzji), trudno doszukiwać się naruszenia przez niego art. 10 § 1 k.p.a. Przepisy obligują bowiem organ prowadzący postępowanie administracyjne do uwzględnienia żądania strony dotyczącego przeprowadzenia dowodu wyłącznie, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy (art. 78 § 1 k.p.a.). Organ administracji publicznej może nie uwzględnić żądania (§ 1), które nie zostało zgłoszone w toku przeprowadzania dowodów lub w czasie rozprawy, jeżeli żądanie to dotyczy okoliczności już stwierdzonych innymi dowodami, chyba że mają one znaczenie dla sprawy (art. 78 § 2 k.p.a.).
61. Ujmując powyższe inaczej: żądanie strony dotyczące przeprowadzenia dowodu organ administracji publicznej jest obowiązany uwzględnić tylko wówczas, gdy stwierdzi, że przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy. W doktrynie przyjmuje się, że ocena tego, czy przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy, czy nie, należy do organu, a nie do strony. Oznacza to, że organ prowadzący postępowanie nie jest związany żądaniami dowodowymi strony. Organ jest natomiast związany w tej mierze przepisami prawa materialnego, stanowiącymi podstawę rozstrzygnięcia[9]. Zatem to do organu będzie należało rozstrzygnięcie, czy dopuścić dany dowód, czy też nie. Nie ulega wątpliwości, że organ powinien najpierw rozważyć, czy dana okoliczność, dla której powołany został przez stronę środek dowodowy, wymaga udowodnienia. Zgodnie z wyrokiem NSA z 4 sierpnia 2017 r. (sygn. I OSK 1607/16, LEX nr 2345355), w każdym postępowaniu organ ma obowiązek zgromadzenia dowodów mających znaczenie dla rozstrzygnięcia danej sprawy i poczynienia na tej podstawie niezbędnych ustaleń faktycznych. O tym, jakie ustalenia faktyczne są konieczne dla załatwienia sprawy, decydują jednak prawidłowo wyłożone przepisy prawa materialnego, a nie subiektywne przekonanie strony. Żaden organ prowadzący postępowanie nie ma obowiązku przeprowadzenia wszystkich dowodów wnioskowanych przez stronę. Wskazywanych przez nią środków dowodowych nie można pominąć tylko wtedy, gdy nie zostały wyjaśnione sporne fakty mające znaczenie dla rozstrzygnięcia sprawy. Powoduje to, że tylko nieustalenie okoliczności mających znaczenie dla sprawy można uznawać za naruszenie reguł procedowania, które mogłoby mieć wpływ na treść ustaleń faktycznych, a w konsekwencji na treść orzeczenia kończącego postępowanie w danej sprawie.
62. Przewidziane w art. 78 k.p.a. uprawnienie strony podlega ograniczeniom ze względu na celowość i szybkość postępowania. Organ może nie uwzględnić żądania przeprowadzenia dowodu, jeżeli ma to na celu przewleczenie sprawy (wyrok NSA z 29 listopada 2016 r., sygn. akt II GSK 3322/15, LEX nr 2230883).
63. Dla jasności, należy wskazać, że: »W wyroku NSA w Lublinie z 15.12.1995 r., SA/Lu 507/95, LEX nr 27107, stwierdzono, że: „Przedmiotem dowodu musi być okoliczność mająca znaczenie prawne dla rozstrzygnięcia sprawy (art. 78 § 1 k.p.a.), a więc dotycząca przedmiotu sprawy i mająca znaczenie prawne dla rozstrzygnięcia sprawy”« (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2025, art. 78).
64. Prezes UODO uznał wnioski dowodowe wskazane przez Spółkę za niemające znaczenia dla sprawy, gdyż w jego ocenie zgromadzony w sprawie materiał dowodowy jest wystarczający do jej rozstrzygnięcia, a organ nie ma obowiązku uwzględniania wszystkich wniosków strony. Należy przy tym podkreślić, że – w kontekście powołanych wyżej wyroków sądów administracyjnych – wnioskowane przez Spółkę czynności dowodowe, służą wykazaniu okoliczności, które nie wymagają już dowodu lub okoliczności nie mających znaczenia z punktu widzenia rozstrzygnięcia przedmiotowej sprawy. Organ nadzorczy nie ma podstaw do przeprowadzania jakichkolwiek czynności dowodowych na okoliczność legalności udostępnienia – w ramach czynności służących przygotowaniu do przeprowadzenia wyborów na Prezydenta Rzeczypospolitej Polskiej, które miały się odbyć 10 maja w maju 2020 r. – przez Ministra określonych danych osobowych z rejestru PESEL na rzecz Spółki i ich pozyskania i dalszego przetwarzania przez Spółkę. Kwestia braku podstaw prawnych dla ww. działań została jednoznacznie rozstrzygnięta (oceniona) przez sądy administracyjne, a ocena ta, jak już wielokrotnie podkreślano w niniejszej decyzji, wiąże organ nadzorczy. Stanowisko organu nadzorczego w omawianym zakresie jest oczywistym i koniecznym następstwem omawianych rozstrzygnięć sądowych – dlatego zasadność i kierunek rozstrzygnięcia przedmiotowej sprawy ze strony organu nadzorczego nie mogą budzić żadnych wątpliwości. Należy pamiętać, że zakresem rozstrzygania objęto wyłącznie kwestię oceny prawnej dopuszczalności ww. działań Ministra i Spółki w kontekście przepisów o ochronie danych osobowych. Powyższe wyjaśnia powody, dla których nie istnieją podstawy dla uwzględnienia zgłoszonych przez Spółkę wniosków dowodowych.
65. W piśmie z 26 lutego 2025 r. Spółka wniosła również o przeprowadzenie dowodów z dokumentów w postaci akt wszystkich postępowań wymienionych w piśmie (…) z 12 lutego 2025 r. oraz w załączniku do niego (178 postępowań), poprzez dołączenie ich do akt niniejszego postępowania; ewentualnie umożliwienie Poczcie Polskiej S.A. uzyskania wglądu do przedmiotowych postępowań. Spółka zwróciła uwagę, że zgodnie z art. 73 § 1 k.p.a. strona ma prawo wglądu w akta sprawy, sporządzania z nich notatek, kopii lub odpisów, a prawo to przysługuje również po zakończeniu postępowania. Zdaniem Spółki, skoro organ nadzorczy uznaje za istotne dla niniejszego postępowania powołanie się na postępowania wymienione w piśmie z 12 lutego 2025 r. (jednocześnie mając do nich dostęp), strona postępowania również powinna mieć możliwość ich przeanalizowania, szczególnie w postępowaniu, które może zakończyć się nałożeniem kary pieniężnej. Spółka stwierdziła, że sama okoliczność dotycząca liczby skarg, które wpłynęły, jest w sposób oczywisty bez znaczenia, lecz istotne pozostaje (poza samą liczbą) co było przedmiotem skarg, jakie przeprowadzono postępowania dowodowe, wreszcie – jakie były rozstrzygnięcia organu nadzorczego. W opinii Spółki te okoliczności powinny być ustalone w toku postępowania dowodowego, z umożliwieniem stronom zapoznania się z nimi.
66. Prezes UODO uznał wnioski wskazane w powyższym punkcie za pozbawione podstaw. Spółka przetwarzając na co dzień ogromne ilości danych osobowych powinna być świadoma, że zgodnie z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 organ nadzorczy decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę m.in. na wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego. Jak zostanie wykazane w kolejnej części niniejszej decyzji (zob. część V.B i V.C), Prezes UODO postąpił zgodnie z ww. przepisem. Oczywistym jest, że w przypadku każdego administratora bierze się pod uwagę wszelkie stosowne naruszenia zaistniałe po jego stronie, co oznacza, że naruszenia dotyczące Ministra nie zostały wzięte pod uwagę przy podejmowaniu decyzji dotyczącej Spółki (i odwrotnie) – stąd wniosek Spółki o włączanie akt postępowań, których stroną był Minister, jest całkowicie nieuzasadniony. Podobnie pozbawione uzasadnienia jest dołączanie do akt niniejszego postępowania akt postępowań wymienionych w ww. piśmie z 12 lutego 2025 r., które były prowadzone z udziałem Spółki – posiada ona bowiem wiedzę co do ich przebiegu i podjętych rozstrzygnięć i w każdej chwili może skorzystać z uprawnienia z art. 73 § 1 k.p.a.
67. Również akta postępowań administracyjnych (178) w sprawach indywidualnych wymienione w sposób ogólny w piśmie (…) z 12 lutego 2025 r. nie zostały w istocie włączone w poczet akt niniejszego postępowania. Postępowania te w oczywisty sposób dotyczą ściśle indywidualnych zarzutów formułowanych przez poszczególnych skarżących pod adresem Ministra lub Spółki i związanych z nimi ich żądań. Zakres podmiotowy i przedmiotowy tych postępowań, podobnie jak etap na którym się znajdują, są różne. Wspólnym ich mianownikiem jest natomiast stan faktyczny leżący u podstaw zainicjowanych postępowań skargowych – tj. czynności ww. administratorów w obszarze danych osobowych skarżących związane z procedurą przygotowania do przeprowadzenia wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, które miały się odbyć 10 maja 2020 r. Niezależnie od zasadności roszczeń poszczególnych skarżących zgłaszanych w indywidualnych postępowaniach administracyjnych, liczba inicjujących je skarg wskazuje na to, że relatywnie liczna grupa obywateli zidentyfikowała po swojej stronie określone szkody związane z ww. działaniami w obszarze organizacji wyborów, a zarazem jest miernikiem społecznego oddźwięku na ww. działania.
68. W kolejnych punktach (4 i 5) swego pisma z 26 lutego 2025 r. Spółka wniosła o przeprowadzenie dowodu z opinii biegłego z zakresu bezpieczeństwa na okoliczność zabezpieczeń stosowanych przez Pocztę Polską S.A. w odniesieniu do pozyskanych danych, bezpieczeństwa nośnika, procedur bezpieczeństwa stosowanych w Spółce w odniesieniu do nośnika, reglamentacji dostępu osób fizycznych, działań podjętych przez Pocztę Polską S.A. w odniesieniu do nośnika, sposobu zniszczenia nośnika danych co do jego trwałości i kompletności, a także o przeprowadzenie dowodu z opinii biegłego z zakresu informatyki na okoliczność potwierdzenia, że nie doszło do zapisania na dyskach twardych lub w chmurze obliczeniowej danych z nośnika, na którym Poczta Polska S.A. pozyskała dane osobowe w związku z wyborami korespondencyjnymi w 2020 roku. Oba te wnioski dotyczą jednak okoliczności niezwiązanych z przedmiotem niniejszej decyzji. Zakresem rozstrzygania objęto bowiem wyłącznie kwestię oceny prawnej dopuszczalności działań Ministra (polegających na udostępnieniu na rzecz Spółki danych osobowych z rejestru PESEL) i Spółki (tj. pozyskania i dalszego przetwarzania przez nią tych danych bez prawnego uzasadnienia) w kontekście przepisów o ochronie danych osobowych. Z uwagi na powyższe, Prezes UODO uznał te wnioski Spółki za całkowicie pozbawione uzasadnienia.
69. Ponadto, Spółka pismem z 26 lutego 2025 r. wniosła o przeprowadzenie dowodów w postaci zeznań trzech świadków (wskazanych w pkt 6 pod lit. a – c tego pisma) na okoliczność: kategorii pozyskanych danych osobowych, czasu przetwarzania danych, zakresu przetwarzania, ustalenia (cyt.:) „kiedy i w jakich nastąpiło” zakończenie przetwarzania, w tym sposobu zniszczenia nośnika z danymi osobowymi, a także dołożenia przez Pocztę Polską S.A. należytej staranności na każdym etapie przetwarzania.
70. Odnosząc się do wniosku Spółki w zakresie opisanym w poprzednim punkcie, należy zaznaczyć, że okoliczności istotne z punktu widzenia niniejszego postępowania wynikają z ustaleń wskazanych w wiążących organ nadzorczy wyrokach WSA i NSA (o których mowa w pkt 11 i 12 niniejszej decyzji), a także ze zgromadzonych w aktach niniejszego postępowania dokumentów. Żaden z aspektów, których miałyby dotyczyć zeznania osób wskazanych w pkt 6 lit. a – c ww. pisma, nie wymaga zatem w ocenie Prezesa UODO przeprowadzenia tego typu dowodów dla jego ustalenia w stopniu wystarczającym do wydania decyzji. W sytuacji, w której np. okres przetwarzania danych osobowych przez Spółkę jest możliwy do ustalenia w istotnym dla niniejszego postępowania stopniu na podstawie wyjaśnień choćby samej Spółki (zob. pkt. 6 i 10 niniejszej decyzji), zbędne jest przeprowadzenie dodatkowych dowodów na tę okoliczność. Byłoby to również sprzeczne z wyżej wskazanymi zasadami ekonomiki postępowania administracyjnego – prowadziłoby do nieuzasadnionego jego przedłużania.
71. W tym samym punkcie 6 pisma z 26 lutego 2025 r. (w literze d) Spółka wniosła o przeprowadzenie dowodu w postaci zeznań innego wskazanego świadka na okoliczność: procedur obowiązujących w Poczcie Polskiej S.A. w zakresie ochrony danych osobowych, współpracy z Prezesem UODO w sprawach związanych z przygotowaniem do wyborów korespondencyjnych w 2020 roku oraz w innych sprawach. Podobnie jednak jak w przypadku wniosków opisanych w pkt 69 niniejszej decyzji również ten wniosek (w zakresie ww. procedur) dotyczy okoliczności niezwiązanych z przedmiotem niniejszej decyzji. Jak już wyżej wskazano, zakresem rozstrzygania objęto bowiem wyłącznie kwestię oceny prawnej dopuszczalności działań Ministra (polegających na udostępnieniu na rzecz Spółki danych osobowych z rejestru PESEL) i Spółki (tj. pozyskania i dalszego przetwarzania przez nią tych danych bez prawnego uzasadnienia) w kontekście przepisów o ochronie danych osobowych. Z kolei istotnym z pkt widzenia art. 83 ust. 2 lit. f) rozporządzenia 2016/679 jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, a nie współpraca danego podmiotu w ogólności. W przypadku, gdy Spółka za „współprac[ę] z Organem w sprawach związanych z przygotowaniem do wyborów korespondencyjnych w 2020 roku” przyjmuje udzielanie odpowiedzi na wezwania wystosowane do niej w ramach prowadzonych postępowań skargowych należy podkreślić, że tak rozumiana współpraca z organem nadzorczym stanowi obowiązek każdego administratora na gruncie art. 31 rozporządzenia 2016/679, a brak należytego wywiązywania się z tego obowiązku sankcjonowany jest poprzez możliwość nałożenia administracyjnej kary pieniężnej na podstawie art. 83 ust. 4 lit. a) ww. rozporządzenia. Zatem nawet gdyby organ uwzględnił wcześniejszą współpracę Spółki z Prezesem UODO (co nie znajduje jednak uzasadnienia w świetle przepisu art. art. 83 ust. 2 lit. f) rozporządzenia 2016/679), okoliczność ta zostałaby oceniona neutralnie i nie miałaby żadnego wpływu na wymiar kary orzeczonej w niniejszym postępowaniu – z uwagi na co, przeprowadzenie dowodu z zeznań świadka należy ocenić jako zbędne, jako że nie wpłynęłoby w żadnym stopniu na sposób rozstrzygnięcia niniejszej sprawy. Współpracę w celu usunięcia naruszenia należy również uznać za irrelewantną, jako że naruszenie zostało usunięte przed wszczęciem przedmiotowego postępowania administracyjnego. Z uwagi na powyższe, Prezes UODO uznał więc te wnioski Spółki za całkowicie pozbawione uzasadnienia.
72. W ostatniej literze punktu 6 (lit. e) pisma z 26 lutego 2025 r. Spółka wniosła o przeprowadzenie dowodu w postaci zeznań innego wskazanego świadka na okoliczność: kondycji finansowej Poczty Polskiej S.A. w latach obrotowych 2020-2024 i bieżącej sytuacji, ustalenia czy Poczta Polska S.A. osiągnęła korzyści w związku z przetwarzaniem danych osobowych w związku z przygotowaniem do wyborów korespondencyjnych w 2020 roku, bezpośrednio lub pośrednio. Wniosek ten jest w ocenie Prezesa UODO nieuzasadniony. Okoliczności, na które przeprowadzony miałby być wnioskowany przez Spółkę dowód, ustalone zostały w oparciu o przedstawione przez Spółkę dowody (sprawozdanie finansowe za 2023 r.) oraz – wobec nieprzedstawienia przez Spółkę sprawozdania finansowego za 2024 r. – o informacje (fakty) powszechnie znane, a dotyczące kondycji finansowej Spółki w tym okresie. Te ostatnie informacje (fakty powszechnie znane, a więc – zgodnie z art. 77 § 4 k.p.a. – nie wymagające dowodu) w zdecydowanej większości przedstawione zostały w przestrzeni publicznej przez samą Spółkę lub przez przedstawiciela Ministerstwa Aktywów Państwowych sprawującego nadzór właścicielski nad Spółką (ich źródłem jest więc niewątpliwie również sama Spółka). Mają więc walor wiarygodności i obiektywności. Ich analiza prowadzi jednocześnie do wniosków zbieżnych z tymi, które Spółka chciałaby wykazać przed Prezesem UODO – do konieczności miarkowania kary ze względu na kondycję finansową Spółki oraz uwzględnienia okoliczności braku korzyści, które Spółka miałaby osiągnąć w związku z naruszeniem. Złą kondycję finansową Spółki w latach 2023-2024 (sytuacja Spółki w okresach wcześniejszych jest w ocenie Prezesa UODO nieistotna dla sprawy) Prezes UODO uwzględnił jako okoliczność zdecydowanie łagodzącą wymiar kary na etapie oceniania zgodności wysokości kary z zasadą proporcjonalności (zob. pkt 150 uzasadnienia). Natomiast fakt braku korzyści związanych z popełnieniem naruszenia Prezes UODO ocenił również na korzyść Spółki, nie traktując go jako okoliczności ją obciążającej (zob. pkt 142 uzasadnienia). W tej sytuacji przeprowadzenie wnioskowanego przez Spółkę dowodu nie miałoby wpływu na treść dokonanych przez Prezesa UODO ustaleń faktycznych, a w konsekwencji na treść orzeczenia wydanego w niniejszej sprawie (w tym na wysokość administracyjnej kary pieniężnej nałożonej na Spółkę)[10].
73. W kolejnym punkcie pisma z 26 lutego 2025 r. Spółka wniosła na podstawie art. 79 § 1 k.p.a. o zawiadomienie jej o miejscu i terminie przeprowadzenia dowodu ze świadków, jednocześnie sygnalizując, że Poczta Polska S.A. zamierza brać udział w przeprowadzeniu dowodu, w tym zadawać pytania świadkom, biegłym i stronom oraz składać wyjaśnienia. Wniosek ten w kontekście dokonanej przez Prezesa UODO oceny w zakresie potrzeby przeprowadzania tych dowodów, pozostaje całkowicie bezpodstawny.
74. W pkt 8 ww. pisma z 26 lutego 2025 r. pełnomocnik Spółki wniósł na podstawie art. 89 § 1 i § 2 k.p.a. o przeprowadzenie rozprawy i zawiadomienie go jako pełnomocnika Poczty Polskiej S.A.
75. Zgodnie z art. 89 k.p.a. organ administracji publicznej przeprowadzi, z urzędu lub na wniosek strony, w toku postępowania rozprawę, w każdym przypadku gdy zapewni to przyspieszenie lub uproszczenie postępowania lub gdy wymaga tego przepis prawa (§1). Organ powinien przeprowadzić rozprawę, gdy zachodzi potrzeba uzgodnienia interesów stron oraz gdy jest to potrzebne dla wyjaśnienia sprawy przy udziale świadków lub biegłych albo w drodze oględzin (§ 2). Analizując najpierw przesłanki z paragrafu 2 ww. artykułu, należy zaznaczyć, że potrzeba uzgodnienia interesów stron zachodzi wówczas, gdy „w sprawie biorą udział co najmniej dwie strony o sprzecznych interesach, które organ powinien uzgodnić (E. Iserzon [w:] Komentarz, 1970, s. 182; por. wyrok NSA w Warszawie z 19.12.1983 r., I SA 806/83, LEX nr 1689118” (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2025, art. 89). Nie jest to sytuacja, z którą mamy w tej sprawie do czynienia. Nadto (jak już wyżej wyjaśniono) Prezes UODO nie znalazł podstaw do uznania za uzasadnione przeprowadzenia dowodu z przesłuchania świadków lub biegłych. W analizowanej sytuacji nie zachodzą więc przesłanki z paragrafu 2 ww. przepisu. Prezes UODO stanął na stanowisku, że w przedmiotowej sprawie nie zachodzą również przesłanki z art. 89 § 1 k.p.a. Jak wskazano w doktrynie: „Organ administracji publicznej jest obowiązany przeprowadzić rozprawę, gdy zapewni to przyspieszenie lub uproszczenie postępowania. Ocena, czy przeprowadzenie rozprawy przyczyni się do przyspieszenia lub uproszczenia postępowania, należy do prowadzącego je organu” (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2025, art. 89). Zdaniem Prezesa UODO przeprowadzenie rozprawy w analizowanej sytuacji (w której, jak wskazano, nie znajduje uzasadnienia przeprowadzanie dowodów ze świadków czy biegłych) byłoby zbędne. Należy przy tym mieć na uwadze, że „Wniosek strony o przeprowadzenie rozprawy nie jest wiążący dla organu. Nieprzeprowadzenie rozprawy pomimo wniosku strony powinno być oceniane przez pryzmat sprawności postępowania. Nakaz prowadzenia postępowania w sposób szybki i wnikliwy oraz przy wykorzystaniu możliwie najprostszych środków został zawarty w art. 12 § 2” (P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 89). Chcąc w sposób jak najpełniejszy wyjaśnić przyczyny nieuwzględniania analizowanego wniosku Spółki, Prezes UODO wskazuje dodatkowo na treść wyroku NSA z 1 grudnia 2020 r., sygn. akt II OSK 3866/19 (LEX nr 3121822), w którym wskazano, że: „Wniosek o przeprowadzenie rozprawy administracyjnej w postępowaniu administracyjnym nie wiąże organu. Nie jest ona też formą realizacji wskazanej w art. 11 k.p.a. zasady objaśniania stronom przesłanek załatwienia sprawy. Rozprawa ma służyć organowi do jak najpełniejszego ustalenia stanu faktycznego sprawy, zwłaszcza gdy wymaga tego udział świadków, biegłych lub przeprowadzenie oględzin. Jej celem nie jest więc wyjaśnianie stronom postępowania przesłanek, którymi kieruje się organ, ani polemika z jego stanowiskiem. Objaśnianiu stronom przyczyn określonego załatwienia sprawy służy przede wszystkim możliwość zapoznania się z zebranym materiałem dowodowym oraz uzasadnienie decyzji”.
76. Spółka w piśmie z 26 lutego 2025 r. wskazała na art. 72 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz na art. 83 ust. 2 rozporządzenia 2016/679 w kontekście branej przez Spółkę pod uwagę możliwości, iż postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych może zakończyć się nałożeniem administracyjnej kary pieniężnej. Zaznaczyła w tym kontekście, że: »Ze względu na powyższe, przeprowadzenie wnioskowanych dowodów jest niezbędne, zaś zaniechanie ich przeprowadzenia spowoduje niewątpliwie ustalenie błędnego, w szczególności niepełnego, stanu faktycznego w niniejszej sprawie, z naruszeniem art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. Zgodnie z art. 70 ust. 1 k.p.a. organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. Tymczasem, Organ zaniechał przeprowadzenia czynności w toku niniejszego postępowania, które prowadzą do ustalenia np. czasu trwania przetwarzania danych osobowych przez Pocztę Polską S.A. w kwietniu i maju 2020 roku, zakresu ich przetwarzania etc. Okoliczności te mogą być udowodnione dowodami wnioskowanymi w pkt 4-6 niniejszego pisma. Jednocześnie należy zauważyć, że w wypowiedziach dla prasy (Wywiad dla (…) z 27 stycznia 2025 r.) Prezes Urzędu wskazywał, że postępowanie będzie zakończone w perspektywie „miesięcy”. Tymczasem już 13 lutego 2025 r. Organ powiadomił o planowanym zakończeniu postępowania. W związku z powyższym, wskazując na art. 78 § 1 k.p.a. (Żądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy), wnoszę wnioski dowodowe jak powyżej. Jednocześnie sygnalizuję, że z ostrożności procesowej zostanie w zakreślonym terminie złożone stanowisko Poczty Polskiej S.A. Jednakże, z uwagi na skomplikowanie sprawy, udostępnienie zgromadzonego materiału dowodowego dopiero w dniu 21 lutego 2025 r., zasadne jest zarówno zrealizowanie wniosków, jak i umożliwienie stronie przedstawienia wyjaśnień w terminie uwzględniającym obszerny materiał«.
77. Nie powtarzając w tym miejscu przywołanej powyżej argumentacji Prezesa UODO, należy odnieść się pokrótce do pojawiającej się po raz kolejny uwagi Spółki dotyczącej czasu przetwarzania danych osobowych przekazanych przez Ministra. Otóż dla wydania niniejszej decyzji zbędne jest bardziej precyzyjne ustalanie czasu przetwarzania danych osobowych. Spółka składała w tym zakresie oświadczenia powołane w pkt 6 i 10 niniejszej decyzji i – jak wynika z przywołanego w poprzednim punkcie cytatu – nadal wskazuje, że przetwarzanie miało miejsce w kwietniu i w maju 2020 r. Jak już wyżej wykazano, przeprowadzenie dowodów wnioskowanych przez Spółkę jest w ocenie Prezesa UODO zbędne dla dokonania prawidłowego rozstrzygnięcia.
78. Stwierdzenie Spółki zacytowane w pkt 76 powyżej, w którym zarzuca „udostępnienie zgromadzonego materiału dowodowego dopiero w dniu 21 lutego 2025 r.” pozostaje dla organu nadzorczego niejasne.Zapoznawała się ona bowiem z aktami niniejszej sprawy dwukrotnie: po raz pierwszy 23 stycznia 2025 r., kiedy to w aktach znajdowały się m.in. kopie dokumentów, o których mowa w pkt 4-10 niniejszej decyzji, a po raz drugi już po poinformowaniu jej o zgromadzeniu przez Prezesa UODO materiału dowodowego wystraczającego do wydania decyzji w niniejszej sprawie (które Spółka otrzymała 19 lutego 2025 r.). Ponowne dokonanie wglądu w akta nastąpiło 21 lutego 2025 r. na życzenie Spółki i trudno jest się w tym stanie rzeczy doszukać podstaw do stawiania jakichkolwiek zarzutów organowi nadzorczemu.
79. Odnosząc się do pełnej treści pisma Spółki z 26 lutego 2025 r., należy zaznaczyć, że nie można zgodzić się z sugestią Spółki, że wyłącznie uwzględnienie zgłoszonych przez nią wniosków dowodowych stanowić będzie o zapewnieniu jej „rzeczywiście czynnego udziału w postępowaniu”. Na każdym etapie prowadzonego postępowania Spółka była bowiem informowana o jego przebiegu i o przysługujących jej uprawnieniach oraz aktywnie z tych praw korzystała – zapoznając się ze zgromadzonym materiałem dowodowym, formułując oceny i wnioski z nim związane. Spółce w żaden sposób nie ograniczano możliwości „rzetelnego i kompleksowego wypowiedzenia się (…) w odniesieniu do całości zgromadzonych dowodów i materiałów”, ani przedstawienia stanowiska odnośnie do poszczególnych aspektów badanej sprawy. Spółka przekazała Prezesowi UODO pismo zawierające przyjęte przez nią stanowisko 27 lutego 2025 r. i wobec faktu, że organ nadzorczy nie przeprowadził żadnych nowych dowodów (nie znajdując w nadesłanych przez Spółkę pismach z 26 i 27 lutego 2025 r. żadnych informacji lub dowodów, które uznanoby za istotne dla rozstrzygnięcia niniejszej sprawy), przekazywanie kolejnych stanowisk wydaje się pozbawione uzasadnienia.
80. Dla jasności należy w tym miejscu ponownie wskazać na fakt związania organu nadzorczego prawomocnymi wyrokami wskazanymi w pkt 11 i 12 niniejszej decyzji oraz przywołać stanowisko wyrażone w doktrynie, zgodnie z którym: „Związanie dotyczy zarówno prawa (związania dyspozycją zawartej w wyroku skonkretyzowanej normy prawnej wywiedzionej przez sąd z norm generalnych zawartych w przepisach prawnych), jak i ustaleń faktycznych. Ocena prawna o charakterze wiążącym musi dotyczyć właściwego zastosowania konkretnego przepisu, czy też prawidłowej jego wykładni w odniesieniu do ściśle określonego rozstrzygnięcia podjętego w konkretnej sprawie. W odniesieniu do ustaleń faktycznych związanie ogranicza dowodzenie określonych faktów stwierdzonych w orzeczeniu prejudycjalnym. Ratio legis art. 170 p.p.s.a. polega na tym, że gwarantuje on zachowanie spójności i logiki działania organów państwowych, zapobiegając funkcjonowaniu w obrocie prawnym rozstrzygnięć nie do pogodzenia w całym systemie sprawowania władzy (wyrok NSA z 19.05.1999 r., IV SA 2543/98, LEX nr 48643). (…) Prawomocne orzeczenie sądu administracyjnego może być – w relacji do losów zaskarżonego aktu – negatywne lub pozytywne. Orzeczenie negatywne zawarte w wyroku uwzględniającym skargę wywołuje w stosunku do tego aktu skutek wsteczny. W jego rezultacie w postępowaniu przed organami administracji następuje powrót do sytuacji, która miała miejsce przed wydaniem aktu. Późniejsze orzeczenie sądu ma zatem charakter konstytutywny i działa w tym zakresie ex tunc – od momentu wydania decyzji dotkniętej wadliwością (wyrok WSA w Warszawie z 23.08.2017 r., II SA/Wa 1317/16, LEX nr 2366752)” (B. Dauter [w:] A. Kabat, M. Niezgódka-Medek, B. Dauter, Prawo o postępowaniu przed sądami administracyjnymi. Komentarz, wyd. IX, Warszawa 2024, art. 170).
81. W świetle powyższego, uwzględnienie wniosków Spółki byłoby nie tylko pozbawione uzasadnienia, lecz również prowadziłoby do zbędnego wydłużenia postępowania. Należy podkreślić, że „Celem regulacji zawartej w art. 78 § 2 jest uniemożliwienie stronie przeciągania postępowania przez zgłaszanie zbędnych wniosków dowodowych, tj. dotyczących takich okoliczności, które już zostały bezspornie ustalone. Chodzi zatem zarówno o okoliczności stwierdzone za pomocą dowodów, jak i o fakty powszechnie znane oraz fakty znane organowi z urzędu (zob. wyrok NSA z 19 lutego 2002 r., V SA 1918/01, LEX nr 685539). Organ administracji jest zatem uprawniony do oceny potrzeby przeprowadzenia dowodu i nie naruszy przepisów postępowania administracyjnego, jeżeli odmówi przeprowadzenia dowodu, powołując się na zbędność jego przeprowadzenia w świetle komentowanego przepisu (por. wyrok NSA z 17 marca 1986 r., III SA 1160/85, ONSA 1986, nr 1, poz. 19). Organ ocenia, kierując się normą prawa materialnego, które fakty mają istotne znaczenie dla sprawy, czy wymagają one udowodnienia oraz jakie dowody dla udowodnienia tych faktów są potrzebne (por. wyroki NSA z 15 grudnia 1995 r., SA/Lu 507/95, LEX nr 27107 oraz SA/Lu 508/95, LEX nr 1691402)” (P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 78). Podobne stanowisko wyraził A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego (LEX/el. 2025, art. 78), powołując w tym zakresie właściwe orzecznictwo: „Organ może nie uwzględnić żądania przeprowadzenia dowodu, jeżeli ma to na celu przewleczenie sprawy (wyrok NSA w Gdańsku z 2.10.1998 r., I SA/Gd 1863/96, LEX nr 37600; por. wyrok NSA z 8.12.2017 r., I OSK 1214/17, LEX nr 2456039, w którym stwierdzono, że uprawnienie strony do zgłoszenia żądania przeprowadzenia dowodu podlega ograniczeniom, które pod względem celowości i konieczności zapewnienia szybkości postępowania organ powinien każdorazowo rozważyć, zwłaszcza w sytuacji gdy nie ma dostatecznych argumentów przemawiających za zakwestionowaniem dotychczasowych ustaleń)”.
82. W tym miejscu warto również przywołać stanowisko A. Wróbla [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego (LEX/el. 2025, art. 78), w którym zwrócono uwagę, że »W wyroku NSA w Warszawie z 17.03.1986 r., III SA 1160/85, ONSA 1986/1, poz. 19, przyjęto, że: „Odmowa przeprowadzenia przez organ odwoławczy dowodu dla wyjaśnienia okoliczności już bezspornie wyjaśnionych przez organ I instancji nie jest naruszeniem przepisów postępowania administracyjnego, które miało wpływ na wynik sprawy, a tym samym nie uzasadnia uwzględnienia skargi przez Naczelny Sąd Administracyjny i uchylenia zaskarżonej decyzji«.
83. Chcąc ustosunkować się do stwierdzeń Spółki dotyczących art. 7, 77 § 1 i art. 80 k.p.a., należy zaznaczyć, że uregulowana w art. 7 k.p.a. zasada prawdy obiektywnej, nakazuje organowi prowadzącemu postępowanie zebranie z urzędu lub na wniosek strony oraz rozpatrzenie całego materiału dowodowego w sposób pozwalający na ustalenie stanu faktycznego sprawy zgodnego z rzeczywistością. Oczywiście chodzi tu o wyjaśnienie okoliczności faktycznych w takim stopniu, w jakim wymaga tego rozstrzygnięcie sprawy. Zasada ta jest podstawową regułą każdej nowoczesnej regulacji procesowej. Należy pamiętać, że prawidłowe ustalenie stanu faktycznego sprawy stanowi warunek konieczny – chociaż jeszcze niewystarczający – prawidłowego jej rozstrzygnięcia. Z art. 77 § 1 k.p.a. wynika natomiast obowiązek zebrania i rozpatrzenia pełnego materiału dowodowego w sprawie, którego realizacja ma miejsce na dwóch płaszczyznach. Po pierwsze, polega on na przeprowadzeniu postępowania dowodowego co do wszystkich okoliczności stanowiących fakty prawotwórcze, a więc takich, z którymi w świetle przepisów obowiązującego prawa związane są określone skutki prawne. Po drugie, zebrany materiał dowodowy powinien znaleźć pełne odzwierciedlenie w uzasadnieniu faktycznym decyzji. Jeśli zaś chodzi o obowiązek dokonania oceny na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona (art. 80 k.p.a.), to nie można twierdzić, że jakaś okoliczność została udowodniona, jeżeli w materiale dowodowym, utrwalonym w aktach sprawy, znajduje się dowód na jej potwierdzenie, a jednocześnie są w nim także dowody, które zaprzeczają tej okoliczności, jeżeli nie można przekonywająco tej sprzeczności wyjaśnić. Przy tym warto zaznaczyć, że dla skuteczności zarzutu naruszenia zasady swobodnej oceny dowodów nie wystarcza stwierdzenie o wadliwości dokonanych ustaleń faktycznych, odwołujące się do stanu faktycznego, który w przekonaniu tego, kto taki zarzut podnosi, odpowiada rzeczywistości. Konieczne jest tu wskazanie przyczyn dyskwalifikujących postępowanie organu w tym zakresie. W szczególności podnoszący taki zarzut powinien wskazać, jakie kryteria oceny naruszył organ przy ocenie konkretnych dowodów, uznając brak ich wiarygodności i mocy dowodowej lub niesłuszne przyznając im wiarę (patrz: wyrok NSA z 7 sierpnia 2018 r. sygn. akt I OSK 2051/16). W ocenie Prezesa UODO – mając na względzie powyższą argumentację – bezzasadne byłoby zarzucanie, że dopuścił się on naruszenia zasad wyrażonych w art. 7, 77 § 1, 80 k.p.a. Organ nadzorczy prowadził postępowanie kierując się wynikającymi z tych przepisów zasadami, zamieszczając w decyzji obszerną argumentację tego dowodzącą.
84. Podsumowując, w niniejszym postępowaniu Prezes UODO nie uwzględnił wniosków dowodowych Spółki z uwagi na fakt zgromadzenia wystarczającego z punktu widzenia rozstrzygnięcia sprawy decyzją administracyjną kompletnego, logicznego i wewnętrznie spójnego materiału dowodowego. Z punktu widzenia prawnej oceny działań Ministra i Spółki kluczowe znaczenie mają bowiem opisane w pkt 11 i 12 niniejszej decyzji wyroki. Wobec związania organu zawartą w nich oceną prawną działań Ministra i Spółki – jako nieuprawnionych, organ nadzorczy nie jest zobligowany do przeprowadzania jakichkolwiek czynności wyjaśniających, które miałyby służyć ocenie legalności tych działań. Bez względu na liczbę i charakter przeprowadzonych dowodów na ww. okoliczności organ nie mógłby ocenić czynności Ministra i Spółki odmiennie niż oceniły je WSA i NSA w ww. wyrokach. Takie czynności dowodowe należałoby zatem ocenić jako pozorne i zbędnie przedłużające postępowanie, co w oczywisty sposób godzi w zasadę ekonomiki jego prowadzenia. Organ musi oceniać zasadność wniosków dowodowych kierując się wyłącznie realną potrzebą ich przeprowadzenia w kontekście konieczności zgromadzenia informacji niezbędnych z punktu widzenia możliwości rozstrzygnięcia sprawy. Czynności te nie mogą być motywowane wyłącznie sugestią strony, że odmowa uwzględnienia wniosków dowodowych poczytana będzie jako naruszenie gwarancji czynnego udziału w postępowaniu lub zaprezentowania pełnego stanowiska w sprawie.
IV.B. Ustosunkowanie się do pisma Spółki, które wpłynęło do Prezesa UODO 27 lutego 2025 r.
85. Pismem Spółki, które wpłynęło do Prezesa UODO 27 lutego 2025 r. (zwanym dalej: „pismem z 27 lutego 2025 r.”), jej pełnomocnik przedstawił stanowisko w przedmiotowej sprawie:
1) wnosząc o stwierdzenie, że Poczta Polska S.A. nie naruszyła przepisów o ochronie danych osobowych, a w konsekwencji brak jest podstaw do administracyjnej kary pieniężnej;
ewentualnie
2) wnosząc o stwierdzenie, że działanie Poczty Polskiej S.A. nie było bezprawne, a w konsekwencji brak jest podstaw do nałożenia administracyjnej kary pieniężnej;
a w zakresie postępowania poparł wnioski, w tym wnioski dowodowe złożone w piśmie Spółki omówionym w dziale IV.A niniejszej decyzji, a także wniósł o przeprowadzenie dowodów wymienionych w uzasadnieniu niniejszego pisma na okoliczności tam wskazane.
86. W uzasadnieniu ww. pisma, w jego pkt I zawierającym „Informacje wstępne”, Spółka oświadczyła, że „(…) nie kwestionuje, że przetwarzała dane osobowe pozyskane od Ministra Cyfryzacj[i] (…), na potrzeby przygotowania wyborów, jednakże wskazuje na brak bezprawności takiego działania. Spółka działała wyłącznie w granicach obowiązującego wówczas prawa, zachowała należytą staranność, dane osobowe przetwarzała w minimalnie niezbędnym zakresie, a następnie usunęła niezwłocznie po ustaniu celu ich przetwarzania, w sposób trwały i bezpieczny. Nałożenie administracyjnej kary pieniężnej jest fakultatywne. Powinno mieć jednak miejsce wówczas, gdy organ stwierdzi stan naruszenia przepisów o ochronie danych osobowych, zaś działanie podmiotu przetwarzającego dane jest bezprawne i zawinione”. Spółka, wyjaśniając, że w niniejszej sprawie nie zachodzą jej zdaniem takie okoliczności, powołała się m.in. na: fakt działania na podstawie art. 99 u.s.i.w., natychmiastową wykonalność Decyzji PRM z 16 kwietnia 2020 r., potwierdzenie zgodności art. 11 ustawy COVID-19 z Konstytucją RP przez Trybunał Konstytucyjny, domniemania konstytucyjności ustaw i legalności decyzji administracyjnych, fakt jedynie zawnioskowania przez Spółkę o udostępnienie danych osobowych przez Ministra, a także na potwierdzenie legalności jej działań przez szereg wymienionych w tym piśmie podmiotów (w tym Prezesa UODO i Państwową Komisję Wyborczą). Spółka wskazała w tym kontekście również na art. 8 k.p.a., brak bezprawności jej działań potwierdzony przez orzecznictwo sądów powszechnych, fakt przetwarzania należycie zabezpieczonych danych osobowych w sposób minimalny, działanie w stanie epidemii – zgodnie z ówcześnie obowiązującym prawem, fakt dysponowania danymi osobowymi wyborców w związku z obowiązującymi w kolejnych wyborach „elementami korespondencyjnymi”, a także na posiadany dostęp do rejestru PESEL. Argumentów tych (rozwiniętych w większości w punktach II- XI pisma z 27 lutego 2025 r.) nie sposób jednak w zaistniałej sytuacji wziąć pod uwagę, podobnie jak załączonych do tego pisma dowodów, a argumentacja Prezesa UODO w tym zakresie zostanie przedstawiona w porządku odpowiadającym punktom, na które Spółka podzieliła pismo z 27 lutego 2025 r. Należy jednak już w tym miejscu zaznaczyć, że odnosząc się do stanowiska Spółki wyrażonego w tym piśmie, Prezes UODO podtrzymuje swoją wcześniejszą argumentację zawartą w niniejszej decyzji (i odwołuje się do niej), w szczególności w zakresie w jakim argumentacja ta odnosi się do faktu związania organu nadzorczego prawomocnymi wyrokami, o których mowa w pkt 11 i 12 niniejszej decyzji (m.in. na podstawie art. 170 p.p.s.a.).
87. Odnosząc się do wyżej cytowanego fragmentu pkt I pisma Spółki z 27 lutego 2025 r., należy zaznaczyć, że prawodawca unijny w art. 83 ust. 2 lit. b) rozporządzenia 2016/679 (nie posługując się w sensie dosłownym pojęciem „winy”) nakazuje organowi nadzorczemu przy ocenie zasadności nałożenia kary i jej wysokości brać pod uwagę umyślny lub nieumyślny charakter naruszenia. Warto przy tym podkreślić, że nie jest to w żadnym wypadku równoznaczne z zakazem wymierzania administracyjnej kary pieniężnej w sytuacji nieumyślnego naruszenia – aspekt ten ma jednak wpływ na podejmowaną w tym zakresie przez organ decyzję. Nadto, trudno się zgodzić ze stanowiskiem Spółki wyrażonym w punkcie I ww. pisma, zgodnie z którym „Działaniem Poczty Polskiej S.A. było (jedynie) zawnioskowanie o udostępnienie danych osobowych przez Ministra Cyfryzacji”. Spółka bowiem przetwarzała przekazane jej dane aż do chwili ich usunięcia, co miało miejsce w okresie 15-22 maja 2020 r. (Prezes UODO przyjął w tym zakresie wcześniejsze wyjaśnienia Spółki) i nawet jeśli myśl ta została przez Spółkę rozwinięta w pkt VI jej pisma, to nie powinno się takim stwierdzeniem wywoływać już na początku pisma mylnego wrażenia o minimalnym udziale Spółki w zaistniałym naruszeniu przepisów rozporządzenia 2016/679. W tym miejscu należy również zaznaczyć, że z uwagi na zakres niniejszego postępowania administracyjnego, bez dodatkowego znaczenia pozostają powołane w pkt I tego pisma okoliczności zabezpieczenia przetwarzanych przez Spółkę danych, czy fakt ich przetwarzania w sposób minimalny, a nawet to, że Spółka posiada dostęp do rejestru PESEL na innych podstawach niż te, z powołaniem na które działała Spółka i Minister w badanym w tej sprawie zakresie.
88. W pkt II pisma z 27 lutego 2025 r. Spółka omówiła przepis art. 99 u.s.i.w. jako podstawę prawną podejmowanych przez siebie działań. Jednak wobec wydania przez WSA i NSA wyroków, o których mowa w pkt 11 i 12 powyżej, którymi związany jest organ nadzorczy, a także biorąc pod uwagę dotychczas przedstawioną w niniejszej decyzji argumentację dotyczącą bezprawności działań Ministra i Spółki w zakresie objętym niniejszym postępowaniem, powtarzanie argumentacji organu nadzorczego w odpowiedzi na stwierdzenia Spółki byłoby zbędne. W świetle powyższego, bez znaczenia w ocenie organu nadzorczego pozostają również stwierdzenia Spółki dotyczące tego, na której z podstaw określonych w art. 99 u.s.i.w. doszło do udostępnienia jej danych osobowych przez Ministra 22 kwietnia 2020 r., a także dotyczące domniemania konstytucyjności tego przepisu. Załączony przez Spółkę do pisma z 27 lutego 2025 r. dowód w postaci decyzji Prezesa Urzędu Komunikacji Elektronicznej o wyborze operatora wyznaczonego na lata 2016-2025 nie wnosi niczego istotnego do sprawy, a treść tej decyzji jest powszechnie znana. Biorąc pod uwagę przedstawioną przez Prezesa UODO argumentację nie sposób również zgodzić się ze stwierdzeniem Spółki zawartym w pkt II ww. pisma, że: „Rozważania podnoszone w dyskursie publicznym, w tym w orzeczeniach sądów administracyjnych i Naczelnego Sądu Administracyjnego, odnośnie wadliwości Decyzji Prezesa Rady Ministrów, mają minimalne znaczenie dla niniejszego postępowania i nie przesądzają o bezprawności pozyskania danych osobowych przez Pocztę Polską S.A.”.
89. Spółka w pkt III pisma z 27 lutego 2025 r. przedstawiła swoje stanowisko dotyczące „Charakteru Decyzji Prezesa Rady Ministrów”, wskazując na to, że podlegała ona natychmiastowemu wykonaniu z chwilą jej doręczenia oraz nie wymagała uzasadnienia, a także że Spółka nie miała żadnej możliwości wynikającej z przepisów prawa, by sprzeciwić się wykonaniu Decyzji Prezesa Rady Ministrów. Odnosząc się do ww. twierdzeń, Prezes UODO uznaje za zbędne powielanie obszernej analizy dotyczącej charakteru Decyzji PRM z 16 kwietnia 2020 r., przeprowadzonej uprzednio w wyrokach WSA i NSA, o których mowa w pkt 11 niniejszej decyzji – którą to analizę organ nadzorczy w pełni podziela. Na marginesie jednak należy wskazać, że nie znajduje żadnego uzasadnienia tak w stanie faktycznym, jak i prawnym, twierdzenie Spółki dotyczące braku możliwości przeciwstawienia się poleceniu wynikającemu z ww. decyzji administracyjnej. Spółka jako strona postępowania administracyjnego zakończonego wydaniem ww. rozstrzygnięcia organu administracji publicznej, korzystając z uprawnień przyznanych jej na gruncie przepisów k.p.a., mogła bowiem zwrócić się do organu, który wydał decyzję z wnioskiem o ponowne rozpatrzenie sprawy (art. 127 § 3 k.p.a.) – na którą to możliwość Spółka sama wskazała we wniesionym do organu nadzorczego piśmie – jak również wystąpić z żądaniem uzupełnienia decyzji co do jej rozstrzygnięcia (art. 111 § 1 k.p.a.) lub żądaniem wyjaśnienia wątpliwości co do treści decyzji (art. 113 § 2 k.p.a.). Z żadnego z tych uprawnień Spółka jednak nie skorzystała, mimo uzasadnionych wątpliwości dotyczących zgodności Decyzji PRM z 16 kwietnia 2020 r. z obowiązującymi wówczas przepisami prawa – które to wątpliwości ujawniły się również po stronie Spółki. Wniosek taki należy wywodzić z Informacji z 23 kwietnia 2021 r. o wynikach kontroli przeprowadzonej przez Najwyższą Izbę Kontroli w odniesieniu do działań wybranych podmiotów w związku z przygotowaniem wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych na dzień 10 maja 2020 r. z wykorzystaniem głosowania korespondencyjnego, która jako powszechnie dostępna, znana jest organowi nadzorczemu z urzędu. Jak wynika z treści ww. dokumentu, „Spółka zleciła opracowanie trzech opinii prawnych w kontekście przedmiotu zadań i obowiązków oraz odpowiedzialności Członków Zarządu Spółki w związku z realizacją polecenia zawartego w decyzji PRM z 16 kwietnia 2020 r. (…) W opinii prawnej z 23 kwietnia 2020 r., sporządzonej w Biurze Prawnym i Nadzoru Właścicielskiego PP S.A., wskazano (…) na ciążący na Członkach Zarządu obowiązek starannego działania w sytuacji, w której ustawa o szczególnych zasadach przeprowadzania wyborów nie została jeszcze uchwalona. W związku z tym rekomendowano (…) przeprowadzenie analizy decyzji (…) pod kątem zasadności jej zaskarżenia, w szczególności w kontekście jej zgodności z prawem”[11]. W świetle powyższego, przystąpienie przez Spółkę do realizacji czynności związanych z pozyskaniem danych osobowych wyborców z rejestru PESEL – mimo braku uprzedniego skorzystania przez nią z uprawnień umożliwiających dokonanie kontroli skierowanej do niej decyzji administracyjnej – należy rozpatrywać w kategoriach swobody decyzyjnej Spółki. W konsekwencji, zgłoszone przez Spółkę zarzuty, przytoczone na wstępie niniejszego akapitu, należy uznać za chybione.
90. Z kolei w pkt IV pisma z 27 lutego 2025 r. Spółka przedstawiła swoje stanowisko z powołaniem się na „Domniemanie konstytucyjności ustawy i domniemanie legalności decyzji administracyjnej”. Nie sposób jednak zgodzić się z zawartym w tym punkcie argumentem Spółki, że „Poczta Polska S.A. pozyskując dane osobowe w kwietniu 2020 roku nie miała podstaw prawnych, by zakwestionować i w konsekwencji nie wykonać zadań wynikających z art. 99 Specustawy i Decyzji Prezesa Rady Ministrów. Późniejsze stwierdzenie nieważności Decyzji nie ma znaczenia dla oceny pozyskania danych osobowych, w oparciu o przepis art. 99 Specustawy (którego zgodności z Konstytucją nie podważono) i Decyzję Prezesa Rady Ministrów, korzystającą wówczas z domniemania legalności”. Stwierdzenie przez WSA (potwierdzone następnie przez NSA) nieważności Decyzji PRM z 16 kwietnia 2020 r. pozostaje bowiem w ścisłym związku z uznaniem przez te sądy za bezskuteczne działań Ministra z 22 kwietnia 2020 r. w zakresie, w jakimi udostępnił on Spółce dane osobowe z rejestru PESEL. Argumenty przedstawione w pkt IV pisma z 27 lutego 2025 r. należy w ocenie Prezesa UODO uznać za pozbawione znaczenia w kontekście przedstawionej przez niego w niniejszej decyzji argumentacji oraz w związku z faktem wydania przez WSA i NSA wyroków, o których mowa w pkt 11 i 12 tej decyzji. Z tych samych powodów za pozbawione znaczenia należy również uznać, zdaniem organu nadzorczego, argumenty Spółki przedstawione w pkt V pisma z 27 lutego 2025 r. dotyczące potwierdzenia przez Trybunał Konstytucyjny zgodności art. 11 ustawy COVID-19 (błędnie oznaczonej przez Spółkę w tym piśmie) z Konstytucją RP.
91. W pkt VI pisma z 27 lutego 2025 r. Spółka przedstawiła z kolei swoje stanowisko dotyczące zakresu działania i złożenia przez siebie wniosku do Ministra: „Okoliczność ta pozostaje kluczowa. Inaczej należy ocenić udostępnienie danych osobowych przez organ administracji rządowej (Ministra Cyfryzacji), a inaczej zawnioskowanie o ich udostępnienie przez Pocztę Polską S.A., wobec której wykonano przymus wynikający z władztwa publicznego. Poczta Polska S.A. była - na podstawie obowiązującego wówczas prawa - zobowiązana do wystąpienia o dane osobowe, pod rygorem zastosowania państwowego przymusu w trybie egzekucji administracyjnej (por. wyrok NSA z dnia 10.09.2014 r., I OSK 229/13). Minister Cyfryzacji działał bez analogicznego polecenia”. W ocenie Prezesa UODO tak przedstawiona argumentacja Spółki nie zasługuje na uwzględnienie. Oczywiście organ nadzorczy dostrzega różnicę między stopniem odpowiedzialności Ministra oraz Spółki za przypisane im w niniejszym postępowaniu naruszenia przepisów rozporządzenia 2016/679 – czego wyraz organ dał w dalszej części uzasadnienia niniejszej decyzji, poświęconej ocenie poziomu powagi tychże naruszeń (zob. pkt 126 i 147 uzasadnienia). Niemniej jednak należy stwierdzić, że sytuacja, w jakiej znalazła się Spółka, nie zwalniała jej z obowiązku poszanowania konstytucyjnych praw obywateli, w tym prawa do ochrony danych osobowych, uszczegółowionego w przepisach rozporządzenia 2016/679. Oceny tej nie zmienia okoliczność, że skierowana do Spółki Decyzja PRM z 16 kwietnia 2020 r. podlegała natychmiastowemu wykonaniu. Wskazać należy, że ogólne sformułowanie polecenia adresowanego do Spółki, czy precyzyjniej, brak wskazania w decyzji konkretnych czynności wykonawczych, które Spółka powinna była przedsięwziąć w celu realizacji tego polecenia, czyniło tę decyzję wadliwą – a w konsekwencji niewykonalną.Ocenę taką przedstawił NSA w wyroku powołanym w pkt 11 niniejszej decyzji, wyjaśniając, że „(b)rak możliwości ustalenia, jakie konkretnie czynności ma podjąć adresat polecenia (…) uniemożliwia jego ewentualną przymusową realizację w trybie przepisów ustawy o postępowaniu egzekucyjnym w administracji. (…) Analiza treści decyzji Prezesa Rady Ministrów z 16 kwietnia 2020 r. prowadzi do wniosku, iż (…) jej treść nie pozwala (…) zidentyfikować charakteru i zakresu zadania, jakie zostało nałożone na Pocztę Polską. (…) W konsekwencji nie da się wskazać warunków, w których Poczta Polska zwalniałaby się z odpowiedzialności za niewykonanie decyzji, odbierając organowi możliwość wdrożenia przymusowego trybu jej realizacji.”. Stanowisko NSA, którym Prezes UODO jest związany, jednoznacznie przesądza, że przymus realizacji obowiązku nałożonego na Spółkę ww. decyzją administracyjną – wobec wyłącznie ramowego sformułowania tego obowiązku – był w istocie iluzoryczny.
92. Spółka w pkt VII swojego pisma z 27 lutego 2025 r. wskazała na przedstawione przez Prezesa UODO w kwietniu 2020 r. stanowisko i dołączyła w tym zakresie wydruk ze strony internetowej, na której je opublikowano. Wskazała również na wcześniejsze wydanie przez organ nadzorczy decyzji o umorzeniu postępowania w sprawie ze skargi na udostępnienie Spółce danych osobowych osoby fizycznej przez Ministra (załączając również kopię tej decyzji). Wbrew temu, co w tym punkcie podnosiła Spółka, zdaniem Prezesa UODO zmiana przyjętego przez niego stanowiska nie przesądza o skomplikowaniu sprawy. Zmiana, jaką wywołało wydanie przez WSA i NSA wyroków, o których mowa w pkt 11 i 12 niniejszej decyzji, musiała mieć oczywisty wpływ na przyjęte przez Prezesa UODO stanowisko (m.in. w związku z obowiązywaniem art. 170 p.p.s.a.). Modyfikacja ta nie mogła również wywołać zaskoczenia po stronie Spółki, która była uczestnikiem postępowań sądowych zwieńczonych wydaniem tych wyroków. Z uwagi na to, argumentacja Spółki oraz załączone przez nią w tym zakresie dowody (tj. ww. wydruk oraz kopia decyzji), pozostają bez wpływu na treść niniejszej decyzji. Podobnie jak argumentacja Spółki zawarta w pkt VIII pisma z 27 lutego 2025 r. odnosząca się do stanowiska Państwowej Komisji Wyborczej z 2020 r. wraz z dowodem: kopią pisma z 23 kwietnia 2020 r. (znak: (…)). Jedynie na marginesie warto zaznaczyć, że pismo to odnosiło się do udostępniania danych ze spisu wyborców i miało zostać skierowane do samorządów.
93. W punkcie IX pisma z 27 lutego 2025 r. Spółka podniosła argumenty dotyczące wynikającej z art. 8 k.p.a. zasady zaufania do władzy publicznej. Wskazała m.in., że „W realiach, które miały miejsce w kwietniu i maju 2020 roku, Poczta Polska S.A. miała pełne prawo pozostawać w uzasadnionym przekonaniu, że nie ma żadnych wątpliwości co do legalności pozyskania i przetwarzania danych osobowych”. Zdaniem organu nadzorczego dla prawidłowej oceny jego postępowania należy jednak wziąć pod uwagę, że za naruszenie zasady zaufania do władzy publicznej można byłoby w obecnej sytuacji uznać pominięcie przez niego wyroków, o których mowa w pkt 11 i 12 niniejszej decyzji. Prezes UODO, jak słusznie zauważyła Spółka w swoim piśmie, ma prawo do zmiany poglądu – wskazuje się jednak na konieczność uzasadnienia tej zmiany: „W orzecznictwie sądowym za naruszające zasadę zaufania obywateli do organów państwa (władzy publicznej) uznaje się następujące działania organów administracji publicznej: (…) zmienność poglądów prawnych wyrażonych w decyzjach organów administracji w odniesieniu do tego samego adresata, wydanych na tle takich samych stanów faktycznych, ze wskazaniem tej samej podstawy prawnej decyzji i bez bliższego uzasadnienia takiej zmiany – wyrok NSA w Łodzi z 8.04.1998 r., I SA/Łd 652/97, ONSA 1999/1, poz. 27 (…)” (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2025, art. 8). Nie można jednak zarzucać Prezesowi UODO, że nie uzasadnił w niniejszej decyzji zmiany przyjętego w kwietniu 2020 r. stanowiska, które zresztą miało postać publicznego komunikatu, nie zaś formę orzeczenia administracyjnego skierowanego do strony. W tym kontekście warto dodatkowo zwrócić uwagę na fakt, że wielokrotne wspomniany w niniejszej decyzji art. 170 p.p.s.a. odnosi się orzeczeń wydanych przez sądy administracyjne. Nie sposób więc zastosować go do wyroku Sądu Okręgowego w Warszawie z 21 sierpnia 2024 r., sygn. akt XXIV C 1611/20, na który Spółka powołała się w pkt X pisma z 27 lutego 2025 r. Z tego względu (a także z uwagi na fakt, że wskazany wyrok jest nieprawomocny) argumentacja Spółki wskazującej, m.in. że: „(…) Sąd nie miał żadnych wątpliwości co do braku bezprawności działania Poczty Polskiej S.A.” jest w niniejszej sprawie pozbawiona znaczenia, a dowód w postaci kopii tego wyroku przedstawiony przez Spółkę pozostaje bez wpływu na treść niniejszej decyzji.
94. W punkcie XI pisma z 27 lutego 2025 r. Spółka podkreśliła m.in., że „Celem ustalenia zakresu przetwarzania danych osobowych, czasu trwania przetwarzania, kategorii danych osobowych, stosowanych zabezpieczeń Poczta Polska S.A. złożyła wnioski w piśmie z dnia 25 lutego 2025 r.” i dodała: „Podtrzymując stanowisko, że działanie Poczty Polskiej S.A. nie było bezprawne, wskazuję jednak, że ustalenie wszystkich okoliczności jest niezbędne w celu prawidłowego, zgodnego z k.p.a. rozpoznania niniejszej sprawy”. Chcąc uniknąć zbędnych powtórzeń, Prezes UODO wskazuje więc w tym kontekście na swoją argumentację podniesioną już m.in. w części IV.A niniejszej decyzji. Na koniec punktu XI ww. pisma Spółka wskazała, że „(…) Minister Spraw Wewnętrznych decyzją z dnia 8 września 2014 r. znak (…) wyraził zgodę na udostępnienie Poczcie Polskiej S.A. danych ze zbioru PESEL za pomocą urządzeń teletransmisji danych do realizacji zadań ustawowych” i załączyła dowód w postaci kopii decyzji Ministra Spraw Wewnętrznych z 8 września 2014 r. (znak (…)). Jako że przeprowadzone w niniejszej sprawie postępowanie administracyjne dotyczy udostępnia Spółce danych osobowych przez Ministra Cyfryzacji z rejestru PESEL z powołaniem się na zupełnie inne podstawy, ten ostatni argument Spółki oraz dowód przez nią załączony pozostają bez wpływu na treść przedmiotowej decyzji.
95. W końcowej części pisma Spółka podniosła jeszcze, że: „Zgodnie z art. 7a § 1 k.p.a. jeżeli przedmiotem postępowania administracyjnego jest nałożenie na stronę obowiązku bądź ograniczenie lub odebranie stronie uprawnienia, a w sprawie pozostają wątpliwości co do treści normy prawnej, wątpliwości te są rozstrzygane na korzyść strony, chyba że sprzeciwiają się temu sporne interesy stron albo interesy osób trzecich, na które wynik postępowania ma bezpośredni wpływ. W ocenie Poczty Polskiej S.A. należy uzupełnić postępowanie dowodowe i w oparciu o należycie ustalony stan faktyczny Organ nie będzie miał wątpliwości, że ze strony Poczty Polskiej S.A. w ogóle nie doszło do naruszenia przepisów o ochronie danych osobowych”. W ocenie Prezesa UODO przytoczone stwierdzenie Spółki sugerujące istnienie w analizowanej sprawie wątpliwości uzasadniających takie rozstrzygnięcie jest zupełnie pozbawione podstaw w świetle przedstawionej przez niego w niniejszej decyzji obszernej argumentacji uwzględniającej również fakt związania organu nadzorczego prawomocnymi wyrokami, o których mowa w pkt 11 i 12 tej decyzji. Podsumowując należy wskazać, że wniosek Spółki o stwierdzenie, że:
1) Poczta Polska S.A. nie naruszyła przepisów o ochronie danych osobowych, a w konsekwencji brak jest podstaw do administracyjnej kary pieniężnej,
ewentualnie
2) działanie Poczty Polskiej S.A. nie było bezprawne, a w konsekwencji brak jest podstaw do nałożenia administracyjnej kary pieniężnej,
jest pozbawiony podstaw. Z powodów omówionych szeroko zarówno w części IV.A, jak i IV.B niniejszej decyzji za bezpodstawne uznać należy również wnioski o przeprowadzenie dowodów wskazanych przez Spółkę w pismach omówionych w ww. częściach tej decyzji.
V. Administracyjne kary pieniężne.
96. Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.
97. Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenia przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej określonej w art. 83 ust. 5 lit. a) – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie tak na Ministra, jak i na Spółkę, administracyjnej kary pieniężnej.
98. Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa –w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
99. Natomiast zgodnie z art. 102 ust. 1 pkt 1 u.o.d.o., Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024 r. poz. 1530 ze zm.). Limit ten niewątpliwie znajdzie zastosowanie w niniejszej sprawie do Ministra, jako organu władzy publicznej, a szczegółowiej – organu administracji rządowej. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).
V.A. Zachowania podlegające administracyjnym karom pieniężnym i zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.
100. Stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
101. Wskazany w art. 83 ust. 3 rozporządzenia 2016/679 termin „operacje przetwarzania” został wyjaśniony przy tym w art. 4 pkt 2 rozporządzenia 2016/679, w którym „przetwarzanie” zdefiniowano jako „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Wobec powyższego operację przetwarzania stanowić będzie każde działanie, któremu poddawane są dane aż do momentu ich usunięcia, utraty lub zniszczenia.
102. Wskazówki dotyczące identyfikacji „najpoważniejszego naruszenia” zostały natomiast zawarte w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej „Wytycznymi 04/2022”. Zgodnie ze stanowiskiem tam wyrażonym „sformułowanie «wysokość kary za najpoważniejsze naruszenie» odnosi się do ustawowych maksymalnych kwot kar pieniężnych” określonych w art. 83 ust. 4–6 rozporządzenia 2016/679 (zob. pkt 43 Wytycznych 04/2022). Tym samym najpoważniejszym naruszeniem w indywidualnej sprawie będzie to, dla którego prawodawca unijny przewidział wyższy próg maksymalnego zagrożenia administracyjną karą pieniężną.
103. Wobec stwierdzenia, że obaj administratorzy, których sprawa dotyczy, dopuścili się w analizowanym stanie faktycznym naruszenia art. 6 ust. 1 rozporządzenia 2016/679, skutkującego równoczesnym naruszeniem art. 5 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO zobowiązany był uwzględnić przytoczoną w poprzedzającym akapicie regulację celem rozważenia, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy z wyłącznie jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 – a precyzyjniej, czy na każdego z administratorów organ powinien nałożyć wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na wszystkie popełnione przez nich naruszenia, czy też odrębne i samoistne kary dla każdego z tych naruszeń rozpatrywanych osobno.
104. Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie zachowania godzące w przepisy rozporządzenia 2016/679 Prezes UODO wziął pod uwagę, że naruszenia przypisane zarówno Ministrowi, jak i Spółce, zostały popełnione w ramach tych samych operacji przetwarzania. Rozpatrywane w niniejszej sprawie działanie Ministra, polegające na udostępnieniu Spółce danych osobowych wyborców z rejestru PESEL, jak również działanie Spółki, polegające na pozyskaniu i przetwarzaniu tych danych w związku z podjęciem czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym, były bowiem działaniami jednorazowymi, podjętymi na skutek jednej decyzji administratora i ukierunkowanymi na realizację jednego z góry określonego celu. Jednocześnie działania te dotyczyły tego samego zbioru danych. Obie opisane wyżej operacje przetwarzania (tj. udostępnienie danych z jednej strony oraz ich przetwarzanie z drugiej) nie znajdowały oparcia w przepisach prawa, albowiem obaj administratorzy nie legitymowali się w dacie przekazania danych żadną z ważnych przesłanek przetwarzania, enumeratywnie wymienionych w art. 6 ust. 1 rozporządzenia 2016/679. Brak spełnienia choćby jednego warunku zgodności przetwarzania danych osobowych z prawem skutkował bezpośrednio naruszeniem normy wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Należy przy tym stwierdzić, że powołany art. 5 ust. 1 lit. a) rozporządzenia 2016/679 ustanawia w tym względzie ogólną zasadę przetwarzania danych osobowych, która wyznacza ramy całego systemu ochrony danych. Zgodność przetwarzania z prawem, rozumiana jako koncepcja nadrzędna, została doprecyzowana na gruncie pozostałych przepisów rozporządzenia 2016/679, ustanawiających konkretne obowiązki – których adresatami są administratorzy i podmioty przetwarzające – oraz skorelowane z nimi prawa osób, których dane dotyczą. Takim przepisem konkretyzującym bez wątpienia jest również art. 6 ust. 1 rozporządzenia 2016/679. W tym kontekście należy wyjaśnić, że stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie – art. 5 ust. 1 lit. a)) nie wyklucza przypisania administratorowi naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad (w tym wypadku – art. 6 ust. 1) i nałożenia za to sankcji finansowej.
105. Stwierdziwszy więc, że w analizowanym stanie faktycznym obaj administratorzy naruszyli w ramach tych samych operacji przetwarzania więcej aniżeli jeden przepisrozporządzenia 2016/679 (art. 6 ust. 1, a w konsekwencji również art. 5 ust. 1 lit. a)), oraz że żadne ze stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – możliwości przypisania administratorom drugiego z nich, w niniejszym postępowaniu odpowiedzialność zarówno Ministra, jak i Spółki powinna kształtować się „równolegle” w stosunku do wszystkich popełnionych przez ww. naruszeń. W takiej sytuacji zastosowanie znajdzie przepis art. 83 ust. 3 rozporządzenia 2016/679.
106. Podsumowując, w niniejszej sprawie administracyjna kara pieniężna została nałożona na Spółkę za naruszenie art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679. W stosunku do obu tych naruszeń zastosowany został przepis art. 83 ust. 3 rozporządzenia 2016/679, przy czym – w związku z tym, że oba naruszenia zagrożone są (in abstracto) taką samą karą wynikającą z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, w wysokości do 20 000 000 EUR lub do 4 % rocznego obrotu – naruszeniom tym należy przypisać taką samą powagę. Konsekwencją tego jest zaś niemożność orzeczenia, za wymienione powyżej naruszenia, kary o wysokości wyższej niż maksymalna wysokość kary za jedno z nich, tj. kwoty (…) EUR – ze względu na konieczność przyjęcia w odniesieniu do Spółki tzw. „dynamicznego maksimum kary” (zob. pkt 146 uzasadnienia).
107. Z kolei administracyjna kara pieniężna zastosowana wobec Ministra została nałożona za naruszenie art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679, na podstawie art. art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Kara ta, wymierzona łącznie za naruszenie obu powyższych przepisów – stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679 – nie może przekraczać wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie. Zważywszy na fakt, że oba zarzucane Ministrowi naruszenia stypizowane są w art. 83 ust. 5 lit. a) rozporządzenia 2016/679, przewidującym taki sam maksymalny próg zagrożenia administracyjną karą pieniężną, naruszeniom tym należy przypisać taką samą powagę. W konsekwencji, nałożona na Ministra kara nie może wykraczać poza limit kar określony dla jednego z tych naruszeń, tj. kwoty 100 000 zł, ustalonej w art. 102 ust. 1 pkt 1 u.o.d.o. w odniesieniu do organów władzy publicznej i innych podmiotów publicznych.
V.B. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej nałożonej na Ministra
Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679
108. Decydując o nałożeniu na Ministra administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
109. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)
Przypisane Ministrowi naruszenia mają bardzo wysoką wagę i wyjątkowo poważny charakter wyrażający się w tym, że godzą one w podstawowe zasady przetwarzania danych osobowych, które w ramach całego systemu ochrony danych mają charakter fundamentalny, wyznaczający jego ramy. Obciążająco w tym kontekście należy również ocenić charakter przetwarzania, realizowanego przez organ centralnej administracji rządowej w ramach powierzonych mu zadań publicznych. Minister będąc podmiotem odpowiedzialnym za utrzymanie i rozwój rejestru PESEL – stanowiącego centralny i najważniejszy państwowy zbiór danych osobowych osób fizycznych – powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli (w tym odnoszących się do przetwarzania ich danych osobowych ujętych w rejestrze). Tymczasem ww. w sposób władczy i jednostronny podjął decyzję o udostępnieniu Spółce danych osobowych wszystkich osób pełnoletnich na dzień 10 maja 2020 r., które w chwili wygenerowania danych posiadały w rejestrze PESEL zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska, mimo że jego działania nie znajdowały w dacie tego udostępnienia oparcia w obowiązujących przepisach prawa – z czego Minister zdawał sobie sprawę (a co zostało wyjaśnione obszernie w pkt 110 uzasadnienia).
Za okoliczność obciążającą Prezes UODO uznaje także zakres przetwarzania oraz znaczną liczbę osób dotkniętych naruszeniem. Realizując wniosek Spółki z 20 kwietnia 2020 r. o przesłanie danych z rejestru PESEL, Minister udostępnił jej informacje o blisko 30 mln osób posiadających obywatelstwo polskie, co w ogólnym ujęciu stanowiło niemalże 80% populacji kraju[12]. W świetle powyższej informacji, wskazującej na przetwarzanie przez Ministra danych osobowych na ogromną skalę – bo choć zasięg tego przetwarzania był wyłącznie krajowy, to jednak dotyczył on zdecydowanej większości polskiego społeczeństwa – przypisane mu naruszenia należy oceniać jako systemowe, co znacząco wpływa na ich wagę.
Mimo braku pozyskania dowodów świadczących o doznaniu przez osoby, których dane dotyczą, szkód majątkowych w związku ze stwierdzonymi naruszeniami, Prezes UODO uwzględnił, jako okoliczność wpływającą obciążająco na wymiar orzeczonej kary pieniężnej, możliwość wystąpienia po stronie podmiotów danych szkód niematerialnych, takich jak w szczególności obawa czy niepewność wynikająca z faktu niemożności sprawowania kontroli nad swoimi danymi osobowymi – wobec faktu bezprawnego ich udostępnienia Spółce. Za słusznością przyjętej przez organ nadzorczy oceny przemawia treść wyroku Trybunał Sprawiedliwości UE z 14 grudnia 2023 r. w sprawie Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:986), w którym Trybunał podkreślił, że „[a]rt. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić «szkodę niemajątkową» w rozumieniu tego przepisu”. Nie bez znaczenia w tym kontekście pozostaje okoliczność, że ryzyko wystąpienia szkód niemajątkowych potencjalnie dotyczyć mogło wszystkich (w przybliżeniu) 30 mln osób, których dane znajdowały się na przekazanej Spółce płycie DVD – a z całą pewnością ryzyko to zmaterializowało się w odniesieniu do tych osób, które wniosły do organu nadzorczego skargi na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Ministra i Spółkę, w związku z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, które miały odbyć się 10 maja 2020 r.
Z uwagi na specyfikę naruszenia polegającego na jednorazowym udostępnieniu danych osobowych Spółce, co nastąpiło 22 kwietnia 2020 r., Prezes UODO nie mógł ocenić w ramach analizowanej przesłanki wymiaru kary wpływu, jaki na przesłankę tę miał czas trwania naruszenia. Wobec tak przyjętego stanowiska okoliczność tę należało uznać za neutralną, to znaczy nie mającą ani obciążającego, ani łagodzącego wpływu na wysokość orzeczonej administracyjnej kary pieniężnej.
Niezależnie jednak od powyższego, mając na względzie charakter i wagę stwierdzonych naruszeń, jak również liczbę poszkodowanych osób, których dane dotyczą oraz poziom stwierdzonych szkód niemajątkowych, przesłankę określoną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, rozpatrywaną w sposób całościowy, należy ocenić jako zdecydowanie obciążającą.
110. Umyślny charakter naruszenia przepisów rozporządzenia 2016/679 przez Ministra (art. 83 ust. 2 lit. b rozporządzenia 2016/679)
Należy podkreślić, że analizując tę przesłankę Prezes UODO również związany był stosownie do 170 p.p.s.a. ustaleniami WSA i NSA zawartymi w wyrokach wymienionych w pkt 11 i 12 niniejszej decyzji. Ponadto uwzględnił wskazówki zawarte w Wytycznych 04/2022, zgodnie z którymi umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego” (zob. pkt 55 Wytycznych 04/2022). W świetle powyższego organ nadzorczy przyjął, że Minister udostępnił Spółce dane osobowe wyborców z rejestru PESEL, mimo że zdawał sobie sprawę z faktu bezprawności takiego działania.
Wskazać należy, stosownie do stanowiska sądów administracyjnych wyrażonego w ww. wyrokach, że zgodnie przepisami Kodeksu wyborczego, obowiązującymi w dacie analizowanego udostępnienia, stałym najwyższym organem wyborczym właściwym w sprawach przeprowadzania wyborów i referendów była Państwowa Komisja Wyborcza (art. 157 § 1). Obsługę ww. zapewniało zaś Krajowe Biuro Wyborcze, do zadań którego należało zapewnienie warunków organizacyjno-administracyjnych, finansowych i technicznych, związanych z organizacją i przeprowadzaniem wyborów i referendów w zakresie określonym w kodeksie oraz innych ustawach (art. 187 § 1 i 2).
Dodatkowo przepisy Kodeksu wyborczego – których stosowanie w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii, przy przeprowadzaniu wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej w 2020 r., zostało jednak zniesione z dniem 18 kwietnia 2020 r. na mocy art. 102 pkt 4 u.s.i.w. – upoważniały do realizacji czynności zmierzających do przygotowania przeprowadzenia tychże wyborów w trybie korespondencyjnym wyłącznie: komisarzy wyborczych, urzędników wyborczych, a także Głównego Inspektora Sanitarnego oraz Inspekcję Sanitarną (art. 53b Kodeksu wyborczego). Sama zaś możliwość oddania głosu korespondencyjnie zarezerwowana była dla wąskiej grupy wyborców, tj. wyborców z niepełnosprawnościami, wyborców przebywających w obowiązkowej kwarantannie, izolacji lub izolacji domowej oraz wyborców, którzy najpóźniej w dniu głosowania kończą 60 rok życia (art. 53a Kodeksu wyborczego). Wprawdzie6 kwietnia 2020 r. Sejm RP uchwalił ustawę o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r., przewidującą przeprowadzenie ich wyłącznie w drodze głosowania korespondencyjnego w odniesieniu do wszystkich wyborców, legitymujących się czynnym prawem wyborczym (o czym była już mowa w pkt 31 uzasadnienia), niemniej ustawa ta weszła w życie dopiero 9 maja 2020 r., a zatem po dacie dokonanego przez Ministra udostępnienia danych. Zdaniem Prezesa UODO bezsporne jest, że Minister – będąc członkiem Rady Ministrów – wiedział o trwających nad wzmiankowanym aktem prawnym pracach legislacyjnych. Argumentację tę wzmacnia dodatkowo okoliczność, że osoba, która w dacie zaistnienia stwierdzonych naruszeń przepisów rozporządzenia 2016/679 była piastunem organu publicznego, uznanego w niniejszym postępowaniu za administratora danych (tj. ówczesny Minister Cyfryzacji, (…)), wykonywała mandat posła na Sejm RP IX kadencji i brała udział w głosowaniu nad projektem ww. ustawy, udzielając jej swego poparcia[13]. Znany Ministrowi fakt procedowania zmian legislacyjnych, które miały na celu wyłączenie ze stosowania powołanych na wstępie przepisów Kodeksu wyborczego nie pozostawia wątpliwości, że Minister posiadał wiedzę o tym, że w dacie przekazania Spółce danych osobowych wyborców w rejestru PESEL, Spółka nie była podmiotem upoważnionym z mocy prawa do podjęcia i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów powszechnych Prezydenta Rzeczypospolitej Polskiej w 2020 r. Co więcej Minister zdawał sobie sprawę z tego, że żaden obowiązujący wówczas przepis rangi ustawowej nie zezwalał na przeprowadzenie tych wyborów w trybie wyłącznie korespondencyjnym.
Z powyższego Prezes UODO wywodzi, że naruszenia przypisane Ministrowi mają charakter umyślny, co wpływa obciążająco – w stopniu znacznym – na wymiar nałożonej na niego administracyjnej kary pieniężnej.
111. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679)
Decydując o nałożeniu oraz wysokości administracyjnej kary pieniężnej zastosowanej wobec Ministra, Prezes UODO uwzględnił, jako okoliczność obciążającą, fakt uprzedniego naruszenia przez Ministra przepisów rozporządzania 2016/679. Wskazać bowiem należy, że w wyniku otrzymanych skarg osób fizycznych na nieprawidłowości procesie przetwarzania ich danych osobowych przez ww., organ nadzorczy wydał następujące rozstrzygnięcia:
- decyzję z 29 marca 2021 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 12 ust. 3 rozporządzenia 2016/679,
- decyzję z 10 września 2021 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 5 ust. 1 lit. a) i lit. b) oraz art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 4 stycznia 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 12 ust. 3 rozporządzenia 2016/679.
Wymienione powyżej wcześniejsze naruszenia świadczą o występowaniu w strukturach administratora pewnych problemów z realizacją obowiązków wynikających z przepisów rozporządzenia 2016/679. Minister nie był bowiem w stanie w ww. indywidualnych sprawach wykazać przed organem nadzorczym legalności przetwarzania oraz terminowości w zakresie realizacji praw przysługujących osobom, których dane dotyczą – co skutkowało zastosowaniem wobec Ministra odpowiednich środków naprawczych. Jednakże należy stwierdzić, że zidentyfikowane problemy nie miały charakteru systemowego czy nagminnie powtarzającego się, lecz dotyczyły sytuacji jednostkowych. Nie bez znaczenia dla oceny przedmiotowej przesłanki pozostaje również fakt, że dwa spośród naruszeń stwierdzonych w ww. postępowaniach przedmiotowo różniły się od tych poddanych badaniu w niniejszej sprawie. Jak bowiem wyjaśnia EROD, „naruszenia, które dotyczą tego samego przedmiotu należy uznać za stosowniejsze niż wcześniejsze naruszenia, które dotyczą innego przedmiotu” (zob. pkt 88 Wytycznych 04/2022). Z uwagi na powyższe Prezes UODO stanął na stanowisku, że dotychczasowa postawa Ministra wskazująca na istniejące trudności w respektowaniu przepisów o ochronie danych osobowych – o ile poczytywana jest na niekorzyść administratora i uzasadnia obecnie nałożenie na niego administracyjnej kary pieniężnej – o tyle nie wpływa w znacznym stopniu na zwiększenie jej wymiaru.
112. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679)
Dane osobowe udostępnione Spółce przez Ministra obejmowały: numer PESEL, imiona, nazwiska, ostatni aktualny adres zameldowania na pobyt stały (a w przypadku jego braku: ostatni nieaktualny), adres zameldowania na pobyt czasowy (wraz deklarowanym terminem tego pobytu), a także aktualnie zarejestrowany wyjazd czasowy poza granice kraju, wszystkich osób pełnoletnich na dzień 10 maja 2020 r., które w dniu wygenerowania tychże danych posiadały w rejestrze PESEL zarejestrowane obywatelstwo polskie, a nadto figurowały jako osoby żyjące, dla których wskazanym krajem zamieszkania była Polska. O ile wśród ww. informacji przekazanych Spółce brak jest danych szczególnych kategorii określonych w art. 9 i 10rozporządzenia 2016/679 – które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji organu nadzorczego przy nakładaniu kar pieniężnych – to jednak szeroki zakres tych danych, zezwalający na natychmiastową identyfikację osób, których dane dotyczą, nakazuje traktować tę przesłankę obciążająco. W tym kontekście warto przywołać stanowisko EROD, zgodnie z którym„im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych” (zob. pkt 57-58 Wytycznych 04/2022).
Podkreślenia również wymaga, że zaistniałe naruszenia ochrony danych osobowych dotyczyły numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679. Bezprawne udostępnienie tego rodzaju informacji Spółce, w szczególności w połączeniu – tak jak miało to miejsce w przedmiotowej sprawie – z szerszym zestawem danych osobowych, mogło realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Nie inaczej zresztą w kwestii szczególnego charakteru informacji identyfikacyjnej, jaką jest numer ewidencyjny PESEL i łączącym się z tym postulatem szczególnej jego ochrony wypowiedział się Naczelny Sąd Administracyjny, który w wyroku z 6 grudnia 2023 r. o sygn. akt III OSK 2931/21 zważył, że udostępnienie „(…) danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych (…) zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych”.
113. Wszelkie inne obciążające lub łagodzące czynniki, mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679)
Na niekorzyść Ministra organ nadzorczy poczytał również konsekwencje przypisanych mu naruszeń dostrzegalne w wymiarze ogólnospołecznym. Udostępnienie przez organ publiczny na rzecz Spółki danych osobowych polskich obywateli, którzy 10 maja 2020 r. uprawnieni byli do skorzystania w czynnego prawa wyborczego w wyborach Prezydenta Rzeczypospolitej Polskiej – szeroko komentowane zarówno w mediach tradycyjnych, jak i społecznościowych, wobec uzasadnionych wątpliwości co do legalności opisywanych działań Ministra – spowodowało niepokój i niepewność obywateli co do przewidywalności działań organów państwowych oraz stało się powodem licznych protestów i manifestacji. W efekcie podlegające ukaraniu w niniejszej sprawie zachowanie Ministra spowodowało pogłębianie się zjawiska, jakim jest brak zaufania obywateli do organów władzy publicznej, a także co do skuteczności państwowego systemu ochrony i zabezpieczania danych osobowych, zwiększając tym samym wagę przypisanych Ministrowi naruszeń.
114. Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Ministra, w ramach przesłanki dotyczącej wszelkich innych obciążających lub łagodzących czynników, mających zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679), fakt podjęcia przez ww. działań ukierunkowanych na usunięcie skutków przypisanych mu naruszeń. Za takie poczytywać bowiem należy skierowanie do Spółki w dniu 12 maja 2020 r. wezwania do złożenia oświadczenia o trwałym usunięciu przekazanych Spółce 22 kwietnia 2020 r. danych z rejestru PESEL oraz wszystkich ich kopii. Mając na względzie, że przystąpienie przez Spółkę do realizacji procesów związanych z usunięciem danych nastąpiło dopiero 15 maja 2020 r., można przypuszczać, że to właśnie wystąpienie Ministra zainicjowało pierwsze działania Spółki w powyższym zakresie. Tym samym okoliczność ta została uznana za łagodzącą, tj. mającą wpływ na obniżenie wysokości nałożonej na Ministra administracyjnej kary pieniężnej.
115. Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy jako niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
116. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679)
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Ministra, z uwagi na co przesłankę tę ocenił neutralnie. Oceny tej nie zmienia fakt, że Minister zwrócił się do Spółki z wnioskiem o złożenie oświadczenia w przedmiocie usunięcia przekazanych jej danych osobowych, konsekwencją czego było zaprzestanie przetwarzania tych danych przez Spółkę. O ile bowiem usunięcie stanu naruszenia przepisów rozporządzenia 2016/679 zasadniczo mogło prowadzić do zakończenia trwania zaistniałego po stronie podmiotów danych stanu obawy, wynikającego z utraty kontroli nad dotyczącymi ich danymi – o tyle działania te nie zostały w żaden sposób zakomunikowane opinii publicznej, a zatem nie mogły odnieść oczekiwanego skutku.
117. Stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679)
Ze względu na charakter naruszeń przepisów rozporządzenia 2016/679 stwierdzonych w niniejszej sprawie (udostępnienia danych osobowych z rejestru PESEL, mimo braku podstawy prawnej) – które to naruszenia w swej istocie nie wiążą się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi, a jedynie z oceną poprawności dokonanej przez Ministra interpretacji przepisów legalizujących to przetwarzanie – należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Ministra przepisów art. 5 ust. 1 lit. a) i art. 6 ust. 1 rozporządzenia 2016/679.
118. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679)
Prezes UODO pragnie zaznaczyć, że podlegające ukaraniu w niniejszej sprawie zachowanie Ministra, które z natury rzeczy było działaniem jednorazowym i nieodwracalnym, zasadniczo wyłączało możliwość usunięcia przypisanych mu naruszeń. Co więcej, w dacie wszczęcia niniejszego postępowania administracyjnego dane osobowe udostępnione przez Ministra nie były przetwarzane przez Spółkę, która usunęła je bez wcześniejszego działania czy interwencji ze strony organu nadzorczego. Co za tym idzie, na obecnym etapie brak jest możliwości dokonania oceny stopnia współpracy Ministra z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Tak zaprezentowany stan faktyczny nie możne stanowić obciążającej, ani łagodzącej okoliczności przy wymierzaniu sankcji.
119. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679)
Organ nadzorczy dowiedział się o naruszeniu przez Ministra przepisów rozporządzenia 2016/679 w wyniku otrzymanych skarg osób fizycznych, pozyskując informacje również z ogólnie dostępnych mediów. Z uwagi na fakt, iż zasygnalizowane organowi bezprawne zachowanie administratora nie stanowi „naruszenia ochrony danych osobowych” w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 – tj. naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – Minister nie miał obowiązku zgłoszenia go organowi nadzorczemu w trybie przewidzianym w art. 33 omawianego aktu prawnego. Należy bowiem wskazać, że przepisy rozporządzenia 2016/679 nie nakładają na administratorów analogicznego obowiązku w sytuacji wystąpienia naruszenia, które nie skutkuje zakłóceniem bezpieczeństwa przetwarzanych danych osobowych, mogącym wpłynąć na poufność, integralność lub dostępność tych danych. Tym samym sposób, w jaki organ dowiedział się o naruszeniu należy ocenić jako fakt neutralny, niemający znaczenia dla rozstrzygnięcia niniejszej decyzji.
120. Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679)
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Ministra w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Minister nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
121. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679)
Minister na dzień wydania decyzji nie stosował zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Ministra. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych, jednak w przedmiotowej sprawie okoliczność taka nie wystąpiła.
122. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679)
W toku postępowania nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez Ministra korzyści finansowych lub uniknięcie strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Ministra takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022
123. Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Ministra Prezes UODO w sposób ograniczony zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Ograniczony zakres stosowania tych wytycznych do obliczania kar orzekanych wobec organów i podmiotów publicznych wynika z braku możliwości przyjęcia obrotu (przychodów) takiego podmiotu jako miernika jego wielkości pozwalającego miarkować wysokość kary, tak by była ona skuteczna, proporcjonalna i odstraszająca. Jak wskazuje EROD w pkt 10 swoich wytycznych, jeżeli na podstawie prawa krajowego organy nadzorcze mają uprawnienie do nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne, wytyczne te mają zastosowanie do ich obliczania z wyjątkiem rozdziału 4.3 tego dokumentu („Obrót przedsiębiorstwa do celów nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej”). Tam natomiast gdzie prawo krajowe przewiduje dla organów i podmiotów publicznych ustawowe maksymalne kwoty kar (inne niż wynikające z art. 83 ust. 4-6 rozporządzenia 2016/679) zastosowania nie będzie znajdował rozdział 6 wytycznych („Prawnie określona maksymalna wysokość kary pieniężnej i odpowiedzialność przedsiębiorstw”). Mając więc na uwadze powyższe Prezes UODO dokonał niżej przedstawionej kalkulacji kary orzekanej wobec Ministra.
124. Za prawnie określoną maksymalną kwotę kary możliwą do orzeczenia wobec Ministra Prezes UODO przyjął – stosownie do art. 102 ust. 1 pkt 1 u.o.d.o. – kwotę 100 000 zł, przy czym kwota ta znajduje zastosowanie niezależnie od tego, którego przepisu rozporządzenia 2016/679 dotyczy naruszenie.
125. Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów zarówno art. 5, jak i art. 6 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w tym akcie prawnym wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4 % obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto „najpoważniejsze” z naruszeń przewidzianych rozporządzeniem 2016/679; są bowiem poważniejsze od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679).
126. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o wysokim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 109, 110 i 112 uzasadnienia). W tym miejscu wskazać należy jedynie, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Ministra (zob. pkt 60 tiret trzecie Wytycznych 04/2022), to jest – zważywszy na kwotę maksymalną w wysokości 100 000 zł określoną dla organów i podmiotów publicznych (zob. pkt 124 uzasadnienia) – od kwoty 20 000 zł do kwoty 100 000 zł. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 90 000 zł (90 % prawnie określonej maksymalnej wysokości kary możliwej do wymierzenia Ministrowi).
127. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia (do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu) oraz ewentualnie do innych okoliczności mogących mieć znaczenie dla jego oceny. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przestawione zostały powyżej (zob. pkt 111 oraz 113-122 uzasadnienia). W tym miejscu wskazać jedynie należy, że dwie spośród nich miały – w ocenie Prezesa UODO – obciążający wpływ na wymiar orzeczonej kary: stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e) rozporządzenia 2016/679) oraz negatywne skutki naruszenia mające miejsce w sferze ogólnospołecznej (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Jedna natomiast przesłanka miała niewielki wpływ łagodzący na wymiar kary – dobrowolne działanie podjęte przez Ministra w celu złagodzenia negatywnych skutków naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki z art. 83 ust. 2 (lit. c), d), f), h), i) oraz j) rozporządzenia 2016/679) – jak wskazano powyżej – nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu więc na zaistnienie w sprawie dodatkowych okoliczności mających wpływ na ocenę naruszenia, a więc i na wymiar kary, za zasadne Prezes UODO uznał dalsze skorygowanie kwoty kary ustalonej na podstawie oceny powagi naruszenia (zob. pkt 126 uzasadnienia). Adekwatnym do łącznego wpływu na wymiar kary wszystkich trzech wskazanych wyżej, istotnych dla oceny naruszenia, przesłanek będzie w ocenie Prezesa UODO dalsze zwiększenie jej wysokości – aż do kwoty 100 000 zł, czyli do prawnie określonej maksymalnej kwoty kary możliwej do orzeczenia wobec Ministra.
128. Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 każdy organ nadzorczy zapewnia, by administracyjne kary pieniężne stosowane za naruszenia tego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Natomiast Wytyczne 04/2022 wskazują, że ostatnim krokiem kalkulacji kary dokonywanej zgodnie z przedstawioną tam metodologią powinno być przeanalizowanie, czy ostateczna kwota obliczonej kary pieniężnej spełnia te wymogi, oraz odpowiednie zwiększenie lub zmniejszenie kary pieniężnej. Dokonując takiej analizy w niniejszej sprawie Prezes UODO stwierdził, że administracyjna kara pieniężna w kwocie niższej niż kwota 100 000 zł, orzeczona w tych konkretnych, indywidualnych okolicznościach sprawy, nie spełniłaby żadnego ze wskazanych wyżej wymogów. W jego ocenie kara taka nie byłaby po pierwsze proporcjonalna do bardzo wysokiej powagi naruszenia oraz oceny całokształtu okoliczności, w których je popełniono (zob. pkt 126 i 127 uzasadnienia). Nie byłaby ona również proporcjonalna do wielkości administratora będącego organem zarządzającym kluczowym ministerstwem dysponującym dużymi zasobami materialnymi oraz ludzkimi i – co istotne – odpowiedzialnym za bezpieczeństwo największych baz danych osobowych w kraju. Po drugie, kara we wskazanej wyżej wysokości nie byłaby karą skuteczną i odstraszającą; w ocenie Prezesa UODO nie pozwoliłaby bowiem osiągnąć zakładanych celów, czyli realnego ukarania Ministra za jego bezprawne zachowanie oraz zniechęcenia zarówno jego samego, jak i innych administratorów do popełniania w przyszłości takich samych lub podobnych naruszeń. Należy podkreślić, że skuteczność i odstraszający wymiar kary pieniężnej uzależniona jest od jej surowości i realnej dolegliwości dla ukaranego podmiotu. Kara w wysokości niższej niż 100 000 zł nie byłaby w ocenie Prezesa UODO karą realnie dolegliwą dla organu takiego jak Minister Cyfryzacji. Mając powyższe na uwadze Prezes UODO stwierdził, że niedopuszczalnym wręcz – przez wzgląd na skuteczność, proporcjonalność i wymiar odstraszający orzekanej kary – byłoby orzeczenie wobec Ministra kary niższej niż 100 000 zł, czyli niższej niż maksymalna kwota kary przewidziana przepisem art. 102 ust. 1 pkt 1 u.o.d.o. Prezes UODO ma przy tym świadomość, że również kara w kwocie 100 000 zł nie będzie karą realnie (wymiernie w wymiarze finansowym) nadmiernie dolegliwą dla Ministra. Orzeczenie kary w maksymalnej możliwej wysokości powinno być jednak jednoznacznym wyrazem dokonanej przez Prezesa UODO zdecydowanie negatywnej oceny dokonanego przez Ministra (organ) naruszenia. Warto jeszcze podkreślić, że wysokość orzeczonej kary wynika wyłącznie z istotnego (w stosunku do ogólnych zasad wymiaru administracyjnych kar pieniężnych przewidzianych przepisami rozporządzenia 2016/679) ograniczenia zagrożenia karą przewidzianego dla podmiotów publicznych w art. 102 ust. 1 u.o.d.o. W sytuacji orzeczenia wobec Ministra kary pieniężnej w ramach ogólnego, określonego w art. 83 ust. 5 lit. a) rozporządzenia 2016/679 zagrożenia, kara ta – ze względu na bardzo wysoką powagę i wysoce naganny charakter naruszenia – musiałaby być wymierzona w kwocie wielokrotnie przekraczającej kwotę 100 000 zł. Na zasadach ogólnych maksymalne zagrożenie karą za naruszenie zasad dotyczących przetwarzania danych osobowych określonych w art. 5 rozporządzenia 2016/679 oraz art. 6 rozporządzenia 2016/679, zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, wynosiłoby bowiem 20 000 000 EUR.
V.C. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej nałożonej na Spółkę
Przesłanki wymiaru kary – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679
129. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
130. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)
Przypisane Spółce naruszenia mają bardzo wysoką wagę i wyjątkowo poważny charakter wyrażający się w tym, że godzą one w podstawowe zasady przetwarzania danych osobowych, które w ramach całego systemu ochrony danych mają charakter fundamentalny, wyznaczający jego ramy. Wskazać należy, że Poczta Polska S.A., będąc spółką Skarbu Państwa, a jednocześnie operatorem wyznaczonym do świadczenia usług powszechnych na lata 2016-2025 (zob. pkt 6 uzasadnienia), powinna – w związku z realizacją powierzonych jej zadań publicznych – odznaczać się najwyższą starannością oraz poszanowaniem obowiązujących przepisów prawa, w tym przepisów o ochronie danych osobowych. Dodatkowo, jako podmiot wyznaczony Decyzją PRM z 16 kwietnia 2020 r. do podjęcia i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym, Spółka jeszcze przed wystąpieniem do Ministra Cyfryzacji z wnioskiem datowanym na 20 kwietnia 2020 r. o udostępnienie jej danych osobowych wyborców z rejestr PESEL, powinna była przeprowadzić dogłębną analizę legalności takiego działania, jak i samego procesu przetwarzania tych danych. Obowiązku tego, spoczywającego na gruncie przepisów rozporządzenia 2016/679 na każdym administratorze danych (a za takiego bez wątpienia należy w ustalonym stanie faktycznym poczytywać Spółkę), w żadnym stopniu nie znosił trwający wówczas na terenie kraju stan epidemii. Zważyć bowiem należy, że przysługujące wszystkim obywatelom prawo do ochrony prawnej życia prywatnego, jak również prawo do ochrony danych osobowych – jako prawa gwarantowane konstytucyjnie – nie podlegały, w analizowanym kontekście, żadnym ograniczeniom. Na marginesie dodać należy, że zgodnie z Konstytucją RP, nawet w czasie stanu wojennego i wyjątkowego ustawa określająca zakres ograniczeń wolności i praw człowieka i obywatela nie może ograniczać prawa do prywatności (zob. art. 233 ust. 1 Konstytucji RP). Powyższe nakazuje oceniać obciążająco, w stopniu znacznym, charakter przypisywanych Spółce naruszeń.
Za okoliczność obciążającą Prezes UODO uznaje także zakres przetwarzania oraz znaczną liczbę osób dotkniętych naruszeniem. W celu realizacji Decyzji PRM z 16 kwietnia 2020 r. Spółka bezprawnie pozyskała z rejestru PESEL dane osobowe wszystkich osób pełnoletnich na dzień 10 maja 2020 r., które w chwili wygenerowania danych (tj. 22 kwietnia 2020 r.) posiadały w rejestrze PESEL zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska. Tym samym Spółka przetwarzała – nie legitymując się ważną podstawą prawną – informacje o około 30 mln osób posiadających obywatelstwo polskie, co w ogólnym ujęciu stanowiło niemalże 80% populacji kraju[14]. Mimo że zakres analizowanego przetwarzania był wyłącznie krajowy (tj. nie wykraczał poza granice państwowe), to jednak jego ogromna skala, wyrażająca się w przetwarzaniu danych osobowych zdecydowanej większości polskiego społeczeństwa, nakazuje oceniać przypisywanie Spółce naruszenia jako systemowe, co znacznie zwiększa ich wagę.
Jak już wskazano w części uzasadnienia niniejszej decyzji poświęconej przyczynom nałożenia i ustalenia wysokości administracyjnej kary pieniężnej wymierzonej wobec Ministra Cyfryzacji (zob. pkt 109 uzasadnienia), organ nadzorczy nie stwierdził, aby osoby, których dane dotyczą doznały szkód majątkowych w związku ze stwierdzonymi naruszeniami. Niemniej już samo przetwarzanie danych osobowych przez Spółkę, mimo braku istnienia ważnej ku temu podstawy prawnej, powodowało po stronie podmiotów danych możliwość wystąpienia szkód niematerialnych, a zwłaszcza obawy i niepewność wynikające z faktu niemożności sprawowania kontroli nad swoimi danymi osobowymi. W szczególności, że osoby, których dane Spółka przetwarzała w związku z przygotowaniem przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r., nie dysponowały żadną wiedzą o tym, w jaki sposób, i czy zgodnie z przepisami prawa, przetwarzanie to się odbywa. Znaczenie analizowanej przesłanki zwiększa okoliczność, że ryzyko wystąpienia szkód niemajątkowych potencjalnie dotyczyło wszystkich (w przybliżeniu) 30 mln osób, których dane osobowe znajdowały się na udostępnionej Spółce płycie DVD. Co więcej, ryzyko to zmaterializowało się w odniesieniu do tych osób, które wniosły do organu nadzorczego skargi na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Ministra i Spółkę, w związku z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, które miały odbyć się 10 maja 2020 r.
Stosunkowo krótki czas trwania naruszeń, tj. od momentu pozyskania kwestionowanych danych z rejestru PESEL w dniu 22 kwietnia 2020 r. do chwili ich całkowitego usunięcia przez Spółkę w dniu 22 maja 2020 r., należy poczytywać na jej korzyść. Niemniej jednak, mając na względzie charakter i wagę stwierdzonych uchybień, jak również liczbę poszkodowanych osób, których dane dotyczą oraz poziom poniesionych przez nie szkód niemajątkowych, przesłankę określoną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679 – rozpatrywaną w sposób całościowy – należy ocenić jako obciążającą.
131. Umyślny charakter naruszenia przepisów rozporządzenia 2016/679 przez Spółkę (art. 83 ust. 2 lit. b rozporządzenia 2016/679)
Należy podkreślić, że analizując tę przesłankę Prezes UODO również związany był stosownie do 170 p.p.s.a. ustaleniami WSA i NSA zawartymi w wyrokach wymienionych w pkt 11 i 12 niniejszej decyzji. Z uwagi na powyższe uwzględniając dokonane ustalenia faktyczne Prezes UODO stanął na stanowisku, że Spółka podjęła decyzję o złożeniu do Ministra Cyfryzacji wniosku z 20 kwietnia 2020 r. o udostępnienie jej danych osobowych z rejestru PESEL, a następnie przetwarzała te dane, mimo że zdawała sobie sprawę z ryzyka bezprawności tych działań – z którym to stanem rzeczy godziła się.
Wskazać należy, stosownie do stanowiska sądów administracyjnych wyrażonego w ww. wyrokach, że w dacie wystąpienia przez Spółkę z wnioskiem o przekazanie jej danych wyborców z rejestru PESEL, zadania dotyczące zapewnienia warunków organizacyjno-administracyjnych, finansowych i technicznych, związanych z organizacją i przeprowadzaniem wyborów, należały do wyłącznej kompetencji Krajowego Biura Wyborczego. Jakkolwiek przepisy ustawy z dnia 6 kwietnia 2020 r. o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r. przewidywały przekazanie tychże zadań do kompetencji operatora wyznaczonego (tj. Spółki), to jednak należy podkreślić, że regulacja ta weszła w życie dopiero 9 maja 2020 r. – co oznacza, że pozyskując dane wyborców z rejestru PESEL Spółka działała poza prawem. Dodatkowo, art. 102 pkt 4 u.s.i.w. znosił w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii, przy przeprowadzaniu wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej w 2020 r., stosowanie przepisów Kodeksu wyborczego w zakresie m.in. głosowania korespondencyjnego, o którym mowa w art. 53a tego Kodeksu. Tym samym należy skonstatować, że od 18 kwietnia 2020 r. (tj. od chwili wejścia w życie art. 102 u.s.i.w.) do 9 maja 2020 r. (tj. do momentu wejścia w życie ustawy o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r.), brak było przepisów rangi ustawowej umożliwiających oddanie głosu w tychże wyborach w trybie korespondencyjnym.
Ww. okoliczności znane były Spółce. Po pierwsze bowiem, kwestia legalności przeprowadzenia wyborów w wyżej opisanym trybie, jako budząca uzasadnione wątpliwości, była na tyle szeroko komentowana w przestrzeni publicznej, iż nie sposób przyjąć, że Spółka – jako podmiot bezpośrednio w organizację tych wyborów zaangażowany – nie żywiła zainteresowania rozwojem bieżących zdarzeń. W szczególności, że to właśnie Spółka będąc adresatem Decyzji PRM z 16 kwietnia 2020 r. miała ponieść pierwszy ekonomiczny ciężar związany z realizacją powierzonego jej zadania. O wątpliwościach Spółki, co do braku jej kompetencji w opisywanym wyżej zakresie, świadczy natomiast fakt zlecenia przez Spółkę opracowania trzech opinii prawnych w kontekście przedmiotu zadań i obowiązków oraz odpowiedzialności Członków Zarządu Spółki, w związku z realizacją polecenia zawartego w decyzji PRM z 16 kwietnia 2020 r. (na którą to okoliczność organ nadzorczy zwracał już uwagę w pkt 89 uzasadnienia). W tym kontekście za szczególnie istotną dla oceny niniejszej przesłanki należy uznać treść opinii prawnej z 23 kwietnia 2020 r., sporządzonej w Biurze Prawnym i Nadzoru Właścicielskiego PP S.A. w której, wskazano na ciążący na Członkach Zarządu obowiązek starannego działania w sytuacji, w której ustawa o szczególnych zasadach przeprowadzania wyborów nie została jeszcze uchwalona. W związku z tym rekomendowano m.in. przeprowadzenie analizy decyzji (…) pod kątem zasadności jej zaskarżenia, w szczególności w kontekście jej zgodności z prawem. Mając na względzie wyżej wyrażone wątpliwości Spółki – bezsporne wobec faktu, iż Spółka zdecydowała się w celu ich usunięcia zasięgnąć opinii prawnej – nie sposób jest przyjąć, że bezprawne pozyskanie danych wyborców z rejestru PESEL było wynikiem nieuświadomionego błędu Spółki co do zgodności tego przetwarzania z prawem.
132. Wszelkie stosowne wcześniejsze naruszenia ze strony Spółki (art. 83 ust. 2 lit. e rozporządzenia 2016/679)
Decydując o nałożeniu oraz wysokości administracyjnej kary pieniężnej nałożonej na Spółkę, Prezes UODO uwzględnił, jako okoliczność obciążającą, fakt uprzedniego naruszenia przez Spółkę przepisów rozporządzania 2016/679. W związku z wpływem skarg osób fizycznych na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Spółkę, organ nadzorczy wydał wobec niej następujące rozstrzygnięcia:
- decyzję z 22 września 2020 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 12 ust. 3 i 4 w zw. z art. 15 ust. 1 lit. b) rozporządzenia 2016/679,
- decyzję z 11 stycznia 2021 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 15 ust. 1 lit. c), art. 15 ust. 1 lit. h) oraz art. 15 ust. 3 rozporządzenia 2016/679,
- decyzję z 1 lipca 2021 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 7 marca 2022 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 16 marca 2022 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 20 września 2022 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 21 grudnia 2022 r. o sygn. (…), stwierdzająca naruszenie przepisu art. 6 ust. 1, art. 9 ust. 1 i art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
- decyzję z 26 stycznia 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 5 ust. 1 lit. c) oraz art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 2 lutego 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 2 lutego 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 29 czerwca 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 28 grudnia 2023 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
- decyzję z 25 marca 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 10 lipca 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 12 września 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679,
- decyzję z 27 listopada 2024 r. o sygn. (…), stwierdzającą naruszenie przepisu art. 9 ust. 1 w zw. z art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
Wskazane powyżej wcześniejsze naruszenia świadczą o występowaniu w strukturach Spółki poważnych problemów z realizacją obowiązków wynikających z przepisów rozporządzenia 2016/679. Spółka nie była bowiem w stanie w ww. indywidualnych sprawach wykazać przed organem nadzorczym legalności przetwarzania ani prawidłowej realizacji praw przysługujących osobom, których dane dotyczą – co skutkowało zastosowaniem wobec niej odpowiednich środków naprawczych. Jednakże należy stwierdzić, że stwierdzone wcześniej naruszenia (związane m.in. z wadliwym doręczeniem przesyłek lub niezgodnym z prawem przetwarzaniem danych osobowych pracowników Spółki) powstały w większości na skutek błędu ludzkiego i dotyczyły przetwarzania danych osobowych na szczeblu lokalnym, a tym samym w żaden sposób nie wiązały się z działaniami Spółki poddanymi ocenie w niniejszym postępowaniu. Z uwagi na powyższe nie sposób uznawać je za „stosowne” wcześniejsze naruszenia w rozumieniu art. 83 ust. 2 lit. e) rozporządzenia 2016/679.
Niemniej uwzględniając stanowisko EROD, zgodnie z którym „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów RODO” (zob. pkt 88 Wytycznych 04/2022), Prezes UODO poczytał dotychczasową postawę Spółki – wskazującą na istniejące trudności w respektowaniu przepisów o ochronie danych osobowych – na jej niekorzyść przyjmując, że stwierdzone wcześniejsze naruszenia uzasadniają obecnie nałożenie na Spółkę administracyjnej kary pieniężnej. Jednocześnie jednak brak wyraźnego związku pomiędzy ww. sprawami skargowymi a sprawą niniejszą nakazywał uznać analizowaną przesłankę za obciążającą w stopniu, który nie wpłynął istotnie na wysokość orzeczonej kary.
133. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679)
Zważywszy na fakt, że szczegółowa ocena przesłanki ujętej w art. 83 ust. 2 lit. g) rozporządzenia 2016/679, została przeprowadzona przez organ nadzorczy w części uzasadnienia niniejszej decyzji, poświęconej przyczynom nałożenia i ustalenia wysokości administracyjnej kary pieniężnej zastosowanej wobec Ministra Cyfryzacji (zob. pkt 112 uzasadnienia), a jednocześnie zakres danych osobowych, pozyskanych i przetwarzanych przez Spółkę w związku zprzygotowaniem przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym w pełni pokrywa się z zakresem danych udostępnionych z rejestru PESEL przez Ministra Cyfryzacji, Prezes UODO – celem uniknięcia zbędnych powtórzeń – odsyła do analizy tamże dokonanej. Wszystkie argumenty poprzednio już przez organ nadzorczy podniesione znajdą bowiem zastosowanie w odniesieniu do naruszeń przypisywanych Spółce.
134. Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił na korzyść Spółki, w ramach przesłanki dotyczącej wszelkich innych obciążających lub łagodzących czynników, mających zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679), fakt stosunkowo szybkiego usunięcia stanu naruszenia przepisów rozporządzenia 2016/679 przez Spółkę. Jak ustalono,Spółka przystąpiła 15 maja 2020 r. do czynności związanych z nieodwracalnym usunięciem wszystkich danych osobowych przekazanych jej przez Ministra Cyfryzacji – który to proces zakończyła z dniem 22 maja 2020 r. Przywrócenie przez nią stanu zgodnego z prawem nastąpiło więc krótko po ustaniu celu, który w ocenie Spółki uzasadniał pozyskanie danych osobowych wyborców z rejestru PESEL (tj. po zakończeniu przygotowywań Spółki do wyborów powszechnych Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r., które miały odbyć się 10 maja 2020 r.). Usunięcie danych przez Spółkę było działaniem całkowicie niezależnym od interwencji organu nadzorczego, co przemawia za zmniejszeniem wymiaru orzeczonej wobec Spółki administracyjnej kary pieniężnej. Przeprowadzona redukcja uwzględnia jednak okoliczność, że podejmowane przez Spółkę kroki nie były zupełnie spontaniczne, lecz wiązały się z uprzednią interwencją Ministra, który pisemnie zobowiązał Spółkę do złożenia oświadczenia w przedmiocie usunięcia udostępnionych jej danych osobowych oraz wszelkich ich kopii. Wzmiankowane wezwanie Spółki do zaprzestania przetwarzania danych osobowych pozyskanych z rejestru PESEL – choć nie zmienia ogólnej oceny analizowanej przesłanki, którą bez wątpienia należy zaliczać do łagodzących – przemawia za przypisaniem jej mniejszego znaczenia, aniżeli miałaby ona w sytuacji, gdyby Spółka przystąpiła do usunięcia danych z własnej inicjatywy.
135. Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
136. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679)
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Spółki z uwagi na co przesłankę tę ocenił neutralnie. Oceny tej nie zmienia fakt, że Spółka ostatecznie, tj. po ustaniu deklarowanego celu, dla którego przetwarzała dane osobowe wyborców pozyskane z rejestru PESEL, trwale usunęła te dane oraz wszelkie ich kopie. O ile bowiem usunięcie danych mogło znosić stan obawy istniejący po stronie podmiotów danych, związany z faktem utraty kontroli nad dotyczącymi ich danymi osobowymi, o tyle Spółka nie podjęła żadnych innych działań, które w sposób bezpośredni miałaby zmierzać do minimalizacji ww. szkód. Z uwagi na powyższe brak jest podstaw do ewaluacji analizowanej przesłanki w sposób inny, aniżeli wynikający z niniejszej decyzji.
137. Stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679)
Ze względu na charakter naruszeń przepisów rozporządzenia 2016/679 stwierdzonych w niniejszej sprawie (przetwarzania danych osobowych z rejestru PESEL, mimo braku podstawy prawnej) – które to naruszenia w swej istocie nie wiążą się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi, a jedynie z oceną poprawności dokonanej przez Spółkę interpretacji przepisów legalizujących przetwarzanie – należy przyjąć, iż przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia w ocenie naruszenia przez Spółkę przepisów art. 5 ust. 1 lit. a) i art. 6 ust. 1 rozporządzenia 2016/679.
138. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679)
Prezes UODO wskazuje, że w dacie wszczęcia niniejszego postępowania administracyjnego dane osobowe pozyskane z rejestru PESEL nie były już przetwarzane przez Spółkę. Co za tym idzie, na obecnym etapie brak jest możliwości dokonania oceny stopnia współpracy Spółki z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Okoliczność usunięcia naruszenia przez Spółkę w sposób dobrowolny została natomiast uwzględniona na jej korzyść w ramach oceny przesłanki określonej w art. 83 ust. 2 lit. k) rozporządzenia 2016/679.
139. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679)
Organ nadzorczy dowiedział się o naruszeniu przez Spółkę przepisów rozporządzenia 2016/679 w wyniku otrzymanych, licznych skarg osób fizycznych oraz z informacji z ogólnie dostępnych mediów. Z uwagi na fakt, iż zasygnalizowane organowi bezprawne zachowanie administratora nie stanowi „naruszenia ochrony danych osobowych” w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 – tj. naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – Spółka nie miała obowiązku zgłoszenia go organowi nadzorczemu w trybie przewidzianym w art. 33 omawianego aktu prawnego. Należy bowiem wskazać, że przepisy rozporządzenia 2016/679 nie nakładają na administratorów analogicznego obowiązku w sytuacji wystąpienia naruszenia, które nie skutkuje zakłóceniem bezpieczeństwa przetwarzanych danych osobowych, mogącym wpłynąć na poufność, integralność lub dostępność tych danych. Tym samym sposób, w jaki organ dowiedział się o naruszeniu należy ocenić jako fakt neutralny, niemający znaczenia dla rozstrzygnięcia niniejszej decyzji.
140. Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679)
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
141. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679)
Spółka na dzień wydania decyzji nie stosowała zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na jej korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych, jednak w przedmiotowej sprawie okoliczność taka nie wystąpiła.
142. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679)
W toku postępowania nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez Spółkę korzyści finansowych lub uniknięcie strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Spółkę takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022
143. Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Spółkę Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.
144. Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość obrotu Spółki za rok 2024 przedstawioną przez nią w oświadczeniu załączonym do pisma Spółki z 6 lutego 2025 r. Zgodnie z tym dokumentem obrót Spółki w roku 2024 (w „poprzednim roku obrotowym”) wyniósł (…) zł, co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2025 r. – 1 euro = 4,2092 zł – przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) – stanowi równowartość kwoty (…) euro. Dodatkowo z przedstawionego przez Spółkę sprawozdania finansowego za rok 2023, również załączonego do pisma z 6 lutego 2025 r., wynika, że jej obrót w tym roku obrotowym wyniósł 6 593 890 000 zł, zaś w roku 2022 – 6 529 913 000 zł.
145. Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 5 i art. 6 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4 % obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto „najpoważniejsze” z naruszeń przewidzianych rozporządzeniem 2016/679; są bowiem poważniejsze od drugiej grupy naruszeń podlegających administracyjnym karom pieniężnym (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679).
146. Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Spółki w niniejszej sprawie (za oceniane w niniejszej decyzji naruszenie art. 6 ust. 1 i art. 5 ust. 1 lit. a) rozporządzenia 2016/679) – zob. Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 5 lit. a) rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia, czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % obrotu Spółki za poprzedni rok obrotowy to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota wyższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do jej przyjęcia jako maksimum, którego nie może przekroczyć orzekając wobec Spółki administracyjną karę pieniężną.
147. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o wysokim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 130, 131 i 133 uzasadnienia). W tym miejscu wskazać należy jedynie, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki (zob. pkt 60 tiret trzecie Wytycznych 04/2022), to jest – zważywszy na dynamiczną kwotę maksymalną ustaloną dla Spółki (zob. pkt 146 uzasadnienia) – od kwoty (…) zł ((…) euro) do kwoty (…) zł ((…) euro). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę (…) zł stanowiącą równowartość (…) euro ((…) % prawnie określonej maksymalnej wysokości kary dla Spółki).
148. Stosownie do wskazówki EROD przedstawionej w pkt 66 tiret (…) Wytycznych 04/2022 (odnoszącej się do przedsiębiorstw, których roczny obrót wynosi (…)) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę wysokiej powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. EROD wskazuje w nich bowiem, że w przypadku (…).
149. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu, a także ewentualnie do innych okoliczności istotnych dla sprawy. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 132 oraz 134-142 uzasadnienia). W tym miejscu wskazać jedynie należy, że dwie spośród nich miały – w ocenie Prezesa UODO – wpływ na wymiar orzeczonej kary. Prezes UODO uznał, że okolicznością obciążającą Spółkę (chociaż w niewielkim stopniu) są stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e) rozporządzenia 2016/679). Natomiast okolicznością łagodzącą wymiar orzeczonej kary (i to – w ocenie Prezesa UODO – w sposób znaczący) jest fakt stosunkowo szybkiego usunięcia przez Spółkę naruszenia (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Pozostałe przesłanki z art. 83 ust. 2 (lit. c), d), f), h), i), oraz j) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu więc na zaistnienie w sprawie dodatkowych okoliczności mających wpływ na ocenę naruszenia za zasadne Prezes UODO uznał dalsze skorygowanie kwoty kary ustalonej na podstawie oceny powagi naruszenia (zob. pkt 147 uzasadnienia). Adekwatnym do łącznego wpływu obu tych przesłanek na ocenę naruszenia jest w ocenie Prezesa UODO dalsze obniżenie wysokości kary o (…) % – do kwoty (…) zł stanowiącej równowartość (…) euro. Tak wyraźne obniżenie wysokości kary na tym etapie jej kalkulacji jest przede wszystkim efektem uwzględnienia przez Prezesa UODO faktu stosunkowo szybkiego usunięcia przez Spółkę naruszenia. To działanie Spółki usunęło bowiem jeden z celów, którym służyć ma administracyjna kara pieniężna – konieczność przywrócenia stanu zgodnego z prawem.
150. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary, Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (zob. Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) zł byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości tak poważnych naruszeń przepisów rozporządzenia 2016/679). Kara w tej wysokości byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość.
Zgodnie z Wytycznymi 2016/679 kary pieniężne: po pierwsze „nie powinny być nieproporcjonalne w stosunku do celów, których realizacji służą” (pkt 138), po drugie „powinny być proporcjonalne do naruszenia ocenianego całościowo, biorąc pod uwagę zwłaszcza wagę naruszenia” (pkt 138), a po trzecie powinny być proporcjonalne „do wielkości przedsiębiorstwa, do którego należy jednostka, która dopuściła się naruszenia” (pkt 139). Dodatkowo jednakże zasada proporcjonalności „wymaga, by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów”, zaś „w przypadku gdy istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dolegliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów” (pkt 137 i 139). Innymi słowy, jak przyjmuje się w polskiej doktrynie, „[s]ankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”[15].
Należy zauważyć, że wzgląd na jak najmniejszą dolegliwość zastosowanej sankcji – ostatni z wyżej wskazanych aspektów zasady proporcjonalności (i tylko ten aspekt) – przemawia w niniejszej sprawie za obniżeniem wysokości kary nałożonej na Spółkę. Wyważając wpływ na wymiar kary zasady proporcjonalności (we wszystkich jej aspektach), a także jednocześnie konieczności zachowania waloru skuteczności i odstraszającego charakteru kary, czyli wszystkich wymogów wskazanych przez prawodawcę unijnego w art. 83 ust. 1 rozporządzenia 2016/679 (które, co warto podkreślić, są wobec siebie równorzędne i równie istotne) Prezes UODO wziął pod uwagę szczególny status Spółki, kontekst jej działalności jako operatora wyznaczonego, a także jej aktualną sytuację finansową wynikającą po części z tego kontekstu oraz otoczenia regulacyjnego w którym działa.
Ze sprawozdania finansowego za 2023 r., przedstawionego przez Spółkę w załączeniu pisma z 6 lutego 2025 r., wynika, że w 2022 r. Spółka odnotowała stratę netto w wysokości około 5,7 mln zł, zaś w 2023 r. stratę netto w kwocie około 621 mln zł. Za 2024 r. Spółka nie przedstawiła Prezesowi UODO sprawozdania finansowego; jak wskazała Spółka dane finansowe są w trakcie badania przez biegłego rewidenta. Jednakże z powszechnie znanych informacji przedstawianych publicznie przez sekretarza stanu w Ministerstwie Aktywów Państwowych (a więc w resorcie sprawującym nadzór właścicielski nad Spółką) wynika, że w pierwszym półroczu 2024 r. strata Spółki wyniosła około 315 mln zł[16], natomiast w całym roku 2024 – około 230 mln zł[17]. Dane te świadczą niewątpliwie o złej sytuacji finansowej Spółki. Tak wysokie straty Spółki są m.in. – jak podkreśla przedstawiciel Ministerstwa Aktywów Państwowych – „wynikiem nie tylko zmian rynku przesyłek pocztowych, ale też lat zaniedbań i fatalnego zarządzania, które spowodowały niedostosowanie modelu spółki do obecnych wyzwań rynku pocztowego”[18]. Ich przyczyna leży więc w dużej mierze po stronie Spółki; nie są efektem nadzwyczajnych zdarzeń zaistniałych w otoczeniu zewnętrznym Spółki. Należy jednak również zauważyć, że ponoszone przez Spółkę straty wynikają również z przyczyn niezależnych od Spółki – są związane z obowiązkiem świadczenia pocztowych usług powszechnych, które to usługi nie podlegają warunkom wolnego rynku. Ich świadczenie, w tym ustalanie ich ceny oraz utrzymanie niezbędnej infrastruktury, są ściśle regulowane przepisami prawa i podlegają nadzorowi Urzędu Komunikacji Elektronicznej, tak aby zapewnić ich dostępność, ciągłość oraz przystępność cenową. Prezes UODO ma świadomość ponadto, że wpływ na wyniki finansowe Spółki w omawianym okresie miało opóźnienie w refinansowaniu przez Skarb Państwa kosztu netto obowiązku świadczenia usług powszechnych poniesionych przez Spółkę w latach 2021-2022, wynikające z konieczności jego notyfikowania (jako pomocy publicznej) Komisji Europejskiej oraz z opóźnienia w wydaniu przez ten organ decyzji o zgodności refinansowania tego kosztu z unijnymi zasadami udzielania pomocy publicznej. Ostatecznie w roku 2024 Spółka otrzymała wstępną płatność na poczet finansowania kosztu netto obowiązku świadczenia usług powszechnych w latach 2021-2022 w wysokości ok. 749 mln zł, a Komisja Europejska wydała w listopadzie tego roku decyzję potwierdzającą zgodność pomocy publicznej polegającej na finansowaniu przez państwo polskie tego kosztu w latach 2021-2025 z prawem Unii Europejskiej[19]. Decyzja ta niewątpliwie pomogła ustabilizować sytuację finansową Spółki. W oparciu o nią bowiem wypłacone zostało (kwota 749 mln zł w 2024 r.) lub ma zostać wypłacone Spółce w najbliższych latach, finansowanie ze Skarbu Państwa łącznie w kwocie ok. 3,7 mld zł, w tym w roku 2025 w kwocie ok. 963 mln zł tytułem finansowania kosztu netto poniesionego na usługach publicznych w roku 2023.
Analizując sytuację finansową Spółki w kontekście oceny dolegliwości kary i jej skutków dla funkcjonowania Spółki Prezes UODO odnotowuje podjęte aktualnie próby poprawy kondycji finansowej Spółki wyrażające się we wdrożeniu w Spółce działań naprawczych obejmujących m.in.: przyjęcie przez zarząd Spółki w sierpniu 2024 r. tzw. Planu Transformacji[20], wypowiedzenie Zakładowego Układu Zbiorowego Pracy ze skutkiem na dzień 28 lutego 2025 r.[21], wdrożenie Programu Dobrowolnych Odejść pracowników Spółki przyjętego uchwałą zarządu Spółki 7 stycznia 2025 r.[22]. Działania te mają na celu m.in. redukcję kosztów działalności prowadzonej przez Spółkę, w tym redukcję kosztów („optymalizację”) zatrudnienia. Tylko w ramach tego ostatniego programu przewiduje się redukcję około 8,5 tys. etatów[23]. Wszystkie te działania Spółki, niewątpliwie konieczne i usprawiedliwione jej sytuacją finansową mogą mieć wpływ na wywiązywanie się przez Spółkę z jej zadań publicznych; mogą wiązać się z ryzykiem obniżenia jakości świadczonych przez nią pocztowych usług powszechnych czy też zakłócić proces wdrażania systemu e-doręczeń. Prezes UODO ma świadomość, że orzeczenie wobec Spółki w tej sytuacji kary nadmiernie dolegliwej wiązałoby się ze zmaterializowaniem się tego ryzyka, co skutkowałoby negatywnymi konsekwencjami zarówno dla poszczególnych obywateli, jak i dla całych dziedzin funkcjonowania państwa (administracji publicznej, wymiaru sprawiedliwości, obronności, itp.). Kara nie uwzględniająca wyżej przedstawionych okoliczności mogłaby również – zakłócając procesy naprawcze Spółki – zagrozić samemu jej bytowi, co – zważywszy na wielkość Spółki – wiązałoby się z negatywnymi konsekwencjami o dużej skali w sferze społecznej.
Mając na uwadze powyższe okoliczności Prezes UODO uznał, że kara w wysokości (…) zł (uwzględniającej wysoką powagę naruszenia, wielkość przedsiębiorstwa Spółki oraz wszystkie okoliczności wskazane w art. 83 ust. 2 rozporządzenia 2016/679, a także jednocześnie posiadającej niewątpliwie walory skuteczności i odstraszania) byłaby karą nadmiernie dolegliwą i tym samą nieodpowiadającą zasadzie proporcjonalności. Skutkiem uszczuplenia o tę kwotę środków finansowych Spółki w trakcie procesu naprawczego (który sam w sobie wymaga zainwestowania dodatkowych środków, m.in. na sfinansowanie Programu Dobrowolnych Odejść) mogłoby być – w ocenie Prezesa UODO – zmaterializowanie się wskazanych powyżej ryzyk dla realizacji zadań publicznych wykonywanych przez Spółkę. W związku z tym – mając wzgląd na proporcjonalność orzeczonej kary – Prezes UODO dokonał dalszego obniżenia jej wysokości – o (…) % w stosunku do kwoty uzyskanej po uwzględnieniu dodatkowych okoliczności wpływających obciążająco i łagodząco na wymiar kary (zob. pkt 149 powyżej), to jest do kwoty 27 124 816 zł (równowartość 6 444 174 euro). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta stanowi bowiem w ocenie Prezesa UODO pewien próg, powyżej którego dalsze zwiększenie wysokości kary (a tym samym jej dolegliwości) nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć już kosztem jej skuteczności, odstraszającego charakteru oraz proporcjonalności do powagi naruszenia, a także z uszczerbkiem dla spójnego stosowania i egzekwowania rozporządzenia 2016/679 przez europejskie organy nadzorcze oraz z naruszeniem zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG. Dla tak wielkiego podmiotu jak Spółka, o tak ogromnych obrotach i możliwościach finansowania zobowiązań (w tym też zobowiązania wynikającego z orzeczonej niniejszą decyzją sankcji), kara w powyższej kwocie będzie – w ocenie Prezesa UODO – możliwą do zapłaty bez nadmiernego uszczerbku dla jej funkcjonowania oraz dla realizacji zadań wynikających z jej statusu operatora wyznaczonego. Stanowi ona bowiem jedynie (…) % przychodów osiągniętych przez Spółkę w roku 2024. Jednocześnie jej wysokość to jedynie ok. (…) % prawnie określonej maksymalnej wysokości kary zagrażającej Spółce za dokonane przez nią naruszenie przepisów rozporządzenia 2016/679. Warto również zauważyć, że kwota nałożonej na Spółkę kary jest niewielka w stosunku do transferów finansowych pomiędzy budżetem państwa a Spółką z tytułu samego tylko finansowania kosztu netto obowiązku świadczenia usług powszechnych; stanowi jedynie 2,8 % kwoty, którą z tego tytułu Spółka już otrzymała[24] w roku 2025 (963 mln zł pokrycia kosztu poniesionego w 2023 r.).
151. Prezes UODO stwierdził, że ustalona w przedstawiony powyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (zob. Rozdział 6 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia obu przepisów rozporządzenia 2016/679 (art. 5 i art. 6) zagrożone są taką samą karą w wysokości do 4 % rocznego obrotu Spółki z poprzedniego roku obrotowego; naruszenia te należy uznać więc za mające tę samą powagę w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679. Jak wskazano wyżej zastosowanie ma w niniejszej sprawie w odniesieniu do Spółki „dynamiczna kwota maksymalna” to jest kwota (…) zł (równowartość (…) euro) – zob. pkt 146 uzasadnienia. Ustalona w sposób przedstawiony w powyższych punktach kwota kary orzeczonej łącznie za naruszenia obu przepisów rozporządzenia 2016/679 – 27 124 816 zł (równowartość 6 444 174 euro) – w sposób oczywisty nie przekracza „dynamicznej kwoty maksymalnej” określonej dla każdego z rozpatrywanych naruszeń z osobna („nie przekracza wysokości kary za najpoważniejsze naruszenie” – zgodnie z literalnym brzmieniem art. 83 ust. 3 rozporządzenia 2016/679).
V.D. Podsumowanie
152. Uwzględniając ustalone okoliczności faktyczne i uwarunkowania prawne Prezes UODO – za naruszenia art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679 przypisywane w niniejszym postępowaniu obu administratorom – nałożył na nich administracyjne kary pieniężne. Kara w wysokości 100 000 zł zastosowana wobec Ministra Cyfryzacji została nałożona na niego na podstawie art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz art. 102 ust. 1 pkt 1 i 3 u.o.d.o. Z kolei administracyjna kara pieniężna w kwocie 27 124 816 zł (stanowiąca równowartość 6 444 174 euro) zastosowana wobec Poczty Polskiej S.A. została nałożona na Spółkę na podstawie art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679.
153. W ocenie Prezesa UODO ww. sankcje finansowe spełniają funkcje kary określone w art. 83 ust. 1 rozporządzenia 2016/679 i stanowią możliwie adekwatną, a nade wszystko sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów rozporządzenia 2016/679. Nałożenie administracyjnych kar pieniężnych w kwotach ustalonych przez organ nadzorczy jest konieczne i uzasadnione charakterem, wagą, jak i pozostałymi okolicznościami sprawy, które organ nadzorczy uznał za obciążające w kontekście przypisanych tak Ministrowi, jak i Spółce naruszeń. Jednocześnie Prezes UODO zauważa, że zastosowanie wobec ww. administratorów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że administratorzy ci w przyszłości nie dopuściliby się kolejnych zaniedbań.
[1] Zob.: - Komunikat Państwowej Komisji Wyborczej z dnia 6 lutego 2020 r. o liczbie wyborców ujętych w rejestrach wyborców (M. P. z 2020 r. poz. 167),
- dane dotyczące liczby uprawnionych do głosowania w wyborach Prezydenta Rzeczypospolitej Polskiej, które odbyły się 28 czerwca 2020 r. (…),
- (…)
[2] Ustawa z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm.), zwana dalej: „p.p.s.a.”.
[3] Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), zwana dalej: „Kodeksem postępowania administracyjnego” lub „k.p.a.”; art. 189g § 1 tej ustawy stanowi: „Administracyjna kara pieniężna nie może zostać nałożona, jeżeli upłynęło pięć lat od dnia naruszenia prawa albo wystąpienia skutków naruszenia prawa”.
[4] Zgodnie z decyzją Prezesa Urzędu Komunikacji Elektronicznej z 30 czerwca 2015 r., znak: DRP.WKP.710.2.2015.26,27, Spółka została wybrana jako operator wyznaczony do świadczenia usług powszechnych na lata 2016-2025 - zob.: (…)
[5] Zob. również: (…)
[6] Ustawa z dnia 24 września 2010 r. o ewidencji ludności – w brzmieniu obowiązującym na dzień udostępnienia przedmiotowych danych osobowych (tj. 22 kwietnia 2020 r.), zwana dalej: „ustawą o ewidencji ludności”.
[7] Wytyczne 07/2020 Europejskiej Rady Ochrony Danych dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO, wersja 2.0, przyjęte 7 lipca 2021 r., dalej zwane: „Wytycznymi 7/2020”.
[8] Ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2025 r. poz. 277), zwana dalej: „Kodeksem pracy”.
[9]B. Adamiak, [w] B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, Warszawa 2004, s. 371.
[10] Zob. wyrok NSA z 4 sierpnia 2017 r., sygn. akt I OSK 1607/16, LEX nr 2345355, a także A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2025, art. 78, wraz z cyt. tamże E. Iserzon, Komentarz, 1970, s. 166.
[11] Zob.: Informacja z 23 kwietnia 2021 r. o wynikach kontroli przeprowadzonej przez Najwyższą Izbę Kontroli w odniesieniu do działań wybranych podmiotów w związku z przygotowaniem wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych na dzień 10 maja 2020 r. z wykorzystaniem głosowania korespondencyjnego, str. 41-42 (…).
[12] Zob.: Rocznik Statystyczny Rzeczypospolitej Polskiej 2021, opracowany przez Główny Urząd Statystyczny, str. 207 (…).
[13] Zob.: informacja udostępniona na stronie internetowej Sejmu RP, dotycząca głosowania nr 43 na 9. posiedzeniu Sejmu RP (…).
[14] Zob.: Rocznik Statystyczny Rzeczypospolitej Polskiej 2021, opracowany przez Główny Urząd Statystyczny (…).
[15] Komentarz do art. 83 [w] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz. Komentarz do art. 83. Legalis.
[16] Zob. Zapis przebiegu posiedzenia Podkomisji Stałej do Spraw Budownictwa, Gospodarki Przestrzennej i Mieszkaniowej oraz Poczty (nr 9) z dnia 22 stycznia 2025 (str. 4) – dostępny pod adresem (…).
[17] Zob. Sprawozdanie Stenograficzne z 29. Posiedzenia Sejmu Rzeczypospolitej Polskiej w dniu 21 lutego 2025 r. (drugi dzień obrad) (str. 230) – dostępny pod adresem (…).
[18] Ibidem.
[19] Zob. komunikaty dostępne pod adresami (…) oraz (…)
[20] Zob. komunikat Spółki dostępny pod adresem (…)
[21] Zob. komunikat OM NSZZ Pracowników Poczty Polskiej dostępny pod adresem (…)
[22] Zob. komunikat Spółki dostępny pod adresem (…)
[23] Zob. Sprawozdanie Stenograficzne z 29. Posiedzenia Sejmu Rzeczypospolitej Polskiej w dniu 21 lutego 2025 r. (drugi dzień obrad) (str. 231) – dostępny pod adresem (…).
[24] Zob. komunikat Ministerstwa Aktywów Państwowych dostępny pod adresem (…)
Mirosław Wróblewski
2025-03-17
Wioletta Golańska
2025-03-18 14:17:50
Agnieszka Kaczor
2025-03-18 15:51:58