17 marca 2025 r. Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski podjął decyzję o nałożeniu administracyjnych kar pieniężnych na Pocztę Polską oraz Ministra Cyfryzacji. Poczta Polska została ukarana kwotą 27 mln zł, natomiast Minister Cyfryzacji – maksymalną przewidzianą ustawowo dla podmiotów publicznych karą w wysokości 100 tys. zł. Powodem było bezprawne przetwarzanie danych blisko 30 mln obywateli Polski z rejestru PESEL podczas organizacji tzw. wyborów kopertowych w 2020 r.
Bezpodstawne udostępnienie danych PESEL
Prezes UODO w swojej decyzji podkreślił, że fakt bezprawnego udostępnienia danych osobowych z rejestru PESEL oraz ich przetwarzania przez Pocztę Polską naruszał prawa obywateli wynikające z Konstytucji RP. Każdy obywatel ma prawo do ochrony swojej prywatności, czci oraz dobrego imienia, a także do decydowania o swoim życiu osobistym. Decyzja UODO jest jednoznacznym potwierdzeniem, że działania Poczty Polskiej i Ministra Cyfryzacji były sprzeczne z przepisami RODO.
Kontekst sprawy – wybory kopertowe
Wiosną 2020 r., w trakcie pandemii COVID-19, rząd podjął próbę organizacji wyborów prezydenckich w formie korespondencyjnej. 16 kwietnia 2020 r. Prezes Rady Ministrów wydał decyzję administracyjną nakazującą Poczcie Polskiej rozpoczęcie przygotowań do tego procesu. W wyniku tego Poczta Polska zwróciła się do Ministra Cyfryzacji o udostępnienie danych obywateli z rejestru PESEL. Minister Cyfryzacji zgodził się na przekazanie tych danych, które 22 kwietnia 2020 r. zostały dostarczone na płycie DVD.
Po decyzji o rezygnacji z wyborów 10 maja 2020 r., dane osobowe obywateli zostały zniszczone dopiero między 15 a 22 maja 2020 r. W międzyczasie wielu obywateli zaczęło składać skargi do UODO na bezprawne udostępnienie ich danych.
Skargi obywateli i wyroki sądów
Początkowo ówczesny Prezes UODO Jan Nowak odrzucił skargi obywateli, uznając je za bezzasadne. Jednakże Rzecznik Praw Obywatelskich (RPO) podjął działania prawne, składając skargi do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie.
- 15 września 2020 r. WSA uznał decyzję Premiera o organizacji wyborów kopertowych za rażące naruszenie prawa, co potwierdził Naczelny Sąd Administracyjny (NSA) 28 czerwca 2024 r.
- 26 lutego 2021 r. WSA stwierdził również bezskuteczność czynności Ministra Cyfryzacji polegającej na udostępnieniu danych PESEL Poczcie Polskiej. Wyrok ten został podtrzymany przez NSA 13 marca 2024 r.
Uprawomocnienie się tych wyroków jednoznacznie potwierdziło, że udostępnienie i przetwarzanie danych osobowych 30 mln obywateli odbyło się bez podstawy prawnej.
Ustalenia Prezesa UODO
W wyniku postępowania administracyjnego UODO stwierdził, że Minister Cyfryzacji przekazał Poczcie Polskiej następujące dane:
- numer PESEL,
- imiona i nazwiska,
- adresy zameldowania stałego i czasowego,
- informacje o wyjazdach czasowych za granicę.
Poczta Polska, po ich otrzymaniu, przetwarzała je bezprawnie, co stanowiło naruszenie podstawowych zasad ochrony danych osobowych. Prezes UODO podkreślił, że Minister Cyfryzacji, jako administrator rejestru PESEL, powinien nie tylko przestrzegać prawa, ale także gwarantować ochronę danych obywateli. Tymczasem władczo i bez odpowiednich podstaw przekazał dane Poczcie Polskiej.
Konsekwencje naruszenia
Prezes UODO uznał, że skala naruszenia była ogromna – obejmowała blisko 80% populacji Polski. Podkreślił również, że działania Ministra Cyfryzacji i Poczty Polskiej mogły prowadzić do poważnych szkód niematerialnych dla obywateli, takich jak brak kontroli nad swoimi danymi oraz obawa o ich dalsze wykorzystanie.
Decyzja UODO wskazuje również, że Poczta Polska, jako spółka Skarbu Państwa, powinna wykazać najwyższą staranność w ochronie danych osobowych. W momencie otrzymania decyzji Premiera o przygotowaniu wyborów powinna była przeprowadzić analizę legalności przetwarzania danych PESEL, czego nie uczyniła.