Wybory kopertowe - Prezes UODO nałożył karę na Pocztę Polską

Mianem wyborów kopertowych określono wybory na Prezydenta RP, które miały odbyć się w trakcie pandemii COVID-19. Chodzi o wybory, które miały być przeprowadzone wyłącznie w formie korespondencyjnej wiosną 2020 r.  Władze zaczęły organizować ten sposób głosowania, mimo że ustawa zmieniająca zasady wyborów jeszcze nie obowiązywała w kwietniu 2020 r. W świetle tej ustawy Poczta Polska miała dostarczać wyborcom pakiety wyborcze wydrukowane przez Polską Wytwórnię Papierów Wartościowych do ich skrzynek pocztowych celem umożliwienia głosowania korespondencyjnego.

16 kwietnia 2020 r. Prezes Rady Ministrów Mateusz Morawiecki wydał decyzję administracyjną, nakazującą Poczcie Polskiej przygotowania do przeprowadzenia wyborów prezydenckich w formie korespondencyjnej. W wyniku tego polecenia, 20 kwietnia 2020 r. Poczta Polska złożyła wniosek o udostępnienie jej danych 30 milionów obywateli polskich z bazy PESEL, którzy mieli być pełnoletni i zamieszkiwać w Polsce w dniu planowanych wyborów. Minister Cyfryzacji wyraził zgodę na to, a dane nagrane na płytę DVD zostały przekazane Poczcie Polskiej 22 kwietnia 2020 r., gdzie były przetwarzane.

Tuż po ujawnieniu faktu przekazania Poczcie Polskiej danych osobowych z rejestru PESEL bez odpowiedniej podstawy prawnej, obywatele zaczęli składać liczne skargi do Prezesa Urzędu Ochrony Danych Osobowych. Ówczesny Prezes UODO uznał jednak te skargi za nieuzasadnione. Działania w tej kwestii podjął więc Rzecznik Praw Obywatelskich. Po pierwsze, 29 kwietnia 2020 roku RPO wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa Rady Ministrów z 16 kwietnia 2020 r. W wyniku tej skargi WSA wyrokiem z 15 września 2020 r. (VII SA/Wa 992/20) stwierdził, że zaskarżona decyzja nie tylko rażąco naruszała prawo, ale także została wydana bez podstawy prawnej (art. 156 § 1 pkt 2 k.p.a.). Wyrok ten został utrzymany przez Naczelny Sąd Administracyjny wyrokiem z 28 czerwca 2024 roku (III OSK 4524/21).

Ponadto 15 maja 2020 roku Rzecznik Praw Obywatelskich złożył skargę do Wojewódzkiego Sądu Administracyjnego na działania Ministra Cyfryzacji z 22 kwietnia 2020 r., które polegały na przekazaniu Poczcie Polskiej danych osobowych niemal 30 milionów dorosłych obywateli Polski z rejestru PESEL. Wyrokiem z 26 lutego 2021 r. (IV SA/Wa 1817/20) WSA uznał działania Ministra Cyfryzacji za nieskuteczne. Naczelny Sąd Administracyjny wyrokiem z 13 marca 2024 roku (II OSK 1630/21) podtrzymał wyrok WSA.

Prawomocne wyroki sądów administracyjnych z marca i czerwca 2024 r. jednoznacznie i ostatecznie określiły stan prawny, z którego wynika, że podczas organizacji wyborów kopertowych doszło do nielegalnego przekazania danych osobowych 30 milionów dorosłych obywateli Polski z Ministerstwa Cyfryzacji do Poczty Polskiej, a także do przetwarzania tych danych przez Pocztę Polską bez odpowiedniej podstawy prawnej.

Ze względu na systemowy charakter sprawy (wynikający zarówno z licznych skarg złożonych do UODO, jak i z przetwarzania danych osobowych około 30 milionów dorosłych obywateli Polski), Prezes UODO z urzędu rozpoczął postępowanie administracyjne. Celem tego postępowania jest ocena działań Ministra Cyfryzacji oraz Poczty Polskiej pod kątem naruszenia przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO) w kwietniu i maju 2020 roku.

W toku postępowania okazało się, że Poczta Polska otrzymała od Ministra Cyfryzacji dane osobowe w postaci:

• numerów PESEL,

• imion, nazwisk,

• ostatniego aktualnego adresy zameldowania na pobyt stały (a gdy go brak: ostatniego nieaktualnego),

• adresu zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu),

• aktualnie zarejestrowanego wyjazdu czasowego poza granice kraju.

W swojej decyzji prezes UODO stwierdził, że naruszenia przypisane Poczcie Polskiej mają poważny charakter i godzą w fundamentalne zasady przetwarzania danych osobowych. Minister Cyfryzacji, będący odpowiedzialny za utrzymanie i rozwój rejestru PESEL – kluczowego i najważniejszego państwowego zbioru danych osobowych osób fizycznych – powinien wyróżniać się nie tylko doskonałą znajomością prawa, ale także zapewniać poszanowanie praw i wolności obywateli (w tym tych związanych z przetwarzaniem ich danych osobowych zawartych w rejestrze). Tymczasem, w sposób arbitralny, zdecydował o udostępnieniu Poczcie Polskiej danych osobowych wszystkich dorosłych obywateli Polski, których miejscem zamieszkania na dzień 10 maja 2020 r. była Polska.

Prezes UODO uznał, że naruszenia Poczty Polskiej w obrębie całego systemu ochrony danych mają zasadniczy charakter. W swojej decyzji organ nadzorczy podkreślił, że Poczta Polska SA, jako spółka należąca do Skarbu Państwa, powinna w związku z realizacją powierzonych jej zadań publicznych wykazywać się najwyższą starannością oraz przestrzeganiem obowiązujących przepisów prawnych, w tym dotyczących ochrony danych osobowych. Po otrzymaniu decyzji premiera z 16 kwietnia 2020 r., która nakładała na nią obowiązek podjęcia działań przygotowawczych do przeprowadzenia wyborów, powinna była dokładnie zbadać, czy na tej podstawie może przetwarzać dane z rejestru PESEL.

Kara nałożona na Ministra Cyfryzacji to najwyższa możliwa sankcja pieniężna, jaka jest przewidziana przez prawo dla podmiotów sektora publicznego w Polsce. Z kolei tak wysoka kara dla Poczty Polskiej, jak uzasadnił Prezes UODO, jest stosowną oraz sprawiedliwą reakcją organu nadzorczego na wykryte naruszenia przepisów, biorąc pod uwagę m.in. charakter i powagę tych naruszeń.