1 dzień temu
Sprawa dotyczy próby zorganizowania wyborów na prezydenta RP w maju 2020 r. w formie korespondencyjnej. Ze względu na trwającą wówczas epidemię Covid-19 planowano, iż Poczta Polska wyśle do wszystkich uprawnionych pakiety wyborcze do głosowania korespondencyjnego. Miało to zapobiec gromadzeniu się dużej liczby osób w lokalach wyborczych. Problem w tym, iż w momencie podejmowania decyzji o przekazaniu danych wyborców z rejestru PESEL nie obowiązywała jeszcze ustawa dająca podstawy do takich działań.
Naruszenie praw obywateli
– Fakt bezpodstawnego udostępnienia danych osobowych z rejestru PESEL oraz ich przetwarzania przez Pocztę Polską zagrażał prawidłowej realizacji praw przysługujących obywatelom na mocy konstytucji. Gwarantuje im ona prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym – wskazał prezes UODO w decyzji z 17 marca 2025.
16 kwietnia 2020 r. ówczesny prezes Rady Ministrów Mateusz Morawicki zobowiązał decyzją administracyjną Pocztę Polską do podjęcia przygotowań do wyborów kopertowych prezydenta RP. Firma ta, z powołaniem na wspomnianą decyzję, 20 kwietnia 2020 r. wystąpiła z wnioskiem o przekazanie jej w tym celu z bazy PESEL danych 30 mln polskich obywateli, którzy w planowanym dniu wyborów mieli być pełnoletni i mieli miejsce zamieszkania w kraju.
Minister cyfryzacji zgodził się na to przekazanie i 22 kwietnia 2020 r. dane na płycie DVD zostały przekazane Poczcie Polskiej. Były tam następnie przetwarzane i choć finalnie „wybory kopertowe” nie odbyły się, to dane zniszczono dopiero 15–22 maja.
Obywatele składali liczne skargi do UODO w tej sprawie, jednak ówczesny prezes Urzędu Jan Nowak uznał je za bezpodstawne. Skargi do sądów administracyjnych na decyzje zarówno premiera, jak i ministra cyfryzacji wniósł jednak rzecznik praw obywatelskich Adam Bodnar.
Decyzja premiera został uznana za rażąco naruszającą prawo jeszcze we wrześniu 2020 r., decyzja MC – w lutym 2021 r. Jednak dopiero w 2024 r. (odpowiednio w czerwcu i marcu) wyroki te podtrzymał NSA, co dało podstawę do wszczęcia postępowania przez UODO.
Zabrakło podstawy prawnej
W trakcie tego postępowania prezes UODO ustalił, iż minister cyfryzacji przekazał Poczcie Polskiej bez podstawy prawnej następujące dane obywateli: numery PESEL, imiona i nazwiska, adresy zameldowania (na pobyt stały i czasowy) oraz o aktualnie zarejestrowanym wyjeździe z kraju.
Według szacunków UODO dane dotyczyły wszystkich pełnoletnich obywateli, czyli ok. 80 proc. ogółu Polek i Polaków. Poczta zaś po otrzymaniu tych danych przetwarzała je również bez podstawy prawnej.
Sankcja też dla ministerstwa
Z tego powodu prezes UODO nałożył na ministra cyfryzacji maksymalną dopuszczalną przez RODO sankcję dla podmiotów publicznych, w wysokości 100 tys. zł. Naruszenie, którego dopuścił się ten organ, miało bowiem znaczną wagę i poważny charakter. Minister, odpowiadając za utrzymanie rejestru PESEL – centralnego i najważniejszego państwowego zbioru danych osobowych osób fizycznych – powinien nie tylko odznaczać się najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli – stwierdził UODO.
Także naruszenia, których dopuściła się Poczta Polska, miały według prezesa UODO bardzo wysoką wagę i wyjątkowo poważny charakter. Jako spółka Skarbu Państwa firma ta objęta była wyższym limitem kary przewidzianej w RODO, uzależnionej od swojego obrotu, który przekracza 1 mld zł. Według wyliczeń UODO, zgodnych z zaleceniami Europejskiej Rady Ochrony Danych, stosownie do wagi naruszenia kara powinna przekraczać 110 mln zł.
Jednak ze względu na to, iż Poczta Polska wykonuje też ważne zadania publiczne, prezes UODO zdecydował się obniżyć ją o 75 proc., co spowodowało, iż spółka ma zapłacić „jedynie” 27 mln 124 tys. zł. To jednak i tak najwyższa kara nałożona kiedykolwiek przez UODO.
W swojej decyzji organ nadzorczy zaznaczył, iż Poczta Polska SA, będąc spółką Skarbu Państwa, powinna – w związku z realizacją powierzonych jej zadań publicznych – odznaczać się najwyższą starannością oraz poszanowaniem obowiązujących przepisów prawa, w tym przepisów o ochronie danych osobowych. Otrzymując decyzję premiera z 16 kwietnia 2020 r., zobowiązującą do podjęcia czynności przygotowawczych do przeprowadzenia wyborów, powinna była przeprowadzić dogłębną analizę, czy na tej podstawie może przetwarzać dane z bazy PESEL.
Premier nie został ukarany, gdyż nie był administratorem danych osobowych. Oba ukarane podmioty mogą zaskarżyć decyzje do sądów administracyjnych. Mają też możliwość dochodzenia roszczeń regresowych od osób odpowiedzialnych za podjęcie decyzji, które podjęły decyzje prowadzące do naruszenia ochrony danych.
