Ikonka home dla okruszków Aktualności
photo
18.03.2025

Kary za naruszenie RODO przy organizacji wyborów korespondencyjnych 2020

Prezes UODO Mirosław Wróblewski nałożył administracyjne kary pieniężne 27 mln zł na Pocztę Polską oraz 100 tys. zł na Ministra Cyfryzacji za przetwarzanie bez podstawy prawnej danych 30 mln obywateli z bazy PESEL przy organizacji tzw. wyborów kopertowych w kwietniu i maju 2020 r.

„Fakt bezpodstawnego udostępnienia danych osobowych z rejestru PESEL oraz ich przetwarzania przez Pocztę Polską zagrażał prawidłowej realizacji praw przysługujących obywatelom na mocy Konstytucji. Gwarantuje im ona prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym” – wskazał Prezes UODO w decyzji z 17 marca 2025 r. (DKN.5131.1.2025).

Kara nałożona na Ministra Cyfryzacji to maksymalna kara finansowa, jaka jest przewidziana ustawowo dla podmiotów sektora publicznego w Polsce. W przypadku kary dla Poczty Polskiej wysokość kary, w ocenie Prezesa UODO, spełnia funkcję kary określonej przez RODO oraz stanowi adekwatną i sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów ze względu m.in. na charakter i wagę naruszeń.

Historia sprawy

W sprawie tej chodzi o próbę zorganizowania wyborów Prezydenta RP w drodze wyłącznie korespondencyjnej wiosną 2020 r. W tym czasie w Polsce trwała pandemia Covid-19. Władze rozpoczęły organizację procesu wyborczego w tej postaci, mimo że ustawa zmieniająca zasady wyborów nie weszła jeszcze w życie. Ta nieobowiązująca w kwietniu 2020 r. ustawa zakładała, że Poczta Polska dostarczy wydrukowane przez Polską Wytwórnię Papierów Wartościowych pakiety wyborcze do skrzynek pocztowych wyborców, a wyborcy oddadzą głosy korespondencyjnie, by nie gromadzić się osobiście w lokalach wyborczych.

16 kwietnia 2020 r. Prezes Rady Ministrów zobowiązał decyzją administracyjną Pocztę Polską do podjęcia przygotowań do wyborów kopertowych Prezydenta RP. Powołując się na to polecenie, Poczta Polska wystąpiła następnie 20 kwietnia 2020 r. z wnioskiem o przekazanie jej w tym celu z bazy PESEL danych 30 mln polskich obywateli, którzy w planowanym dniu wyborów mieli być pełnoletni i zamieszkiwali w Polsce.

Minister Cyfryzacji wyraził na to zgodę i dane zgrane na płytę DVD zostały dostarczone (udostępnione) Poczcie Polskiej 22 kwietnia 2020 r. i tam były przetwarzane.

Dane osobowe około 30 mln polskich obywateli zostały zniszczone dopiero w dniach 15–22 maja 2020 r., już po tym, gdy okazało się, że wybory 10 maja 2020 r. się nie odbędą.

Skargi obywateli i wyroki sądów

Zaraz po ujawnieniu faktu udostępnienia Poczcie Polskiej danych osobowych z bazy PESEL bez podstawy prawnej obywatele zaczęli składać liczne skargi do Prezesa Urzędu Ochrony Danych Osobowych. Pan Jan Nowak, ówczesny prezes UODO, uznał jednak te skargi za bezpodstawne.

Działania jednak w tej sprawie podjął Rzecznik Praw Obywatelskich. Po pierwsze, RPO 29 kwietnia 2020 r. złożył skargę do WSA w Warszawie na decyzję Prezesa Rady Ministrów z 16 kwietnia 2020 r. W wyniku tej skargi WSA wyrokiem z 15 września 2020 r. (VII SA/Wa 992/20) stwierdził, że zaskarżona decyzja nie tylko rażąco naruszała prawo, ale została również wydana bez podstawy prawnej (art. 156 § 1 pkt. 2 k.p.a.). Wyrok ten podtrzymał NSA wyrokiem z 28 czerwca 2024 r. (III OSK 4524/21).

Po drugie, RPO 15 maja 2020 r. złożył do WSA skargę na czynność Ministra Cyfryzacji z 22 kwietnia 2020 r. polegającą na wspomnianym wcześniej udostępnieniu Poczcie Polskiej danych osobowych blisko 30 mln dorosłych polskich obywateli z rejestru PESEL. Wyrokiem z 26 lutego 2021 r. (IV SA/Wa 1817/20) WSA stwierdził bezskuteczność czynności Ministra Cyfryzacji. NSA wyrokiem z 13 marca 2024 r. (II OSK 1630/21) utrzymał w mocy wyrok WSA.

Uprawomocnienie się w marcu i czerwcu 2024 r. wyroków sądów administracyjnych ukształtowało jednoznacznie i definitywnie stan prawny, z którego jasno wynika, że w trakcie organizacji wyborów kopertowych doszło do bezprawnego udostępnienia danych osobowych 30 mln dorosłych polskich obywateli przez Ministra Cyfryzacji Poczcie Polskiej oraz przetwarzania przez Spółkę Poczta Polska tychże danych bez podstawy prawnej.

Z uwagi na systemowy charakter sprawy (wynikający zarówno z licznych skarg, które wpłynęły do UODO, jak i przetwarzania danych osobowych około 30 mln dorosłych obywateli Polski) Prezes UODO wszczął z urzędu postępowanie administracyjne w celu oceny działań Ministra Cyfryzacji oraz Poczty Polskiej w kwietniu i maju 2020 r. pod kątem naruszenia przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO).

Co ustalił PUODO?

W toku postępowania Prezes UODO ustalił, że bez podstawy prawnej Minister Cyfryzacji przekazał Poczcie Polskiej dane o:

  • numerze PESEL,
  • imionach, nazwiskach,
  • ostatnim aktualnym adresie zameldowania na pobyt stały (a gdy go brak: ostatnim nieaktualnym),
  • adresie zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu),
  • a także aktualnie zarejestrowanym wyjeździe czasowym poza granice kraju.

Dane te dotyczyły wszystkich pełnoletnich obywateli polskich, których krajem zamieszkania 10 maja 2020 r. była Polska. Po ich otrzymaniu Poczta Polska przetwarzała je bez podstawy prawnej.

Prezes UODO w swojej decyzji uznał, że przypisane Poczcie Polskiej naruszenia mają poważny charakter. Godzą one w podstawowe zasady przetwarzania danych osobowych. Minister będąc podmiotem odpowiedzialnym za utrzymanie i rozwój rejestru PESEL – stanowiącego centralny i najważniejszy państwowy zbiór danych osobowych osób fizycznych – powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli (w tym odnoszących się do przetwarzania ich danych osobowych ujętych w rejestrze). Tymczasem w sposób władczy i jednostronny podjął decyzję o udostępnieniu Poczcie Polskiej danych osobowych wszystkich obywateli polski, pełnoletnich 10 maja 2020 r., których krajem zamieszkania na ten dzień była Polska.

Za okoliczność obciążającą Prezes UODO uznał także zakres przetwarzanych danych oraz znaczną liczbę osób dotkniętych naruszeniem. Minister udostępnił Poczcie informacje o blisko 30 mln osób posiadających obywatelstwo polskie, co stanowiło niemalże 80 proc. populacji kraju.

Prezes UODO uwzględnił, jako okoliczność wpływającą obciążająco na wymiar orzeczonej kary pieniężnej, możliwość wystąpienia po stronie podmiotów danych szkód niematerialnych, takich jak w szczególności obawa czy niepewność wynikająca z faktu niemożności sprawowania kontroli nad swoimi danymi osobowymi – wobec faktu bezprawnego ich udostępnienia Poczcie.

Prezes UODO ocenił, że naruszenia Poczty Polskiej w ramach całego systemu ochrony danych mają charakter fundamentalny. W swojej decyzji organ nadzorczy zaznaczył, że Poczta Polska SA, będąc spółką Skarbu Państwa, powinna – w związku z realizacją powierzonych jej zadań publicznych – odznaczać się najwyższą starannością oraz poszanowaniem obowiązujących przepisów prawa, w tym przepisów o ochronie danych osobowych. Otrzymując decyzję premiera z 16 kwietnia 2020 r., zobowiązującą do podjęcia czynności przygotowawczych do przeprowadzenia wyborów, powinna była przeprowadzić dogłębną analizę, czy na tej podstawie może przetwarzać dane z bazy PESEL.

W tej sytuacji nałożenie ww. administracyjnych kar pieniężnych Prezes UODO uznał za uzasadnione i konieczne.

 

DKN.5131.1.2025

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2025-03-18
Wprowadził informację:
user Edyta Madziar
date 2025-03-18 12:03:15
Ostatnio modyfikował:
user Agnieszka Kaczor
date 2025-03-18 15:53:51