27 mln zł kary dla Poczty Polskiej od UODO za przetwarzanie danych osobowych przy organizacji wyborów kopertowych
„Fakt bezpodstawnego udostępnienia danych osobowych z rejestru PESEL oraz ich przetwarzania przez Pocztę Polską zagrażał prawidłowej realizacji praw przysługujących obywatelom na mocy Konstytucji. Gwarantuje im ona prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym” – wskazał Prezes UODO w decyzji z 17 marca 2025 r. (DKN.5131.1.2025).
Kara nałożona na Ministra Cyfryzacji to maksymalna kara finansowa, jaka jest przewidziana ustawowo dla podmiotów sektora publicznego w Polsce. W przypadku kary dla Poczty Polskiej wysokość kary, w ocenie Prezesa UODO, spełnia funkcję kary określonej przez RODO oraz stanowi adekwatną i sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów ze względu m.in. na charakter i wagę naruszeń.
Czytaj także: Prezes UODO apeluje do Ministerstwa Cyfryzacji o zmiany ws. kwalifikowanego podpisu elektronicznego
Ustalenia UODO
W toku postępowania Prezes UODO ustalił, że bez podstawy prawnej Minister Cyfryzacji przekazał Poczcie Polskiej dane o:
- numerze PESEL,
- imionach, nazwiskach,
- ostatnim aktualnym adresie zameldowania na pobyt stały (a gdy go brak: ostatnim nieaktualnym),
- adresie zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu),
- a także aktualnie zarejestrowanym wyjeździe czasowym poza granice kraju.
Dane te dotyczyły wszystkich pełnoletnich obywateli polskich, których krajem zamieszkania 10 maja 2020 r. była Polska. Po ich otrzymaniu Poczta Polska przetwarzała je bez podstawy prawnej.
Prezes UODO w swojej decyzji uznał, że przypisane Poczcie Polskiej naruszenia mają poważny charakter. Godzą one w podstawowe zasady przetwarzania danych osobowych. Minister będąc podmiotem odpowiedzialnym za utrzymanie i rozwój rejestru PESEL – stanowiącego centralny i najważniejszy państwowy zbiór danych osobowych osób fizycznych – powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli (w tym odnoszących się do przetwarzania ich danych osobowych ujętych w rejestrze).
Tymczasem w sposób władczy i jednostronny podjął decyzję o udostępnieniu Poczcie Polskiej danych osobowych wszystkich obywateli polski, pełnoletnich 10 maja 2020 r., których krajem zamieszkania na ten dzień była Polska.
Za okoliczność obciążającą Prezes UODO uznał także zakres przetwarzanych danych oraz znaczną liczbę osób dotkniętych naruszeniem. Minister udostępnił Poczcie informacje o blisko 30 mln osób posiadających obywatelstwo polskie, co stanowiło niemalże 80 proc. populacji kraju.
Prezes UODO uwzględnił, jako okoliczność wpływającą obciążająco na wymiar orzeczonej kary pieniężnej, możliwość wystąpienia po stronie podmiotów danych szkód niematerialnych, takich jak w szczególności obawa czy niepewność wynikająca z faktu niemożności sprawowania kontroli nad swoimi danymi osobowymi – wobec faktu bezprawnego ich udostępnienia Poczcie.
Prezes UODO ocenił, że naruszenia Poczty Polskiej w ramach całego systemu ochrony danych mają charakter fundamentalny. W swojej decyzji organ nadzorczy zaznaczył, że Poczta Polska SA, będąc spółką Skarbu Państwa, powinna – w związku z realizacją powierzonych jej zadań publicznych – odznaczać się najwyższą starannością oraz poszanowaniem obowiązujących przepisów prawa, w tym przepisów o ochronie danych osobowych.
Otrzymując decyzję premiera z 16 kwietnia 2020 r., zobowiązującą do podjęcia czynności przygotowawczych do przeprowadzenia wyborów, powinna była przeprowadzić dogłębną analizę, czy na tej podstawie może przetwarzać dane z bazy PESEL.
W tej sytuacji nałożenie ww. administracyjnych kar pieniężnych Prezes UODO uznał za uzasadnione i konieczne.
