Podstawa prawna naruszenia

Art. 6 ust. 1 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

Przyczyna naruszenia

Naruszenie przepisów o ochronie danych osobowych wynikało z udostępnienia przez Ministra Cyfryzacji w dniu 22 kwietnia 2020 r. danych osobowych z rejestru PESEL Poczcie Polskiej S.A., pomimo braku adekwatnej podstawy prawnej. Brak ustawowej legalizacji przetwarzania danych w celu przygotowania wyborów korespondencyjnych przez Pocztę Polską oznaczał, że żaden z administratorów danych (ani Minister, ani Spółka) nie miał podstawy prawnej do operowania tymi danymi.

Opis wydarzeń

1. Decyzja Prezesa Rady Ministrów: W dniu 16 kwietnia 2020 r. Prezes Rady Ministrów wydał decyzję, na mocy której Poczta Polska S.A. została zobowiązana do przygotowania wyborów Prezydenta RP w trybie korespondencyjnym.
2. Wniosek Poczty Polskiej: W dniu 20 kwietnia 2020 r. Poczta Polska wystąpiła do Ministra Cyfryzacji z wnioskiem o udostępnienie danych z rejestru PESEL niezbędnych do realizacji zadania.
3. Udostępnienie danych: W dniu 22 kwietnia 2020 r. Minister Cyfryzacji przekazał dane osobowe obejmujące m.in. numer PESEL, imię, nazwisko, adresy zameldowania oraz informacje o wyjazdach zagranicznych – dotyczące wszystkich osób pełnoletnich w dniu 10 maja 2020 r., czyli terminu wyborów Prezydenta RP.
4. Skargi obywateli i działania RPO: W następstwie udostępnienia danych wpłynęło 178 skarg do Prezesa UODO. Rzecznik Praw Obywatelskich złożył skargi do sądów administracyjnych na decyzję Prezesa Rady Ministrów oraz działania Ministra Cyfryzacji.
5. Wyroki sądów administracyjnych: Wojewódzki Sąd Administracyjny oraz Naczelny Sąd Administracyjny stwierdziły nieważność decyzji Prezesa Rady Ministrów i bezskuteczność czynności Ministra Cyfryzacji, wskazując na brak obowiązującej podstawy prawnej dla przetwarzania danych.
6. Postępowanie UODO: Na podstawie wiążących orzeczeń sądowych Prezes UODO wszczął postępowanie administracyjne, które zakończyło się stwierdzeniem naruszenia przepisów RODO przez Ministra Cyfryzacji i Pocztę Polską oraz nałożeniem kar administracyjnych.
7. Kara UODO: W wyniku powyższej decyzji na Pocztę Polską nałożono administracyjną karę pieniężną w wysokości 27 124 816 zł.
8. Usunięcie danych przez Pocztę Polską: Po ustaniu celu przetwarzania danych – związanego z organizacją wyborów – Poczta Polska trwale usunęła pozyskane dane w terminie od 15 do 22 maja 2020 r.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Wzmocnienie weryfikacji podstaw prawnych: Należy każdorazowo przed udostępnieniem danych osobowych przeprowadzać szczegółową analizę obowiązujących przepisów prawa oraz orzecznictwa sądowego w celu potwierdzenia istnienia jednoznacznej podstawy prawnej.
2. Stworzenie procedur na sytuacje nadzwyczajne: Zaleca się opracowanie szczególnych procedur dotyczących przetwarzania danych osobowych w sytuacjach kryzysowych, takich jak stany epidemiczne, z uwzględnieniem wymogów RODO i ustaw krajowych.
3. Szkolenia dla pracowników administracji publicznej: Konieczne jest podnoszenie świadomości i kwalifikacji kadry administracyjnej w zakresie legalności przetwarzania danych osobowych oraz zasad ich ochrony.
4. Stała współpraca z organem nadzorczym: W przypadku wątpliwości interpretacyjnych dotyczących przetwarzania danych osobowych wskazane jest bieżące konsultowanie się z Prezesem UODO.
5. Doprecyzowanie przepisów ustawowych: Rekomenduje się podjęcie działań legislacyjnych w celu jasnego określenia kompetencji organów administracji publicznej w zakresie przetwarzania danych w warunkach nadzwyczajnych, w tym w kontekście organizacji procesów wyborczych.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu