Wybory kopertowe: 27 mln zł kary dla Poczty Polskiej, zapłaci też minister cyfryzacji
Autor. CyberDefence24
100 tys. zł dla ministra cyfryzacji i 27 mln zł dla Poczty Polskiej – o nałożeniu takich kar pieniężnych za naruszenie przepisów RODO przy organizacji wyborów kopertowych zadecydował Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski. W przypadku państwowej spółki kara mogła być jeszcze wyższa.
Sprawa wyborów korespondencyjnych z maja 2020 roku toczy się nie tylko w sferze politycznej. Po zeszłorocznych wyrokach Naczelnego Sądu Administracyjnego, podtrzymujących wyroki Wojewódzkiego Sądu Administracyjnego, swoje postępowanie dotyczące oceny działań ministra cyfryzacji oraz Poczty Polskiej w kwietniu i maju 2020 roku wszczął Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski. Jak wskazało UODO, skargi kierowane pięć lat temu do ówczesnego Prezesa Jana Nowaka były uznawane przez niego za bezpodstawne.
Dane Polaków przekazane bez podstawy prawnej
Według informacji podanych w trakcie briefingu prasowego przez Prezesa UODO, 16 kwietnia 2020 roku premier Mateusz Morawiecki wydał decyzję administracyjną dotyczącą przeprowadzenia wyborów korespondencyjnych w związku z pandemią COVID-19. Na jej podstawie Poczta Polska wystąpiła do ówczesnego ministra cyfryzacji o przekazanie danych 30 mln pełnoletnich Polek i Polaków - wg stanu na 10 maja (dzień wyborów) - na co ten wyraził zgodę.
Wśród danych obywateli, oprócz imienia i nazwiska, znalazły się także numery PESEL, adresy zameldowania czy informacje o czasowych wjazdach zagranicę. Informacje zostały dostarczone Poczcie na płycie DVD 22 kwietnia 2020 roku.
W opinii Prezesa UODO, przekazanie danych odbyło się bez podstawy prawnej. „Minister cyfryzacji w sposób władczy i jednostronny podjął decyzję o udostępnieniu w Poczcie danych osobowych wszystkich pełnoletnich obywateli” – zauważył Prezes UODO w trakcie briefingu prasowego. Dodatkowy wpływ na decyzję miało także to, że naruszenie dotknęło blisko 80 proc. mieszkańców Polski.
Poczta posiadała opinie, ale je zignorowała
W przypadku Poczty Polskiej wskazano, że po przekazaniu płyty DVD, dane Polaków były przetwarzane przez podmiot bez podstawy prawnej. Ich zniszczenie nastąpiło dopiero między 15 a 22 maja, po terminie wyborów, które się ostatecznie nie odbyły. „Stało się to na wniosek ministra cyfryzacji, a nie z własnej woli Poczty Polskiej” - wyjaśnił Wróblewski.
Prezes UODO zauważył, że naruszenia dokonane przez Pocztę „godzą w podstawowe zasady przetwarzania danych osobowych”. Instytucje Skarbu Państwa powinny bowiem działać z najwyższą starannością i z poszanowaniem prawa.
Co istotne, w trakcie brefingu prezes Wróblewski ujawnił, że Poczta Polska dysponowała opiniami prawnymi wyrażającymi „bardzo poważne wątpliwości” w zakresie zgodności pozyskania danych Polaków z prawem. Wskazywano w nich nawet, aby wydane decyzje zakwestionować.
27 mln zł kary dla Poczty. Mogło być znacznie więcej
Na tej podstawie Prezes UODO postanowił nałożyć finansowe kary administracyjne zarówno na ministra cyfryzacji, jak i Pocztę Polską. W tym pierwszym przypadku zadecydowano o najwyższej możliwej kwocie dla podmiotów sektora publicznego w Polsce – 100 tys. zł. Zupełnie gorzej wygląda to w przypadku Poczty, gdzie kara wynosi 27 mln zł.
W trakcie konferencji prasowej Prezes UODO wyjaśnił, że kwota dla spółki spełnia funkcję kary określonej przez RODO i wynika m.in. z jej wielkości. Zgodnie z wytycznymi, m.in. Europejskiej Rady Ochrony Danych Osobowych i w odniesieniu do obrotów rocznych wynoszących miliard złotych, oryginalnie wynosiła przeszło 100 mln zł, o ile jednak musi być skuteczna, tak powinna być też proporcjonalna i nie może być nadmiernie dolegliwa. Obniżenie jej wysokości wiąże się m.in. z sytuacją finansową Poczty Polskiej.
„Kara jest sprawiedliwa”
Zapytaliśmy prezesa Wróblewskiego, czy wysokość kary dla Poczty pomimo uwzględnienia sytuacji spółki nie spowoduje głosów wskazujących, że jest zbyt wysoka tak czy inaczej? Według jego słów, uzasadnieniem kwoty z jednej strony jest rozmiar Poczty Polskiej jako spółki, z drugiej zaś – wielkość naruszenia.
„Trudno sobie wyobrazić sprawę o szerszym naruszeniu, blisko 80 proc. społeczeństwa. Można zapytać: czy jest możliwe w intensywniejszy sposób naruszyć dane osobowe? Pewnie można, ale wydaje się, że w świetle tych wszystkich okoliczności kara w tej wysokości jest sprawiedliwa” – powiedział szef Urzędu Ochrony Danych Osobowych w rozmowie z CyberDefence24.
Ministerstwo Cyfryzacji: analizujemy decyzję
Skierowaliśmy zapytanie do resortu cyfryzacji z prośbą o odniesienie się do decyzji Prezesa UODO w sprawie wyborów kopertowych. Ministerstwo przekazało CyberDefence24, że trwa analiza dokumentu pod kątem formalnym i w zakresie podejmowania kolejnych kroków.
„Zgadzamy się co do faktu, że przekazanie danych Poczcie Polskiej było nieuprawnione. Między innymi dlatego wycofaliśmy wniesioną 23 kwietnia 2021 r. skargę od wyroku WSA z 26 lutego 2021 r. wydanego w sprawie ze skargi Rzecznika Praw Obywatelskich na czynność Ministra Cyfryzacji z 22 kwietnia 2020 r. polegającą na udostępnieniu spółce Poczta Polska S.A. danych osobowych z Rejestru PESEL, dotyczących żyjących obywateli polskich, którzy uzyskali pełnoletność dnia 10 maja 2020 r. i których krajem zamieszkania jest Polska” - napisano w odpowiedzi dla naszej redakcji.
Wydanie decyzji przez Prezesa UODO nie zamyka jednak historii. Minister cyfryzacji oraz Poczta Polska mogą bowiem złożyć na nią skargę do Wojewódzkiego Sądu Administracyjnego.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?
Materiał sponsorowany