Decyzja DKN.5131.11.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. (ul. (…), (…)-(…) G.) przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. (ul. (…), (…)-(…) G.) przepisu art. 6 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych osób, które udzieliły poparcia Panu S. X. jako kandydatowi w wyborach na Prezydenta Rzeczypospolitej Polskiej, poprzez opublikowanie list poparcia zawierających dane osobowe tych osób podczas wywiadu udzielanego przez Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. w programie „(…)” wyemitowanym na żywo w serwisie Q. (…) 2025 r.,

co skutkowało naruszeniem zasady zgodności przetwarzania z prawem, rzetelności i przejrzystości wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,

udziela Komitetowi Wyborczemu Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. upomnienia.

Uzasadnienie

1.

(…) 2025 r. na w serwisie Q. na kanale pod nazwą „(…)” wyemitowany na żywo został program pt. „(…)”, w którym przeprowadzony został wywiad z Kandydatem na Prezydenta Rzeczypospolitej Polskiej S. X.. W trakcie rozmowy, Pan S. X. zaprezentował listy zawierające dane osobowe osób udzielających mu poparcia w wyborach prezydenckich w postaci ich imion, nazwisk, adresu zamieszkania, numeru ewidencyjnego PESEL oraz odręcznego podpisu.

2.

W związku z powyższym, 23 maja 2025 r. Prezes Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO” lub „organ nadzorczy”) zwrócił się do Komitetu Wyborczego Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. (dalej także: Komitet Wyborczy lub Administrator) w celu ustalenia, czy dokumenty zaprezentowane widzom oraz redaktorowi podczas ww. wywiadu zostały zanonimizowane w sposób uniemożliwiający odczytanie z ich treści danych osobowych osób udzielających poparcia kandydatowi w wyborach prezydenckich, na jakiej podstawie oraz w jakim celu ujawnione zostały ww. dane oraz wykazanie niezbędności ujawnienia tych danych ze względu na cel, którego osiągnięciu to miało służyć. Ponadto, Prezes UODO zwrócił się o wyjaśnienie, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dane dotyczą.

3.

23 czerwca 2025 r. do tut. Urzędu wpłynęło pismo Administratora z 6 czerwca 2025 r., w którym Komitet Wyborczy wskazał, że „W programie prezentowane były listy (koperty i wykazy z podpisami) przesłane przez osoby popierające kandydata w sposób zapewniający ochronę danych osobowych. Reżyser i operatorzy programu po programie potwierdzili, że zadbali o zabezpieczenie przekazu, zaś prezentację wykonywał redaktor prowadzący P. R., a (…) S. X. prezentował je tylko redaktorowi prowadzącemu bez naruszenia ochrony danych osobowych”. Jednocześnie Komitet Wyborczy poinformował Prezesa UODO, iż „(…) Dokumenty, które prezentowano redaktorowi podczas wywiadu były w kopertach zamkniętych, te które zostały otwarte zostały zanonimizowane w trakcie programu w sposób uniemożliwiający odczytanie ich treści danych osób udzielających mi poparcia w wyborach prezydenckich”. Ponadto Administrator wskazał, iż „Dokonano w KW analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędnej do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dane dotyczyły. W związku z powyższym uznano, że nie doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, które dane dotyczyły”.

4.

W związku z pozyskanymi informacjami i wyjaśnieniami Prezes Urzędu Ochrony Danych Osobowych 17 lipca 2025 r. wszczął z urzędu postępowanie administracyjne w przedmiocie możliwości naruszenia przez Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X., jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679, w związku z ujawnieniem bez podstawy prawnej danych osobowych osób udzielających poparcia Kandydatowi na Prezydenta Rzeczypospolitej Polskiej S. X., poprzez okazanie podczas wywiadu udzielonego przez Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. w programie „(…)” wyemitowanym na żywo w serwisie Q. (…) 2025 r. list poparcia kandydata na Prezydenta Rzeczypospolitej Polskiej.

W ustalonym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

I. Przetwarzanie danych osobowych w ramach prowadzonej kampanii wyborczej.

5.

Zasady i tryb zgłaszania kandydatów, przeprowadzania oraz warunki ważności wyborów m.in. Prezydenta Rzeczypospolitej Polskiej, reguluje ustawa z dnia 5 stycznia 2021 r. Kodeks wyborczy (Dz. U. z 2025 r. poz. 365) (art. 1 pkt 2), która w 2018 r. została trzykrotnie znowelizowana m.in. w celu dostosowania jej postanowień do przepisów rozporządzenia 2016/679. Z uwagi na fakt, że przepisy Kodeksu wyborczego koncentrują się na przebiegu kampanii wyborczej, w przypadku braku szczególnych przepisów w zakresie dotyczącym ochrony danych osobowych zastosowanie mają przepisy rozporządzenia 2026/679.

6.

Wśród wskazanych w Kodeksie wyborczym podmiotów, które w związku z funkcjami i zadaniami realizowanymi m.in. w ramach kampanii wyborczej, mogą przetwarzać dane osobowe i mają status administratorów w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, znajdują się m.in. komitety wyborcze. Proces przetwarzania danych osobowych przez komitety wyborcze wiąże się w szczególności ze zgłaszaniem kandydatów w wyborach (art. 84 Kodeksu wyborczego), zbieraniem podpisów pod listami poparcia (art. 90 Kodeksu wyborczego), pozyskiwaniem wpłat środków finansowych na kampanię (art. 132 Kodeksu wyborczego) i prowadzeniem agitacji wyborczej (art. 105 Kodeksu wyborczego). Wiele czynności związanych z przetwarzaniem danych osobowych w ramach agitacji wyborczej, nieuregulowanych bezpośrednio w przepisach Kodeksu wyborczego, należy oceniać bezpośrednio w kontekście przepisów rozporządzenia 2016/679.

7.

W związku z powyższym, w sytuacjach nieuregulowanych przepisami Kodeksu wyborczego, działania administratora w obszarze przetwarzania danych w ramach procesu wyborczego, w tym w ramach kampanii wyborczej, podlegają weryfikacji w kontekście zgodności m.in. z zasadami ochrony danych osobowych wyrażonymi w art. 5 ust. 1 rozporządzenia 2016/679. Administrator jest odpowiedzialny za ich przestrzeganie i musi być w stanie to wykazać (art. 5 ust. 2 rozporządzenia 2016/679).

8.

Podstawy prawne działania komitetów wyborczych określone zostały m.in. w art. 84 i nast. Kodeksu wyborczego. Jak wskazywał Prezes UODO w Poradniku Ochrona Danych Osobowych w Kampanii Wyborczej^[1], „Oprócz przepisów bezpośrednio wskazujących uprawnienia do zbierania i przetwarzania danych osobowych w związku ze zgłaszaniem kandydatów w wyborach, zbieraniem i dalszym przetwarzaniem danych z list wyborczych, pozyskiwaniem wpłat finansowych na kampanie, w których to przypadkach przetwarzanie danych osobowych odbywa się bezpośrednio na podstawie przepisów prawa i ma zastosowanie art. 6 ust. 1 lit. c) RODO, komitety wyborcze przetwarzają także dane osobowe w związku z agitacją wyborczą, której zakres nie został doprecyzowany w ustawie pod kątem ochrony danych osobowych. Przetwarzanie danych osobowych przez komitety wyborcze na potrzeby kampanii wyborczej, które nie wynikają bezpośrednio z uprawnień wskazanych w Kodeksie wyborczym jest możliwe, lecz wymaga wykazania innej podstawy prawnej przetwarzania, np. przesłanki zgody, o której mowa w art. 6 ust. 1 lit. a) RODO albo wykazania prawnie uzasadnionego interesu administratora, określonego w art. 6 ust. 1 lit. f) RODO”.

9.

Przepis art. 90 ust. 1 i 2 Kodeksu wyborczego określając, że „W celu zgłoszenia kandydata na Prezydenta Rzeczypospolitej obywatele w liczbie co najmniej 15, mający prawo wybierania, tworzą komitet wyborczy” oraz „Zgłoszenie kandydata na Prezydenta Rzeczypospolitej musi być poparte podpisami co najmniej 100 000 obywateli mających prawo wybierania do Sejmu” oraz przepisy Kodeksu wyborczego wskazane w pkt 6 niniejszej decyzji przesądzają, że Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. jest administratorem w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679 danych osobowych przetwarzanych przez niego w związku z prowadzeniem działań związanych ze zgłoszeniem kandydata na Prezydenta Rzeczypospolitej Polskiej, w tym danych osobowych znajdujących się na listach poparcia kandydata na Prezydenta i to na nim spoczywają obowiązki związane z ochroną przetwarzanych danych osobowych, określone przepisami rozporządzenia 2016/679.

II. Ocena legalności przetwarzania danych osobowych

10.

Art. 5 ust. 1 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W myśl art. 5 ust. 1 lit. a) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Przestrzeganie ww. zasady musi być wykazane w ramach prawidłowo realizowanego wymogu rozliczalności wynikającego z art. 5 ust. 2 rozporządzenia 2016/679.

11.

Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy spełniony jest co najmniej jeden z poniższych warunków:

a)

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)

przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Należy zaznaczyć, że przepis art. 6 ust. 1 lit. f) rozporządzenia 2016/679 nie ma zastosowania do przetwarzania danych osobowych przez organy publiczne w ramach realizacji swoich zadań.

12.

Katalog przesłanek legalności przetwarzania danych osobowych wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

13.

Art. 6 ust. 1 rozporządzenia 2016/679 enumeratywnie wymienia zatem materialne przesłanki dopuszczalności przetwarzania wszystkich kategorii danych osobowych, również tych określonych w art. 10 rozporządzenia 2016/679, wyłączając jedynie dane będące przedmiotem regulacji art. 9 rozporządzenia 2016/679. Spełnienie przynajmniej jednej z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 warunkuje legalność przetwarzania danych osobowych (legalność każdej czynności mieszczącej się w tym pojęciu) także w świetle art. 5 ust. 1 lit. a) rozporządzenia 2016/679, tj. zgodność tego przetwarzania z prawem (tak: M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018).

14.

Również motyw 40 preambuły rozporządzenia 2016/679 wskazuje, że „aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator (…)”.

15.

Wytyczne EROD 2/2019 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) w kontekście świadczenia usług online na rzecz osób, których dane dotyczą, z dnia 8 października 2019 r.^[2] wskazują, że „Zgodnie z art. 8 Karty praw podstawowych Unii Europejskiej dane osobowe muszą być przetwarzane rzetelnie w określonych celach i na uzasadnionej podstawie przewidzianej ustawą. W tym względzie art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z sześciu warunków określonych w art. 6 ust. 1 lit. a-f. Określenie właściwej podstawy prawnej, która odpowiada celowi i istocie przetwarzania ma zasadnicze znaczenie. Administratorzy danych uwzględniają, między innymi, wpływ na prawa osób, których dane dotyczą, przy określaniu właściwej podstawy prawnej w celu poszanowania zasady rzetelności”.

16.

Aby móc w pełni dowieść legalności przetwarzania danych osobowych administrator musi z reguły wykazać, czy spełnione zostało kryterium „niezbędności” tego przetwarzania z punktu widzenia celu, któremu ma ono służyć. W art. 6 ust. 1 rozporządzenia 2016/679 prawodawca formułuje ten wymóg w pięciu na sześć przesłanek dopuszczalności przetwarzania danych osobowych (art. 6 ust. 1 lit. b)-f)). Zgodnie z Wytycznymi EROD 1/2024 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679 przyjętymi 8 października 2024 r.^[3] ocena tego, co „niezbędne” obejmuje ustalenie, czy w praktyce uzasadnione interesy przetwarzania danych osobowych nie mogą być racjonalnie osiągnięte równie skutecznie za pomocą innych środków, które w znacząco mniejszym stopniu ograniczają prawa lub wolności osób fizycznych. W sytuacji, w której istnieją inne, równie skuteczne oraz mniej inwazyjne alternatywy, przetwarzanie nie może być uznawane za „niezbędne”. W tym kontekście TSUE wyraźnie wskazuje, że warunek dotyczący konieczności przetwarzania danych osobowych należy badać w powiązaniu z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, zgodnie z którą dane osobowe muszą być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”^[4].

17.

Oznacza to, że administrator planując przetwarzanie danych osobowych zobowiązany jest zasadniczo do dokonania oceny „niezbędności” przetwarzania danych osobowych na podstawie wybranej przez siebie przesłanki i w kontekście zakładanego celu przetwarzania. Zgodnie z motywem 39 preambuły rozporządzenia 2016/679, „Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy w celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”. Oceniając kryterium „niezbędności” należy zatem mieć na uwadze cel oraz kontekst przetwarzania danych osobowych.

18.

Administrator w piśmie z 6 czerwca 2025 r., udzielając odpowiedzi na pytania zawarte w piśmie Prezesa UODO z 23 maja 2025 r. wskazał, że listy (koperty i wykazy z podpisami) przesłane przez osoby popierające kandydata prezentowane były podczas wywiadu w sposób zapewniający ochronę danych osobowych. Ponadto, zgodnie z wyjaśnieniami Administratora, prezentację list poparcia wykonywał redaktor prowadzący P. R., zaś Pan S. X. prezentował je tylko redaktorowi prowadzącemu bez naruszenia ochrony danych osobowych. Jednocześnie Administrator podkreślił, iż „nie doszło do przypadku okazania podczas programu dokumentów zawierających niezanonimizowane dane osobowe”.

19.

Powyższym wyjaśnieniom Administratora przeczy jednak zapis wideo wywiadu, opublikowany na platformie Q.^[5], który wskazuje na celowe ujawnienie danych znajdujących się w korespondencji kierowanej do Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X.. Z materiału wideo wynika bowiem, że Pan S. X. przyniósł zamknięte koperty zawierające listy poparcia, a następnie udostępnił je do wglądu redaktorowi prowadzącemu P. R. ((…) minuta nagrania), zachęcając go do otwarcia korespondencji. W dalszej części nagrania ((…) minuta nagrania) można zauważyć, iż w otwartej przez redaktora prowadzącego korespondencji znajdowały się wykazy osób wyrażających poparcie dla dra S. X. jako kandydata na Prezydenta Rzeczypospolitej Polskiej. Dokumenty wyjęte z koperty otwartej przez redaktora P. R. widoczne są jeszcze w następnych minutach nagrania, pozostawione na stole w sposób umożliwiający ich odczytanie nie tylko szerokiej publiczności oglądającej wywiad na żywo, ale także pracownikom obecnym w studio w trakcie nagrywania programu. W dalszej części wywiadu ((…) minuta nagrania) Pan S. X. pokazuje jedną z list poparcia redaktorowi P. R., wskazując, że aby stworzyć zaufanie swoich wyborców i ośmielić ich do podawania swoich numerów PESEL przy składaniu podpisów na listach poparcia, umieścił on swój adres domowy w stopce wykazu. Wówczas widzowie kanału oglądających transmisję na żywo uzyskali dostęp do danych osobowych znajdujących się na prezentowanej liście. Dane osobowe zostały zanonimizowane dopiero w momencie publikacji zapisu programu prowadzonego na żywo na kanale „(…)”.

20.

Administrator w swojej wypowiedzi zdaje się nie dostrzegać, iż dane osobowe znajdujące się na listach poparcia przedstawionych w trakcie wywiadu zostały udostępnione nie tylko szerokiej publiczności znajdującej się po drugiej stronie ekranu, ale także osobom znajdującym się w studio nagraniowym, a w szczególności redaktorowi prowadzącemu wywiad – P. R. – który uzyskał w ten sposób, za przyzwoleniem Administratora, dostęp do wszystkich danych osobowych przekazanych przez wyborców Pana S. X. w postaci list poparcia kandydata na Prezydenta Rzeczypospolitej Polskiej, w tym imion, nazwisk, adresu zamieszkania, numeru ewidencyjnego PESEL oraz odręcznego podpisu.

21.

Należy także podkreślić, że przetwarzanie danych osobowych znajdujących się na listach poparcia kandydata na Prezydenta Rzeczypospolitej Polskiej odbywa się na mocy przepisów Kodeksu Wyborczego (art. 296 Kodeksu Wyborczego: „Kandydata na Prezydenta Rzeczypospolitej zgłasza co najmniej 100 000 obywateli mających prawo wybierania do Sejmu. Zgłoszenie musi być poparte podpisami zgłaszających.”), który bezpośrednio określa kategorie danych osobowych zbieranych przez komitety wyborcze (art. 297 § 6 Kodeksu Wyborczego: „Obywatele, o których mowa w art. 296, oświadczają na piśmie o utworzeniu komitetu wyborczego, podając swoje imiona i nazwiska, adresy zamieszkania i numery ewidencyjne PESEL.”) oraz ściśle wskazuje cel ich przetwarzania (art. 303 Kodeksu Wyborczego), jakim jest rejestracja kandydata w wyborach prezydenckich. Nie ulega zatem wątpliwości, że działalnie Administratora, polegające na ujawnieniu danych osobowych znajdujących się na listach poparcia kandydata na Prezydenta w wyborach prezydenckich w trakcie wywiadu udzielanego przez Kandydata na Prezydenta Rzeczypospolitej Polskiej S. X. w programie „(…)” wyemitowanym na żywo w serwisie Q. (…) 2025 r., nie stanowi realizacji celu bezpośrednio wskazanego powyżej powołanymi przepisami Kodeksu Wyborczego.

22.

Cytowane dotychczas wypowiedzi Administratora dają podstawy by przyjąć, że publikacja przedmiotowych danych nie służyła realizacji żadnego konkretnego, określonego przez Administratora celu, jak również nie została oparta na przesłance określonej w art. 6 ust. 1 lit. a) rozporządzenia 2016/679 (zgoda osoby, której dane dotyczą). Ponadto, Administrator nie wykazał oparcia omawianych działań na którejkolwiek z pozostałych (poza zgodą podmiotu danych) przesłanek dopuszczalności przetwarzania danych osobowych (wymienionych w art. 6 ust. 1 lit. b)-f) rozporządzenia 2016/679). Administrator nie podejmował zresztą jakichkolwiek prób wykazania, że działanie to było legalne w kontekście którejkolwiek z ww. przesłanek. W tej sytuacji obszerniejsze uzasadnienie podstaw przyjęcia, że w rozpatrywanej sprawie nie został spełniony żaden spośród wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 warunków legalności przetwarzania danych (w tym przypadku ich publikacji), należy uznać za zbędne.

23.

Wyłącznie skrótowo wskazać zatem można, że w oczywisty sposób kwestionowana publikacja danych nie była niezbędna do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (brak przesłanki z art. 6 ust. 1 lit. b) rozporządzenia 2016/679), nie była niezbędna do wypełnienia obowiązku prawnego ciążącego na administratorze (brak przesłanki z art. 6 ust. 1 lit. c) rozporządzenia 2016/679), nie była niezbędna do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (brak przesłanki z art. 6 ust. 1 lit. d) rozporządzenia 2016/679), nie była niezbędna do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (brak przesłanki z art. 6 ust. 1 lit. e) i lit. f) rozporządzenia 2016/679).

24.

W sytuacji, gdy oceniane przetwarzanie danych osobowych (ich publikacja) zrealizowane zostało z naruszeniem wymogów art. 6 ust. 1 rozporządzenia 2016/679, wiązało się ono również z naruszeniem wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 zasady zgodności z prawem, rzetelności i przejrzystości.

25.

Mając na uwadze powyższe oraz zgromadzony w sprawie materiał dowodowy, Prezes UODO stwierdził, że omawiane działanie Administratora (publikacja w opisany wyżej sposób danych osobowych osób fizycznych niepełniących funkcji publicznej) wiązało się z naruszeniem przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679.

III. Uzasadnienie udzielenia upomnienia

26.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w związku ze stwierdzonym naruszeniem przepisów art. 5 ust 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679.

27.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

28.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającą reakcją na stwierdzone po stronie Administratora nieprawidłowości jest udzielenie mu upomnienia. Decydując o wykorzystaniu tego środka Prezes UODO wziął w szczególności pod uwagę, że działania Administratora dotyczyły takiego zakresu danych osobowych, do których przetwarzania (publikacji) nie był on wprawdzie uprawniony, niemniej jednak nie stanowiły one danych podlegających szczególnym rygorom przetwarzania (określonym w art. 9 i art. 10 rozporządzenia 2016/679) czy takich, których nieuprawnione przetwarzanie wiązać by się mogło z istnieniem po stronie podmiotu danych szczególnie istotnych ryzyk. Prezes UODO wziął także pod uwagę działania podjęte przez Administratora po zaistnieniu naruszenia przepisów rozporządzenia 2016/679 – dane osobowe zostały zanonimizowane i nie są już widoczne w zapisie transmisji live dostępnym na kanale „(…)”.

29.

Podsumowując, z uwagi na charakter i wagę stwierdzonego naruszenia przepisów rozporządzenia 2016/679, jego nieodwracalność rozumianą jako brak możliwości powrotu do momentu sprzed naruszenia i całokształt okoliczności związanych z naruszeniem oraz rekcją na nie po stronie Administratora, a zarazem potrzebę egzekwowania zapisów rozporządzenia 2016/679 (por. motyw 148), Prezes UODO uznał za zasadne skorzystanie w niniejszej sprawie z instrumentu o charakterze naprawczym przewidzianego w art. 58 ust. 2 lit. b) rozporządzenia 2016/679 i skierowanie do Administratora upomnienia w związku z zaistniałą sytuacją.

30.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.