Prezes UODO Mirosław Wróblewski nałożył administracyjne kary pieniężne 27 mln zł na Pocztę Polską oraz 100 tys. zł na Ministra Cyfryzacji za przetwarzanie bez podstawy prawnej danych 30 mln obywateli z bazy PESEL przy organizacji tzw. wyborów kopertowych w kwietniu i maju 2020 r.

Czego dotyczyła sprawa?

W kwietniu 2020 r. Premier polecił Poczcie Polskiej S.A. podjęcie czynności zmierzających do przygotowania przeprowadzenia wyborów prezydenckich w 2020 r. w trybie korespondencyjnym. Poczta Polska zwróciła się do Ministra Cyfryzacji o udostępnienie jej danych z rejestru PESEL, a Minister dane te udostępnił.

Po interwencji Rzecznika Praw Obywatelskich, w następstwie złożonych przez niego skarg, WSA oraz Naczelny Sąd Administracyjny wydały wyroki , w wyniku czego została stwierdzona prawomocnie nieważność decyzji Premiera i bezskuteczność czynności Ministra polegającej na ww. udostępnieniu Poczcie Polskiej danych osobowych z rejestru PESEL.

Fakt udostępnienia danych osobowych i ich przetwarzania miał więc miejsce pomimo tego, że zarówno Minister Cyfryzacji, jak i Poczta Polska, nie posiadali do tego podstaw prawnych.

Za co Prezes Uodo nałożył karę?

„stwierdzając naruszenie przez Ministra Cyfryzacji (ul. Królewska 27, 00-060 Warszawa) art. 6 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych zgromadzonych w rejestrze Powszechnego Elektronicznego Systemu Ewidencji Ludności, poprzez ich udostępnienie 22 kwietnia 2020 r. bez podstawy prawnej w zakresie: numeru PESEL, imion, nazwisk, ostatniego aktualnego adresu zameldowania na pobyt stały (a gdy go brak: ostatniego nieaktualnego), adresu zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu), a także aktualnie zarejestrowanego wyjazdu czasowego poza granice kraju, wszystkich osób pełnoletnich 10 maja 2020 r., które w dniu wygenerowania danych posiadały w ww. rejestrze zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska,
na rzecz Poczty Polskiej S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa),
co skutkowało naruszeniem zasady zgodności przetwarzania z prawem określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
nakłada na Ministra Cyfryzacji (ul. Królewska 27, 00-060 Warszawa) administracyjną karę pieniężną w kwocie 100 000 zł (słownie: sto tysięcy złotych)„
Decyzja DKN.5131.1.2025

„stwierdzając naruszenie przez Pocztę Polską S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa) art. 6 ust. 1 rozporządzenia 2016/679, polegające na przetwarzaniu bez podstawy prawnej udostępnionych tej spółce 22 kwietnia 2020 r. przez Ministra Cyfryzacji (ul. Królewska 27, 00-060 Warszawa) danych osobowych zgromadzonych w rejestrze Powszechnego Elektronicznego Systemu Ewidencji Ludności, w zakresie: numeru PESEL, imion, nazwisk, ostatniego aktualnego adresu zameldowania na pobyt stały (a gdy go brak: ostatniego nieaktualnego), adresu zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu), a także aktualnie zarejestrowanego wyjazdu czasowego poza granice kraju, wszystkich osób pełnoletnich 10 maja 2020 r., które w dniu wygenerowania danych posiadały w ww. rejestrze zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska,
co skutkowało naruszeniem zasady zgodności przetwarzania z prawem określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
nakłada na Pocztę Polską S.A. z siedzibą w Warszawie (ul. Rodziny Hiszpańskich 8, 00-940 Warszawa) administracyjną karę pieniężną w kwocie 27 124 816 zł (słownie: dwadzieścia siedem milionów sto dwadzieścia cztery tysiące osiemset szesnaście złotych)„
Decyzja DKN.5131.1.2025

Podstawa prawna przetwarzania danych osobowych

Pamiętajmy, że RODO określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Jedną z zasad – najważniejszą – jest zasada legalności.

Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w zakresie w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Należy zaznaczyć, że przepis art. 6 ust. 1 lit. f) rozporządzenia 2016/679 nie ma zastosowania do przetwarzania danych osobowych przez organy publiczne w ramach realizacji swoich zadań.

Powyższa lista przesłanek ma charakter zamknięty.

W omawianym przypadku, jak stwierdza w swojej decyzji Prezes UODO „nie zachodziła żadna z przesłanek z art. 6 ust. 1 rozporządzenia 2016/679 uprawniająca do udostępnienia danych osobowych przez Ministra Cyfryzacji na rzecz Spółki oraz ich pozyskania i przetwarzania przez Spółkę w celu realizacji zadań związanych z organizacją wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r.” Przetwarzanie danych było więc niezgodne z prawem.

Z czego wynika kara za naruszenie RODO?

Wiecie, że kara dla jednostki sektora finansów publicznych (także organy administracji rządowej) jest limitowana? Jej maksymalny wymiar to właśnie 100.000 zł. To oznacza, że kara nałożona na Ministra Cyfryzacji ma charakter kary maksymalnej.

Kara dla pozostałych podmiotów, w tym spółek może być oczywiście wyższa – nawet wynosić do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W jaki sposób Prezes UODO uzasadnił wysokość kar?

Prezes UODO nakładając administracyjną karę pieniężną zawsze skrupulatnie tłumaczy, jakie przesłanki zadecydowały o wymiarze kary.

W tym przypadku Prezes UODO uznał, że:

przypisane naruszenia mają bardzo wysoką wadę i wyjątkowo poważny charakter wyrażający się w tym, że godzą one w podstawowe zasady przetwarzania danych osobowych, które w ramach całego systemu ochrony danych mają charakter fundamentalny, wyznaczający jego ramy;
Minister będąc podmiotem odpowiedzialnym za utrzymanie i rozwój rejestru PESEL – stanowiącego centralny i najważniejszy państwowy zbiór danych osobowych osób fizycznych – powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli;
Za okoliczność obciążającą Prezes UODO uznaje także zakres przetwarzania oraz znaczną liczbę osób dotkniętych naruszeniem.
Prezes UODO uwzględnił, jako okoliczność wpływającą obciążająco na wymiar orzeczonej kary pieniężnej, możliwość wystąpienia po stronie podmiotów danych szkód niematerialnych, takich jak w szczególności obawa czy niepewność wynikająca z faktu niemożności sprawowania kontroli nad swoimi danymi osobowymi – wobec faktu bezprawnego ich udostępnienia Spółce;
naruszenia mają charakter umyślny, co wpływa obciążająco – w stopniu znacznym – na wymiar nałożonej administracyjnej kary pieniężnej;
zaistniałe naruszenia ochrony danych osobowych dotyczyły numeru ewidencyjnego PESEL, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny;
Na niekorzyść organ nadzorczy poczytał również konsekwencje przypisanych mu naruszeń dostrzegalne w wymiarze ogólnospołecznym
Prezes UODO stwierdził, że niedopuszczalnym wręcz – przez wzgląd na skuteczność, proporcjonalność i wymiar odstraszający orzekanej kary – byłoby orzeczenie wobec Ministra kary niższej niż 100 000 zł, czyli niższej niż maksymalna kwota kary przewidziana przepisem art. 102 ust. 1 pkt 1 u.o.d.o. Prezes UODO ma przy tym świadomość, że również kara w kwocie 100 000 zł nie będzie karą realnie (wymiernie w wymiarze finansowym) nadmiernie dolegliwą dla Ministra. „Orzeczenie kary w maksymalnej możliwej wysokości powinno być jednak jednoznacznym wyrazem dokonanej przez Prezesa UODO zdecydowanie negatywnej oceny dokonanego przez Ministra (organ) naruszenia.„
odnosząc się do kary dla Poczty Polskiej, Prezes UODO miał na uwadze przychody Spółki – maksymalną wysokość kary odnosząc do 4 % jej obrotu z poprzedniego roku obrotowego. Prezes uznał, że kara w wysokości maksymalnej byłaby zbyt wysoka, byłaby karą nadmiernie dolegliwą i tym samą nieodpowiadającą zasadzie proporcjonalności. Prezes UODO dokonał obniżenia kary do kwoty 27 124 816 zł. „Dla tak wielkiego podmiotu jak Spółka, o tak ogromnych obrotach i możliwościach finansowania zobowiązań (w tym też zobowiązania wynikającego z orzeczonej niniejszą decyzją sankcji), kara w powyższej kwocie będzie – w ocenie Prezesa UODO – możliwą do zapłaty bez nadmiernego uszczerbku dla jej funkcjonowania oraz dla realizacji zadań wynikających z jej statusu operatora wyznaczonego.”

czego nas to uczy?

Postępowanie przed UODO pokazuje, jak kluczowe jest przestrzeganie zasad ochrony danych osobowych i legalność ich przetwarzania. Przede wszystkim pamiętajmy, że:

Przestrzeganie prawa jest obowiązkiem wszystkich administratorów danych – zwłaszcza organy państwowe nie mogą przetwarzać danych bez odpowiedniej podstawy prawnej.
Ochrona danych osobowych to fundament zaufania obywateli do instytucji publicznych – nielegalne udostępnienie danych na taką skalę podważa zaufanie do administracji i jej zdolność do odpowiedzialnego zarządzania informacjami.
RODO przewiduje poważne konsekwencje za naruszenia – kary mogą być wysokie, a organy nadzorcze, takie jak Prezes UODO, mają narzędzia do ich egzekwowania.
Działania bez podstawy prawnej mogą mieć dalekosiężne skutki – nie tylko finansowe, ale także wizerunkowe i prawne dla instytucji oraz osób zaangażowanych w podejmowanie decyzji.

Podsumowując – każda instytucja, publiczna czy prywatna, musi działać w granicach prawa, szczególnie gdy w grę wchodzą dane milionów obywateli.

Z decyzją UODO w całości można zapoznać się tu: Decyzja w sprawie Poczty Polskiej i Ministra Cyfryzacji

USŁUGI Z ZAKRESU OCHRONY DANYCH OSOBOWYCH

SKONTAKTUJ SIĘ

DOKUMENTACJA RODO

polityka ochrony danych osobowych
pakiety dokumentacji dla pracowników
monitoring zgodny z RODO

inspektor OCHRONY DANYCH

usługa zewnętrznego IOD-a
audyty z RODO min. raz w roku
bieżące doradztwo i pomoc prawna z zakresu ochrony danych osobowych.

SZKOLENIA Z RODO

szkolenie stacjonarne dla pracowników
szkolenia online na żywo
szkolenia online zakończone testem

WDROŻENIA RODO

audyt z zakresu ochrony danych osobowych
rejestr czynności przetwarzania
przygotowanie dokumentacji dla firmy
szkolenia dla osób zarządzających i pracowników

kontakt z kancelarią:

tel. 516215967

mail: biuro@kancelariaew.pl

ul. Akademicka 6/13, 15-267 Białystok

Obserwuj w mediach społecznościowych

27 mln zł kary dla Poczty Polskiej za naruszenie RODO przy „wyborach kopertowych” – czego nas to uczy?