Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył gigantyczną karę na Pocztę Polską za przetwarzanie danych osobowych z rejestru PESEL, bez podstawy prawnej. Kwota to aż 27 milionów złotych! Jest to najwyższa kara nałożona przez polski organ nadzorczy za naruszenia przepisów RODO. W ramach tego samego postępowania, Prezes UODO ukarał również Ministra Cyfryzacji za bezprawne przetwarzanie i udostępnienie danych Poczcie Polskiej (kara to 100 000 zł).
,,Wybory kopertowe”
W połowie 2020 roku, epidemia COVID w Polsce osiągnęła swoje apogeum, co de facto uniemożliwiło przeprowadzenie wyznaczonych na 10 maja 2020 roku wyborów prezydenckich. Jednym z pomysłów na poradzenie sobie z tym problemem, była organizacja powszechnych wyborów korespondencyjnych. Według zamysłu ówcześnie rządzących, wybory miały się odbyć z wykorzystaniem możliwości i zasobów Poczty Polskiej. Do wyborów 10 maja ostatecznie nie doszło, ale rząd zdążył podjąć pewne kroki w celu ich organizacji, w tym co wydaje się najistotniejsze – Minister Cyfryzacji udostępnił dane z bazy PESEL Poczcie Polskiej.
Dane 30 milionów Polaków
Odpowiedzialnym za przekazanie danych był Minister Cyfryzacji, który, jako organ prowadzący bazę PESEL, dostarczył Poczcie Polskiej dane wyborców niezbędne do organizacji głosowania. Były to dane wszystkich pełnoletnich polskich obywateli, zamieszkujących w kraju – łącznie około 30 milionów osób. Wśród przekazanych danych znajdowały się, m.in. numery PESEL, imiona, nazwiska czy dane adresowe.
Zawiły stan prawny
Stan prawny towarzyszący niniejszej sprawie można eufemistycznie określić jako zawiły. Minister Cyfryzacji udostępnił Poczcie Polskiej dane osobowe na podstawie jej wniosku, uzasadnionego decyzją premiera zobowiązującą Pocztę Polską do podjęcia przygotowań do organizacji wyborów korespondencyjnych. Premier jednak wydał tę decyzję w momencie, zanim ustawa określająca nowe zasady przeprowadzania wyborów weszła w życie.
Początkowo, ówczesny Prezes UODO nie zajął się tą sprawą, nie dopatrując się naruszeń prawa. Przez pierwsze lata, postępy sprawy opierały się przede wszystkim o inicjatywę Rzecznika Praw Obywatelskich (RPO), który wystąpił ze skargami na wspomniane wyżej decyzje i czynności do sądów administracyjnych. Zapadłe w zeszłym roku wyroki Naczelnego Sądu Administracyjnego (NSA) stwierdziły nieważność decyzji Premiera i bezskuteczność czynności Ministra Cyfryzacji. Z chwilą uprawomocnienia się tych wyroków, wróciła również kwestia podstawy prawnej do udostępnienia i przetwarzania danych osobowych. Do sprawy wrócił też nowy Prezes UODO (Mirosław Wróblewski).
Morele.net ponownie ukarana. Kara wzrosła do ponad 3,8 miliona złotych!
Rekordowa kara
Wszczęte przez organ nadzorczy postępowanie wyjaśniające wykazało, że udostępnienie danych przez Ministra Cyfryzacji i przetwarzanie ich przez Pocztę Polską odbywało się bez podstawy prawnej – w związku z czym doszło do naruszenia wyrażonej w RODO zasady legalności. Biorąc pod uwagę skalę naruszenia (objęło około 80% Polaków) i fakt, że dopuściły się go organizacje, od których należałoby oczekiwać najwyższych standardów w zakresie ochrony danych osobowych, Prezes UODO postanowił wymierzyć surowe kary. Minister Cyfryzacji został ukarany najwyższą karą możliwą do nałożenia na podmiot publiczny (100 000 złotych), z kolei Poczta Polska otrzymała karę najwyższą w historii polskiego regulatora, opiewającą na aż 27 milionów złotych! Dla porównania, dotychczasowa rekordowa kara wynosiła niecałe 5 milionów złotych. Różnica jest więc znaczna.
Źródło:
https://uodo.gov.pl/pl/138/3590
