Prezes UODO wydał w drugiej połowie marca 2025 r. decyzję administracyjną, w której nałożył rekordowo wysokie kary finansowe na: Pocztę Polską S.A. – w wysokości ponad 27 mln zł (dokładnie: 27 124 000 zł), oraz na Ministra Cyfryzacji – w wysokości 100.000 zł, za naruszenie RODO przy organizacji wyborów korespondencyjnych w 2020 r. w trakcie epidemii COVID-19.
Co się wydarzyło? Na czym polegało naruszenie?
Minister Cyfryzacji udostępnił w kwietniu 2020 r. Poczcie Polskiej S.A., bez podstawy prawnej, na potrzeby przygotowań do korespondencyjnych wyborów Prezydenta Rzeczpospolitej Polskiej, dane osobowe wyborców z rejestru PESEL takie jak m.in. nr PESEL, imię, nazwisko, adres zameldowania – czyli około 30 milionów pełnoletnich Polaków, co stanowiło naruszenie przepisów dot. ochrony danych osobowych. Poczta Polska S.A. po pozyskaniu tych danych od Ministra, przetwarzała je dalej bez prawnego uzasadnienia w celach związanych z organizacją wyborów prezydenckich w 2020 r., po czym dane te trwale usunęła, ale dopiero w maju 2020 r.
Dlaczego takie wysokie kary?
Prezes UODO stwierdził, że na skutek działania administratorów – Ministra Cyfryzacji i Poczty Polskiej S.A., doszło do przetwarzania danych osobowych bez podstawy prawnej (co stanowiło naruszenie art. 5 ust. 1 lit. a RODO i art. 6 ust. 1 RODO) i to na szeroką skalę – naruszenie ochrony prywatności dotyczyło niemal 80 % Polskich obywateli.
Okolicznościami obciążającymi (i mającymi wpływ na wymiar nałożonej kary) były: charakter, waga i czas trwania naruszenia, zakres /cel przetwarzania, liczba poszkodowanych osób, których dane dotyczą i rozmiar poniesionej przez te osoby szkody.)
Prezes UODO wskazał, że zastosowanie wobec Poczty Polskiej S.A. i Ministra Cyfryzacji jakiegokolwiek innego środka naprawczego jak np. upomnienie, nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych i nie gwarantowałoby tego, że administratorzy ci w przyszłości nie dopuściliby się kolejnych zaniedbań.
Co ważnego z tej decyzji wynika?
1. Przepisy prawa w zakresie danych osobowych obowiązują firmy przetwarzające dane osobowe na zlecenie innego podmiotu (w tej konkretnej sytuacji – organów państwowych), jak i administrację publiczną, która takie dane osobowe przekazuje; polecenie zewnętrzne to wciąż za mało, gdy nie ma podstawowego elementu – odpowiedniej podstawy prawnej przetwarzania,
2. Sytuacje ekstraordynaryjne takie jak stan epidemii nie oznaczają, że zawieszeniu uległy przepisy dot. przetwarzania danych osobowych, zwłaszcza, gdy przetwarzanie ma to miejsce na szeroką skalę,
3. Zawsze trzeba zastanowić się, czy posiadam ważną podstawę prawną przetwarzania danych, w tym czy dokonana została odpowiednia analiza z uwzględnieniem wszystkich okoliczności danej sytuacji, analiza ryzyka, ocena skutków dla ochrony danych (DPIA), czy jestem w stanie dany proces odpowiednio udokumentować.
