Kara RODO 27 mln zł dla Poczty Polskiej - co to oznacza dla firm i prawników

W marcu 2025 roku Prezes Urzędu Ochrony Danych Osobowych wydał decyzję, która przejdzie do historii polskiego prawa ochrony danych. Kara nakładana na Pocztę Polską wyniosła ponad 27 milionów złotych, najwięcej w historii UODO. Ministrowi Cyfryzacji dołożono symboliczne 100 tysięcy złotych. Sprawa dotyczy wydarzeń z 2020 roku, ale jej konsekwencje są aktualne dla każdego, kto przetwarza dane osobowe.

Co się stało

W kwietniu 2020 roku, przed wejściem w życie przepisów regulujących głosowanie korespondencyjne, Ministerstwo Cyfryzacji udostępniło Poczcie Polskiej dane z rejestru PESEL obejmujące wszystkich pełnoletnich Polaków. Chodziło o imiona, nazwiska, adresy zamieszkania i numery PESEL - łącznie dane około 30 milionów osób. Udostępnienie nastąpiło zanim uchwalono przepisy, które mogłyby stanowić podstawę prawną takiego działania.

UODO jednoznacznie stwierdził naruszenie zasady legalności przetwarzania danych. Nie było podstawy prawnej. Cel - organizacja wyborów korespondencyjnych - był dopiero projektowany, nie obowiązujący. Poczta działała na polecenie rządu, ale odpowiedzialność z tytułu RODO spadła na nią jako na administratora, który dane przetwarzał.

Dlaczego ta sprawa ma znaczenie dla kancelarii i firm

Dla radcy prawnego, adwokata lub przedsiębiorcy ta decyzja niesie kilka praktycznych komunikatów.

Po pierwsze, skala kary pokazuje, że UODO wyszedł z fazy ostrzeżeń. Od 2025 roku kary są realne, wysokie i dotyczą podmiotów różnej wielkości - od spółdzielni mieszkaniowych po operatorów pocztowych i korporacje. W samym 2025 roku UODO nałożył również kary na ING Bank Śląski (ok. 18 mln zł) oraz McDonald's Polska (ok. 17 mln zł).

Po drugie, sprawa Poczty Polskiej dotyczy fundamentu RODO - zasady legalności z art. 6. Przetwarzanie danych bez podstawy prawnej jest naruszeniem bazowym. Zanim komukolwiek powierzysz przetwarzanie danych, zanim przekażesz dokumenty z danymi klientów do zewnętrznego systemu, zanim wczytasz plik do narzędzia online - musisz mieć podstawę prawną. Jeśli jej nie ma, jedyną opcją jest usunięcie danych przed przetwarzaniem.

Po trzecie, czas nie działa na korzyść naruszyciela. Zdarzenie nastąpiło w 2020 roku, decyzja w 2025. RODO nie ma krótkich terminów przedawnienia przy poważnych naruszeniach - organy nadzorcze mogą podejmować działania z wieloletnim opóźnieniem.

Co powinni sprawdzić radcowie prawni i adwokaci po tej decyzji

Dla kancelarii prawnych ta sprawa to dobry pretekst do przeglądu kilku kwestii:

• Narzędzia AI w pracy z dokumentami klientów. Jeśli kancelaria korzysta z zewnętrznych modeli językowych do analizy pism i aktów, dokumenty powinny być anonimizowane przed wysłaniem. Brak umowy powierzenia z operatorem narzędzia AI jest naruszeniem art. 28 RODO - identycznym w kategorii do naruszenia, za które ukarana została Poczta Polska.
• Przechowywanie akt po zakończeniu sprawy. Dane osobowe klientów nie mogą być przechowywane dłużej niż wymaga tego cel przetwarzania. Archiwizacja bez podstawy prawnej to naruszenie art. 5 RODO.
• Dostęp zewnętrznych współpracowników do akt. Każde przekazanie danych osobowych podmiotowi zewnętrznemu - tłumaczowi, biegłemu, aplikacjom IT - wymaga albo umowy powierzenia, albo anonimizacji przed przekazaniem.

Ile wyniosą następne kary

Z danych za 2025 rok wynika, że rok ten jest rekordowy pod kątem łącznej sumy kar w historii UODO. Organ nadzorczy wyraźnie zmienił podejście - kary są skalowane do skutków naruszenia i wielkości podmiotu. Dla dużych firm i instytucji kwoty siedmiocyfrowe stają się standardem, nie wyjątkiem.

Dla kancelarii i MŚP ryzyko jest inne - ale nie zerowe. UODO ukarał już jednoosobowe działalności gospodarcze, stowarzyszenia, wspólnoty mieszkaniowe. Każdy podmiot przetwarzający dane osobowe jest adresatem tych samych przepisów.

Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.