Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 13 lutego 2026nieprawomocna

Decyzja DKN.5131.12.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691) w związku z art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i) w związku z art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679,
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. ((…), (…) T.) przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych:
stwierdzając naruszenie przez Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. ((…), (…) T.) przepisu art. 6 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem ujawnieniu danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych, tj. danych osobowych osób będących stronami umowy (przedwstępnej) sprzedaży nieruchomości utrwalonych w treści dokumentu p.n. „(…)” (imion, nazwisk, imion rodziców, numerów ewidencyjnych PESEL, numerów i serii dowodów osobistych, numerów NIP, adresów zamieszkania) oraz danych osobowych jednej z ww. osób jako spadkodawcy – autora testamentu holograficznego utrwalonych w treści testamentu holograficznego (imię, nazwisko, informacja o sytuacji rodzinnej oraz o sposobie rozporządzenia majątkiem), zaprezentowanych przez posła H. B. i omawianych w trakcie konferencji prasowej Komitetu Wyborczego Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. w dniu 6 maja 2025 r. w siedzibie partii D. (…), co skutkowało naruszeniem zasady zgodności z prawem, rzetelności i przejrzystości, określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
nakłada na Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. administracyjną karę pieniężną w kwocie 35 582 zł (słownie: trzydzieści pięć tysięcy pięćset osiemdziesiąt dwa złote).

Uzasadnienie

1.
W dniu 6 maja 2025 r. w siedzibie partii D. (…) przy ul. (…) odbyła się konferencja prasowa posłów H. B., H. Z. oraz K. P.. W trakcie konferencji poruszona została kwestia zakupu przez Pana M. W. – kandydata na Prezydenta Rzeczypospolitej Polskiej w wyborach prezydenckich w 2025 r. – oraz Jego małżonkę, mieszkania od Pana T. U. Przemawiający podczas konferencji poseł H. B. dysponował dokumentami, które dotyczyły tej transakcji oraz jej tła (relacji pomiędzy Panem M. W. a Panem T. U.), tj. „(…)” oraz testamentem holograficznym Pana T. U., których treść zaprezentowana została obecnym na konferencji dziennikarzom[1].
2.
W treści ww. dokumentów znajdowały się dane osobowe dwóch osób fizycznych niepełniących funkcji publicznych (Pana T. U. i Pani R. W.) oraz Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W., tj.: dane osobowe osób będących stronami umowy kupna-sprzedaży nieruchomości w zakresie obejmującym ich imiona, nazwiska, imiona rodziców, numery ewidencyjne PESEL, numery i serie dowodów osobistych, numery NIP i adresy zamieszkania (Pana T. U., Pani R. W. oraz Pana M. W.), a także dane osobowe spadkodawcy – autora testamentu holograficznego (Pana T. U.) w zakresie obejmującym imię, nazwisko oraz informacje o sytuacji rodzinnej (brak kontaktu z rodziną, wykluczenie z dziedziczenia żony i dzieci), które w trakcie ww. konferencji prasowej zostały ujawnione ustnie oraz zaprezentowane w sposób umożliwiający utrwalenie ich przez osoby nieupoważnione, w szczególności poprzez wykonanie fotografii.
3.
W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO” lub „organ nadzorczy”) zwrócił się do posła H. B. z prośbą o wyjaśnienie:
a)
z jakiego źródła, na jakiej podstawie prawnej oraz w jakim celu pozyskał on dane osobowe, które zostały ujawnione publicznie w trakcie konferencji prasowej posłów D. (…), ze szczególną uwagą na to, czy ww. dane osobowe zostały pozyskane za zgodą osób, których dotyczą, a jeżeli tak, w jaki sposób została ona udzielona;
b)
na jakiej podstawie prawnej oraz w jakim celu podczas ww. konferencji prasowej posłów D. (…) ujawnił on ww. dane osobowe, w szczególności poprzez okazanie niezanonimizowanej treści dokumentów zawierających te dane osobowe oraz wykazanie niezbędności ujawnienia ww. danych osobowych ze względu na cel, którego osiągnięciu miało służyć to działanie.
4.
W odpowiedzi na ww. pismo, pełnomocnik posła H. B. pismem z 23 maja 2025 r. wskazał, że: „(…) H. B. nie miał zamiaru ujawnienia podczas konferencji prasowej w dniu 6 maja 2025 r. jakichkolwiek danych osobowych widniejących na dokumentach, które były omawiane podczas konferencji”. Pismem z 12 czerwca 2025 r. poseł H. B. uzupełnił swoje wyjaśnienia, informując Prezesa UODO, że „Konferencja prasowa w dniu 06.05.2025 r. została zorganizowana przez Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W.. Komitet zwrócił się do Pana H. B. z prośbą o uczestnictwo i zabranie głosu na konferencji prasowej organizowanej w dniu 06.05.2025 przez Komitet Wyborczy w związku z oszczerstwami kierowanymi pod adresem Kandydata na Prezydenta RP M. W., będącymi elementem kampanii wyborczej jego kontrkandydata (…). Pan H. B. zjawił się w miejscu konferencji prasowej bezpośrednio przed konferencją. Organizatorzy konferencji prasowej wręczyli Panu H. B. dokumenty – umowy z Panem T. (…) oraz jego testament i poinstruowali o tym, żeby przedstawić na konferencji prasowej rzeczywiste okoliczności zdarzeń objętych oszczerstwami w kampanii wyborczej (…). Pan H. B. w związku z tym zgodnie z instrukcjami i zapotrzebowaniem Komitetu Wyborczego wystąpił na konferencji prasowej i przedstawił okoliczności, o których przedstawienie był proszony i które wynikały z przekazanych mu dokumentów. Pan H. B. nie składał żadnych oświadczeń z własnej inicjatywy – wypowiedzi były zgodne z instrukcjami Komitetu Wyborczego”.
5.
W związku z ww. wyjaśnieniami Prezes UODO zwrócił się do Komitetu Wyborczego Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. (dalej: „Komitet Wyborczy” lub „Administrator”) z prośbą o wskazanie:
a)
czy Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. był organizatorem konferencji, która odbyła się 6 maja 2025 r. w siedzibie partii D. (…);
b)
jeśli Komitet Wyborczy był organizatorem ww. konferencji, to czy zaprosił Pana posła H. B. do udziału w tej konferencji oraz zabrania przez niego głosu w związku z kierowanymi wobec Kandydata na Prezydenta Rzeczypospolitej Polskiej zarzutami dotyczącymi nabycia mieszkania od Pana T. U.;
c)
czy Komitet Wyborczy przekazał Panu posłowi H. B. dokumenty w postaci „(…)” oraz testamentu holograficznego, a także poinstruował Pana posła H. B. o tym, żeby przedstawić na konferencji prasowej rzeczywiste okoliczności nabycia przez Pana M. W. mieszkania Pana T. U., zgodnie z instrukcjami i zapotrzebowaniem Komitetu Wyborczego.
W odpowiedzi na powyższe pytania Komitet Wyborczy pismem z 7 lipca 2025 r. potwierdził, że to on był organizatorem konferencji prasowej, podczas której ujawnione zostały dane osobowe utrwalone w ww. dokumentach, oraz że przebieg konferencji był zgodny z instrukcjami i zapotrzebowaniem Komitetu Wyborczego. Jednocześnie Komitet Wyborczy potwierdził, że to on przekazał posłowi H. B. dokumenty, które następnie omówione zostały w trakcie jego wypowiedzi podczas ww. konferencji prasowej. Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. zaznaczył, iż „(…) Komitet neguje, jakoby doszło do ujawnienia przez Komitet danych osobowych osób niepublicznych, o których mowa w piśmie Prezesa UODO”.
6.
Jednocześnie, pismem z 26 czerwca 2025 r. Prezes UODO zwrócił się do posła H. B. o przedstawienie dowodów potwierdzających fakt zaproszenia go do udziału w konferencji przez Komitet Wyborczy oraz tego, że działał „zgodnie z instrukcjami i zapotrzebowaniem Komitetu Wyborczego”. W odpowiedzi z 1 sierpnia 2025 r. poseł H. B. wskazał, że „(…) komunikacja w sprawie organizacji konferencji prasowej w dniu 06.05.2025 r., obejmująca zaproszenie dziennikarzy na konferencję prasową została przesłana przez Pana O. C., będącego rzecznikiem sztabu wyborczego M. W.. (…) Sztab wyborczy M. W. zapewnił salę na konferencję prasową w dniu 06.05.2025 r. Z Panem H. B., w sprawie udziału w konferencji prasowej, komunikował się Pan H. Z., będący Szefem sztabu wyborczego M. W.. Dokumenty, które były wykorzystywane podczas konferencji prasowej w dniu 06.05.2025 r. H. B. przekazał również Pan H. Z., Szef sztabu wyborczego M. W.. (…) Opisane wyżej okoliczności wraz z dowodami dotyczące zaangażowania sztabu wyborczego M. W. jednoznacznie wskazują na to, że administratorem przetwarzanych danych osobowych był Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W.”.
7.
Prezes UODO przeprowadził ww. czynności wyjaśniające a następnie, 22 lipca 2025 r. wszczął z urzędu postępowanie administracyjne w sprawie naruszenia przez Komitet Wyborczy Kandydata, jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679, w związku z ujawnieniem bez podstawy prawnej danych osobowych dwóch osób niepełniących funkcji publicznych w ramach prowadzonej w dniu 6 maja 2025 konferencji prasowej.
8.
3 września 2025 r. do tut. Urzędu wpłynęło pismo Administratora z 27 sierpnia 2025 r. będące stanowiskiem strony w toku postępowania oraz zawierające wnioski dowodowe Komitetu Wyborczego. Komitet Wyborczy wniósł o uwzględnienie w charakterze dowodu w sprawie dokumentów powołanych uprzednio przez posła H. B. (w piśmie z 1 sierpnia 2025 r.), wskazujących m.in. na publiczne ujawnienie danych osobowych Pana T. U. już przed konferencją prasową z 6 maja 2025, tj.:
a)
zrzutu ekranu z korespondencją mailową w sprawie zaproszenia na konferencję prasową w dniu 6 maja 2025 r.;
b)
zrzutu posta na profilu G. Z. z 5 maja 2025 r.;
c)
zrzutu pierwszego wpisu z 5 maja 2025 r. (z konta A. V.; @V.), z którego wynika identyfikacja Pana T. U., w odpowiedzi na post G. Z.;
d)
zrzutu drugiego wpisu z 5 maja 2025 r. (z konta A. V.; @V.), z którego wynika identyfikacja Pana T. U., w odpowiedzi na post G. Z.;
e)
zrzutu wpisu G. Z., z którego wynika fakt promowania posta zawierającego informacje umożliwiające identyfikację Pana T. U.
Jednocześnie Komitet Wyborczy wniósł o umorzenie postępowania w całości, wyjaśnienie i skonkretyzowanie przedmiotu postępowania, gdyż „sposób określenia przez Organ przedmiotu sprawy uniemożliwiają identyfikację konkretnego zdarzenia, z którym Organ wiąże naruszenie ochrony danych osobowych, a także osób, których zastrzeżenia Organu dotyczą, a w konsekwencji, co uniemożliwia stronie czynny udział w postępowaniu i podjęcie obrony swoich racji (art. 10 § 1 KPA)”, a także przeprowadzenie dowodów z załączonych dokumentów w postaci:
a)
wydruku artykułu z portalu (…);
b)
wydruku z portalu Q.;
c)
wydruku artykułu https://(…);
d)
wydruków z portalu (…);
e)
wydruku artykułu https://(…);
f)
wydruku artykułu https://(…);
g)
wydruku artykułu https://(…);
h)
wydruku artykułu https://(…);
i)
wydruku artykułu https://(…);
j)
wydruku artykułu https://(…);
k)
wydruku artykułu: https://(…);
l)
wydruku z ekw.ms.gov.pl danych zgromadzonych w pełnym odpisie księgi wieczystej nieruchomości.
9.
W uzasadnieniu ww. pisma Administrator przedstawił tło faktyczno-prawne konferencji prasowej z 6 maja 2025 r., przebieg tej konferencji i ocenę prawną wypowiedzi posła H. B. w imieniu Komitetu Wyborczego. Komitet Wyborczy wskazał na ogromny zasięg publikowanych w mediach artykułów, dotyczących kwestii zakupu kawalerki przez Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W.. Ponadto Administrator poinformował organ nadzorczy, że „w trakcie konferencji prasowej poseł na Sejm RP H. B. przedstawił kilka istotnych dla sprawy "kawalerki" dokumentów – testament T. (…) i najistotniejsze postanowienia umowy przedwstępnej sprzedaży lokalu z 2012 roku. Dokumenty nie zostały udostępnione "obiegiem" dziennikarzom, a jedynie relewantne fragmenty zostały odczytane na konferencji prasowej”. Administrator wskazał również, że „(…) na konferencji prasowej nie zostały przedstawione żadne dane osobowe o charakterze wrażliwym (z art. 9 RODO). Ujawnione dane, przyjmując za prawdziwe twierdzenia Organu (wymagające konkretyzacji) ograniczyły się do przedstawienia podstawowych informacji identyfikujących osobę fizyczną, zawartych w dokumencie urzędowym”.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje:

I. Kwestia możliwej identyfikacji T. U. przed 6 maja 2025 r.

10.
W piśmie z 27 sierpnia 2025 r. Komitet Wyborczy wskazywał na możliwą identyfikację jednej z osób, których dane dotyczą, tj. Pana T. U., jeszcze przed ujawnieniem jej danych osobowych podczas konferencji prasowej w dniu 6 maja 2025 r., powołując się jednocześnie na przedstawione przez posła H. B. w piśmie z 1 sierpnia 2025 materiały dowodowe.
11.
Administrator w ww. piśmie przedstawił artykuł opublikowany przez Fakt 5 maja 2025 r.[2] informując, że powołano w nim „(…) kilka publicznie dostępnych wpisów T. (…) na portalu Q.. Z łatwością było zidentyfikowanie T. (…), albowiem w/w medium zacytowało dosłowne brzmienie wpisów przez niego publikowanych. Wpisanie ich w wyszukiwarkę Q. automatycznie kierowało na profil T. (…)”. Według Komitetu Wyborczego, „Z powyższego wynika, że już w przededniu konferencji prasowej, bezspornie doszło do ujawnienia danych pozwalających na łatwą identyfikację T. (…) przez każdego przeciętnego użytkownika sieci Internet. Doszło do tego nie tylko za pośrednictwem kont na portalu Q. i Y. obserwowanych przez dziesiątki tysięcy ludzi, ale również w ogólnopolskim poczytnym medium”.
12.
Z materiału dowodowego przedstawionego przez posła H. B. w piśmie z 1 sierpnia 2025 r. wynika, że „Z analizy dostępnych w Internecie informacji wynika, że informacja o imieniu i nazwisku Pana T. (…) została ujawniona opinii publicznej przed konferencją prasową w dniu 06.05.2025. W dniu 06.05.2025 r. przed konferencją prasową na portalu Q. na profilu Pana G. Z. (…) pojawił się post dotyczący Pana T. U. (…) W poście z 05.05.2025 r., który nadal widnieje na profilu widoczne są dwa wpisy Pana T. U. na portalu Q.. Nazwisko Pana T. U. zostało zamazane, jednak na podstawie treści wpisów można było łatwo odnaleźć profile Pana T. U., a tym samym dokonać jego identyfikacji”.
13.
Z powyższego wynika, że w przededniu konferencji prasowej znane były dane osobowe Pana T. U. w postaci imienia i nazwiska oraz treść publicznie dostępnych postów zamieszczonych przez niego na portalu społecznościowym. Nie można jednak zapominać, że zakładając konto na portalu społecznościowym jego użytkownicy nie są w stu procentach anonimowi. Osoby posiadające konto na portalu społecznościowym, w zależności od ustawień konta, świadomie zgadzają się na widoczność części danych osobowych (takich jak imię, nazwisko czy treść zamieszczanych postów).
14.
Fakt dostępności niektórych danych Pana T. U., osobiście przez niego udostępnionych w przestrzeni Internet, nie ma znaczenia dla oceny zaistniałego 6 maja 2025 r. podczas konferencji prasowej zdarzenia. Dostępne w sieci Internet dane osobowe ograniczały się bowiem do imienia i nazwiska, które w przywoływanym przez Administratora materiale dowodowych były zanonimizowane, oraz treści postów, które zostały opublikowane samodzielnie przez osobę, której dane dotyczą. Należy zatem zakładać, iż użytkownik publikujący posty w mediach społecznościowych ma świadomość publicznego ich charakteru i przewiduje oraz godzi się na to, że zapoznają się z nimi inni użytkownicy portalu. Dane udostępnione podczas konferencji 6 maja 2025 r. miały jednak znacznie szerszy zakres, gdyż oprócz imienia i nazwiska osoby, której dane dotyczą, ujawnione zostały także inne dane osobowe znajdujące się w treści „(…)” oraz testamencie holograficznym Pana T. U., tj. imiona rodziców, numer ewidencyjny PESEL, numer i seria dowodu osobistego, numer NIP i adres zamieszkania, a także szczegółowe informacje o prywatnej, w tym rodzinnej sytuacji ww. osoby (jako uzasadnienie określonych rozporządzeń testamentowych), natomiast z załączonego materiału dowodowego nie wynika, aby osoba, której dane dotyczą (tj. Pan T. U.), dokonała wcześniej publikacji swoich danych w tym konkretnie zakresie, czy na taką publikację się godziła. Dodatkowo warto nadmienić, że waga możliwych konsekwencji ujawnienia ww. zestawu danych jest znacząco wyższa, mając na uwadze fakt, iż osoba, której dane dotyczą, już w momencie przedstawienia powyższych dokumentów w trakcie konferencji prasowej, utraciła kontrolę nad swoimi danymi osobowymi.
15.
Publiczna dostępność części danych osobowych Pana T. U. i możliwość jego identyfikacji nie stanowią argumentów decydujących z punktu widzenia oceny legalności upublicznienia jego danych osobowych w trakcie konferencji prasowej z 6 maja 2025 r. Administrator planując przetwarzanie danych osobowych każdorazowo zobowiązany jest mieć na uwadze konieczność oparcia planowanych czynności przetwarzania na konkretnej podstawie prawnej (przesłance legalizującej) z art. 6 ust. 1 rozporządzenia 2016/679. Publiczna dostępność danych może być brana pod uwagę w szczególności w kontekście przesłanki z art. 6 ust. 1 lit. f) rozporządzenia 2016/679, niemniej – jak zostanie to rozwinięte w dalszej części uzasadnienia – w przedmiotowej sprawie nie wpływa na ocenę kwestionowanego przetwarzania danych (upublicznienia w trakcie konferencji prasowej z 6 maja 2025 r.) jako nieznajdującego prawnego uzasadnienia.
16.
Nie można jednocześnie zapominać, iż w treści ujawnionych dokumentów znajdowały się dane osobowe nie tylko Pana T. U., ale również żony Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. – Pani R. W., która ze względu na swój czynny udział w kampanii wyborczej męża stała się osobą rozpoznawalną w przestrzeni medialnej. Z tego względu oraz z uwagi na wskazaną przez Komitet Wyborczy kwestię przekazania przez małżonków W. omawianej dokumentacji, co wskazuje na świadome przyzwolenie tych osób na przetwarzanie przez Komitet Wyborczy ich danych osobowych, organ nadzorczy w szczególności swoją uwagę zwrócił na kwestię legalności przetwarzania danych osobowych Pana T. U.

II. Przetwarzanie danych osobowych w ramach prowadzonej kampanii wyborczej.

17.
Zasady i tryb zgłaszania kandydatów, przeprowadzania oraz warunki ważności wyborów m.in. Prezydenta Rzeczypospolitej Polskiej reguluje ustawa Kodeks wyborczy[3], która w 2018 r. została trzykrotnie znowelizowana m.in. w celu dostosowania jej postanowień do przepisów rozporządzenia 2016/679. Z uwagi na fakt, że przepisy Kodeksu wyborczego koncentrują się na przebiegu kampanii wyborczej, w przypadku braku szczególnych przepisów w zakresie dotyczącym ochrony danych osobowych zastosowanie mają przepisy rozporządzenia 2016/679.
18.
Wśród wskazanych w Kodeksie Wyborczym podmiotów, które w związku z funkcjami i zadaniami realizowanymi m.in. w ramach kampanii wyborczej mogą przetwarzać dane osobowe i mają status administratorów w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, znajdują się m.in. komitety wyborcze. Proces przetwarzania danych osobowych przez komitety wyborcze wiąże się w szczególności ze zgłaszaniem kandydatów w wyborach (art. 84 Kodeksu wyborczego), zbieraniem podpisów pod listami poparcia (art. 90 Kodeksu wyborczego), pozyskiwaniem wpłat środków finansowych na kampanię (art. 132 Kodeksu wyborczego) i prowadzeniem agitacji wyborczej (art. 105 Kodeksu wyborczego). W związku z tym, że zgodnie z art. 84 § 1 Kodeksu wyborczego [(…) Komitety wyborcze wykonują również inne czynności wyborcze, a w szczególności prowadzą na zasadzie wyłączności kampanię wyborczą na rzecz kandydatów] oraz art. 106 Kodeksu wyborczego [§1. Agitację wyborczą może prowadzić każdy komitet wyborczy (…)], należy uznać, że Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. jest administratorem danych osobowych, które przetwarza w związku z prowadzoną kampanią wyborczą, w tym danych osobowych przetwarzanych w trakcie prowadzonych przez niego działań agitacyjnych, a tym samym jest odpowiedzialny za legalność tego procesu i wdrożenie odpowiednich środków bezpieczeństwa uwzględniających ryzyka naruszenia praw lub wolności osób fizycznych.
19.
W związku z powyższym, w sytuacjach nieuregulowanych przepisami Kodeksu wyborczego, działania administratora w obszarze przetwarzania danych w ramach procesu wyborczego, w tym w ramach kampanii wyborczej, podlegają weryfikacji w kontekście zgodności m.in. z zasadami ochrony danych osobowych wyrażonymi w art. 5 ust. 1 rozporządzenia 2016/679. Administrator jest odpowiedzialny za ich przestrzeganie i musi być w stanie to wykazać (art. 5 ust. 2 rozporządzenia 2016/679).
20.
Podstawy prawne działania komitetów wyborczych określone zostały m.in. w art. 84 i nast. Kodeksu wyborczego. Jak wskazuje Prezes UODO w Poradniku Ochrona Danych Osobowych w Kampanii Wyborczej[4]: „Oprócz przepisów bezpośrednio wskazujących uprawnienia do zbierania i przetwarzania danych osobowych w związku ze zgłaszaniem kandydatów w wyborach, zbieraniem i dalszym przetwarzaniem danych z list wyborczych, pozyskiwaniem wpłat finansowych na kampanie, w których to przypadkach przetwarzanie danych osobowych odbywa się bezpośrednio na podstawie przepisów prawa i ma zastosowanie art. 6 ust 1 lit. c) RODO [rozporządzenia 2016/679], komitety wyborcze przetwarzają także dane osobowe w związku z agitacją wyborczą, której zakres nie został doprecyzowany w ustawie pod kątem ochrony danych osobowych. Przetwarzanie danych osobowych przez komitety wyborcze na potrzeby kampanii wyborczej, które nie wynikają bezpośrednio z uprawnień wskazanych w Kodeksie wyborczym jest możliwe, lecz wymaga wykazania innej podstawy prawnej przetwarzania, np. przesłanki zgody, o której mowa w art. 6 ust. 1 lit. a) RODO albo wykazania prawnie uzasadnionego interesu administratora, określonego w art. 6 ust. 1 lit. f) RODO”.
21.
Według wyjaśnień udzielonych przez posła H. B. w piśmie z 12 czerwca 2025 r.: „Konferencja prasowa w dniu 06.05.2025 r. została zorganizowana przez Komitet Wyborczy Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W.. (…) Pan H. B. w związku z tym zgodnie z instrukcjami i zapotrzebowaniem Komitetu Wyborczego wystąpił na konferencji prasowej i przedstawił okoliczności, o których przedstawienie był proszony i które wynikały z przekazanych mu dokumentów. Pan H. B. nie składał żadnych oświadczeń z własnej inicjatywy – wypowiedzi były zgodne z instrukcjami Komitetu Wyborczego”.
22.
Artykuły prasowe, na które Administrator powołał się w piśmie z 27 sierpnia 2025 r. wskazują na ścisły związek zagadnień poruszanych w trakcie konferencji prasowej w dniu 6 maja 2025 r. z prowadzoną w mediach dyskusją publiczną dotyczącą „kawalerki” zakupionej przez Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. – cyt.: „(…) w/w temat był jednym z głównych w kampanii wyborczej, który zdominował na dwa tygodnie kluczowego okresu przedwyborczego dyskusję publiczną w Polsce i co najistotniejsze, który niósł przekaz przede wszystkim o charakterze negatywnym w stosunku do osoby M. W.”. Również w punkcie II ww. pisma z 27 sierpnia 2025 r., omawiając tło faktyczno-prawne konferencji prasowej Sztabu Wyborczego M. W. Administrator wskazywał, że: „Nie budzi wątpliwości, że układ faktyczny, z jakim mamy do czynienia w niniejszej sprawie – sprawa o olbrzymim zainteresowaniu społecznym, środek kampanii wyborczej, defamacja jednego z głównych pretendentów w wyścigu prezydenckim, zaangażowanie medialne największych koncernów prasowych w Polsce – uzasadniał podjęcie publicznej obrony, gdyż była to ochrona istotnych interesów M. W.” oraz, że: „Rozwijająca się sytuacja i skala potencjalnych negatywnych skutków medialnych dla M. W., w razie dalszego kolportowania negatywnej narracji mogła być tak duża, iż nieodwracalnie ukształtowałyby jego negatywny obraz w oczach opinii publicznej i tym samym wpłynąć na wynik wyborów”. Zatem wedle stanowiska Administratora (na poparcie którego przedłożył ww. artykuły prasowe), ww. kwestie (tj. okoliczności nabycia przez Kandydata na Prezydenta RP określonej nieruchomości) znajdowały się w obszarze szczególnego zainteresowania opinii publicznej w związku z trwającą kampanią wyborczą, natomiast materiały i dane przedstawione w trakcie konferencji prasowej z 6 maja 2025 r. służyły zaprezentowaniu szczegółowych informacji dotyczących ww. kwestii i mogły w znaczny sposób wpływać na postrzeganie Kandydata na Prezydenta RP przez potencjalnych przyszłych wyborców.
23.
Wreszcie, sam Komitet Wyborczy w piśmie z 7 lipca 2025 r. wskazał, że to on był organizatorem konferencji prasowej w dniu 6 maja 2025 r. i że to właśnie Komitet Wyborczy przekazał posłowi H. B. dokumenty, których treść ujawniona została w trakcie ww. konferencji.
24.
Mając na uwadze powyższe nie ulega wątpliwości, że działanie polegające na ujawnieniu danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych (tj. ich imion, nazwisk, imion rodziców, numerów ewidencyjnych PESEL, numerów i serii dowodów osobistych, numerów NIP oraz adresów zamieszkania), utrwalonych w zaprezentowanej przez posła H. B. treści dokumentu „(…)” oraz zawartych w treści testamentu holograficznego informacji (dotyczących sytuacji rodzinnej i rozporządzenia majątkiem testatora), a także ujawnionych podczas ustnej wypowiedzi w trakcie konferencji prasowej Komitetu Wyborczego w dniu 6 maja 2025 r. w siedzibie partii D. (…), było elementem prowadzonej w mediach debaty politycznej i polemiki wyborczej, a także miało stanowić przeciwwagę dla formułowanych wobec Kandydata na Prezydenta M. W. negatywnych opinii mogących mieć wpływ na ostateczny wynik wyborów.
25.
Zgodnie z definicją zawartą w art. 105 § 1 Kodeksu wyborczego, agitacją wyborczą jest publiczne nakłanianie lub zachęcanie do głosowania w określony sposób, w tym w szczególności do głosowania na kandydata określonego komitetu wyborczego. Mając na uwadze powyższe należy uznać, że opisane wyżej działanie Administratora stanowiło agitację wyborczą w rozumieniu art. 105 § 1 Kodeksu wyborczego, w związku z czym w kwestiach nieuregulowanych przepisami Kodeksu wyborczego zastosowanie mają przepisy rozporządzenia 2016/679.

III. Przetwarzanie danych osobowych w ramach konferencji prasowej

26.
Zgodnie z art. 5 ust. 1 ustawy Prawo prasowe[5], każdy, zgodnie z zasadą wolności słowa i prawem do krytyki, może udzielać informacji prasie.
27.
W ramach interpretacji ww. przepisu wskazuje się, że w sytuacji, w której dojdzie do naruszenia dóbr osobistych w materiale prasowym, odpowiedzialność prawną ponosi osoba prezentująca dziennikarzowi informacje (tj. pracownik danej jednostki, rzecznik prasowy, współpracownik, bądź inna osoba działająca na zlecenie i w imieniu danej jednostki) (tak: M. Brzozowska-Pasieka [w:] M. Olszyński, J. Pasieka, M. Brzozowska-Pasieka, Prawo prasowe. Komentarz praktyczny, Warszawa 2013, art. 5.).
28.
Z kolei art. 14 ust 6 ustawy Prawo prasowe wskazuje, że nie wolno bez zgody osoby zainteresowanej publikować informacji oraz danych dotyczących prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby.
29.
W literaturze wskazuje się, że „Wolność słowa człowieka nie jest absolutna i bezgraniczna. Jest w wielu obszarach limitowana przedmiotowo i jakościowo ze względu na ochronę praw osób trzecich. Ograniczenia znajdują się w Konstytucji RP i ustawach zwykłych, a także ustanowione są poprzez powszechnie obowiązujące zasady współżycia społecznego (art. 5 KC). Część tych ograniczeń jest taka sama jak w przypadku dziennikarzy, a część inna (bardziej restrykcyjna lub dla odmiany liberalniejsza). Artykuły 47, 49 Konstytucji RP wraz z art. 23 KC nakazują każdemu poszanowanie cudzych dóbr osobistych, zwłaszcza czci i prywatności, wolności sumienia i komunikowania się” (tak: B. Kosmus, G. Kuczyński (red.), Prawo prasowe. Komentarz, wyd. 3, 2018).
30.
Celem konferencji prasowej, przy okazji której doszło do ujawnienia danych osobowych dwóch osób niepełniących funkcji publicznych, było „(…) udzielenie informacji na temat klarowności relacji między T. (…) a M. W., tj. iż T. (…) darzył M. W. pełnym zaufaniem (czego dowodzi ujawniony testament) oraz rynkowego charakteru transakcji zbycia nieruchomości (czego zaś dowodzi ujawniona umowa przedwstępna sprzedaży). Nie było celem konferencji prasowej ujawnianie danych T. (…), była to kwestia uboczna względem głównego celu konferencji”. Należy jednocześnie wskazać, że w treści pisma z 27 sierpnia 2025 r. Administrator kilkukrotnie powołuje się na „udzielanie informacji prasie” oraz transparentność życia publicznego, wskazując, iż „Prezentowanie zanonimizowanych, pozakreślanych czarnym markerem, dokumentów jawiłoby się w opinii publicznej jako pewnego rodzaju "wybieg", zabieg mający na celu "coś ukryć". Intencją Komitetu było pokazanie, że M. W. nie ma nic do ukrycia w przedmiocie zakupu nieruchomości od T. (…)”.
31.
Komitet Wyborczy w piśmie z 27 sierpnia 2025 r. wskazał, że w jego ocenie „Nie budzi wątpliwości, że w udzielaniu prasie informacji mieści się również ujawnianie dokumentów, dowodów, które stanowią pierwotne źródło faktów i informacji istotnych z dziennikarskiego punktu widzenia. W konsekwencji konferencja prasowa sztabu wyborczego, na którą zostali zaproszeni dziennikarze, była właściwym forum do m.in. zaprezentowania relewantnych fragmentów testamentu i umowy przedwstępnej”.
32.
W ocenie Prezesa UODO, ustnej i fizycznej publikacji danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych utrwalonych w dwóch dokumentach, tj. „(…)” oraz testamencie holograficznym T. U., która nastąpiła w trakcie konferencji prasowej w dniu 6 maja 2025 r., nie można rozsądnie uznać za działanie podyktowane potrzebami prowadzonej przez Administratora kampanii wyborczej. Prezes UODO, rozumiejąc powagę stawianych Kandydatowi na Prezydenta Rzeczypospolitej Polskiej zarzutów, nie może się jednak zgodzić ze stanowiskiem Administratora, iż „Nie da się zatem zwalczyć tez podnoszonych w materiałach prasowych na podstawie wybrakowanych, zanonimizowanych dokumentów. Nie można zatem przemilczać konkretów, faktów, w tym danych osobowych, bo bez nich twierdzenia Sztabu, prezentowane na konferencji prasowej, nie niosłyby za sobą jakiegokolwiek efektu perswazyjnego w stosunku do opinii publicznej, a w konsekwencji nie realizowałyby podstawowego, wyżej opisanego celu”. Cel konferencji prasowej z 6 maja 2025 r. Administrator mógł z całą pewnością osiągnąć bez ujawniania takich danych osobowych osób niepełniących funkcji publicznych, utrwalonych w treści dokumentów ujawnionych w trakcie konferencji prasowej z 6 maja 2025 r., jak imiona i nazwiska, imiona rodziców, numery ewidencyjne PESEL, serie i numery dowodu osobistego, adresy zamieszkania, czy szczegółowe informacje na temat sytuacji rodzinnej. Dane te były bowiem zupełnie zbędne „(…) aby zrealizować postulat transparentności, jawności i osiągnąć efekt polemiczny i perswazyjny w stosunku do tez prezentowanych przez media”.
33.
Podkreślić należy, że kwestionowane ujawnienie danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych nie miało żadnej wartości dodanej (dane te same w sobie nie przedstawiały żadnej konkretnej wartości informacyjnej istotnej z punktu widzenia celów konferencji prasowej) oraz było całkowicie zbędne w kontekście celu, w jakim konferencja prasowa sztabu wyborczego w dniu 6 maja 2025 r. została zwołana. Zakładane cele ww. konferencji prasowej, jako elementu kampanii wyborczej, tj. polemika z informacjami wskazującymi na budzące wątpliwości okoliczności nabycia przez Kandydata na Prezydenta RP określonej nieruchomości – mogły być osiągnięte również bez kwestionowanego ujawnienia danych osobowych.

IV. Ocena legalności przetwarzania (ujawnienia) danych osobowych w trakcie konferencji prasowej z 6 maja 2025 r.

34.
Art. 5 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W myśl art. 5 ust. 1 lit. a) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Przestrzeganie ww. zasady ściśle wiąże się z wymogami wynikającymi z art. 5 ust. 2 rozporządzenia 2016/679 – tj. z zasadą rozliczalności wymagającą od każdego administratora nie tylko respektowania reguł określonych w art. 5 ust. 1 rozporządzenia 2016/679, ale również do tego, aby być w stanie to wykazać.
35.
Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy spełniony jest co najmniej jeden z poniższych warunków:
a)
osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b)
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c)
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d)
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e)
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f)
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Należy zaznaczyć, że przepis art. 6 ust. 1 lit. f) rozporządzenia 2016/679 nie ma zastosowania do przetwarzania danych osobowych przez organy publiczne w ramach realizacji swoich zadań.
36.
Katalog przesłanek legalności przetwarzania danych osobowych wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych niezbędne i wystarczające jest spełnienie jednej z nich.
37.
Art. 6 ust. 1 rozporządzenia 206/679 enumeratywnie wymienia zatem materialne przesłanki dopuszczalności przetwarzania wszystkich kategorii danych osobowych, również tych określonych w art. 10 rozporządzenia 2016/679, wyłączając jedynie dane będące przedmiotem regulacji art. 9 rozporządzenia 2016/679. Spełnienie przynajmniej jednej z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 warunkuje legalność przetwarzania danych osobowych (legalność każdej czynności mieszczącej się w tym pojęciu) także w świetle art. 5 ust. 1 lit. a) rozporządzenia 2016/679, tj. zgodność tego przetwarzania z prawem (tak: M. Sakowska-Baryła (red.) Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018).
38.
Również motyw 40 preambuły rozporządzenia 2016/679 wskazuje, że „aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub państwa członkowskiego, o którym mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator (…)”.
39.
Wytyczne EROD 2/2019 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) w kontekście świadczenia usług online na rzecz osób, których dane dotyczą, z 8 października 2019 r.[6] wskazują, że „Zgodnie z art. 8 Karty praw podstawowych Unii Europejskiej dane osobowe muszą być przetwarzanie rzetelnie w określonych celach i na uzasadnionej podstawie przewidzianej ustawą. W tym względzie art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z sześciu warunków określonych w art. 6 ust. 1 lit. a-f. Określenie właściwej podstawy prawnej, która odpowiada celowi i istocie przetwarzania ma zasadnicze znaczenie. Administratorzy danych uwzględniają, między innymi, wpływ na prawa osób, których dane dotyczą, przy określaniu właściwej podstawy prawnej w celu poszanowania zasady rzetelności”.
40.
Aby móc w pełni dowieść legalności przetwarzania danych osobowych administrator musi z reguły wykazać, czy spełnione zostało kryterium „niezbędności” tego przetwarzania z punktu widzenia celu, któremu ma ono służyć. W art. 6 ust. 1 rozporządzenia 2016/679 prawodawca formułuje ten wymóg w pięciu na sześć przesłanek dopuszczalności przetwarzania danych osobowych (art. 6 ust. 1 lit. b)-f)). Zgodnie z Wytycznymi EROD 1/2024 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679 przyjętymi 8 października 2024 r.[7], ocena tego, co „niezbędne” obejmuje ustalenie, czy w praktyce uzasadnione interesy przetwarzania danych osobowych nie mogą być racjonalnie osiągnięte równie skutecznie za pomocą innych środków, które w znacząco mniejszym stopniu ograniczają prawa lub wolności osób fizycznych. W sytuacji, w której istnieją inne, równie skuteczne oraz mniej inwazyjne alternatywy, przetwarzanie nie może być uznawane za „niezbędne”. W tym kontekście TSUE wyraźnie wskazuje, że warunek dotyczący konieczności przetwarzania danych osobowych należy badać w powiązaniu z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, zgodnie z którą dane osobowe muszą być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”[8].
41.
Oznacza to, że administrator planując przetwarzanie danych osobowych zobowiązany jest zasadniczo do dokonania oceny „niezbędności” przetwarzania danych osobowych na podstawie wybranej przez siebie przesłanki i w kontekście zakładanego celu przetwarzania. Zgodnie z motywem 39 preambuły rozporządzenia 2016/679, „Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”. Oceniając kryterium „niezbędności” należy zatem mieć na uwadze cel oraz kontekst przetwarzania danych osobowych.
42.
Analiza treści pisma Administratora z 27 sierpnia 2025 r. pozwala ustalić, że celem ujawnienia dokumentów, tj. „(…)” oraz testamentu holograficznego Pana T. U. było odparcie zarzutów formułowanych przez media w stosunku do Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W.. Administrator wskazywał, że „Należy przy tym do wiedzy notoryjnej, dla każdego przeciętnego obserwatora debaty publicznej, iż w/w temat był jednym z głównych w kampanii wyborczej, który zdominował na dwa tygodnie kluczowego okresu przedwyborczego dyskusję publiczną w Polsce i co najistotniejsze, który niósł przekaz przede wszystkim o charakterze negatywnym w stosunku do osoby M. W.. W mediach społecznościowych wyzywany był od "oszustów", "członków mafii mieszkaniowej", "wyłudzacza mieszkania od seniora", "czyściciela kamienic". Stawiano zarzuty "porzucenia" osoby, w stosunku do której zobowiązał się nią opiekować, wykorzystania osoby starszej i "przejęcia" jej mieszkania za rzekomy "bezcen", poświadczenia nieprawdy w akcie notarialnym, lichwy”. Ponadto, „Rozwijająca się sytuacja i skala potencjalnych negatywnych skutków medialnych dla M. W., w razie dalszego kolportowania negatywnej narracji mogła być tak duża, iż nieodwracalnie ukształtowałaby jego negatywny obraz w oczach opinii publicznej i tym samym wpłynąć na wynik wyborów”. Komitet Wyborczy podkreślał również, że „Nie budzi wątpliwości, że układ faktyczny, z jakim mamy do czynienia w niniejszej sprawie – sprawa o olbrzymim zainteresowaniu społecznym, środek kampanii wyborczej, defamacja jednego z głównych pretendentów w wyścigu prezydenckim, zaangażowanie medialne największych koncernów prasowych w Polsce – uzasadniał podjęcie publicznej obrony, gdyż była to ochrona istotnych interesów M. W.. Nie budzi wątpliwości, że ochrona czci osoby publicznej, zwłaszcza walcząc o jedyną w swoim rodzaju życiową szansę tj. walkę o urząd Prezydenta RP – stanowi ważkie dobro podlegające ochronie w demokratycznym ustroju”.
43.
Komitet Wyborczy w w/w piśmie zaprezentował również stanowisko odnośnie do podstawy prawnej, na której oparł kwestionowane przetwarzanie (ujawnienie) danych osobowych, powołując art. 6 ust. 1 lit. e) i f) rozporządzenia 2016/679 oraz argumentował, że „Prawo do prawdziwego przedstawiania informacji na temat kandydata na Prezydenta RP i ochrona jego dobrego imienia w najgorętszym okresie kampanii wyborczej stanowi prawnie uzasadniony interes, realizowany przez konieczność zapewnienia szeroko rozumianej ochrony prawno-wizerunkowej kandydata, zwalczania dezinformacji, zwalczania budowania nieprawdziwej sylwetki osoby publicznej, daleko idących zarzutów o popełnienie przestępstwa i działania o charakterze niemoralnym”.
44.
W tym miejscu należy zatem wskazać, że przesłanka przetwarzania określona w art. 6 ust 1 lit. e) rozporządzenia 2016/679 zezwala na przetwarzanie danych osobowych w celu wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podkreślenia wymaga fakt, że „Omawiana przesłanka legalizująca przetwarzanie składa się z dwóch niezależnych od siebie warunków, których spełnienie pozwoli na przetwarzanie danych osobowych. Pierwszym z nich jest niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym, a drugim – niezbędność przetwarzania w ramach sprawowania władzy publicznej powierzonej administratorowi. Dla obu tych sytuacji podstawa przetwarzania musi być określona w przepisie prawa unijnego lub krajowego. Oznacza to, że zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej musi wynikać z przepisu prawa. Stwierdzenie, że taki przypadek występuje, to jednak za mało dla spełnienia omawianej przesłanki legalizującej przetwarzanie danych osobowych. Konieczne jest następnie, by dla wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej niezbędne było przetwarzanie określonych danych osobowych” (tak: W. Chomiczewski, D. Lubasz, A. Maciaszczyk, A. Szkurłat, Wybrane podstawy prawne przetwarzania danych osobowych: ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej, prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią, LEX/el. 2025). W literaturze pojawia się także stanowisko, które wskazuje, że w przypadku zadań realizowanych w interesie publicznym „(…) chodzi o działania prowadzone w interesie publicznym przy użyciu form nie władczych, np. świadczenie pomocy socjalnej, pomocy ofiarom klęsk żywiołowych, walka z terroryzmem, z działającymi niezgodnie z prawem sektami, przeciwdziałanie praniu brudnych pieniędzy itp. I choć w komentowanym przepisie mowa o przetwarzaniu danych "w ramach sprawowania władzy publicznej", w tym przypadku owego sprawowania władzy nie będziemy utożsamiać z takimi aktami władztwa publicznego, jak decyzje administracyjne, wyroki sądowe czy innego rodzaju akty indywidualno-konkretne stanowiące przejawy władztwa publicznego wobec osób fizycznych czy podmiotów prywatnych, z którymi wiąże się przetwarzanie danych osobowych”[9].
45.
Analizując zaś kwestię niezbędności przetwarzania danych osobowych w ramach sprawowania władzy publicznej powierzonej administratorowi należy wskazać, że „Przesłankę tę należy interpretować z uwzględnieniem przepisów konstytucyjnych, w szczególności art. 51 Konstytucji RP stanowiącego dyrektywę dla ustawodawcy zwykłego w zakresie stosowania zasady proporcjonalności. Poza tym, komentowana przesłanka nie kreuje generalnej podstawy przetwarzania danych osobowych przez organy władzy publicznej. Należy bezwzględnie uwzględniać przepisy regulujące zakres dopuszczalnych działań organów wyznaczony normatywnie. Oznacza to, że przetwarzanie danych powinno mieścić się w ramach rzeczowej i miejscowej właściwości podmiotu, który tego dokonuje. W praktyce przypadki stosowania tej przesłanki zapewne często będą zbieżne z tymi, które w poprzednim stanie prawnym znajdowały podstawę w przesłance określonej w art. 23 ust. 1 pkt 4 OchrDanychU[10], zgodnie z którym przetwarzanie było dopuszczalne, gdy było niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego”[11].
46.
Analizowana przesłanka wynikająca z art. 6 ust. 1 lit. e) rozporządzenia 2016/679 ma charakter otwarty, nie ma bowiem możliwości jednoznacznie określić katalogu zadań realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Nie sposób również wprost wskazać katalogu administratorów, którzy przetwarzanie mogą oprzeć na niniejszej przesłance. W literaturze wskazuje się jednak, że „Aktualność zachowuje tu stanowisko wyrażone przez NSA na tle art. 23 ust. 1 pkt 4 OchrDanychU, iż chodzi tu o zadania z zakresu bezpieczeństwa publicznego, walki z przestępczością, udzielania pomocy ofiarom klęsk żywiołowych itd., a podmiotami wykonującymi zadania publiczne mogą zaś być organy państwowe, samorządowe lub komunalne jednostki organizacyjne, a także inne podmioty wykonujące zadania publiczne, w tym podmioty niepubliczne (zob. wyr. NSA z 5.2.2008 r., I OSK 37/07, Legalis). Bez wątpienia natomiast chodzi tu o takie zadania, które administrator wykonuje – nawiązując do tradycyjnego podziału obszarów działalności podmiotów publicznych – w sferze imperium, a nie sferze dominum, a więc tam, gdzie realizuje swoje kompetencje z zakresu przyznanej mu władzy, nie zaś z zakresu działalności ściśle cywilnoprawnej, w tym zwłaszcza właścicielskiej w odniesieniu do majątku, którym dysponuje, czy też w sferze prawnopracowniczej wobec członków swojego personelu”[12].
47.
Analizując stan faktyczny niniejszej sprawy oraz mając na uwadze powyżej powołane przepisy rozporządzenia 2016/679 nie można zgodzić się ze stanowiskiem Administratora, że „Nie budzi (…) wątpliwości, że dane osobowe były przetwarzane "w realizacji zadań w interesie publicznym" ze względu na to, iż (…) cała sprawa budziła daleko idące zainteresowanie społeczne, a wypowiedzi na konferencji prasowej stanowiły wypowiedzi w sprawach mających publiczne znaczenie i o charakterze wyborczym, które zgodnie z orzecznictwem ETPCz korzystają z szerokiej ochrony prawnej na gruncie Europejskiej Konwencji Praw Człowieka i Podstawowych Wolności, będącej równoważnym dla RODO źródłem Prawa Unii Europejskiej”.
48.
Argumentacja Administratora prezentowana w toku przedmiotowego postępowania świadczy, że dążył on do uzasadnienia kwestionowanych działań potrzebą ochrony interesów określonej osoby (Kandydata na Prezydenta RP) – jak sam wskazał: „istotnych interesów M. W.” oraz „czci osoby publicznej, zwłaszcza walcząc o jedyną w swoim rodzaju życiową szansę tj. walkę o urząd Prezydenta RP”. Administrator zwracał uwagę, że jego działania służyły przeciwdziałaniu potencjalnym „skutkom medialnym dla M. W.” związanym z pojawiającymi się w przestrzeni publicznej informacjami na temat okoliczności nabycia przez niego określonej nieruchomości oraz przeciwdziałaniu kształtowaniu jego „negatywnego obrazu w oczach opinii publicznej”.
49.
Wydaje się, że argumentacja Administratora służyła również wykazaniu, że podejmowane w ramach kampanii wyborczej działania informacyjne dotyczące Kandydata na Prezydenta RP, są działaniami służącymi interesowi publicznemu, który Komitet Wyborczy wydaje się rozumieć jako prawo do dysponowania przez wyborców wiedzą wystarczającą z punktu widzenia podjęcia decyzji wyborczej. W oczywisty sposób jednak istnienia określonego interesu publicznego po stronie wyborców nie można utożsamiać z istnieniem określonego zadania służącego realizacji tego interesu (w rozumieniu art. 6 ust. 1 lit. e) rozporządzenia 2016/679) po stronie Komitetu Wyborczego. Celem komitetów wyborczych, wynikającym bezpośrednio z przepisów Kodeksu wyborczego, jest bowiem zgłaszanie kandydatów w wyborach, prowadzenie czynności wyborczych oraz prowadzenie na zasadzie wyłączności kampanii wyborczej na rzecz kandydatów (art. 84 Kodeksu wyborczego). Działania komitetów wyborczych są zatem ukierunkowane na osiąganie celów po stronie kandydatów, nie zaś na realizację określonych zadań publicznych. Tym bardziej zaś ich działania nie są realizowane w ramach władztwa publicznego.
50.
Dodatkowo należy kategorycznie wykluczyć, aby kwestionowane działania – tj. ujawnienie (upublicznienie na konferencji prasowej) danych osobowych dwóch osób niepełniących funkcji publicznych, zawartych w określonych dokumentach o ściśle prywatnym charakterze, spełniało wymóg niezbędności z punktu widzenia zakładanego celu, któremu służyło, tj. celu informacyjnego, wiążącego się z promocją określonego kandydata na Prezydenta RP (patrz pkt 37 niniejszej decyzji). Dokumenty, w których utrwalone zostały ww. dane i którymi posłużono się w trakcie konferencji prasowej 6 maja 2025 r., miały charakter ściśle prywatny (umowa zakupu nieruchomości i testament holograficzny). Organ nadzorczy nie neguje ich znaczenia z punktu widzenia Kandydata na Prezydenta RP i jego medialnego, czy szerzej publicznego wizerunku. Niemniej ww. cele (prezentowanie kandydata, budowanie jego wizerunku, polemika z argumentami kontrkandydatów) niewątpliwie mogły być osiągnięte bez ujawniania utrwalonych w ww. dokumentach danych osobowych osób niepełniących funkcji publicznych. W żadnej mierze nie można się zgodzić z Komitetem Wyborczym, że ujawnienie rzeczonych danych miało jakiekolwiek przełożenie na wiarygodność prezentowanych dokumentów (z których jeden stanowił akt notarialny o określonym numerze repertorium, drugi zaś testament holograficzny), czy pozytywne przełożenie na publiczny wizerunek Kandydata na Prezydenta RP, tym bardziej zaś, że było niezbędne z punktu widzenia zakładanych, wskazanych wyżej celów. Równie dobrze można byłoby argumentować przeciwnie: że ujawnienie rzeczonych danych motywowane potrzebami kampanii wyborczej i interesami Kandydata na Prezydenta RP, które – w ocenie Komitetu Wyborczego czy samego Kandydata – przeważają (w tym konkretnym przypadku) nad interesami obywatela, w tym nad jego prawem do prywatności (co wydaje się szczególnie jaskrawe z perspektywy spadkodawcy o ujawnionej tożsamości), mogło mieć negatywny wpływ na ocenę intencji bądź postawy Kandydata na Prezydenta RP, a zatem negatywny wpływ na jego wizerunek.
51.
Nie można także zgodzić się, że dane osobowe dwóch osób fizycznych niepełniących funkcji publicznych, jako znajdujące się w dokumencie urzędowym „(…) nie mają charakteru ściśle prywatnego – to nie poufna korespondencja między stronami, ale dokument urzędowy stanowiący podstawę dla doniosłych skutków w obrocie cywilnoprawnym tj. w zakresie dysponowania prawem do nieruchomości”. Literatura wskazuje, że w kontekście powoływanego przez Administratora przepisu art. 86 rozporządzenia 2016/679[13] „(…) pod pojęciem "dostępu do dokumentów urzędowych" należy rozumieć dwie instytucje: dostęp do informacji publicznej oraz ponowne wykorzystanie informacji sektora publicznego. (…) Pierwsze to prawo polityczne, którego celem jest zapewnienie jednostce wiedzy o tym, jak sprawowana jest władza i na co idą publiczne pieniądze, drugie ma zaś charakter ekonomiczny, bo informacje wypracowane przez podmioty publiczne przy okazji sprawowania władzy i realizowania zadań publicznych to atrakcyjny "surowiec", który może być użyty dla rozwoju gospodarczego [zob. A. Piskorz-Ryń (red.), Ustawa o ponownym wykorzystywaniu, s. 16-17]” (tak: M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018 r.). Biorąc pod uwagę charakter aktu notarialnego oraz to, że stanowi „podstawę dla doniosłych skutków w obrocie cywilnoprawnym” należy pamiętać, że istnieje system prawny chroniący akty notarialne przed nieuprawnionym dostępem. Jak wskazał Naczelny Sąd Administracyjny w wyroku z 25 marca 2025, sygn. akt III OSK 673/24: „Niewątpliwie częścią systemu prawnego chroniącego akty notarialne przed nieuprawnionym dostępem jest art. 110 § 1 i 2 ustawy z 14 lutego 1991 r. – Prawo o notariacie, który w § 1 stanowi, że akty notarialne wydaje się stronom aktu lub osobom, dla których zastrzeżono w akcie prawo otrzymania wypisu, a także ich następcom prawnym. Zgodnie z § 2 cyt. przepisu, wypis aktu notarialnego może być wydany także innym osobom, ale tylko za zgodą stron lub na podstawie prawomocnego postanowienia sądu okręgowego. W świetle powyższej regulacji nie jest wadliwe stanowisko, zgodnie z którym intencją ustawodawcy było ograniczenie dostępu do dokumentów, jakimi są akty notarialne, zwłaszcza gdy się zważy, że w sytuacji gdyby dostęp taki mógł uzyskać każdy w oparciu o przepisy u.d.i.p[14], unormowanie zawarte w art. 110 § 1 i 2 Prawa o notariacie nie znajdowałyby racjonalnego uzasadnienia, a sytuacja osób mających interes prawny w zakresie dostępu do aktu notarialnego byłaby gorsza niż każdej z osób ubiegających się o udostępnienie postaci tego dokumentu w oparciu o przepisy u.d.i.p. (…) ograniczenie dostępu do dokumentu, jakim jest akt notarialny, nie wyłącza dostępu do treści tego dokumentu w zakresie, w jakim treść ta ma charakter informacji publicznej”. Zgodnie z art. 5 ust. 2 ustawy z dnia 6 września 2021 r. o dostępie do informacji publicznej, prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz w przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. Podsumowując powyższe należy zatem podkreślić, że dane osobowe znajdujące się w aktach notarialnych podlegają ochronie na gruncie nie tylko rozporządzenia 2016/679, ale również na podstawie licznych ustaw funkcjonujących w polskim obrocie prawnym, a ich upublicznianie nie znajduje podstawy prawnej wynikającej ani z przepisu art. 6 ust. 1 rozporządzenia 2016/679, ani innych przepisów obowiązujących ustaw. Mając na uwadze dotychczasowe rozważania oraz stan faktyczny przedstawiony w niniejszej decyzji nie można przyjąć podstawy prawnej wynikającej z art. 6 ust. 1 lit. e) rozporządzenia 2016/679 jako prawidłowej podstawy prawnej legalizującej publiczne ujawnienie przez Administratora danych osobowych w trakcie konferencji prasowej w dniu 6 maja 2025 r.
52.
Komitet Wyborczy przyjął także, że kwestionowane przetwarzanie (ujawnienie) danych osobowych oparte jest na przesłance określonej w art. 6 ust. 1 lit. f) rozporządzenia 2016/679 argumentując, że „(…) prawnie uzasadnionym interesem realizowanym przez Administratora (tu: Komitet Wyborczy) było zatem realizowanie postulatu walki z dezinformacją w przestrzeni publicznej, zajęcia stanowiska w debacie publicznej, przedstawienia kontrargumentów, dokumentów, dowodów i faktów, aby w ten sposób wpłynąć na transparentność kampanii wyborczej. Tak realizowany interes służył nie tylko Komitetowi, ale wszystkim, którzy zamierzali skorzystać ze swoich praw w trakcie najważniejszego "święta demokracji" jakim są wybory i tak określony interes musi być nadrzędny in concreto względem interesów T. (…)”. Aby móc zasadnie powoływać się na ww. przesłankę, Administrator musi w odniesieniu do przetwarzania danych osobowych w określonych celach ocenić ważność tej podstawy dla każdego z celów. Zgodnie z zasadą rozliczalności sformułowaną w art. 5 ust 2 rozporządzenia 2016/679, administrator powinien odpowiednio udokumentować przeprowadzenie oceny uzasadnionego interesu. Jak podkreśliła EROD w Wytycznych 1/2024 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679, należy przy tym rozróżnić pojęcie interesu od pojęcia celu.
53.
Zgodnie z ww. Wytycznymi, „cel” to konkretny powód przetwarzania danych. Z drugiej strony „interes” to szerszy interes lub korzyść, jaką administrator lub strona trzecia może uzyskać angażując się w określoną czynność przetwarzania. Aby interes administratora można było uznać za uzasadniony musi być on zgodny z prawem, tj. administrator może go legalnie dochodzić i nie jest on sprzeczny z obowiązującym prawem unijnym oraz prawem krajowym. Ponadto, zastosowanie niniejszej przesłanki wymaga od administratora przeprowadzenia testu równowagi. Jak wynika bowiem z treści art. 6 ust. 1 lit. f) rozporządzenia 2016/679, przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
54.
Administrator powinien zatem zidentyfikować interesy oraz podstawowe prawa osób, których dane dotyczą, a następnie przeprowadzić ocenę wpływu (zarówno negatywnego, jak i pozytywnego) na te osoby. Jak wskazuje EROD w wytycznych 1/2024 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679, administrator może być zmuszony, aby wziąć pod uwagę również potencjalne, szersze skutki emocjonalne wynikające z utraty kontroli nad danymi osobowymi przez osobę, której dane dotyczą, lub uświadomienia sobie, że zostały one wykorzystane w niewłaściwy sposób lub naruszone.
55.
Z przekazanego przez Komitet Wyborczy materiału dowodowego wynika, że „W tym konkretnym wypadku interes prawny M. W. i Komitetu Wyborczego był nadrzędny nad interesami T. (…), albowiem bez ujawnienia danych osobowych, niemożliwe było skuteczne zwalczanie w/w dezinformacji i zapewnienie postulatu transparentności i jawności. M. W. jako osoba publiczna, wówczas kandydat na Prezydenta RP miał prawo się bronić, również w sytuacji, w której z uwagi na kontekst stanu faktycznego (orbitującego wokół dwustronnej umowy), konieczne było zaangażowanie danych osobowych sprzedawcy nieruchomości – T. (…)”. Równocześnie Administrator wskazał, że „Nie można zatem przemilczać konkretów, faktów, w tym danych osobowych, bo bez nich twierdzenia Sztabu, prezentowane na konferencji prasowej, nie niosłyby za sobą jakiegokolwiek efektu perswazyjnego w stosunku do opinii publicznej, a w konsekwencji nie realizowałyby podstawowego, wyżej opisanego celu. W tym więc kontekście ujawnienie danych z dokumentu urzędowego było niezbędne, aby zrealizować postulat transparentności, jawności i osiągnąć efekt polemiczny i perswazyjny w stosunku do tez prezentowanych przez media. Na tym polega istota debaty publicznej”.
56.
Nie ulega wątpliwości, iż przyjęcie nadrzędności interesów Komitetu Wyborczego i Kandydata na Prezydenta RP w niniejszej sprawie nastąpiło bez uwzględnienia możliwych konsekwencji dla osób, których dane dotyczą. Zgromadzony materiał dowodowy wskazuje bowiem na dokonanie analizy interesów (którym służyło kwestionowane przetwarzanie danych) i potencjalnych negatywnych konsekwencji (w sytuacji zaniechania kwestionowanego przetwarzania danych) wyłącznie z perspektywy Administratora. Administrator wskazywał również na istotę dóbr osobistych, czci oraz godności osobistej, jednocześnie wskazując, że „W żadnej mierze to nie oznacza, że M. W. wyżej ceni swoje dobra osobiste niż dobra osobiste T. (…) (jak w nieuprawniony sposób imputował Organ w równoległym postępowaniu). Oznacza to jedynie tyle, że w tym konkretnym układzie faktycznym i w swoistym stanie wyższej konieczności ujawnienie danych osobowych było konieczne dla ochrony nie tylko dobrego imienia kandydata na Prezydenta RP, ale również 1) uczciwości kampanii wyborczej i debaty publicznej 2) transparentności życia publicznego, 3) walki z dezinformacją 4) walki z działaniami, które mogły wypaczyć wynik wyborczy. I to te aspekty przedmiotowe mają przeważające znaczenie dla ustalenia, że istnieje "uzasadniony interes prawny" w przetwarzaniu danych osobowych, niezależnie od tego kogo byłby w/w kandydatem na Prezydenta RP i czyje dane osobowe byłyby ujawnione”. Pomijając nawet kwestię zasadności powoływania się przez Administratora na potrzebę realizacji ww. prawnie uzasadnionych interesów (które zasadniczo, z uwagi na niedookreślony, niemal blankietowy charakter mogłyby być wskazane przez relatywnie szeroki krąg podmiotów), z powyższym stanowiskiem nie można zgodzić się z tego względu, że pomija ono wymóg niezbędności przetwarzania danych z punktu widzenia celu, któremu ma ono służyć. Jak wskazuje literatura, „Ocena taka musi być podejmowana w odniesieniu do przetwarzania w ogóle, a także w odniesieniu do poszczególnych kategorii danych osobowych. Drugim krokiem jest zbadanie, czy w analizowanym stanie faktycznym występują interesy, podstawowe prawa i wolności podmiotu danych, które wymagają ochrony danych osobowych. Podstawowych praw i wolności należy poszukać w podstawowych regulacjach prawnych, między innymi w Konstytucji Rzeczypospolitej Polskiej, Karcie praw podstawowych Unii Europejskiej czy europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. Z kolei pojęcie interesów należy rozumieć subiektywnie i weryfikować ich występowanie w odniesieniu do konkretnej osoby, której dane osobowe mają być przetwarzane. Na koniec należy zestawić ze sobą prawnie uzasadnione interesy administratora oraz interesy, podstawowe prawa i wolności podmiotu danych, które wymajać ochrony danych osobowych” (tak: W. Chomiczewski, D. Lubasz, A. Maciaszczyk, A. Szkurłat, Wybrane podstawy prawne przetwarzania danych osobowych: ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej, prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią, LEX/el. 2025.). Samo zdefiniowanie uzasadnionego interesu prawnego administratora nie zezwala zatem na przetwarzanie danych osobowych bez przeprowadzenia wcześniejszej, stosownej oceny niezbędności, której przeprowadzenia Komitet Wyborczy nie wykazał – ograniczając się zasadniczo do argumentów dotyczących rzekomego wpływu ewentualnej anonimizacji dokumentów na ich wiarygodność oraz na wiarygodność Kandydata na Prezydenta RP. Reasumując, niezasadne jest założenie, że kwestionowane przetwarzanie danych osobowych znajdowało oparcie w przesłance z art. 6 ust. 1 lit. f) rozporządzenia 2016/679.
57.
W tym miejscu istotne jest powołanie prezentowanego w literaturze stanowiska, iż „Politycy świadomie i w sposób nieunikniony wystawiają się na ostrą kontrolę i reakcję na każde wypowiedziane słowo i wszystko, co robią dziś i co robili w przeszłości, ze strony zarówno dziennikarzy, jak i ogółu. Muszą więc być bardziej tolerancyjni, nawet wobec szczególnie brutalnych ataków na nich. Zasada ta odnosi się nie tylko do polityków, ale do każdej osoby obecnej w sferze publicznej ze względu na swoją działalność lub zajmowane stanowisko” (tak: M. A. Nowicki [w:] Komentarz do Konwencji o ochronie praw człowieka i podstawowych wolności [w:] Wokół Konwencji Europejskiej. Komentarz do Europejskiej Konwencji Praw Człowieka, wyd. VIII, Warszawa 2021 r., art. 10). Powyższe ma szczególne znaczenie biorąc pod uwagę okoliczności, w których doszło do naruszenia przepisów rozporządzenia 2016/679, tj. trwającą kampanię wyborczą oraz stanowisko, o które w jej trakcie ubiegali się zgłoszeni kandydaci, jak również fakt, że Pan M. W. jako Kandydat na Prezydenta Rzeczypospolitej Polskiej reprezentowany przez Komitet Wyborczy, będący w niniejszej sprawie Administratorem, popierany był przez jedną z dwóch konkurujących ze sobą partii politycznych posiadających największe poparcie wśród obywateli. Politycy kandydujący na urząd Prezydenta Rzeczypospolitej Polskiej niewątpliwie częściej podlegają kontroli społeczeństwa, a każda ich wypowiedź bądź obecność w mediach podlegają bardzo wnikliwej krytyce, co wynika chociażby z przywołanych przez Administratora w toku prowadzonego postępowania licznych artykułów prasowych. Niezależnie od politycznych sympatii, działalność każdego z kandydatów podlega ocenie obywateli, którzy chcąc świadomie brać udział w „święcie demokracji”, jakim są wybory, analizują dotychczasowe osiągnięcia, wykształcenie, przynależność polityczną oraz wypowiedzi kandydatów. Administrator winien o tym pamiętać, zwłaszcza powołując się na art. 54 Konstytucji Rzeczypospolitej Polskiej („Każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji”) oraz art. 10 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności („Każdy ma prawo do wolności wyrażania opinii. Prawo to obejmuje wolność posiadania poglądów oraz otrzymywania i przekazywania informacji i idei bez ingerencji władz publicznych i bez względu na granice państwowe (…).”
58.
Wśród wyjaśnień Administratora nie znalazły się jednak rozważania nad ryzykiem naruszenia praw lub wolności osób fizycznych, których dane zostały ujawnione w ramach prowadzonej konferencji. Przyjęty prymat interesów Administratora nie został poparty żadną analizą, która wskazywałaby na znaczący nadrzędny charakter tych interesów, a przecież wśród naruszonych danych osobowych znalazły się nie tylko dane w postaci imienia i nazwiska, ale także imiona rodziców, numery ewidencyjne PESEL, numery i serie dowodów osobistych, numery NIP, adresy zamieszkania, a także szerokie informacje na temat ściśle prywatnej, rodzinnej sytuacji Pana T. U. Nie ma wątpliwości, że ujawnienie tych wszystkich danych osobowych w ramach konferencji prasowej stanowi niezwykle silną ingerencję w prywatność osób, których dane dotyczą i może prowadzić do trudnych do pokonania konsekwencji, które częściowo zmaterializowały się, gdyż dane osobowe jednej z osób fizycznych wykorzystane zostały bez jej zgody do prowadzenia medialnej dyskusji na wielu płaszczyznach kampanii wyborczej. Z uwagi na ww. zakres danych osobowych ujawnionych w ramach konferencji prasowej z 6 maja 2025 r., nie stanowi istotnego argumentu w sprawie ten dotyczący publicznej dostępności części danych osobowych Pana T. U. jeszcze przed ww. konferencją (patrz pkt I uzasadnienia decyzji). Raz jeszcze zaznaczyć należy, że ujawnienie części tych danych, również przez samego Pana T. U., nie pozbawia go prawa do ochrony prywatności. W ocenie organu nadzorczego, kwestionowane działanie Komitetu Wyborczego w istotny sposób godziło w ww. prawa podmiotu danych. Należy przy tym zaznaczyć, że uwagi niniejsze mają charakter uzupełniający, stanowiąc zarazem odpowiedź na argumenty Komitetu Wyborczego i powoływane przez niego dowody. Już bowiem wykazanie, że ujawnienie rzeczonych danych nie było niezbędne z punktu widzenia deklarowanych celów, którym miała służyć, wystarczy, aby uznać, że nie znajdowało prawnego uzasadnienia w art. 6 ust. 1 lit. f) rozporządzenia 2016/679.
59.
W ocenie Prezesa UODO ujawnianie w trakcie konferencji prasowej Komitetu Wyborczego w dniu 6 maja 2025 r. danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych w postaci danych osobowych znajdujących się w przywołanych wcześniej dokumentach w omawianym przypadku było całkowicie zbędne. Ponadto należy pamiętać, że w obowiązującym prawie istnieją mechanizmy ochrony dóbr osobistych określone przepisami Kodeksu Cywilnego, z których może skorzystać każdy obywatel, nie narażając przy tym danych osobowych innych osób na upublicznienie, które może prowadzić do poważnych konsekwencji dla tych osób.
60.
Reasumując, kwestionowane działania Administratora w obszarze przetwarzania danych nie mogą być ocenione jako prawnie dopuszczalne na gruncie art. 6 ust. 1 lit. f) rozporządzenia 2016/679. Z zebranego materiału dowodowego wynika, że Komitet Wyborczy działał dla realizacji celów własnych, określonych w przepisach Kodeksu Wyborczego, tj. związanych ściśle i bezpośrednio z prowadzoną kampanią wyborczą, obliczonych na budowanie możliwie najkorzystniejszego wizerunku i promocję Kandydata na Prezydenta RP, w szczególności poprzez polemikę z argumentami kontrkandydatów w wyborach oraz przeciwników politycznych, a także z negatywnymi czy niekorzystnymi informacjami pojawiającymi się w przestrzeni publicznej, w tym medialnej. Kwestionowane ujawnienie danych osobowych nie było przy tym niezbędne z punktu widzenia tak definiowanych celów, a zarazem godziło w prawa lub wolności osób, których dane dotyczą.
61.
Mając na uwadze także to, że Administrator w piśmie z 27 sierpnia 2025 r. wskazał, że „W zakresie danych osobowych M. W. i R. W., ich dane osobowe były przetwarzane na podstawie zgody (art. 6 ust. 1 lit. a) – sami zainteresowani zresztą przekazali dokumenty źródłowe komitetowi wyborczemu, w celu przeprowadzenia konferencji prasowej” podkreślenia wymaga, że Administrator w toku prowadzonego postępowania nie wykazał przed organem nadzorczym faktu wyrażenia takiej zgody. Należy pamiętać, że zgodnie z art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie. Samo oświadczenie Administratora, iż przetwarzanie odbywa się na podstawie zgody nie jest wystarczające dla przyjęcia przez organ legalności takiego przetwarzania na warunkach określonych w art. 6 ust. 1 lit. a) rozporządzenia 2016/679. Jednocześnie, mając na uwadze przepisy art. 4 pkt 11 i art. 7 rozporządzenia 2016/679 określające warunki, od spełnienia których uzależniona jest możliwość przyjęcia, że określone oświadczenie woli stanowi zgodę na przetwarzanie danych, legalizującą to przetwarzanie na warunkach określonych w art. 6 ust. 1 lit. a) rozporządzenia 2016/679, należy nadmienić, że w oczywisty sposób czynność faktyczna polegająca na przekazaniu/ wręczeniu określonego dokumentu, nie jest tożsama z wyrażeniem zgody na określone czynności przetwarzania danych w nim utrwalonych. Co istotne, zaistnienie określonej przesłanki przetwarzania danych (w omawianym przypadku zgody) wymaga analizy i wykazania przed organem nadzorczym w odniesieniu do każdej czynności przetwarzania danych, w tym np. ich upublicznienia.
62.
Jednocześnie, mając na uwadze zawarty w piśmie z 27 sierpnia 2025 r. wniosek Administratora o „wyjaśnienie i skonkretyzowanie przedmiotu postępowania, albowiem sposób określenia przez Organ przedmiotu sprawy uniemożliwia identyfikację konkretnego zdarzenia, z którym Organ wiąże naruszenie ochrony danych osobowych, a także osób, których zastrzeżenia Organu dotyczą, a w konsekwencji, co uniemożliwia stronie czynny udział w postępowaniu i podjęcie obrony swoich racji (art. 10 § 1 KPA)”, należy wskazać, że cytowany wniosek jest oczywiście bezzasadny. Pismem z 26 czerwca 2025 r. Prezes UODO wezwał Komitet Wyborczy do złożenia wyjaśnień odnośnie do okoliczności przedmiotowej sprawy, natomiast pismem z 22 lipca 2025 r. zawiadomił Administratora o wszczęciu w niej postępowania administracyjnego z urzędu. W odpowiedzi Komitet Wyborczy odniósł się do pytań organu nadzorczego oraz przedstawił tło faktyczno-prawne konferencji prasowej z 6 maja 2025 r. opisując jej przebieg, określając cel, a także wskazując na podstawy prawne uzasadniające (w ocenie Administratora) kwestionowane przetwarzanie danych osobowych oraz potwierdzając fakt posiadania dokumentów, których treść została przedstawiona podczas wystąpienia. Jednocześnie Administrator sam wskazał osoby, których dane osobowe znalazły się w ujawnionych dokumentach. Zgłaszane na obecnym etapie postępowania wątpliwości Komitetu Wyborczego odnośnie do przedmiotu prowadzonego postępowania oceniono zatem jako oczywiście niezasadne, natomiast ewentualne wyjaśnienia organu nadzorczego jako zbędne i skutkujące wyłącznie niepotrzebnym przedłużaniem prowadzonych czynności. Całkowicie chybiony jest przy tym zarzut rzekomego braku możliwości wzięcia czynnego udziału w postępowaniu, zwłaszcza mając na uwadze, że pismo z 27 sierpnia 2025 r., stanowiące reakcję na informację o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, liczy 89 stron i obejmuje bardzo szerokie informacje dotyczące prowadzonej sprawy, w tym liczne odniesienia do zdarzenia z 6 maja 2025 r. oraz stanowisko Administratora wobec zarzutu naruszenia określonych przepisów rozporządzenia 2016/679. Korespondencja ta potwierdza, że Administrator ma świadomość co do przedmiotu postępowania administracyjnego, zakresu prowadzonych czynności i bierze w nich czynny udział.
63.
Podsumowując powyższe rozważania Prezes UODO stwierdził, że przetwarzanie danych osobowych polegające na ujawnieniu danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych, tj.: danych osobowych osób będących stronami umowy kupna-sprzedaży nieruchomości (imion, nazwisk, imion rodziców, numerów ewidencyjnych PESEL, numerów i serii dowodów osobistych, numerów NIP, adresów zamieszkania) oraz danych osobowych spadkodawcy – autora testamentu holograficznego (imię, nazwisko, informacja o sytuacji rodzinnej oraz sposobie rozporządzenia majątkiem), utrwalonych w treści dokumentu p.n. „(…)” oraz w treści testamentu holograficznego, zaprezentowanych przez posła H. B. i omawianych w trakcie konferencji prasowej Komitetu Wyborczego Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. w dniu 6 maja 2025 r. w siedzibie partii D. (…), nie znajdowało podstaw prawnych, w tym nie znajdowało oparcia w powołanych przez Administratora przepisach art. 6 ust. 1 lit. e) i f) rozporządzenia 2016/679. Ww. działania nie zostały również zrealizowane na warunkach określonych w art. 6 ust. 1 lit. a) rozporządzenia 2016/679 (przy czym w świetle argumentacji Administratora przesłanka ta miałaby znaleźć zastosowanie w odniesieniu do jednej z osób fizycznych, których dane ujawniono – patrz pkt 60 decyzji). Natomiast szerszą analizę pozostałych przesłanek przetwarzania danych należy uznać za zbędną. Oczywistym jest bowiem, że kwestionowane przetwarzanie (ujawnienie) danych nie było realizowane w wykonaniu jakiejkolwiek umowy z podmiotami danych (brak przesłanki z art. 6 ust. 1 lit. b) rozporządzenia 2016/679), w wykonaniu obowiązku prawnego ciążącego na Administratorze (brak przesłanki z art. 6 ust. 1 lit. c) rozporządzenia 2016/679), ani nie było niezbędne do ochrony żywotnych interesów osób, których dane dotyczą lub innej osoby fizycznej (brak przesłanki z art. 6 ust. 1 lit. d) rozporządzenia 2016/679). Ww. czynności przetwarzania danych wiązały się zatem z naruszeniem art. 6 ust. 1 rozporządzenia 2016/679, a w konsekwencji z naruszeniem zasady zgodności z prawem, rzetelności i przejrzystości, określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679.

V. Administracyjna kara pieniężna

64.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i ukierunkowane jest na wydanie decyzji administracyjnej, w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Mając na uwadze powyższe, jak również stwierdzone w niniejszym postępowaniu naruszenia przepisów o ochronie danych osobowych, Prezes UODO – korzystając z uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 – stwierdził, że w rozpatrywanej sprawie zmaterializowały się przesłanki uzasadniające nałożenie na Komitet Wyborczy administracyjnej kary pieniężnej.
65.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

V.A. Zachowania podlegające administracyjnym karom pieniężnym i zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

66.
Stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
67.
Wobec stwierdzenia, że Komitet Wyborczy dopuścił się w analizowanym stanie faktycznym naruszenia dwóch odrębnych przepisów rozporządzenia 2016/679 (tj. art. 6 ust. 1, skutkującego naruszeniem art. 5 ust. 1 lit. a)), Prezes UODO zobowiązany był uwzględnić przytoczoną w poprzedzającym akapicie regulację celem rozważenia, czy okoliczności niniejszej sprawy determinują skorzystanie przez organ nadzorczy z wyłącznie jednego, czy też z kilku środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679 – a precyzyjniej, czy organ powinien nałożyć na Komitet Wyborczy wyłącznie jedną administracyjną karę pieniężną, stanowiącą odpowiedź na oba popełnione przez niego naruszenia, czy też odrębne i samoistne kary dla każdego z tych naruszeń rozpatrywanych osobno.
68.
Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia, Prezes UODO skorzystał z metodyki obliczania administracyjnych kar pieniężnych przyjętej przez EROD, zgodnie z którą pierwszym krokiem do dalszych obliczeń jest „ocena zastosowania art. 83 ust. 3 [rozporządzenia 2016/679]”[15] poprzez ustalenie:
a)
czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze,
b)
w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń oraz,
c)
w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle[16].
69.
Określenie „jedno zachowanie” należy przy tym interpretować w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania”. Zgodnie z przyjętą przez EROD wykładnią, „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”[17].
70.
Odnosząc powyższe do okoliczności rozpatrywanej sprawy Prezes UODO uznał, że przypisane Administratorowi naruszenia – polegające na bezprawnym ujawnieniu danych osobowych (zakres których szczegółowo przywołano w pkt 2 uzasadnienia) dwóch osób fizycznych niepełniących funkcji publicznych, w trakcie konferencji prasowej Komitetu Wyborczego Kandydata na Prezydenta Rzeczypospolitej Polskiej M. W. w dniu 6 maja 2025 r. w siedzibie partii D. (…) – stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Za taką interpretacją przemawia fakt, że naruszenia te popełnione zostały w ramach jednej i tej samej operacji przetwarzania, na skutek tego samego, jednorazowego działania Administratora. Dodatkowo były one wynikiem jednego aktu woli Administratora, ukierunkowanego na realizację tego samego, z góry ustalonego celu (za taki należy bowiem poczytywać prowadzenie przez Komitet Wyborczy agitacji wyborczej). Kwestionowane przez organ nadzorczy działania Administratora dotyczyły ponadto tego samego zestawu danych osobowych dwóch zidentyfikowanych osób fizycznych. Tym samym zbieżne w odniesieniu do obu zarzucanych Komitetowi Wyborczemu naruszeń pozostają również kategorie danych osobowych, których dotyczyły naruszenia, jak i tożsamość osób w ich wyniku poszkodowanych. Uwzględniając powyższe okoliczności – wskazujące na jedność czasową oraz przedmiotową stwierdzonych naruszeń, będących efektem jednego procesu decyzyjnego Administratora – Prezes UODO zakwalifikował te naruszenia jako wypełniające dyspozycję art. 83 ust. 3 rozporządzenia 2016/679.
71.
Jednocześnie organ stwierdził, że ujawnienie przez Komitet Wyborczy danych osobowych Pana T. U. oraz Pani R. W. nie znajdowało oparcia w przepisach prawa, albowiem Administrator nie legitymował się w dacie owego ujawnienia żadną z ważnych przesłanek przetwarzania, enumeratywnie wymienionych w art. 6 ust. 1 rozporządzenia 2016/679. Brak spełnienia choćby jednego warunku zgodności przetwarzania danych osobowych z prawem skutkował bezpośrednio naruszeniem normy wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Należy przy tym stwierdzić, że powołany art. 5 ust. 1 lit. a) rozporządzenia 2016/679 ustanawia w tym względzie ogólną zasadę przetwarzania danych osobowych, która wyznacza ramy całego systemu ochrony danych. Zgodność przetwarzania z prawem, rozumiana jako koncepcja nadrzędna, została doprecyzowana na gruncie pozostałych przepisów rozporządzenia 2016/679, ustanawiających konkretne obowiązki – których adresatami są administratorzy i podmioty przetwarzające – oraz skorelowane z nimi prawa osób, których dane dotyczą. Takim przepisem konkretyzującym bez wątpienia jest również art. 6 ust. 1 rozporządzenia 2016/679. W tym kontekście należy wyjaśnić, że stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie – art. 5 ust. 1 lit. a)) nie wyklucza przypisania administratorowi naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad (w tym wypadku – art. 6 ust. 1) i nałożenia, za oba te naruszenia, sankcji finansowej.
72.
Stwierdziwszy więc, że w analizowanym stanie faktycznym Komitet Wyborczy w ramach tej samej operacji przetwarzania naruszył więcej aniżeli jeden przepis rozporządzenia 2016/679, oraz że żadne ze stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – możliwości przypisania Administratorowi drugiego z nich, w niniejszym postępowaniu odpowiedzialność Administratora powinna kształtować się „równolegle” w stosunku do wszystkich popełnionych przez ww. naruszeń. W takiej sytuacji zastosowanie znajdzie przepis art. 83 ust. 3 rozporządzenia 2016/679.
73.
Podsumowując, administracyjna kara pieniężna zastosowana wobec Komitetu Wyborczego została nałożona za naruszenie art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679, na podstawie art. art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Kara ta, wymierzona łącznie za naruszenie obu powyższych przepisów – stosownie do brzmienia art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie. Zgodnie ze stanowiskiem wyrażonym przez EROD „sformułowanie «wysokość kary za najpoważniejsze naruszenie» odnosi się do ustawowych maksymalnych kwot kar pieniężnych” określonych w art. 83 ust. 4–6 rozporządzenia 2016/679[18]. Tym samym najpoważniejszym naruszeniem w analizowanej sprawie będzie to, dla którego prawodawca unijny przewidział wyższy próg maksymalnego zagrożenia administracyjną karą pieniężną. Zważywszy na fakt, że każde z zarzucanych Komitetowi Wyborczemu naruszeń stypizowane jest w art. 83 ust. 5 lit. a) rozporządzenia 2016/679, przewidującym takie samo maksymalne zagrożenia administracyjną karą pieniężną (do 20 000 000 EUR lub do 4 % rocznego obrotu), naruszenia te należy traktować jako jednakowo „poważne”. Konsekwencją tego jest zaś niemożność orzeczenia, za wymienione powyżej naruszenia, kary o wysokości wyższej niż maksymalna wysokość kary za jedno z nich, tj. kwoty 20 000 000 EUR – ze względu na konieczność przyjęcia w odniesieniu do Administratora tzw. „statycznego maksimum kary” (zob. pkt 97 uzasadnienia).

V.B. Przesłanki wymiaru administracyjnej kary pieniężnej – zastosowanie art. 83 ust. 2 rozporządzenia 2016/679.

74.
Decydując o nałożeniu na Komitet Wyborczy administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

Charakter, waga i czas trwania naruszeń przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679)

75.
Przypisane Komitetowi Wyborczemu naruszenia mają wysoką wagę oraz poważny charakter wyrażający się w tym, iż godzą one w fundamentalną z punktu widzenia ram całego systemu ochrony danych osobowych zasadę przetwarzania tych danych, tj. zasadę zgodności z prawem, rzetelności i przejrzystości (przy czym optyka niniejszej sprawy skupia się na pierwszym z ww. aspektów). Zasada legalności przetwarzania, jako norma nadrzędna wobec pozostałych norm wynikających z przepisów rozporządzenia 2016/679, powinna być bezwzględnie respektowana przez każdego administratora, niezależnie od jego rodzaju (podmiot publiczny lub prywatny), formy prawnej (osoba fizyczna, prawna lub inny podmiot) czy realizowanych przezeń interesów i zadań (publicznych lub własnych, wykonywanych odpłatnie lub pro bono). Obciążający wpływ na wymiar nałożonej na Administratora sankcji finansowej ma również fakt, iż sprawcą naruszeń jest komitet wyborczy kandydata na Prezydenta Rzeczypospolitej Polskiej, a zatem na najwyższy urząd państwowy. Zgodnie z art. 126 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.[19] Prezydent jest najwyższym przedstawicielem Rzeczypospolitej Polskiej i gwarantem ciągłości władzy państwowej, czuwa nad przestrzeganiem Konstytucji, stoi na straży suwerenności, bezpieczeństwa państwa oraz nienaruszalności i niepodzielności jego terytorium. Wynikająca z ww. przepisu ustawy zasadniczej doniosłość wzmiankowanej funkcji uzasadnia przekonanie, że w toku prowadzonej kampanii wyborczej zarówno sam kandydat na Prezydenta Rzeczypospolitej Polskiej, Pan M. W., jak również prowadzący agitację wyborczą na jego rzecz Komitet Wyborczy, powinni stosować najwyższe standardy w zakresie poszanowania prawa (w tym prawa jednostki do ochrony jej danych osobowych przetwarzanych w związku z prowadzoną przez Administratora polemiką wyborczą). Okoliczność odpierania zarzutów godzących w interesy Pana M. W. – potencjalnie mogących mieć wpływ na jego ostateczny wynik wyborczy – w żadnym wypadku nie zwalniała Komitetu Wyborczego z tej powinności.
76.
Na niekorzyść Administratora organ nadzorczy uwzględnia także cel analizowanego przetwarzania. Zgodnie bowiem ze stanowiskiem EROD, „organ nadzorczy może również rozważyć, czy przetwarzanie danych osobowych wchodzi w zakres tzw. głównej działalności administratora. Im większe znaczenie ma przetwarzanie dla głównej działalności administratora lub podmiotu przetwarzającego, tym poważniejsze będą nieprawidłowości w zakresie tego przetwarzania. W takich okolicznościach organ nadzorczy może przypisać temu czynnikowi większą wagę”[20]. Mając na względzie dokonaną już poprzednio szczegółową analizę zadań realizowanych przez Komitet Wyborczy, w ramach których dane osobowe mogą być przetwarzane (zob. pkt 17-20 uzasadnienia), w tym miejscu wystarczające jest wskazanie, że ujawnienie danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych, podczas konferencji prasowej zorganizowanej przez Administratora, miało ścisły związek z jedną z podstawowych jego funkcji, jaką jest prowadzenie agitacji wyborczej. Jak wynika ze zgromadzonego materiału dowodowego, w tym zwłaszcza wyjaśnień Administratora, upublicznienie treści dokumentów o charakterze ściśle prywatnym (tj. „(…)” oraz testamentu holograficznego Pana T. U.) ukierunkowane było na realizację z góry założonego przez Komitet Wyborczy celu, tj. budowanie pozytywnego wizerunku popieranego kandydata – z zupełnym pominięciem kwestii ochrony praw osób, których ujawnione dane dotyczyły. W tych okolicznościach cel tego przetwarzania należy uznać za czynnik wpływający obciążająco – w stopniu znacznym – na wymiar orzeczonej administracyjnej kary pieniężnej.
77.
Obciążający wpływ na ocenę przesłanki ujętej w art. 83 ust. 2 lit. a) rozporządzenia 2016/679 ma również zakres kwestionowanego przetwarzania. Za taką kwalifikacją przemawia fakt, że do bezprawnego ujawnienia danych osobowych Pana T. U. oraz Pani R. W. doszło podczas wydarzenia medialnego, do udziału w którym X. (…) zaprosiło przedstawicieli środków masowego przekazu. Poruszana podczas konferencji prasowej w dniu 6 maja 2025 r. problematyka (dotycząca „sprawy o olbrzymim zainteresowaniu społecznym”) komentowana była szeroko w massmediach o zasięgu krajowym. Materiał audiowizualny z zapisem przebiegu konferencji oraz materiał zdjęciowy, na którym utrwalono niezanonimizowaną treść dokumentów zaprezentowanych przez posła H. B., były wielokrotnie powielane – zarówno w publikacjach prasowych, jak i w mediach społecznościowych. Organizacja przez Komitet Wyborczy ww. konferencji prasowej w sposób umożliwiający natychmiastowe rozpowszechnienie danych osobowych Pana T. U. oraz Pani R. W. – co szczególnie istotne, w sprawie cieszącej się żywym zainteresowaniem opinii publicznej w związku z nadchodzącymi wyborami prezydenckimi – nakazuje przyjąć, że poddane ocenie przetwarzanie miało zasięg krajowy. Bez wpływu na tę ocenę pozostaje okoliczność, że ujawnione niezgodnie z prawem dane osobowe dotyczyły wyłącznie dwóch osób fizycznych.
78.
Negatywnie w kontekście decyzji o zastosowaniu oraz dolegliwości wybranego środka naprawczego Prezes UODO ocenia również czas trwania przypisanych Komitetowi Wyborczemu naruszeń. O ile bowiem bezprawne zachowanie Administratora było działaniem jednorazowym, o tyle należy stwierdzić, że skutki naruszenia prawa dla osób, których dane dotyczą, trwają do dziś. Fakt upublicznienia ich danych osobowych podczas wydarzenia z udziałem ogólnopolskich mediów, w sposób umożliwiający ich utrwalenie i dalsze rozpowszechnienie – zwłaszcza w sieci Internet, w której każdy użytkownik może się z nimi w dowolnym momencie zapoznać, skopiować czy udostępnić poza nadzorem Administratora i bez zgody podmiotów danych – przemawia za uznaniem, że przetwarzanie tych danych może odbywać się obecnie poza jakąkolwiek kontrolą. Skutki tego przetwarzania dla osób, których dane dotyczą, mogą być zaś długofalowe i nieprzewidywalne.
79.
Łagodzący wpływ na ustalenie wymiaru administracyjnej kary pieniężnej – choć w ograniczonym stopniu – miała liczba poszkodowanych osób, bezpośrednio dotkniętych naruszeniem. Ograniczenie to wynika z faktu, że choć bezprawnie ujawnione dane osobowe dotyczyły wyłącznie dwóch, zidentyfikowanych osób fizycznych (z których jedna aktywnie angażowała się w kampanię wyborczą wspierając działania Komitetu Wyborczego, tożsamość drugiej była zaś znana opinii publicznej już w przededniu zaistnienia naruszeń), to jednak stwierdzone po stronie Administratora uchybienia w zakresie przetwarzania danych w sposób pośredni naruszały sferę prywatności również innych, aniżeli wskazane w niniejszej decyzji, osób. Uwaga ta dotyczy zwłaszcza członków rodziny (tj. żony oraz dzieci) Pana T. U., jako że informacje ujawnione przez Komitet Wyborczy podczas konferencji prasowej w dniu 6 maja 2025 r. dotyczyły m.in. braku utrzymywania relacji przez ww., faktu wykluczenia członków rodziny z dziedziczenia po Panu T. U. oraz sposobu rozporządzenia przez niego swoim majątkiem na wypadek śmierci. Ujawnienie wskazanych informacji skutkowało wzrostem zainteresowania mediów oraz wyborców życiem prywatnym osób, które nie miały nic wspólnego z prowadzoną kampanią prezydencką.
80.
Mimo braku pozyskania dowodów świadczących o doznaniu przez osoby, których dane dotyczą, szkód majątkowych w związku ze stwierdzonymi naruszeniami, Prezes UODO uwzględnił, jako okoliczność wpływającą obciążająco na wymiar orzeczonej administracyjnej kary pieniężnej, możliwość wystąpienia po stronie podmiotów danych szkód niematerialnych, takich jak w szczególności obawa czy niepewność wynikająca z faktu niemożności sprawowania kontroli nad swoimi danymi osobowymi. Ujawnienie takich danych szerokiemu gronu odbiorców pociąga bowiem za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania ich przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679. Jak wskazał Sąd Okręgowy w Warszawie obawa, a więc utrata bezpieczeństwa, stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia[21]. Z kolei Trybunał Sprawiedliwości UE podkreślił, że „art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić "szkodę niemajątkową" w rozumieniu tego przepisu”[22].

Umyślny charakter naruszenia przepisów rozporządzenia 2016/679 przez Komitet Wyborczy (art. 83 ust. 2 lit. b rozporządzenia 2016/679)

81.
Kierując się wytycznymi EROD, zgodnie z którymi „[z]asadniczo »umyślność« obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”[23], Prezes UODO przyjął, że naruszenia przypisane Komitetowi Wyborczemu miały charakter umyślny. Ujawnienie danych osobowych dwóch osób fizycznych niepełniących funkcji publicznych, mimo braku wyraźnej ku temu podstawy prawnej, niewątpliwie objęte było z góry powziętym zamiarem Administratora – zważywszy na okoliczności towarzyszące temu ujawnieniu (w toku zaplanowanej konferencji prasowej), sposób postępowania z dokumentacją, w której znajdowały się dane osobowe (okazanie jej niezanonimizowanej treści przez posła H. B., przemawiającego podczas konferencji z upoważnienia oraz w imieniu Komitetu Wyborczego) oraz cel tego działania (budowanie wizerunku Pana M. W. w toku trwającej kampanii wyborczej). Na celowość działania Administratora wskazują zresztą złożone przez niego wyjaśnienia, fragmenty których organ nadzorczy przytoczył w pkt 30 oraz 32 uzasadnienia, a zgodnie z którymi „nie da się (…) zwalczyć tez podnoszonych w materiałach prasowych na podstawie wybrakowanych, zanonimizowanych dokumentów. Nie można zatem przemilczać konkretów, faktów, w tym danych osobowych, bo bez nich twierdzenia Sztabu, prezentowane na konferencji prasowej, nie niosłyby za sobą jakiegokolwiek efektu perswazyjnego w stosunku do opinii publicznej, a w konsekwencji nie realizowałyby podstawowego, wyżej opisanego celu”. W świetle przytoczonego fragmentu należy skonstatować, że ujawnienie danych osobowych Pana T. U. oraz Pani R. W. wpisywało się w przyjętą przez Administratora strategię wyborczą i – choć samo w sobie nie stanowiło głównego celu konferencji prasowej z dnia 6 maja 2025 r. – to w opinii Administratora niewątpliwie miało przyczynić się do jego osiągnięcia. Popełnienie przypisanych Komitetowi Wyborczemu naruszeń w sposób umyślny wpływa obciążająco, i to w stopniu znacznym, na wymiar nałożonej na niego administracyjnej kary pieniężnej.

Wszelkie stosowne wcześniejsze naruszenia ze strony Komitetu Wyborczego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

82.
Decydując o nałożeniu oraz określając wysokość administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie, Prezes UODO uwzględnił, jako okoliczność obciążającą, fakt uprzedniego naruszenia przez Komitet Wyborczy przepisów rozporządzania 2016/679. Decyzją administracyjną z 7 sierpnia 2025 r. o sygn. DKN.5131.10.2025[24], organ nadzorczy stwierdził bowiem naruszenie przez Administratora art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych osoby fizycznej niepełniącej funkcji publicznych w postaci imienia, nazwiska, adresu pobytu, informacji o charakterze finansowym i rodzinnym oraz danych dotyczących zdrowia ww. osoby, poprzez upublicznienie tych informacji w filmie opublikowanym 12 maja 2025 r. na jednej z platform społecznościowych – co skutkowało naruszeniem zasady zgodności z prawem, rzetelności i przejrzystości określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679. W związku z powyższym Prezes UODO udzielił Komitetowi Wyborczemu upomnienia określonego w art. 58 ust. 2 lit. b) rozporządzenia 2016/679 oraz – ustaliwszy, że stan naruszenia prawa trwa nadal – nakazał mu zaprzestanie przetwarzania ww. danych osobowych w terminie 7 dni od dnia doręczenia wzmiankowanej decyzji.
83.
W pierwszej kolejności wyjaśnić należy, że zgodnie ze stanowiskiem EROD „wcześniejsze naruszenia to naruszenia, które zostały stwierdzone przed wydaniem decyzji”[25]. Tym samym naruszenia będące przedmiotem zakończonego już prawomocnie postępowania o sygn. DKN.5131.10.2025 – mimo że faktycznie popełnione zostały następczo wobec naruszeń analizowanych w przedmiotowej sprawie – traktowane będą jako „wcześniejsze naruszenia” w rozumieniu komentowanego art. 83 ust. 2 lit. e) rozporządzenia 2016/679. Analizując ich wpływ na wybór oraz dolegliwość sankcji obecnie zastosowanej Prezes UODO uwzględnił na niekorzyść Komitetu Wyborczego: bliskość czasową (około tygodniowy odstęp) pomiędzy naruszeniem wcześniejszym a naruszeniem będącym przedmiotem obecnie trwającego postępowania, ich zbieżność przedmiotową wyrażającą się w naruszeniu tych samych przepisów rozporządzenia 2016/679, zbieżność w zakresie tożsamości osoby, której prawo do prywatności zostało naruszone (w obu przypadkach doszło bowiem do niezgodnego z prawem przetwarzania danych osobowych Pana T. U.) i wreszcie okoliczność, że w przypadku obu tych naruszeń analogiczny był cel kwestionowanego przez organ przetwarzania (tj. prowadzenie przez Administratora agitacji wyborczej). Powtarzające się naruszenia, polegające na ujawnieniu przez Komitet Wyborczy ściśle prywatnych informacji dotyczących życia osoby, której dane dotyczą, do realizacji własnych interesów Administratora (w tym wypadku prowadzenie kampanii wyborczej) zasługują nie tylko na dezaprobatę, lecz na stanowczą reakcję organu nadzorczego w postaci sankcji finansowej.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679)

84.
Dokonując oceny przedmiotowej przesłanki Prezes UODO wziął pod uwagę fakt, że dane osobowe bezprawnie ujawnione przez Komitet Wyborczy podczas konferencji prasowej w dniu 6 maja 2025 r. obejmowały następujące ich kategorie: imię, nazwisko, imiona rodziców, numer ewidencyjny PESEL, numer i seria dowodu osobistego, numer NIP oraz adres zamieszkania. O ile wśród ww. informacji brak jest danych szczególnych kategorii określonych w art. 9 i 10 rozporządzenia 2016/679 – które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji organu nadzorczego przy nakładaniu administracyjnych kar pieniężnych – to jednak szeroki zakres tych danych, zezwalający na natychmiastową i jednoznaczną identyfikację podmiotów danych, nakazuje traktować tę przesłankę obciążająco.
85.
W tym kontekście warto przywołać stanowisko EROD, zgodnie z którym „im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”[26]. Podkreślenia również wymaga, że zaistniałe naruszenia ochrony danych osobowych dotyczyły numeru ewidencyjnego PESEL, tj. jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci – a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679. Pozbawione podstaw prawnych ujawnienie tego rodzaju informacji opinii publicznej, w szczególności w połączeniu – tak jak miało to miejsce w przedmiotowej sprawie – z szerszym zestawem danych osobowych, mogło realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych dotkniętych naruszeniem. Nie inaczej zresztą w kwestii szczególnego charakteru informacji identyfikacyjnej, jaką jest numer ewidencyjny PESEL i łączącym się z tym postulatem szczególnej jego ochrony wypowiedział się Naczelny Sąd Administracyjny, który w wyroku z 1 października 2025 r. o sygn. akt III OSK 1830/22[27] wskazał, że „faktem notoryjnym jest (…), że ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń związanych z podaniem numeru PESEL jest kradzież tożsamości. W połączeniu z innymi danymi osobowymi, takimi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), może zostać wykorzystany w szczególności do zaciągnięcia kredytu lub pożyczki na cudze dane, zawarcia umowy na usługi telekomunikacyjne, wyłudzenia świadczeń socjalnych czy podszycia się pod konkretną osobę fizyczną w sprawach dotyczących życia codziennego.” Uwzględniając stopień ryzyka naruszenia praw i wolności osób fizycznych, wynikający z utraty kontroli nad ww. danymi, przesłankę wymiaru kary określoną w art. 83 ust. 2 lit. g) rozporządzenia 2016/679 należało ocenić obciążająco, odpowiednio zwiększając kwotę administracyjnej kary pieniężnej.
86.
Inne, aniżeli wyżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy jako niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

Działania podjęte przez Komitet Wyborczy w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679)

87.
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Komitetu Wyborczego, z uwagi na co przesłankę tę ocenił neutralnie.

Stopień odpowiedzialności Komitetu Wyborczego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679)

88.
Ze względu na charakter naruszeń przepisów rozporządzenia 2016/679 stwierdzonych w niniejszej sprawie (polegających na bezprawnym ujawnieniu podczas konferencji prasowej danych osobowych dwóch osób fizycznych, niepełniących funkcji publicznych) – które to naruszenia w swej istocie nie wiążą się ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi – należy przyjąć, że przesłanka wskazana w art. 83 ust. 2 lit. d) rozporządzenia 2016/679 nie ma wpływu ani obciążającego, ani łagodzącego na wymiar orzeczonej administracyjnej kary pieniężnej. Nie ma ona znaczenia dla oceny naruszenia przez Komitet Wyborczy przepisów art. 5 ust. 1 lit. a) i art. 6 ust. 1 rozporządzenia 2016/679.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679)

89.
Prezes UODO pragnie zaznaczyć, że podlegające ukaraniu w niniejszej sprawie zachowanie Administratora, które z natury rzeczy było działaniem jednorazowym i nieodwracalnym, zasadniczo wyłączało możliwość usunięcia przypisanych mu naruszeń. Co za tym idzie, na obecnym etapie brak jest możliwości dokonania oceny stopnia współpracy Administratora z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Tak zaprezentowany stan faktyczny nie możne stanowić obciążającej, ani łagodzącej okoliczności przy wymierzaniu sankcji.

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie Komitet Wyborczy zgłosił naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679)

90.
Informację o naruszeniu przez Komitet Wyborczy przepisów rozporządzenia 2016/679 – art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 tego aktu prawnego – Prezes UODO powziął z urzędu, w toku zainicjowanego doniesieniami medialnymi postępowania wyjaśniającego okoliczności zdarzenia, w trakcie którego ujawnione zostały publicznie – w trakcie konferencji prasowej – dane osobowe dwóch osób fizycznych. W związku z tym, że źródłem informacji o naruszeniu nie był sam sprawca naruszenia – Komitet Wyborczy, to jest nie on „zgłosił naruszenie”, Prezes UODO nie miał podstaw do potraktowania tej okoliczności jako łagodzącej – działającej na korzyść Komitetu Wyborczego w kontekście wymiaru orzeczonej wobec niego administracyjnej kary pieniężnej. W ocenie Prezesa UODO okoliczność tę należy w okolicznościach niniejszej sprawy potraktować jako neutralną – nie mającą ani łagodzącego, ani obciążającego wpływu na wymiar kary.

Jeżeli wobec Komitetu Wyborczego zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679)

91.
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem – które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679)

92.
Komitet Wyborczy na dzień wydania decyzji nie stosował zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Komitetu Wyborczego. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych, jednak w przedmiotowej sprawie okoliczność taka nie wystąpiła.

Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679)

93.
W toku postępowania nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez Komitet Wyborczy korzyści finansowych lub uniknięcie strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

V.C. Ustalenie wysokości administracyjnej kary pieniężnej z zastosowaniem Wytycznych 04/2022

94.
Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Komitet Wyborczy Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.
95.
Jako podstawę obliczenia administracyjnej kary pieniężnej Prezes UODO przyjął wartość przychodów osiągniętych przez Komitet Wyborczy w okresie od 24 stycznia 2025 r. do 12 sierpnia 2025 r. (tj. od dnia zawiadomienia Państwowej Komisji Wyborczej o utworzeniu Komitetu Wyborczego[28] do dnia sporządzenia sprawozdania finansowego z jego działalności obejmującego przychody, wydatki i zobowiązania finansowe, zgodnie z brzmieniem art. 142 § 1 Kodeksu wyborczego). W tym miejscu wyjaśnić należy, że specyfika ukaranego podmiotu – wynikająca ze szczególnych zasad jego utworzenia, sposobu finansowania, realizowanych zadań oraz ram czasowych jego funkcjonowania określonych w przepisach Kodeksu wyborczego i ściśle związanych z kalendarzem wyborczym – uniemożliwiała przyjęcie za podstawę obliczeń wartości całkowitego rocznego światowego obrotu Administratora z poprzedniego roku obrotowego (rozumianego jako rok poprzedzający wydanie decyzji[29]), o którym to obrocie mowa jest w art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Tym samym, uwzględniając szczególny status Administratora, Prezes UODO wziął pod uwagę, do celów ustalenia maksymalnej wysokości kary, jak również przez wzgląd na zasadę proporcjonalności kary do sytuacji materialnej ukaranego podmiotu, dane finansowe ujęte w sporządzonym przez Komitet Wyborczy sprawozdaniu finansowym. Zgodnie z tym dokumentem przychody Komitetu Wyborczego w ww. okresie sprawozdawczym wyniosły (…) zł (po zaokrągleniu do pełnych polskich złotych), co – w przeliczeniu na euro (wg średniego kursu euro z 28 stycznia 2026 r., przyjętego dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o., zgodnie z którym 1 euro = 4,2009 zł) – stanowi równowartość kwoty (…) euro.
96.
Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Naruszenia przepisów art. 5 ust. 1 lit. a) i ust. 6 ust. 1 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4 % obrotu (przychodu) przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto bardziej poważne od naruszeń przewidzianych w art. 83 ust. 4 rozporządzenia 2016/679, zagrożonych niższą administracyjną karą pieniężną – z górną granicą w kwocie 10 000 000 EUR lub do 2 % obrotu (przychodu) przedsiębiorstwa z poprzedniego roku obrotowego.
97.
Prezes UODO ustalił również prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Komitetu Wyborczego w niniejszej sprawie (zob. Rozdział 6.1 Wytycznych 04/2022). Przepis art. 83 ust. 5 lit. a) rozporządzenia 2016/679 zobowiązuje bowiem organ nadzorczy do określenia, czy w sprawie zastosowanie znajdzie tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego, przy czym w niniejszej sprawie zastosowanie znajdzie przelicznik procentowy odnoszący się do wysokości przychodów Administratora, co zostało już wyjaśnione w pkt 95 uzasadnienia). Kwota wyższa spośród dwóch ww. stanowić będzie kwotę maksymalną, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. W tym kontekście należy wskazać, że wartość 4 % przychodów Administratora uzyskanych w uwzględnionym przez organ okresie sprawozdawczym to kwota (…) zł (równowartość (…) euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna, Prezes UODO zobligowany jest do przyjęcia kwoty 20 000 000 euro jako maksimum, którego nie może przekroczyć orzekając wobec Komitetu Wyborczego administracyjną karę pieniężną.
98.
Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenie o średnim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679), Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 75-81 i 84-85 uzasadnienia). Rozważenie ich łącznego wpływu na ocenę przypisanych Komitetowi Wyborczemu naruszeń rozpatrywanych łącznie prowadzi do wniosku, że poziom ich powagi jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora[30]. Zważywszy na statyczną kwotę maksymalną ustaloną dla Komitetu Wyborczego (zob. pkt 97 uzasadnienia) będzie to kwota od 8 401 800 zł (2 000 000 euro) do kwoty 16 803 600 zł (4 000 000 euro). Za adekwatną i uzasadnioną okolicznościami niniejszej sprawy kwotę wyjściową Prezes UODO uznał kwotę 8 401 800 zł, stanowiącą równowartość 2 000 000 euro (10 % prawnie określonej maksymalnej wysokości kary dla Administratora).
99.
Stosownie do wskazówek EROD odnoszących się do podmiotów, których roczny obrót (przychód) wynosi od 2 do 10 mln euro[31], Prezes UODO uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej (zob. Rozdział 4.3 Wytycznych 04/2022). Biorąc pod uwagę przychód uzyskany przez Administratora w 2025 r. (zob. pkt 95 uzasadnienia), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 1,1% kwoty wyjściowej, to jest do kwoty 92 420 zł (równowartość 22 000 euro).
100.
Prezes UODO dokonał następnie oceny wpływu na stwierdzone naruszenia pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu, a także ewentualnie do innych okoliczności istotnych dla sprawy. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę stwierdzonych naruszeń przedstawione zostały powyżej (zob. pkt 82-83 i 86-93 uzasadnienia). W tym miejscu wskazać jedynie należy, że jedna spośród nich miała wpływ na wymiar orzeczonej kary. Prezes UODO uznał, że okolicznością dodatkowo obciążającą Komitet Wyborczy są stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e) rozporządzenia 2016/679). Z tego względu zasadnym było dalsze skorygowanie kwoty kary ustalonej na podstawie oceny powagi naruszenia, poprzez zwiększenie jej o 10 % – do kwoty 101 662 zł, stanowiącej równowartość 24 200 euro. Pozostałe przesłanki z art. 83 ust. 2 (lit. c), d), f), h), i), j) okaz k) rozporządzenia 2016/679 nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszeń i w konsekwencji na wymiar kary pieniężnej.
101.
Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary, Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na wymogi skuteczności, proporcjonalności oraz odstraszającego charakteru kary, wymienione w art. 83 ust. 1 rozporządzenia 2016/679 (zob. Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 101 863 zł byłaby karą skuteczną i odstraszającą, która pozwoliłaby osiągnąć cel represyjny zastosowanej sankcji, jakim jest ukaranie Administratora za jego bezprawne zachowanie, oraz skutecznie zniechęciłaby go do popełniania w przyszłości podobnych naruszeń przepisów rozporządzenia 2016/679. Z uwagi jednak na fakt, że działania Komitetu Wyborczego związane z prowadzeniem agitacji wyborczej zasadniczo zakończyły się z dniem 30 maja 2025 r. o godz. 24:00 (tj. w dniu poprzedzającym ponowne głosowanie w wyborach Prezydenta Rzeczypospolitej Polskiej w 2025 r., zarządzone na dzień 1 czerwca 2025 r.[32]), a przy tym cel utworzenia Komitetu Wyborczego został osiągnięty – należy stwierdzić, że Administrator nie podejmuje obecnie żadnych działań, które wiązałyby się z aktywnym przetwarzaniem danych osobowych w toku kampanii wyborczej. Biorąc zatem pod uwagę niskie prawdopodobieństwo ponownego naruszenia przez Komitet Wyborczy przepisów o ochronie danych osobowych należy stwierdzić, że orzeczona przez Prezesa UODO administracyjna kara pieniężna realizuje wprawdzie, jednak w ograniczonym stopniu, cele prewencji szczególnej – co przemawiało za jej istotnym zmniejszeniem. Jednocześnie jednak przez wzgląd na funkcję odstraszającą kary, rozumianą w ujęciu ogólnym, wymierzenie tego rodzaju sankcji jawiło się w niniejszej sprawie jako konieczne. Administracyjna kara pieniężna jest bowiem jasnym sygnałem wskazującym także innym administratorom (w tym zwłaszcza komitetom wyborczym tworzonym na potrzeby prowadzenia kampanii w przyszłych wyborach prezydenckich, parlamentarnych czy samorządowych), że organ nadzorczy, stojąc na straży przepisów o ochronie danych osobowych, będzie z pełną mocą egzekwował odpowiedzialność ww. podmiotów za stwierdzone naruszenia przepisów rozporządzenia 2016/679.
102.
Za stosownym obniżeniem wysokości kary na ostatnim etapie jej obliczeń, ze względu na zasadę proporcjonalności, przemawiała także sytuacja finansowa Komitetu Wyborczego, oceniana według stanu na dzień wydania decyzji kończącej niniejsze postępowanie o sygn. DKN.5131.12.2025. Zgodnie z Wytycznymi 04/2022 zasada proporcjonalności wymaga bowiem, by przyjęte środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów, którym mają służyć dane przepisy, przy czym, w przypadku gdy istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować to najmniej dotkliwe[33]. Innymi słowy, jak przyjmuje się w polskiej doktrynie, „[s]ankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”[34]. Uwzględniając powyższe Prezes UODO wziął pod uwagę wartość środków finansowych, którymi Administrator faktycznie obecnie dysponuje, tj. ujętą w sprawozdaniu finansowym kwotę nadwyżki środków pozyskanych na cele kampanii wyborczej nad poniesionymi wydatkami, wynoszącą (…) zł (co stanowi równowartość (…) euro). Kwota ta – implikująca realne możliwości płatnicze Komitetu Wyborczego – nakazuje przyjąć, że kara pieniężna w wysokości 101 662 zł, ustalonej w oparciu o przeprowadzoną ocenę przesłanek wymiaru kary ujętych w art. 83 ust. 2 rozporządzenia 2016/679 oraz wysokość przychodów Administratora, byłaby karą nadmiernie dolegliwą, poddającą pod wątpliwość zdolność Komitetu Wyborczego do jej uiszczenia. Nie bez znaczenia w kontekście proporcjonalności kary był również cel utworzenia oraz sposób finansowania działalności Administratora. Prowadzenie agitacji politycznej jest bowiem nieodzownym elementem kampanii wyborczej, służącym uzyskaniu poparcia oraz mobilizacji elektoratu. Same zaś wybory (w tym wypadku Prezydenta Rzeczypospolitej Polskiej) stanowią urzeczywistnienie zasad demokratycznego państwa prawa oraz suwerenności narodu, na których to zasadach opiera się ustrój Rzeczypospolitej Polskiej. Działalność prowadzona przez Komitet Wyborczy nie służy zatem wyłącznie realizacji interesów własnych wspieranego przez komitet kandydata, ale jest również przejawem woli popierających go wyborców. Powyższe zdaje się potwierdzać treść art. 132 § 4 Kodeksu wyborczego, zgodnie z którym środki finansowe komitetu wyborczego kandydata na Prezydenta Rzeczypospolitej mogą pochodzić wyłącznie z wpłat obywateli polskich mających miejsce stałego zamieszkania na terenie Rzeczypospolitej Polskiej, z funduszy wyborczych partii politycznych oraz z kredytów bankowych zaciąganych na cele związane z wyborami. Jak wynika ze sprawozdania finansowego Administratora, środki pieniężne zgromadzone na jego rachunku bankowym pochodzące z wpłat od osób fizycznych wyniosły (…) zł, co stanowiło blisko (…)% całości jego przychodów. Prezes UODO uwzględnił tę okoliczność na korzyść Komitetu Wyborczego uznając, że realizacja uprawnień naprawczych organu nadzorczego (w tym wypadku nałożenie administracyjnej kary pieniężnej) nie powinna prowadzić do sytuacji, w której finansową odpowiedzialność za uchybienia Administratora w obszarze ochrony danych osobowych ponoszą, w sposób pośredni, obywatele.
103.
Uznając zatem, że kara w wysokości 101 662 zł (uwzględniająca powagę naruszenia, wielkość przychodów Administratora oraz wszystkie okoliczności wskazane w art. 83 ust. 2 rozporządzenia 2016/679, a przy tym niewątpliwie skuteczna i odstraszająca) byłaby karą nadmiernie dolegliwą i tym samą nieodpowiadającą zasadzie proporcjonalności, Prezes UODO dokonał dalszego obniżenia jej wysokości – o 65 % w stosunku do kwoty uzyskanej po uwzględnieniu dodatkowych okoliczności wpływających obciążająco i łagodząco na wymiar kary (zob. pkt 100 uzasadnienia), to jest do 35 582 zł (stanowiącej równowartość 8 470 euro). Zdaniem organu nadzorczego taki wymiar ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności czy odstraszającego charakteru. Kwota ta stanowi bowiem pewien próg, powyżej którego dalsze zwiększenie wysokości kary (a tym samym jej dolegliwości) nie będzie wiązało się ze wzrostem jej skuteczności, ani wzrostem jej odziaływania prewencyjnego. Z drugiej natomiast strony redukcja kary w stopniu większym niż zastosowany mogłaby doprowadzić do sytuacji, w której sankcja ta nie realizowałaby celów określonych przepisami rozporządzenia 2016/679. Takie działanie organu byłoby sprzeczne z wymogiem spójnego stosowania i egzekwowania rozporządzenia 2016/679 przez europejskie organy nadzorcze. Zdaniem Prezesa UODO wysokość środków finansowych, którymi Komitet Wyborczy dysponuje, umożliwia mu zapłatę orzeczonej administracyjnej kary pieniężnej – w szczególności wobec faktu, że jej wysokość to jedynie ok. 0,04 % prawnie określonej maksymalnej wysokości kary zagrażającej Administratorowi za dokonane przez niego naruszenia przepisów rozporządzenia 2016/679.

V.D. Podsumowanie

104.
Uwzględniając ustalone okoliczności faktyczne i uwarunkowania prawne Prezes UODO – za naruszenia art. 5 ust. 1 lit. a) i art. 6 ust. 1 rozporządzenia 2016/679, przypisywane w niniejszym postępowaniu Komitetowi Wyborczemu nałożył na niego administracyjną karę pieniężną. wysokości 35 582 zł, stanowiącą równowartość 8 470 euro. Zastosowana wobec Administratora kara została nałożona na podstawie art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679.
105.
W ocenie Prezesa UODO ww. sankcja finansowa spełnia funkcje kary określone w art. 83 ust. 1 rozporządzenia 2016/679 i stanowi możliwie adekwatną, a nade wszystko sprawiedliwą reakcję organu nadzorczego na stwierdzone naruszenia przepisów rozporządzenia 2016/679. Nałożenie administracyjnej kary pieniężnej w kwocie ustalonej przez organ nadzorczy jest konieczne i uzasadnione charakterem, wagą, jak i pozostałymi okolicznościami sprawy, które organ nadzorczy uznał za obciążające w kontekście przypisanych Komitetowi Wyborczemu naruszeń. Jednocześnie Prezes UODO zauważa, że zastosowanie wobec Administratora jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679) – w sytuacji uprzedniego jego zastosowania w związku z innym, przypisanym Komitetowi Wyborczemu naruszeniem – nie byłoby proporcjonalne do stwierdzonych nieprawidłowości.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Materiał z konferencji prasowej dostępny jest m.in. pod linkiem: https://(…).
[3] Ustawa z dnia 5 stycznia 2021 r. Kodeks wyborczy (Dz. U. z 2025 r. poz. 365).
[5] Prawo prasowe – ustawa z 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 2018 r. poz. 1914).
[8] Tak np.: wyrok TSUE z 4 lipca 2023, C-252/21, Meta v. Bundeskartellamt, pkt 109; wyrok TSUE z 11 grudnia 2019, C 708/18, Asociaţia de Proprietari bloc M5A-ScaraA, pkt 48; wyrok TSUE z 4 października 2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond, pkt 42-43 i 51-52.
[9] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018 r.
[10] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).
[11] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018 r.
[12] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018 r.
[13] „Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub ten podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia”.
[14] Ustawa z dnia 6 września 2021 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902).
[15] Wytyczne EROD 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO. Wersja 2.1. Przyjęte 24 maja 2023 r., str. 9, pkt 17, dostępne w Internecie: https://edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_pl_0.pdf.
[16] Tamże, str. 10, pkt 24.
[17] Tamże, str. 12, pkt 28.
[18] Wytyczne 04/2022, str. 16, pkt 43.
[19] Dz. U. z 1997 r., Nr 78, poz. 483.
[20] Wytyczne 04/2022, str. 19, pkt 53 lit. b), tiret trzecie.
[21] Wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19, LEX nr 3093515.
[22] Wyrok Trybunału Sprawiedliwości UE z 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, pkt 86, EU:C:2023:986.
[23] Wytyczne 04/2022, str. 20, pkt 55.
[25] Wytyczne 04/2022, str. 29, pkt 82.
[26] Wytyczne 04/2022, str. 21, pkt 57-58.
[27] LEX nr 3964152.
[28] Uchwała nr (…).
[29] Wytyczne 04/2022, str. 41, pkt 131.
[30] Wytyczne 04/2022, str. 22, pkt 60 tiret drugie.
[31] Tamże, str. 26, pkt 65 tiret drugie.
[32] (…)
[33] Wytyczne 04/2022, str.42, pkt 137.
[34] Komentarz do art. 83 [w] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz. Komentarz do art. 83. Legalis.