Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/15

Kraj:

Polska

Data wydania decyzji:

13.02.2026 r.

Podmiot kontrolowany:

Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej

Wysokość kary (EUR):

8.470

Podstawa prawna naruszenia

Art. 6 ust. 1 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Bezpośrednią przyczyną naruszenia była decyzja komitetu wyborczego, aby w czasie konferencji prasowej 6 maja 2025 r. pokazać dziennikarzom niezanonimizowane egzemplarze prywatnych dokumentów w postaci umowy przedwstępnej sprzedaży mieszkania i testamentu holograficznego. Dokumenty te zawierały dane osobowe dwóch osób niepełniących funkcji publicznych, takich jak: imiona, nazwiska, numery PESEL, serie i numery dowodów osobistych, adresy oraz szczegóły sytuacji rodzinnej. Ujawnienie nie miało podstawy prawnej, bo komitet nie uzyskał zgody osób, nie wykazał żadnego z uprawnień z art. 6 ust. 1 RODO i pominął obowiązkowy test równowagi przy powoływaniu się na rzekomy prawnie uzasadniony interes.

 

Opis wydarzeń

  1. Konferencja i przekazanie dokumentów: W siedzibie partii w Warszawie zorganizowano konferencję prasową, podczas której posłowie przedstawili dziennikarzom materiały dotyczące zakupu mieszkania przez kandydata na prezydenta. Jeden z posłów otrzymał od sztabu wyborczego umowę przedwstępną i testament oraz został poproszony o omówienie ich treści.

  2. Zakres ujawnionych danych: W trakcie wystąpienia pokazano dziennikarzom fragmenty dokumentów zawierające imiona, nazwiska, imiona rodziców, numery PESEL, numery i serie dowodów osobistych, numery NIP oraz adresy zamieszkania osób figurujących w dokumentach. Przedstawiono również szczegółowe informacje o sytuacji rodzinnej spadkodawcy. Dokumenty były podnoszone do kamery w sposób umożliwiający ich sfotografowanie.

  3. Argumentacja komitetu: Po konferencji komitet wyborczy twierdził, że dane osoby figurującej w dokumentach były już dostępne w mediach społecznościowych i że ujawnienie dokumentów służyło walce z dezinformacją oraz obronie dobrego imienia kandydata. Według komitetu pokazywanie zanonimizowanych dokumentów mogłoby być odebrane jako „ukrywanie prawdy”, dlatego zaprezentowano pełne wersje.

  4. Reakcja organu nadzorczego: Prezes UODO zwrócił się do posła i komitetu o wyjaśnienia. Poseł stwierdził, że jedynie wykonywał instrukcje sztabu, a komitet potwierdził, że to on zorganizował konferencję i przekazał dokumenty. Komitet argumentował, że jego działania mieściły się w interesie publicznym i były konieczne do zapewnienia transparentności kampanii.

  5. Stanowisko UODO: Organ nadzorczy uznał, że dostępność niektórych danych w Internecie nie usprawiedliwia ujawnienia szerszego zakresu pozostałych danych osobowych. Stwierdził, że cele konferencji, czyli polemika z zarzutami i ochrona dobrego imienia, mogły zostać osiągnięte bez ujawniania numerów PESEL czy informacji rodzinnych. Ponadto komitet nie wykazał zgody osób, których dane ujawniono, ani nie przeprowadził testu równowagi wymaganego przy powoływaniu się na uzasadniony interes.

  6. Decyzja i sankcja: UODO stwierdził, że naruszone zostały zasady RODO i nałożył na komitet wyborczy karę administracyjną w wysokości 35 582 zł.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Minimalizacja i konieczność przetwarzania danych: Każdy administrator musi przetwarzać wyłącznie takie dane, które są adekwatne do celu. EROD wskazuje, że przy korzystaniu z podstawy uzasadnionego interesu interes organizacji musi być rzeczywisty, nie sprzeczny z prawem, jasno sprecyzowany i powiązany z jej działalnością. Przetwarzanie powinno być ograniczone do tego, co jest bezwzględnie konieczne i nie może naruszać praw i wolności osób. W praktyce oznacza to, że podczas konferencji prasowych należy przedstawiać wyłącznie te informacje, które są niezbędne do realizacji celu, a pozostałe (np. PESEL czy adres) należy usunąć lub zastąpić inicjałami.

  2. Przeprowadzenie testu równowagi i dokumentowanie wyników: Powołując się na uzasadniony interes należy wykazać, że interes administratora jest zgodny z prawem i nie jest hipotetyczny. Następnie należy zbadać, czy nie jest on przeważony przez prawa i wolności osób, których dane dotyczą. Taki test powinien być udokumentowany, aby w razie kontroli wykazać, że administrator rozważył potencjalne szkody i wprowadził środki minimalizujące ryzyko (np. zanonimizowanie dokumentów, ograniczenie zakresu ujawnienia).

  3. Anonimizacja i pseudonimizacja materiałów: Przed udostępnieniem dokumentów należy usunąć dane umożliwiające identyfikację. W praktyce można zakrywać dane markerem, używać pseudonimów lub sporządzać skrócone oświadczenia notariusza potwierdzające zawarte w dokumentach okoliczności. UODO podkreślił, że cele publicznej polemiki można osiągnąć bez ujawniania imion rodziców, numerów PESEL czy szczegółowych informacji rodzinnych.

  4. Uzyskiwanie i dokumentowanie zgód: Jeżeli organizacja chce ujawnić dane osobowe w celach promocyjnych, musi uzyskać wyraźną, dobrowolną i konkretną zgodę osób, których dane dotyczą. Przekazanie dokumentu nie jest automatycznie zgodą na jego upublicznienie, dlatego każda zgoda powinna być udokumentowana w formie pisemnej lub elektronicznej.

  5. Szkolenia i podnoszenie świadomości: Osoby występujące publicznie powinny przejść szkolenia z zakresu ochrony danych osobowych. Powinny rozpoznawać, jakie informacje są objęte ochroną, i wiedzieć, jak je zanonimizować przed publicznością. Szczególnie w kampaniach wyborczych należy uwrażliwiać członków sztabów i rzeczników prasowych na obowiązek poszanowania prywatności i dobrego imienia osób trzecich.

  6. Zapewnienie bezpieczeństwa fizycznego i cyfrowego: Przed przyniesieniem dokumentów na konferencję warto przygotować wersje „pokazowe”, w których dane osobowe są zasłonięte. Dokumenty źródłowe powinny być przechowywane w bezpiecznym miejscu, a dostęp do nich powinien mieć tylko wąski krąg osób zaangażowanych w sprawę. W przypadku dokumentów cyfrowych należy stosować rozwiązania techniczne zapobiegające nieautoryzowanemu dostępowi (m.in. szyfrowanie, kontrola uprawnień, MFA).

  7. Przejrzysta komunikacja i alternatywne formy obrony wizerunku: Zamiast prezentować dane osobowe, komitet mógł przygotować oświadczenie notarialne lub opinię prawnika potwierdzającą legalność transakcji. Można również korzystać z publicznych sprostowań, wyroków sądowych lub ekspertyz, które nie zawierają prywatnych informacji. Pamiętajmy, że prawo do informacji publicznej nie obejmuje danych prywatnych z akt notarialnych, które podlegają szczególnej ochronie.

  8. Uwzględnienie ograniczenia wolności słowa: Wolność wyrażania opinii i prawo dostępu do informacji są chronione konstytucyjnie, ale jak wskazał UODO nie są absolutne i muszą być równoważone z prawem do prywatności. Organizatorzy konferencji powinni zachować ostrożność przy powoływaniu się na interes publiczny, ponieważ ujawnienie nadmiarowych danych może zostać uznane za naruszenie praw osób trzecich.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO