rozwiń

Poczta i minister cyfryzacji zostali ukarani za przetwarzanie bez podstawy prawnej danych ok. 30 mln obywateli z bazy PESEL przy organizacji tych wyborów w kwietniu i maju 2020 r. - To najwyższa kara kiedykolwiek nałożona przez organ nadzorczy – mówi prezes UUDO Mirosław Wróblewski. Jak wyjaśnia, różnica w kwotach kar dla wynika z tego, że 100 tys. to zł to maksymalna kara finansowa przewidziana ustawowo dla podmiotów sektora publicznego w Polsce.

Niespotykana skala naruszenia

- Nigdy na taka skale nie doszło do nielegalnego udostepnienia danych na taką skalę – stwierdził prezes UUDO Mirosław Wróblewski na spotkaniu z dziennikarzami we wtorek. Wskazał, że na wysokość kary wpłynęła m.in. ogromna, niespotykana wcześniej skala naruszenia.

Jak czytamy w decyzji Prezesa UODO z 17 marca 2025 r. (DKN.5131.1.2025), „fakt bezpodstawnego udostępnienia danych osobowych z rejestru PESEL oraz ich przetwarzania przez Pocztę Polską zagrażał prawidłowej realizacji praw przysługujących obywatelom na mocy Konstytucji. Gwarantuje im ona prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”. Zdaniem PUODO w tej sytuacji wysokość kary dla Poczty Polskiej spełnia funkcję kary określonej przez RODO i stanowi adekwatną i sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów ze względu m.in. na charakter i wagę naruszeń.

Mirosław Wróblewski zaznaczył, że początkowo szacowna kara dla spółki przekraczała 100 mln zł, ale została obniżona po uwzględnieniu sytuacji Poczty, która realizuje zadania publiczne i próbuje przeprowadzić restrukturyzację.

Dlaczego Poczta zbierała dane Polaków?

Sprawa dotyczy próby zorganizowania wyborów Prezydenta RP w drodze wyłącznie korespondencyjnej wiosną 2020 r. W tym czasie w Polsce trwała pandemia Covid-19. Władze rozpoczęły organizację procesu wyborczego w tej postaci, mimo że ustawa zmieniająca zasady wyborów nie weszła jeszcze w życie. Ta nieobowiązująca w kwietniu 2020 r. ustawa zakładała, że Poczta Polska dostarczy wydrukowane przez Polską Wytwórnię Papierów Wartościowych pakiety wyborcze do skrzynek pocztowych wyborców, a wyborcy oddadzą głosy korespondencyjnie, by nie gromadzić się osobiście w lokalach wyborczych. 16 kwietnia 2020 r. Prezes Rady Ministrów zobowiązał decyzją administracyjną Pocztę Polską do podjęcia przygotowań do wyborów kopertowych Prezydenta RP. Powołując się na to polecenie, Poczta Polska wystąpiła następnie 20 kwietnia 2020 r. z wnioskiem o przekazanie jej w tym celu z bazy PESEL danych 30 mln polskich obywateli, którzy w planowanym dniu wyborów mieli być pełnoletni i zamieszkiwali w Polsce. Minister cyfryzacji wyraził na to zgodę i dane zgrane na płytę DVD zostały dostarczone (udostępnione) Poczcie Polskiej 22 kwietnia 2020 r. i tam były przetwarzane.

Co się stało z danymi z bazy PESEL?

Dane osobowe około 30 mln polskich obywateli zostały zniszczone dopiero w dniach 15–22 maja 2020 r., już po tym, gdy okazało się, że wybory 10 maja 2020 r. się nie odbędą. Zaraz po ujawnieniu faktu udostępnienia Poczcie Polskiej danych osobowych z bazy PESEL bez podstawy prawnej obywatele zaczęli składać liczne skargi do prezesa Urzędu Ochrony Danych Osobowych. Ale ówczesny prezes UODO Jan Nowak uznał te skargi za bezpodstawne.

RPO wkracza do akcji i wygrywa w sądach

Działania w tej sprawie podjął jednak rzecznik praw obywatelskich, który 29 kwietnia 2020 r. złożył skargę do WSA w Warszawie na decyzję Prezesa Rady Ministrów z 16 kwietnia 2020 r. W wyniku tej skargi WSA wyrokiem z 15 września 2020 r. (VII SA/Wa 992/20) stwierdził, że zaskarżona decyzja nie tylko rażąco naruszała prawo, ale została również wydana bez podstawy prawnej (art. 156 § 1 pkt. 2 k.p.a.). Wyrok ten podtrzymał NSA wyrokiem z 28 czerwca 2024 r. (III OSK 4524/21).

Po drugie, RPO 15 maja 2020 r. złożył do WSA skargę na czynność ministra cyfryzacji z 22 kwietnia 2020 r. polegającą na wspomnianym wcześniej udostępnieniu Poczcie Polskiej danych osobowych blisko 30 mln dorosłych polskich obywateli z rejestru PESEL. Wyrokiem z 26 lutego 2021 r. (IV SA/Wa 1817/20) WSA stwierdził bezskuteczność czynności Ministra Cyfryzacji. NSA wyrokiem z 13 marca 2024 r. (II OSK 1630/21) utrzymał w mocy wyrok WSA.

Co zrobił nowy prezes UODO?

Jak mówi Mirosław Wróblewski, uprawomocnienie się w marcu i czerwcu 2024 r. wyroków sądów administracyjnych ukształtowało stan prawny, z którego jasno wynika, że w trakcie organizacji wyborów kopertowych doszło do bezprawnego udostępnienia przez ministra cyfryzacji danych osobowych 30 mln dorosłych polskich obywateli Poczcie Polskiej oraz przetwarzania tych danych przez spółkę bez podstawy prawnej. Dlatego obecny prezes UODO wszczął z urzędu postępowanie administracyjne dotyczące wyborów kopertowych.

Co ustalił PUODO?

W toku postępowania prezes UODO ustalił, że bez podstawy prawnej minister cyfryzacji przekazał Poczcie Polskiej dane o: numerze PESEL, imionach i nazwiskach, ostatnim aktualnym adresie zameldowania na pobyt stały (a gdy go brak: ostatnim nieaktualnym), adresie zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu), a także aktualnie zarejestrowanym wyjeździe czasowym poza granice kraju. Dane te dotyczyły wszystkich pełnoletnich obywateli polskich, których krajem zamieszkania 10 maja 2020 r. była Polska. Po ich otrzymaniu Poczta Polska przetwarzała je bez podstawy prawnej.

Okoliczności obciążające Pocztę Polską

- Przypisane Poczcie Polskiej naruszenia mają znaczną wagę i poważny charakter. Ponadto godziły w podstawowe zasady przetwarzania danych osobowych – stwierdza Mirosław Wróblewski.

Okolicznością obciążającą w przypadku Poczty jest też to, że będąc spółką Skarbu Państwa, powinna ona – w związku z realizacją powierzonych jej zadań publicznych – odznaczać się najwyższą starannością oraz poszanowaniem obowiązujących przepisów prawa, w tym przepisów RODO. Otrzymując decyzję premiera z 16 kwietnia 2020 r., zobowiązującą do podjęcia czynności przygotowawczych do przeprowadzenia wyborów, powinna była przeprowadzić dogłębną analizę, czy na tej podstawie może przetwarzać dane z bazy PESEL. Z kolei minister cyfryzacji – był nim wtedy Marek Zagórski – jako podmiot odpowiedzialny za utrzymanie i rozwój rejestru PESEL powinien był zdaniem PUODO odznaczać się nie tylko najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli - w tym odnoszących się do przetwarzania ich danych osobowych ujętych w rejestrze.

Za okoliczność obciążającą w obu wypadkach PUODO uznał także zakres przetwarzanych danych oraz znaczną liczbę osób dotkniętych naruszeniem. Minister udostępnił Poczcie informacje o blisko 30 mln osób posiadających obywatelstwo polskie, co stanowiło niemalże 80 proc. populacji kraju.

Co na to Poczta i ministerstwo?

Poczta Polska uważa karę za wyjątkowo wysoką. Jej biuro prasowe informuje, że po analizie uzasadnienia decyzji PUODO spółka „podejmie we wskazanym terminie odpowiednie kroki prawne, w tym rozważy wniesienie skargi do sądu administracyjnego”. Dodaje, że w 2023 r. miała 745 mln zł straty i w tej sytuacji „każdy niezaplanowany wydatek” jest „tym bardziej dotkliwy”, iż obecny zarząd podjął się transformacji spółki, co zakłada m.in. „pilne inwestycje w systemy IT, zmianę organizacji pracy i wyglądu placówek pocztowych czy wdrożenie strategii efektywnego zarządzania nieruchomościami”.

Decyzję organu ochrony danych analizuje też ministerstwo cyfryzacji - pod kątem formalnym i w zakresie podejmowania ewentualnych dalszych kroków. „Zgadzamy się co do faktu, że przekazanie danych Poczcie Polskiej było nieuprawnione” – podkreśla jednak biuro prasowe resortu. Jak dodaje, był to powód wycofania wniesionej 23 kwietnia 2021 r. skargi od wyroku WSA z 26 lutego 2021r. Wyrok ten dotyczył skargi Rzecznika Praw Obywatelskich z 15 maja 2020 r. i stwierdzał bezskuteczność czynności ministra cyfryzacji polegającej na udostępnieniu Poczcie Polskiej z rejestru PESEL danych osobowych 30 mln obywateli. To orzeczenie utrzymał w mocy Naczelny Sąd Administracyjny wyrokiem z 13 marca 2024 r.