Start Decyzja UODO w sprawie wyborów kopertowych (DKN.5131.1.2025)
Post
Anuluj

Decyzja UODO w sprawie wyborów kopertowych (DKN.5131.1.2025)

Napisane przez Paweł Rosół
Opublikowane 2025-03-28 12:03 3 min read

Urząd Ochrony Danych Osobowych (UODO) nałożył rekordowe kary za naruszenie przepisów o ochronie danych osobowych w związku z nieudaną próbą przeprowadzenia tzw. wyborów kopertowych w 2020 roku:

  • 27 milionów złotych kary dla Poczty Polskiej,
  • 100 tysięcy złotych kary dla ministra cyfryzacji (maksymalna możliwa kwota dla podmiotów sektora publicznego).

Naruszenie dotyczyło bezprawnego udostępnienia i przetwarzania danych osobowych około 30 milionów obywateli Polski z rejestru PESEL, co stanowiło niemal 80% populacji kraju.

Chronologia wydarzeń

  1. W kwietniu 2020 r., podczas pandemii COVID-19, władze zdecydowały o organizacji wyborów prezydenckich w formie korespondencyjnej, mimo że odpowiednia ustawa nie weszła jeszcze w życie.
  2. 16 kwietnia 2020 r. – Premier wydał decyzję zobowiązującą Pocztę Polską do rozpoczęcia przygotowań do wyborów.
  3. 20 kwietnia 2020 r. – Poczta Polska wystąpiła o przekazanie danych z rejestru PESEL.
  4. 22 kwietnia 2020 r. – Minister cyfryzacji udostępnił dane 30 mln obywateli Poczcie Polskiej.
  5. Maj 2020 r. – Po odwołaniu wyborów, dane zostały zniszczone (15-22 maja).
  6. 29 kwietnia 2020 r. – Rzecznik Praw Obywatelskich złożył skargę do WSA na decyzję Premiera.
  7. 15 maja 2020 r. – RPO złożył skargę na działanie ministra cyfryzacji.
  8. Wrzesień 2020 r. – WSA stwierdził, że decyzja Premiera rażąco naruszała prawo.
  9. Luty 2021 r. – WSA stwierdził bezskuteczność czynności ministra cyfryzacji.
  10. Marzec i czerwiec 2024 r. – NSA utrzymał w mocy wyroki WSA.
  11. 17 marca 2025 r. – Prezes UODO wydał decyzję o nałożeniu kar.

Zakres udostępnionych danych

Przekazane Poczcie Polskiej dane obejmowały:

  • numer PESEL,
  • imiona i nazwiska,
  • ostatni aktualny adres zameldowania na pobyt stały (lub ostatni nieaktualny, jeśli brakowało aktualnego),
  • adres zameldowania na pobyt czasowy wraz z deklarowanym terminem pobytu,
  • informacje o zarejestrowanych wyjazdach czasowych za granicę.

Uzasadnienie decyzji UODO

Prezes UODO Mirosław Wróblewski wskazał na następujące okoliczności obciążające:

  1. Bezprecedensowa skala naruszenia – nigdy wcześniej nie doszło do nielegalnego udostępnienia danych na taką skalę.
  2. Naruszenie konstytucyjnych praw obywateli – bezpodstawne przetwarzanie danych zagrażało prawu do ochrony życia prywatnego.
  3. Szczególna odpowiedzialność organów państwowych:
    • Poczta Polska jako spółka Skarbu Państwa powinna wykazać najwyższą staranność w przestrzeganiu przepisów.
    • Minister cyfryzacji jako podmiot odpowiedzialny za rejestr PESEL powinien dawać gwarancję poszanowania praw obywateli.

Początkowo kara dla Poczty Polskiej miała wynieść ponad 100 mln zł, ale została obniżona ze względu na trudną sytuację finansową spółki i fakt realizacji przez nią zadań publicznych.

Stanowiska stron po wydaniu decyzji

  • Poczta Polska uznała karę za wyjątkowo wysoką i zapowiedziała rozważenie skargi do sądu administracyjnego. Spółka podkreśliła swoją trudną sytuację finansową (745 mln zł straty w 2023 r.) i potrzebę inwestycji w ramach trwającej transformacji.
  • Ministerstwo Cyfryzacji analizuje decyzję, ale zgadza się z ustaleniem, że przekazanie danych było nieuprawnione. Wcześniej wycofało skargę od wyroku WSA w tej sprawie.

Wnioski dla ochrony danych osobowych

Z decyzji UODO wynikają następujące ważne zasady postępowania:

  1. Bezwzględny wymóg podstawy prawnej – przetwarzanie danych osobowych, szczególnie na dużą skalę, wymaga wyraźnej podstawy prawnej.
  2. Konieczność weryfikacji legalności poleceń – nawet polecenie służbowe czy decyzja administracyjna nie zwalnia z obowiązku weryfikacji zgodności działań z przepisami o ochronie danych.
  3. Wyższa odpowiedzialność organów publicznych – od podmiotów realizujących zadania publiczne i dysponujących danymi z rejestrów państwowych oczekuje się szczególnej staranności w przestrzeganiu przepisów RODO.
  4. Proporcjonalność przetwarzania – zakres przetwarzanych danych powinien być ograniczony do niezbędnego minimum i adekwatny do celu.
  5. Odpowiedzialność kierownictwa – decyzje dotyczące przetwarzania danych obywateli muszą być podejmowane w oparciu o analizę prawną, a nie tylko względy organizacyjne czy polityczne.

Jak unikać podobnych naruszeń?

  1. Przeprowadzaj ocenę skutków dla ochrony danych (DPIA) przed rozpoczęciem przetwarzania na dużą skalę – pozwoli to zidentyfikować i zminimalizować ryzyka.
  2. Konsultuj z ekspertami prawnymi i Inspektorem Ochrony Danych wszystkie działania związane z przetwarzaniem danych osobowych, szczególnie w nietypowych sytuacjach.
  3. Weryfikuj podstawy prawne – każde przetwarzanie danych osobowych musi mieć wyraźną podstawę prawną zgodną z art. 6 RODO.
  4. Stosuj zasadę minimalizacji danych – przetwarzaj tylko te dane, które są niezbędne do osiągnięcia celu.
  5. Dokumentuj procesy decyzyjne – zachowuj dokumentację uzasadniającą podjęte decyzje dotyczące przetwarzania danych.
  6. Wdrażaj odpowiednie środki techniczne i organizacyjne – zapewniaj bezpieczeństwo przetwarzania danych, nawet w sytuacjach nadzwyczajnych.
  7. Nie ulegaj presji czasowej – nawet w sytuacjach nagłych należy przestrzegać podstawowych zasad ochrony danych.
  8. Szanuj prawa osób, których dane dotyczą – pamiętaj, że przetwarzanie danych osobowych zawsze dotyczy konkretnych osób i ich konstytucyjnych praw.

Decyzja UODO stanowi ważny precedens pokazujący, że naruszenia przepisów o ochronie danych osobowych mogą prowadzić do poważnych konsekwencji finansowych, nawet dla dużych podmiotów państwowych.

Dostęp do tekstu decyzji UODO: DKN.5131.1.2025.

Urząd Ochrony Danych Osobowych
Analiza ryzyka Naruszenia Wybory Kara finansowa
Ten post jest dostępny na licencji CC BY 4.0 .
Ostatnia aktualizacja
Zawartość