Prawo

Dlaczego Poczta Polska dostała 27,1 mln złotych kary za pozyskanie danych osobowych w celu organizacji wyborów „kopertowych”?

A skoro niedawno było o tym, że rekompensaty wypłacone państwowym spółkom zaangażowanym w wybory „kopertowe” nie mogą być traktowane jako tajemnica przedsiębiorstwa tylko dlatego, że ktoś sobie tak postanowił, dziś czas na kilka zdań o najnowszej decyzji PUODO, na podstawie której na spółkę Poczta Polska S.A. została nałożona kara — w wysokości bagatela 27,1 mln złotych — za przetwarzanie ... Dowiedz się więcej Tekst Dlaczego Poczta Polska dostała 27,1 mln złotych kary za pozyskanie danych osobowych w celu organizacji wyborów „kopertowych”? pojawił się poraz pierwszy w Czasopismo Lege Artis.

Mar 23, 2025 - 16:20
 0
Dlaczego Poczta Polska dostała 27,1 mln złotych kary za pozyskanie danych osobowych w celu organizacji wyborów „kopertowych”?

A skoro niedawno było o tym, że rekompensaty wypłacone państwowym spółkom zaangażowanym w wybory „kopertowe” nie mogą być traktowane jako tajemnica przedsiębiorstwa tylko dlatego, że ktoś sobie tak postanowił, dziś czas na kilka zdań o najnowszej decyzji PUODO, na podstawie której na spółkę Poczta Polska S.A. została nałożona kara — w wysokości bagatela 27,1 mln złotych — za przetwarzanie danych osobowych z rejestru PESEL. I, wcale nie na marginesie: czy zasada domniemania legalności decyzji oznacza, że można uchylić się od zarzutu bezprawności działania, nawet jeśli decyzja została już uznana za nieważną? Czy fakt, że decyzja podlegała natychmiastowemu wykonaniu usprawiedliwia podmiot, który się do niej zastosował? (decyzja Prezesa Urzędu Ochrony Danych Osobowych z 17 marca 2025 r., DKN.5131.1.2025).

krasnal Więziennik
Jeśli ktoś myślał, że z tych wszystkich przekrętów uda się wywinąć… to tkwił w mylnym błędzie (fot. Olgierd Rudak, CC BY-SA 4.0)

opis stanu faktycznego:

  • wszystko zaczęło się od wydanego przez premiera Morawieckiego „polecenia” nakazującego spółce Poczta Polska S.A. „realizację działań w zakresie przeciwdziałania COVID-19, polegających na podjęciu i realizacji niezbędnych czynności zmierzających do przygotowania przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w 2020 r. w trybie korespondencyjnym, w szczególności poprzez przygotowanie struktury organizacyjnej, zapewnienie niezbędnej infrastruktury oraz pozyskanie koniecznych zasobów materialnych [i] kadrowych” oraz decyzji o udostępnieniu danych z rejestru PESEL (bo koronawirus);
  • na tej podstawie operator pocztowy złożył wniosek do Ministra Cyfryzacji o udostępnienie danych w celu przygotowania prezydenckich wyborów korespondencyjnych w maju 2020 r.;
  • informacje o prawie 30 mln Polaków zostały przekazane na płycie DVD 22 kwietnia 2020 r., a obejmowały następujące dane żyjących, pełnoletnich (na 10 maja 2020 r.), mieszkających w Polsce obywateli: imię, nazwisko, numer PESEL i adres zameldowania;
  • wybory kopertowe się nie odbyły, po czym spółka uzyskane dane trwale usunęła (w dniach 15-22 maja);
  • zaś do PUODO wpłynęło 178 skarg na nieprawidłowości w przetwarzaniu danych osobowych (warto zauważyć, że początkowo PUODO nie dostrzegał problemu, ale w końcu — po tym jak Jana Nowaka zastąpił Mirosław Wróblewski — organ zmienił front i zdecydował się wszcząć postępowanie z urzędu);

art. 11 ust. 2 ustawy w/s COVID-19 (w brzmieniu z maja 2020 r.)
Prezes Rady Ministrów, z własnej inicjatywy lub na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki może, w związku z przeciwdziałaniem COVID-19, wydawać polecenia obowiązujące inne, niż wymienione w ust. 1, osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej oraz przedsiębiorców. Polecenia są wydawane w drodze decyzji administracyjnej, podlegają one natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia.

art. 99 ustawy z 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2
Operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. — Prawo pocztowe, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej. Dane, o których mowa w zdaniu pierwszym, przekazywane są operatorowi wyznaczonemu, w formie elektronicznej, w terminie nie dłuższym niż 2 dni robocze od dnia otrzymania wniosku. Operator wyznaczony uprawniony jest do przetwarzania danych wyłącznie w celu, w jakim otrzymał te dane.

  • zaś wskutek skarg złożonych przez Rzecznika Praw Obywatelskich decyzja została uznana za nieważną, a sama czynność Ministra Cyfryzacji przekazania danych Poczcie Polskiej za bezskuteczną (wyrok NSA z 13 marca 2024 r., II OSK 1630/21);
  • w toku postępowania spółka powoływała się m.in. na zastosowane zabezpieczenia danych i nośnika, a także żądała powołania w tym zakresie biegłego, wnosiła o włączenie do sprawy akt wszystkich 178 postępowań indywidualnych, etc.,etc., ale też argumentowała, że działała w oparciu o obowiązujące prawo, decyzja premiera Morawieckiego podlegała natychmiastowemu wykonaniu, przeto nie było prawnej możliwości uchylenia się od jej wykonania (a przecież domniemuje się zgodność takich rozstrzygnięć z prawem), co oznacza, że nie ponosi winy za ewentualne uchybienie, a z tytułu organizacji wyborów kopertowych nie odniosła żadnych korzyści finansowych — jednak PUODO uznał, że cała jej postawa zmierza wyłącznie do przedłużenia postępowania i podważenia tez wynikających z wyroków NSA, zaś kwestia winy jest nieistotna z punktu widzenia oceny naruszeń przepisów RODO;
  • (inna sprawa, że NIK wykrył, że w tamtym czasie zarząd PP zamówił trzy opinie prawne, których autorzy zwracali uwagę na istotne ryzyka wynikające z niezgodności decyzji z prawem i rekomendowali jej zaskarżenie);

decyzja PUODO:

  • organ jest związany prawomocnym orzeczeniem NSA, z którego wynika, że decyzja nakazująca udostępnienie danych osobowych była nieważna;
  • odpadnięcie decyzji oznacza zatem, iż transfer danych nastąpił bez wymaganej podstawy prawnej;

art. 170 prawa o postępowaniu przed sądami administracyjnymi
Orzeczenie prawomocne wiąże nie tylko strony i sąd, który je wydał, lecz również inne sądy i inne organy państwowe, a w przypadkach w ustawie przewidzianych także inne osoby.

  • samoistną podstawą nie mógł być art. 99 ustawy SARS-CoV-2, bo przecież kodeks wyborczy przewiduje w zakresie organizacji wyborów prezydenckich wyłączną kompetencję Państwowej Komisji Wyborczej i Krajowego Biura Wyborczego;
  • zarazem żaden przepis szczególny nie wyłączał uprawnień tych organów (ustawa o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta RP weszła w życie post factum i nigdy się nie zadziała) — przeto operator pocztowy nie był uprawniony do organizacji wyborów prezydenckich, a więc nie miał także prawa uzyskać i przetwarzać w tym celu danych z rejestru PESEL;
  • wniosek jest prosty: Poczta Polska nielegalnie przetwarzała udostępnione jej dane osobowe — przetwarzała jako administrator, na podstawie własnego wniosku, a otrzymała je od Ministra Cyfryzacji (organu-administratora, nie osoby fizycznej aktualnie w tamtym czasie piastującej stanowisko (tu w uzasadnieniu decyzji znaleźć można dłuższy wywód dlaczego zmiana na stanowisku nie oznacza zmiany administratora danych) — co nie zmienia faktu, iż

piastun organu administracji publicznej, który dopuścił się naruszenia przepisów prawa, w tym przepisów o ochronie danych osobowych, może jednak ponieść odpowiedzialność karną, np. w związku z przekroczeniem swoich uprawnień

  • a także odpowiedzialność majątkową wynikającą z przepisów prawa pracy;
  • z podobnych przyczyn uznano, iż czynność Ministra Cyfryzacji polegająca na udostępnieniu danych z rejestru PESEL była wadliwa: otrzymawszy wniosek Poczty Polskiej powinien był zweryfikować stan prawny, w tym dowiedzieć się kto w Polsce organizuje wybory prezydenckie;
  • konstytucyjna reguła praworządności dotuczy także przesłanek przetwarzania danych osobowych, toteż organom państwa wolno przetwarzać dane tylko w oparciu o jedną z podstaw wskazanych w art. 6 ust. 1 RODO — powołując się na niezbędność do wypełnienia obowiązku prawnego nie można owego obowiązku wywodzić z niejasnych decyzji politycznych;

oceniane czynności przetwarzania danych (ich udostępnienie przez Ministra na rzecz Spółki oraz pozyskanie przez Spółkę i poddanie procesowi dalszego przetwarzania dla celów organizacji wyborów) nie znajdowały oparcia w art. 6 ust. 1 lit c) rozporządzenia 2016/679. Wskazane w powyższych orzeczeniach ustalenia i oceny prawne sądów administracyjnych obligują do przyjęcia, że skoro w dacie realizacji ww. czynności przetwarzania danych nie istniała po stronie Spółki norma kompetencyjna uprawniająca ją do działań w obszarze przygotowania wyborów Prezydenta Rzeczypospolitej Polskiej, to udostępnienia przedmiotowych danych przez Ministra na rzecz Spółki i ich pozyskania oraz dalszego przetwarzania przez Spółkę dla potrzeb związanych z przygotowaniem tych wyborów, nie sposób uznać za czynności przetwarzania realizowane w celu wypełnienia obowiązków spoczywających na ww. administratorach, ani z punktu widzenia realizacji tych obowiązków niezbędne

  • udostępnienia danych z rejestru PESEL nie sposób także zalegalizować w oparciu o przesłankę realizacji zadania wykonywanego w interesie publicznym lub w ramach sprawowania przez administratora władzy publicznej — bo przecież taka podstawa musi być także określona normatywnie (art. 6 ust. 3 RODO), a co więcej taka wykładnia daje asumpt do skorzystania z prawa sprzeciwu wobec przetwarzania;
  • (w ocenie PUODO nie pasuje także ochrona żywotnych interesów osób, których dane były przetwarzane — nawet jeśli decyzje „przykryje” się trwającym stanem pandemii i koniecznością ochrony życia i zdrowia obywateli — ani też niezbędność do celów wynikających z prawnie uzasadnionego interesu administratora);
  • a skoro nie zaistaniała żadna przesłanka pozwalająca Poczcie Polskiej przetwarzać dane na potrzeby organizacji wyborów — to doszło do naruszenia zasady zgodności z prawem i rzetelności (art. 5 ust. 1 lit a RODO);
  • było zgoła odwrotnie: bezpodstawne udostępnienie danych obywateli doprowadziło do naruszenia konstytucyjnego prawa do prywatności;
  • warto zauważyć: PUODO nie uznał argumentów operatora, który podkreślał, że był zobowiązany do złożenia wniosku (gdyby tego nie uczynił, władze zastosowałyby przymus państwowy w trybie egzekucji administracyjnej) — bo jeśli już to Minister Cyfryzacji powinien był odmówić jego uwzględnienia;
  • sęk w tym, że zdaniem organu nadzorczego żadna okoliczność nie zwalnia żadnego podmiotu z obowiązku przestrzegania RODO — zaś wykonanie decyzji wadliwej i sprzecznej z prawem może i powinno wiązać się z określonymi konsekwencjami;
  • to też jest dobre: wszakże wcześniejsze stanowisko PUODO było takie, że nic się nie stało, jednak tu organ zripostował, że modyfikacja stanowiska nastąpiła pod naporem orzeczeń sądowych, które wszakże nie mogły PP zaskoczyć, ponieważ była uczestnikiem tych postępowań (por. wyrok WSA w Warszawie z 24 marca 2021 r., II SA/Wa 1635/20); taka zmiana poglądów nie narusza zasady zaufania do władz publicznych, bo przecież art. 8 kpa nie oznacza bezwarunkowego zakazu zmiany wykładni norm prawnych przez urzędy;
  • biorąc pod uwagę, iż każda z operacji zmierzających do organizacji wyborów kopertowych — ani udostępnienie przez Ministra Cyfryzacji danych wyborców z rejestru PESEL, ani przetwarzanie uzyskanych w ten sposób danych przez Pocztę Polską — okazała się sprzeczna z prawem, Prezes Urzędu Ochrony Danych Osobowych zdecydował o nałożeniu na PP administracyjnej kary pieniężnej w wysokości 27,1 mln złotych, a na MC 100 tys. zł;
  • „równoległą” odpowiedzialność i sankcję uzasadniał fakt, iż w sumie było to działanie wspólne, jedna operacja wynikała za drugiej, były prowadzone w jednym celu i na jednym zbiorze danych;

Minister [Cyfryzacji] będąc podmiotem odpowiedzialnym za utrzymanie i rozwój rejestru PESEL – stanowiącego centralny i najważniejszy państwowy zbiór danych osobowych osób fizycznych — powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również dawać gwarancję poszanowania praw i wolności obywateli (w tym odnoszących się do przetwarzania ich danych osobowych ujętych w rejestrze).

  • a mimo to w sposób władczy, jednostronny i arbitralny podjął decyzję o wykorzystaniu danych osobowych, które nigdy nie miały być przeznaczone na cele związane z organizacją procesu wyborczego i udostępnieniu ich podmiotowi, który nie był uprawniony do organizacji wyborów; okolicznością obciążającą MC jest masowość procederu: wszakże dane 30 mln to nie przelewki, zatem należy uznać, iż naruszenie było umyślne i miało charakter systemowy (okolicznością łagodzącą natomiast było to, że 12 maja 2020 r. minister nakazał PP usunięcie przetwarzanych danych — spółka zaczęła realizować to polecenie dopiero 15 maja, co akurat okazało się okolicznością obciążającą);
  • stąd też decyzja o nałożeniu na Ministra Cyfryzacji kary w maksymalnie dopuszczalnej wysokości 100 tys. zł, które jest „jednoznacznym wyrazem dokonanej przez Prezesa UODO zdecydowanie negatywnej oceny dokonanego przez Ministra (organ) naruszenia”;
  • nałożona na spółkę Poczta Polska S.A. kara za bezprawne i bezpodstawne przetwarzanie danych osobowych Polaków z rejestru PESEL wyniosła 27,1 mln złotych — raz, że operator pocztowy powinien być szczególnie wyczulony na kwestie ochrony danych osobowych, w tym mieć w pamięci, że nie jego rolą jest zastępowanie PKW i KBW jeśli chodzi o organizację wyborów, dwa, że pozyskanie informacji o 30 mln obywateli oznacza naruszenie na wielką skalę, naruszenie miało charakter umyślny, no a zarząd znał i rozumiał ryzyko związane z wykonaniem nielegalnego polecenia premiera Morawieckiego;
  • ba, wobec Poczty Polskiej już wcześniej wielokrotnie wydawano decyzje związane z naruszeniem ochrony danych osobowych, co oznacza, iż w jej strukturach występują „poważne problemy” ze zrozumieniem RODO — zaś taka postawa świadczyć może tylko na niekorzyść, biorąc zatem pod uwagę wysokość obrotu spółki w 2024 r. (zanonimizowaną — jednak z decyzji dowiadujemy się, że w l. 2022 i 2023 wyniósł on ok. 6,5 mld złotych; zawsze jednak spółka wykazuje znaczną stratę, która — zdaniem Ministra Aktywów Państwowych — jest „wynikiem nie tylko zmian rynku przesyłek pocztowych, ale też lat zaniedbań i fatalnego zarządzania, które spowodowały niedostosowanie modelu spółki do obecnych wyzwań rynku pocztowego”), to 4% obrotu daje kwotę zanonimizowaną, acz wyższą od „statycznej” maksymalnej kary za naruszenie RODO (20 mln euro)…
  • …więc finalnie PUODO przyjął, iż właściwą kwotą kary będzie 6,444 mln euro — po kursie z 28 stycznia 2025 r., właśnie 27,1 mln złotych.

Zamiast komentarza: oczywiście płaci podmiot, czyli spółka (jednoosobowa spółka Skarbu Państwa, dodać warto) i ministerstwo (czyli Skarb Państwa), płacą do Skarbu Państwa (który refinansuje operatorowi koszty świadczenia usług powszechnych — 749 mln zł w 2024 r., w tym roku ok. 963 mln zł) — co rzecz jasna nie wyklucza „prywatnej” odpowiedzialności, nawet karnej, osób, które w ten przekręt były zaangażowane…
…no ale przecież rozliczać PiS za ich przekręty, za wyprowadzaną kasę z państwowych funduszy i spółek to niedobrze, to bezprawie, to polityczne represje…

Tekst Dlaczego Poczta Polska dostała 27,1 mln złotych kary za pozyskanie danych osobowych w celu organizacji wyborów „kopertowych”? pojawił się poraz pierwszy w Czasopismo Lege Artis.

Czytaj Więcej

Tagi:

Poprzedni Artykuł

Plany MAGa na czerwiec 2025 v2.0

Następny Artykuł

Kanada rozwiązuje parlament. Mają być przedterminowe wybory

Powiązane Posty

NSA: Brak pieniędzy na złożenie wniosku o upadłość nie zwalnia z odpowiedzialności

NSA: Brak pieniędzy na złożenie wniosku o upadłość nie ...

Mar 6, 2025  0

Centralny Rejestr Umów Jednostek Sektora Finansów Publicznych (projekt)

Centralny Rejestr Umów Jednostek Sektora Finansów Publi...

Mar 24, 2025  0

Urząd Skarbowy na smartfonie. Cyfryzacja podatków nabiera tempa, ale nie w akcyzie

Urząd Skarbowy na smartfonie. Cyfryzacja podatków nabie...

Sty 28, 2025  0