Prezes UODO udzielił upomnień dwóm komitetom wyborczym za ujawnienie w przestrzeni publicznej danych osoby prywatnej. Sprawa ta ukazuje jak ważna jest ochrona prawna prywatności osób fizycznych oraz że dane osób niepublicznych podlegają pełnej ochronie. Co należy podkreślić, interes komitetów wyborczych nie powinien być traktowany w sposób nadrzędny wobec interesów osób trzecich, w tym przypadku osoby prywatnej nie pełniącej funkcji publicznej. Podsumowując, w kampaniach wyborczych nie ma „taryfy ulgowej”. Wyjaśniamy, jakie błędy popełniono i co z tego wynika dla szkół, samorządów i HR.
Fot. z zasobów Canva Pro
Jak doszło do naruszeń w kampanii wyborczej?
W maju 2025 r., w trakcie kampanii prezydenckiej, oba komitety wykorzystały w swoich materiałach historię nabycia mieszkania przez jednego z kandydatów. W rezultacie ujawniono dane osoby prywatnej, która nie pełni funkcji publicznych.
- Komitet Karola Nawrockiego (12 maja 2025 r.) – na kanale „Nawrocki2025” w YouTube ukazał się film zawierający nie tylko dane identyfikujące, lecz także informacje o życiu prywatnym, stanie zdrowia i sytuacji rodzinnej osoby prywatnej, powiązanej z historią kandydata na prezydenta RP. Nagranie pozostawało dostępne jeszcze w dniu wydania decyzji przez PUODO.
- Komitet Rafała Trzaskowskiego (13 maja 2025 r.) – na oficjalnym profilu w mediach społecznościowych opublikowano fotografię pisma bez skutecznej anonimizacji danych wyżej wspomnianej osoby prywatnej. Sztab tłumaczył to pośpiechem i wskazał na wywiad w serwisie YouTube jako źródło informacji. Materiał na profilu został usunięty jeszcze w maju.
Oba przypadki zakończyły się odrębnymi postępowaniami wszczętymi przez polski organ nadzorczy ds. ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (PUODO), w których stwierdzono naruszenie przepisów o ochronie danych osobowych.
Dlaczego PUODO uznał działania komitetów za naruszenie RODO?
W sprawie komitetu Karola Nawrockiego, Prezes UODO jednoznacznie odrzucił argumenty o „prawie prasowym” i „obronie dobrego imienia”. Podkreślił, że komitet wyborczy nie pełni roli redakcji prasowej, a ujawnianie danych o zdrowiu, życiu rodzinnym czy sytuacji osobistej osoby prywatnej nie może być usprawiedliwiane ochroną interesów kandydata. W konsekwencji stwierdzono naruszenie art. 5 ust. 1 lit. a i art. 6 ust. 1 RODO oraz nakazano usunięcie materiału wideo.
W decyzji wobec komitetu Rafała Trzaskowskiego organ wskazał, że publikacja pisma z niezanonimizowanymi danymi również naruszyła podstawowe zasady przetwarzania danych. Zdaniem organu, złamana została zasada zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit. a RODO) oraz niedysponowanie jakąkolwiek podstawą prawną przetwarzania tych danych. PUODO zaznaczył, że „błąd pracownika” czy „pośpiech” nie stanowią okoliczności łagodzących wobec złamania prawa, jakim było w tym przypadku ujawnienie danych osobowych osoby prywatnej.
Oba rozstrzygnięcia posiadają również walor edukacyjny. Prezes UODO zapowiedział organizację szkoleń z ochrony prywatności oraz danych osobowych dla osób zaangażowanych w proces wyborczy, w tym pracowników Krajowego Biura Wyborczego oraz biur poselskich i senatorskich.
Dlaczego to ważne poza kampanią – praktyczna lekcja dla podmiotów publicznych i nie tylko…
Opisane powyżej decyzje PUODO nie są wyjątkiem związanym z życiem politycznym. To jeden z najczęściej występujących schematów ryzyka, który pojawia się wszędzie tam, gdzie podmioty publikują materiały z danymi osobowymi, bez ich uprzedniej weryfikacji, w przestrzeni publicznej, do której każdy ma dostęp: poczynając od nie zanonimizowanych skanów pism urzędowych, postów w mediach społecznościowych, kończąc na dokumentach publikowanych w BIP. Podmioty publiczne, w tym szkoły, czy jednostki samorządu terytorialnego regularnie przetwarzają dane osób niebędących osobami publicznymi (dane uczniów, rodziców, mieszkańców, kandydatów do pracy, pracowników). W praktyce często dochodzi do sytuacji, w których dane te są nieprawidłowo upubliczniane np. na stronie internetowej jednostki, czy w Biuletynie Informacji Publicznej. Częstym ujawnieniem danych osobowych jest niewłaściwa anonimizacja dokumentów bądź błąd ludzki spowodowany pośpiechem lub niewiedzą.
Przykłady z praktyki:
- Szkoła publikuje indywidualne zdjęcia z wydarzenia bez zgody osoby, której wizerunek znajduje się na fotografii bądź publikuje skan pisma, na którym widnieją pełne dane uczniów lub ich rodziców.
- Urząd udostępnia w Biuletynie Informacji Publicznej (BIP) dokument z danymi osobowymi osób trzecich, które nie podlegają udostępnieniu w przestrzeni publicznej i nie stanowią informacji publicznej w rozumieniu przepisów u.d.i.p.
- Dział HR w podmiocie publicznym/firmie zamieszcza w ogłoszeniu rekrutacyjnym dokument z niezanonimizowanymi danymi w CV lub przypadkowo ujawnia informacje o stanie zdrowia pracownika osobom trzecim.
W każdym z tych przypadków mamy do czynienia z danymi osób fizycznych, które są szczególnie chronione m.in. przez przepisy RODO. Analogicznie do przypadku z kampanii wyborczej, powoływanie się na „interes publiczny”, „pośpiech” czy „błąd publikującego” nie zwalnia administratora z odpowiedzialności.
Dlatego lekcja płynąca z decyzji PUODO jest prosta: zanim opublikujesz jakikolwiek materiał zawierający dane osobowe, upewnij się, że dysponujesz legalną podstawą prawną takiego działania. Jeżeli publikacja danych zawartych np. we wniosku/decyzji nie jest wskazana ze względu na prywatność osoby trzeciej, przed publikacją dokumentu upewnij się, że dane tej osoby w decyzji/wniosku zostały skutecznie zanonimizowane.
Jak uchronić swoją organizację przed podobnym błędem?
Aby nie powtórzyć błędów komitetów wyborczych, warto zadbać o kilka prostych, ale skutecznych reguł:
- Weryfikacja przed publikacją – każdy materiał, dokument, zdjęcie czy film, powinien przejść kontrolę przed jego ostateczną publikacją.
- Anonimizacja danych – niekiedy samo zaczernienie treści w pliku to za mało, bowiem dane łatwo jest odszyfrować. Dane należy trwale usunąć z warstw dokumentów czy nagrań, tak aby nie dało się ich odtworzyć.
- Podstawa prawna – zanim opublikujesz dokument z danymi osobowymi upewnij się, że władasz podstawą prawną takiego działania i jesteś w stanie to udowodnić.
- Szkolenia dla zespołu – sekretariat, dział PR, HR czy nauczyciele, wszyscy, którzy mogą publikować treści, muszą znać zasady ochrony danych.
- Procedura incydentu – jeśli dojdzie do błędu, liczy się czas. Niezwłocznie należy skontaktować się ze swoim przełożonym, Inspektorem Ochrony Danych (IOD) wyznaczonym w podmiocie oraz z Informatykiem – jeżeli incydent dotyczył systemów informatycznych. W przypadku wystąpienia jakiegokolwiek ryzyka dla praw lub wolności osób fizycznych, incydent skutkuje zgłoszeniem do Prezesa Urzędu Ochrony Danych Osobowych.
Najważniejsze wnioski dla decydentów
RODO obowiązuje nieprzerwanie, również w dynamicznych sytuacjach, przy presji czasu i sporze publicznym – żaden Administrator Danych nie ucieknie przed obowiązkami i odpowiedzialnością za ich należytą realizację. Administrator nie może przerzucać odpowiedzialności na „pośpiech”, „błąd publikującego” ani na domniemane przywileje wynikające z dyskusji publicznej. Każda organizacja powinna znać treści obowiązujących u niej procedur, ról, obowiązków i odpowiedzialności związanych z ochroną danych osobowych. Dzięki posiadanej wiedzy, może to uchronić ją przed powielaniem błędów opisanych w decyzjach wydanych przez PUODO.
Masz pytania o ochronę danych w Twojej organizacji? Napisz: bok@asystahr.pl
Źródła:
- Komunikat UODO z 14.08.2025 r.: „Upomnienia dla komitetów wyborczych kandydatów na prezydenta za ujawnienie danych obywatela” (uodo.gov.pl/pl/138/3853).
- Decyzje Prezesa UODO: DKN.5131.9.2025 (dot. wpisu z 13 maja) oraz DKN.5131.10.2025 (dot. filmu z 12 maja).
