Poczta Polska otrzymała najwyższą karę administracyjną nałożoną przez Prezesa UODO

4 dni temu

Poczta Polska została obciążona sankcją w wysokości 27 124 000 zł, co czyni tę karę najwyższą w historii Urzędu Ochrony Danych Osobowych nałożoną na krajowy podmiot. Wysokość tej kwoty wskazuje na wagę naruszenia oraz jego dalekosiężne skutki, zarówno dla obywateli, których dane osobowe były przetwarzane, jak i dla samego podmiotu, który naruszył przepisy RODO. Ponadto Minister Cyfryzacji, będący współodpowiedzialnym za przekazanie danych, otrzymał najwyższa możliwą karę w wysokości 100 000 zł, co pokazuje, iż organ nadzorczy zdecydował się na sankcjonowanie także przedstawicieli administracji rządowej.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych odnosi się do jednej z najbardziej kontrowersyjnych sytuacji związanych z ochroną danych osobowych w Polsce i wywołuje istotne pytania dotyczące odpowiedzialności administracji publicznej oraz firm przetwarzających dane obywateli na zlecenie organów państwowych.

Stan faktyczny

Wiosną 2020 r., w obliczu pandemii COVID-19 i ograniczeń sanitarnych, polski rząd podjął decyzję o przeprowadzeniu wyborów Prezydenta RP w trybie korespondencyjnym. Nowy sposób głosowania miał na celu ograniczenie ryzyka epidemicznego, jednak wzbudził szereg wątpliwości prawnych oraz organizacyjnych.

Jednym z kluczowych działań podjętych w ramach przygotowań do tych wyborów była decyzja Prezesa Rady Ministrów z 16.4.2020 r., zobowiązująca Pocztę Polską do przygotowania infrastruktury niezbędnej do przeprowadzenia głosowania korespondencyjnego. Problemem w tej sprawie było jednak to, iż na dzień wydania tej decyzji nie istniała jeszcze podstawa prawna, która umożliwiałaby przekazanie Poczcie Polskiej danych osobowych obywateli.

Pomimo tego, 22.4.2020 r. Minister Cyfryzacji przekazał Poczcie Polskiej dane osobowe około 30 milionów obywateli, w tym ich numery PESEL, imiona, nazwiska oraz adresy zameldowania. Takie działanie oznaczało przekazanie danych osobowych na szeroką skalę, jak się okazuje bez formalnych i prawnych podstaw.

Po rezygnacji z wyborów korespondencyjnych, które ostatecznie się nie odbyły, podjęto decyzję o zniszczeniu przekazanych danych osobowych. Według ustaleń UODO, proces usuwania tych danych miał miejsce między 15 a 22.5.2020 r. Pomimo tego faktu, samo udostępnienie i przetwarzanie danych osobowych przez Pocztę Polską zostało uznane za działanie niezgodne z przepisami RODO.

Naruszenia stwierdzone przez UODO

Prezes UODO stwierdził, iż zarówno Minister Cyfryzacji, jak i Poczta Polska dopuścili się bezprawnego przetwarzania danych osobowych na masową skalę, co stanowiło naruszenie art. 6 ust. 1 RODO, określającego zasady legalności przetwarzania danych.

Działania te miały poważne konsekwencje, nie tylko pod kątem formalnym, ale również pod względem praw jednostek, których dane zostały przekazane. Ujawnienie i przekazanie danych bez wyraźnej podstawy prawnej narusza fundamentalne prawo obywateli do ochrony ich prywatności, które jest jednym z podstawowych praw chronionych zarówno przez Konstytucję RP, jak i RODO.

Ponadto, zgodnie z decyzją UODO, naruszenie to mogło doprowadzić do potencjalnych szkód niematerialnych, takich jak:

  • utrata zaufania obywateli do administracji publicznej,
  • brak kontroli nad własnymi danymi,
  • ryzyko dalszego nieuprawnionego przetwarzania przekazanych informacji.

Podstawa prawna

Decyzja UODO opiera się na naruszeniu kluczowych przepisów RODO:

  • Art. 6 ust. 1 RODO – wskazującego, iż przetwarzanie danych osobowych jest legalne wyłącznie w sytuacji, gdy istnieje odpowiednia podstawa prawna (np. zgoda osoby, obowiązek ustawowy, umowa, ochrona żywotnych interesów osoby).
  • Art. 5 ust. 1 RODO – określającego fundamentalne zasady przetwarzania danych, w tym legalność, rzetelność, przejrzystość oraz ograniczenie celu przetwarzania.

Prezes UODO, uzasadniając swoją decyzję, zwrócił uwagę na bezprecedensową skalę naruszenia, obejmującą około 30 mln obywateli, co stanowiło niemal 80% całej populacji kraju.

Dodatkowo podkreślono, iż przekazanie tak wrażliwych danych osobowych podmiotowi, który nie miał odpowiedniej podstawy prawnej, mogło stanowić zagrożenie dla praw obywateli, w tym dla ich prawa do prywatności.

Odniesienie do wcześniejszych orzeczeń

UODO, wydając swoją decyzję, szeroko odniósł się do orzecznictwa sądów administracyjnych, które jednoznacznie stwierdziły niezgodność z prawem działań podjętych przez Prezesa Rady Ministrów oraz Ministra Cyfryzacji w zakresie przekazywania danych osobowych. Wojewódzki Sąd Administracyjny orzekł, iż decyzja Prezesa Rady Ministrów w tej sprawie rażąco naruszała obowiązujące przepisy prawa i została wydana bez odpowiedniej podstawy prawnej – wyrok WSA w Warszawie z 15.9.2020 r., VII SA/Wa 992/20, Legalis). Stanowisko to zostało następnie potwierdzone przez Naczelny Sąd Administracyjny, który utrzymał w mocy wcześniejsze rozstrzygnięcie, wskazując na fundamentalne uchybienia w procesie decyzyjnym – wyrok NSA w Warszawie z 28.6.2024 r., III OSK 4524/21, Legalis).

Ponadto, WSA w Warszawie orzekł o bezskuteczności czynności podjętych przez Ministra Cyfryzacji w kontekście przekazywania danych osobowych, uznając, iż działania te nie miały należytej podstawy prawnej i naruszały przepisy dotyczące ochrony danych osobowych (wyrok WSA w Warszawie z 26.2.2021 r., IV SA/Wa 1817/20, Legalis). Stanowisko to zostało następnie utrzymane w mocy przez NSA, który potwierdził niezgodność działań Ministra Cyfryzacji z obowiązującym porządkiem prawnym (wyrok NSA w Warszawie z 13.3.2024 r., II OSK 1630/21, Legalis).

Powyższe orzeczenia stanowią istotne odniesienie dla decyzji UODO, podkreślając wagę przestrzegania zasad legalności oraz przejrzystości w zakresie przetwarzania danych osobowych. Utrzymanie przez NSA stanowiska WSA świadczy o spójności orzecznictwa w tej materii i może stanowić istotny punkt odniesienia dla przyszłych decyzji administracyjnych oraz praktyki stosowania RODO w Polsce.

Skutki decyzji dla administratorów danych osobowych

1. Obowiązki administratorów.

Decyzja UODO podkreśla konieczność posiadania odpowiedniej podstawy prawnej przed przetwarzaniem danych osobowych. Administratorzy muszą zapewnić zgodność swoich działań z RODO, w tym z zasadami legalności, rzetelności i przejrzystości. najważniejsze jest także wdrożenie mechanizmów rozliczalności, pozwalających na udokumentowanie zgodności procesów przetwarzania z przepisami prawa.

Dodatkowo, w przypadku przetwarzania danych na szeroką skalę, administratorzy powinni regularnie przeprowadzać ocenę ryzyka oraz zapewnić odpowiednie środki organizacyjne i techniczne w celu minimalizacji zagrożeń. Wdrożenie jasnych procedur reagowania na incydenty związane z ochroną danych osobowych jest kluczowe, aby uniknąć sankcji oraz utraty zaufania podmiotów danych.

2. Wpływ na praktykę zgodności z RODO.

Decyzja ta jest wyraźnym sygnałem, iż nawet sytuacje nadzwyczajne, takie jak pandemia, nie zwalniają z przestrzegania przepisów RODO. Każde przetwarzanie danych musi być poprzedzone analizą jego legalności oraz oceną skutków dla praw i wolności osób, których dane dotyczą.

Firmy i instytucje publiczne powinny zadbać o skuteczniejszy nadzór nad przekazywaniem danych innym podmiotom, szczególnie gdy odbywa się to na polecenie organów państwowych. Decyzja UODO pokazuje, iż nie można opierać się wyłącznie na zewnętrznych instrukcjach, jeżeli brakuje wyraźnej podstawy prawnej.

3. Konsekwencje finansowe i organizacyjne.

Nałożone kary – 27 124 000 zł na Pocztę Polską oraz 100 000 zł na Ministra Cyfryzacji – pokazują, iż naruszenia ochrony danych mogą prowadzić do dotkliwych sankcji. Wysokość kary dla Poczty Polskiej to najwyższa kara nałożona przez UODO, co podkreśla powagę sytuacji oraz konieczność bardziej rygorystycznego podejścia do ochrony danych osobowych.

Decyzja ta może wpłynąć na zmiany w polityce przetwarzania danych osobowych w instytucjach publicznych, wymuszając bardziej transparentne procedury i skuteczniejsze mechanizmy nadzoru nad operacjami na danych obywateli. W przyszłości można spodziewać się zaostrzenia kontroli oraz większej liczby postępowań prowadzonych przez UODO, zwłaszcza w kontekście dużych podmiotów przetwarzających dane na szeroką skalę.

Administratorzy powinni traktować tę decyzję jako ostrzeżenie i podjąć działania, które pozwolą uniknąć podobnych konsekwencji. Regularne audyty, skuteczniejsze procedury wewnętrzne oraz szkolenia pracowników mogą znacząco zmniejszyć ryzyko naruszeń i związanych z nimi sankcji.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Poczta Polska otrzymała najwyższą karę administracyjną nałożoną przez Prezesa UODO

Powiązane

Jak zarejestrować kartę SIM w Orange? Kompleksowy przewodnik krok po kroku.

Jak zarejestrować kartę SIM w Orange? Kompleksowy przewodnik...

14 godzin temu
XAI Muska przejmuje X za 33 miliardy dolarów w akcjach

XAI Muska przejmuje X za 33 miliardy dolarów w akcjach

1 dzień temu
Kancelaria Prawna Gałecka-Caban zajmująca się prawem rodzinnym poszukuje aplikanta I roku.

Kancelaria Prawna Gałecka-Caban zajmująca się prawem rodzinn...

2 dni temu
Apple musi weryfikować wiek dzieci w Utah

Apple musi weryfikować wiek dzieci w Utah

2 dni temu
Prezes UODO zawiadamia prokuraturę o nielegalnym przetwarzaniu danych osobowych znanych osób publicznych

Prezes UODO zawiadamia prokuraturę o nielegalnym przetwarzan...

3 dni temu
Mogą ci ukraść konto na Spotify. Ekspert ostrzega przed zagrożeniem

Mogą ci ukraść konto na Spotify. Ekspert ostrzega przed zagr...

3 dni temu
Jak usunąć swoje dane osobowe z wyników wyszukiwania Google?

Jak usunąć swoje dane osobowe z wyników wyszukiwania Google?...

4 dni temu
Klauzula informacyjna i wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej

Klauzula informacyjna i wniosek o zapewnienie dostępności ar...

4 dni temu
Termin na wpis do Centralnego Rejestru Osób Uprawnionych do Wykonywania Zawodu Medycznego

Termin na wpis do Centralnego Rejestru Osób Uprawnionych do ...

4 dni temu