Prezes UODO: Tłumaczenia polityków w sprawie pana Jerzego to stawianie sprawy na głowie

Urząd Ochrony Danych Osobowych wszczął z urzędu trzy postępowania związane z ujawnieniem danych osobowych pana Jerzego, od którego w niejasnych okolicznościach kupił mieszkanie Karol Nawrocki, obecny kandydat PiS na prezydenta.

Podejrzewanymi o naruszania są:

• Przemysław Czarnek – za ujawnienie 7 maja 2025 podczas konferencji prasowej m.in. imienia, nazwiska, adresu oraz numeru PESEL pana Jerzego, a także żony Karola Nawrockiego, która nie jest osobą pełniącą funkcje publiczne.
• Karol Nawrocki – za ujawnienie 7 maja 2025 w programie Bogdana Rymanowskiego imienia, nazwiska, miejsca przebywania oraz informacji na temat stanu zdrowia, sytuacji finansowej i rodzinnej pana Jerzego.
• Rafał Trzaskowski – za ujawnienie 13 maja w swoich mediach społecznościowych nazwiska pana Jerzego oraz nazwy Domu Pomocy Społecznej , w którym przebywa (chodzi o usunięty już wpis, w którym kandydat KO na prezydenta pokazał zawartość koperty przekazanej Karolowi Nawrockiemu podczas debaty w TVP 12 maja).

Zapytaliśmy Prezesa UODO o to, jakie konsekwencje mogą ponieść politycy za te naruszenia i jakie wnioski z tej sytuacji mogą wyciągnąć obywatele.

Wyścigi, kto więcej ujawni

Leonard Osiadło, OKO.press: Co grozi Rafałowi Trzaskowskiemu za ujawnienie danych osobowych pana Jerzego, czyli jego nazwiska i nazwy domu pomocy społecznej, w którym przebywa?

Mirosław Wróblewski, Prezes Urzędu Ochrony Danych Osobowych: Widzę, że pan redaktor chce zaczynać z grubej rury, a przepisy wymagają wpierw wnikliwego zbadania sprawy w każdym przypadku. Na razie postępowanie zostało dopiero rozpoczęte. Zaczniemy od skierowania pism z prośbą o wyjaśnienia do każdego podmiotu, który jest podejrzewany o przetwarzanie danych osobowych niezgodnie z przepisami.

W zależności od wyników postępowania, Prezes UODO może nakazać usunięcie danych, ograniczyć ich przetwarzanie, upomnieć administratora danych, a finalnie nałożyć także administracyjną karę pieniężną.

Jak wysoka może być taka kara finansowa?

W takiej sytuacji przepisy RODO pozwalają nałożyć karę nawet do 20 milionów euro, ale jest zbyt wcześnie by mówić o jakiejkolwiek karze, a tym bardziej jej wysokości.

W związku z ujawnieniem danych osobowych pana Jerzego UODO wszczęło trzy postępowania z urzędu. W jakiego typu sytuacjach urząd działa tak zdecydowanie?

Upublicznienie danych osobowych starszego, schorowanego człowieka podczas ogólnopolskiej kampanii prezydenckiej spowodowało, że on stał się w zasadzie osobą publicznie już znaną i to z różnymi szczegółami dotyczącymi jego życia prywatnego, w tym stanu zdrowia.

Jeszcze wczoraj (15 maja 2025 r.) poseł Czarnek szczegółowo opowiadał w mediach o stanie zdrowia tego człowieka, a więc ujawniał dane wrażliwe, których przetwarzanie jest szczególnie chronione na podstawie przepisów RODO.

To wszystko, a zwłaszcza okoliczności, które przyczyniły się do zwielokrotnienia w mediach informacji o tym człowieku, doprowadziły do podjęcia postępowań z urzędu.

Nawrocki i Czarnek powinni wziąć przykład z Trzaskowskiego

Czy dla ich rozstrzygnięcia będzie miał znaczenie fakt, że jeden z potencjalnych sprawców przyznał się do błędu?

Mam tu na myśli Rafała Trzaskowskiego, który 14 maja w „Gościu Wydarzeń” w Polsat News powiedział, że choć politycy PiS podawali dane pana Jerzego na prawo i lewo, to on sam nie powinien był tego robić. Dlatego wpis został usunięty, a kandydat zwrócił swojemu sztabowi uwagę na kwestię ochrony danych osobowych.

Doceniam i szanuję tę wypowiedź pana Rafała Trzaskowskiego i usunięcie wpisu.

RODO dużą wagę przykłada do tego, co dzieje się po incydencie naruszenia danych osobowych. Administrator danych jest także oceniany przez organ nadzorczy właśnie pod kątem tego, co zrobił już po dokonaniu naruszenia.

Chodzi o podjęcie działań mających na celu zminimalizowanie potencjalnych ryzyk. Zatem na przykład usunięcie wpisu, w którym doszło do naruszenia, jest bardzo istotne, bo te dane dalej nie mogą być replikowane, a linki kierujące do pierwotnego materiału przestają działać.

Tak powinni działać także pozostali.

Ma pan na myśli Karola Nawrockiego i Przemysława Czarnka?

Tak, oczekiwałbym od nich, że zachowają się co najmniej tak jak Rafał Trzaskowski.

Niestety pan poseł Czarnek obrał drogę zaprzeczania i ujawniania kolejnych informacji. Wczoraj (15 maja 2025 r.) w jednym z wywiadów przekonywał, że nie ma nic złego w tym, że on udostępnił dane tego człowieka. Winni są ci, którzy je fotografowali. Czyli mówiąc krótko – dziennikarze. Warto podkreślić, że większość dziennikarzy w swoich materiałach zadbała jednak o anonimizację ujawnionych danych.

Takie tłumaczenie jest dla mnie nie do pomyślenia.

To jest postawienie sprawy na głowie.

Przypomnę, że chodzi o wypowiedź posła Czarnka w programie „Polityczne graffiti” w Polsat News. Czarnek stwierdził: „Jeżeli ktoś z daleka fotografuje dokumenty, które ja trzymam w ręku, żeby je zacytować, to on ujawnia dane osobowe, a nie ja”.

Dalej zarzekał się, że nie cytował ani numeru PESEL, ani imion rodziców, ani adresu pana Jerzego. Posługiwał się jedynie jego nazwiskiem, co nie jest ujawnieniem danych osobowych, skoro pan Jerzy prowadzi pod swoim imieniem i nazwiskiem profil na Facebooku.

To, czy udostępnienie danych osobowych ma postać werbalną, czy graficzną, nie ma żadnego znaczenia.

Na podobnej zasadzie można byłoby powiedzieć, że nie było naruszeniem udostępnienie przez pana Rafała Trzaskowskiego zdjęcia kartki, na której zapisane było nazwisko pana Jerzego i nazwa DPS, w którym przebywa, bo nie zostało to zwerbalizowane.

Pan poseł Czarnek, jak rozumiem, próbuje się w jakiś sposób bronić, ale nie znajduję w tych wyjaśnieniach żadnego oparcia w przepisach prawa.

Ujawnienie danych to koszt nie tylko finansowy

Rozmawiamy o tym, jakie znaczenie może mieć zachowanie potencjalnych sprawców już po dokonaniu naruszenia. A czy z punktu widzenia organu nadzorczego nie jest istotniejsze to, co działo się przed incydentem? Czyli co nie zadziałało, że do naruszenia danych osobowych w ogóle doszło?

Zachowanie administratora po dokonaniu naruszenia ma znaczenie dla ustalenia zakresu jego odpowiedzialności, ale bardzo istotny jest także ten etap najwcześniejszy, tzw. analiza ryzyka, czyli ocena, jaki wpływ na sytuację danej osoby, na jej prawa i wolności, będzie miało przetwarzanie jej danych osobowych w określony sposób. Tej oceny ryzyka większość polityków, ale także część mediów, nie zrobiła.

Przecież tę samą debatę można było z powodzeniem toczyć bez ujawniania jakichkolwiek danych osobowych.

Ma pan na myśli to, że Przemysław Czarnek mógł zrobić tę samą konferencję, a Rafał Trzaskowski udostępnić ten sam wpis, gdyby tylko zaczernili na dokumentach dane wrażliwe? A Karol Nawrocki mógł udzielić tego samego wywiadu, gdyby powstrzymał się przed wypowiadaniem nazwiska pana Jerzego i wskazywaniem adresu DPS, w którym mężczyzna przebywa?

Właśnie. I ja do pewnego stopnia rozumiem tłumaczenia posła Czarnka, że był interes publiczny w wyjaśnieniu tej sprawy. Ale przecież dało się to zrobić bez narażania tego człowieka na dalsze ryzyka.

I mam tu na myśli nie tylko takie klasyczne ryzyko, finansowe, mogące wiązać się z kradzieżą tożsamości.

Na przykładzie pana Jerzego widzimy, że przez ujawnienie danych osobowych można stać się przedmiotem publicznej debaty politycznej.

Przy tej okazji chciałbym jeszcze raz wyrazić uznanie dla mediów, które informowały o całej sprawie, używając przy tym prostej anonimizacji, polegającej na przesłonięciu danych osobowych.

Komu zabrakło ostrożności, a komu dobrej woli

Czy zatem naruszenia, których dokonał Rafał Trzaskowski oraz politycy PiS różnią się tylko tym, w jaki sposób zareagowali na oskarżenia o naruszenie przepisów RODO?

W jednym przypadku należy bardziej mówić o naruszeniu pewnych zasad ostrożności. W innych, czyli tam, gdzie doszło do ujawnienia szczegółowych informacji o stanie zdrowia, mamy już do czynienia z większym natężeniem naruszenia i być może także ze złą wolą, skoro do udostępnienia kolejnych danych osobowych doszło już po uzyskaniu wiadomości, że Urząd Ochrony Danych Osobowych dostrzegł naruszenia.

Ostrożności zabrakło Rafałowi Trzaskowskiemu?

Raczej tak, bo tutaj doszło do ujawnienia imienia i nazwiska oraz nazwy i numeru konta Domu Pomocy Społecznej, w którym przebywa pan Jerzy.

Wspomniał pan o złej woli. Czy ona będzie brana pod uwagę przy ocenie zachowania polityków PiS?

Takie elementy są brane pod uwagę w każdym takim postępowaniu. Intencja, z jaką dokonano naruszenia, również jest jednym z kryteriów zawartych w przepisach.

Oczywiście oczekuję pisemnych odpowiedzi i wyjaśnień od każdego ze wspomnianych polityków. Postępowanie przeprowadzimy bezstronnie z uwzględnieniem wszystkich dowodów i argumentów w sprawie i dopiero wówczas będę przesądzać ostatecznie o jego wyniku i ogłaszać decyzje.

Dane osobowe jak obca waluta

Rozmawiamy dlatego, że do naruszenia danych osobowych doszło w ogólnopolskiej kampanii wyborczej. Ale przecież przestrzeganie RODO dotyczy nie tylko polityków.

Nie tylko, ale posłowie i senatorowie, z racji tego, że działają w przestrzeni publicznej, powinni szczególnie o ochronę danych osobowych dbać. UODO opracował nawet poradnik dotyczący ochrony danych osobowych w kampanii wyborczej. My o nim przypominamy, ale być może trzeba edukacji jeszcze więcej, skoro do takich naruszeń dochodzi. Dlatego będę proponował szkolenia z ochrony danych osobowych we współpracy m.in. z Krajowym Biurem Wyborczym i Kancelarią Sejmu. Chęć zaangażowania się w nie zgłosili mi już także eksperci z powołanego przeze mnie w ubiegłym roku Społecznego Zespołu Ekspertów przy Prezesie UODO.

A czego historia pana Jerzego uczy nas, obywateli?

Uczy nas, że nawet kiedy rozstrzygane są sprawy fundamentalne i pojawiają się emocje, to wtedy również trzeba dbać o dane osobowe. Chroni je nie tylko unijne rozporządzenie, ale także polska Konstytucja, która stanowi, że nawet w czasie stanu wojennego lub wyjątkowego nie można ograniczyć prawa do prywatności w większym stopniu niż w normalnych warunkach.

Czyli zawsze trzeba zadać sobie ten mały trud, żeby przemyśleć, jak zrealizować dany cel, na przykład poinformować o czymś opinię publiczną, ale jednocześnie chronić przy tym dane osobowe, poprzez chociażby proste ich zaciemnienie czy zasłonięcie.

I ten obowiązek ochrony danych osobowych pojawia się nie tylko w działalności publicznej, ale i w ochronie zdrowia, biznesie, w stosunkach handlowych czy obsłudze klienta. On jest dosłownie wszędzie.

Kiedyś usłyszałem takie sformułowanie, że dane osobowe są cenne jak pieniądze i dlatego trzeba ich pilnować.

Bardzo trafna metafora. Przecież kiedy instalujemy, wydawało się darmowe, aplikacje na telefonie, to możemy z nich bezpłatnie korzystać, jeżeli wyrazimy zgodę na przetwarzanie naszych danych osobowych.

I właśnie dlatego przedsiębiorcy czy politycy nie powinni szastać naszymi danymi.

Gdyby powiedziano, że pana Jerzego okradziono na kilkaset złotych, nikt nie miałby problemu ze zrozumieniem tego, co się wydarzyło. A jego w istocie „okradziono”, tyle że z prywatności.

Idąc jeszcze dalej tą analogią, w przypadku pana Jerzego mamy do czynienia z sytuacją, że jeden sprawca wyraża skruchę, mówi: kurczę, żałuję, źle zrobiłem, zrobię wszystko, żeby ci te pieniądze oddać albo żebyś więcej nie stracił. A drugi mówi: to zabiorę ci jeszcze pięćset albo tysiąc złotych i ujawnia kolejne wrażliwe dane na twój temat.

Nie chodzi więc o to, że ujawnienie danych będzie kosztowało sprawcę tego naruszenia, bo dostanie jakąś karę? Taki wyciek to koszt emocjonalny dla osoby pokrzywdzonej.

To prawda, ale warto pamiętać, że każdą informację na nasz temat można wycenić. Ujawnienie informacji o stygmatyzującej społecznie chorobie może spowodować cierpienia psychiczne i ma ono konkretną wartość, jeśli chodzi o odszkodowanie czy zadośćuczynienie krzywdzie.

Każda osoba, której dane zostały wykorzystane bez podstawy prawnej ,może zwrócić się do sądu o odszkodowanie. Tego nie może za obywatela zrobić Prezes UODO. Organ nadzorczy może tylko nałożyć karę administracyjną.

Pokrzywdzony ma jeszcze ścieżkę cywilnoprawną i powództwo o ochronę dóbr osobistych. Dobrze by było, żeby obywatele wiedzieli, że także w ten sposób mogą dochodzić sprawiedliwości za bezprawne naruszenie ich danych osobowych.