W ubiegłym roku pisaliśmy o decyzji Prezesa UODO z 17 marca 2025 r., w której organ nadzorczy nałożył 27 mln zł kary na Pocztę Polską oraz 100 tys. zł kary na Ministra Cyfryzacji za przetwarzanie bez podstawy prawnej danych około 30 mln obywateli z rejestru PESEL w związku z organizacją tzw. wyborów kopertowych w 2020 r. (link) Dziś wracamy do tej sprawy, ponieważ 5 marca 2026 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO w części dotyczącej Poczty Polskiej. Wyrok jest na ten moment nieprawomocny.

To rozstrzygnięcie jest istotne nie tylko ze względu na skalę sprawy i rekordową wysokość sankcji. Jest ono ważne także dlatego, że pokazuje napięcie pomiędzy dwoma porządkami ocen: z jednej strony oceną legalności samej decyzji administracyjnej wydanej przez Prezesa Rady Ministrów, a z drugiej – oceną sytuacji prawnej jej adresata, który działał w czasie, gdy ta decyzja formalnie pozostawała w obrocie prawnym.

Punkt wyjścia: decyzja UODO z 2025 r.

Przypomnijmy najważniejsze tło. W kwietniu 2020 r., w okresie pandemii COVID-19, podjęto próbę przygotowania wyborów Prezydenta RP w formule wyłącznie korespondencyjnej, mimo że odpowiednia zmiana ustawowa nie obowiązywała jeszcze w dacie podejmowania kluczowych czynności. Na podstawie decyzji Prezesa Rady Ministrów z 16 kwietnia 2020 r. Poczta Polska wystąpiła 20 kwietnia 2020 r. o przekazanie danych z rejestru PESEL, a Minister Cyfryzacji udostępnił je dwa dni później. Dane obejmowały m.in. imiona, nazwiska, numery PESEL i adresy, a były przetwarzane do maja 2020 r.

Prezes UODO uznał następnie, że zarówno udostępnienie tych danych przez Ministra Cyfryzacji, jak i ich przetwarzanie przez Pocztę Polską nastąpiło bez podstawy prawnej. Organ wskazał przy tym na masowy charakter naruszenia i jego wagę, podkreślając, że sprawa dotyczyła danych około 30 mln obywateli. To właśnie na tej podstawie nałożono sankcje: 27 mln zł wobec Poczty Polskiej i 100 tys. zł wobec Ministra Cyfryzacji.

Co wcześniej powiedziały sądy administracyjne?

Wcześniejsze orzecznictwo sądów administracyjnych ukształtowało dla tej sprawy bardzo mocne tło. W sprawie decyzji Prezesa Rady Ministrów WSA w Warszawie już 15 września 2020 r. stwierdził, że została ona wydana bez podstawy prawnej i z rażącym naruszeniem prawa, a stanowisko to zostało następnie utrzymane przez NSA w czerwcu 2024 r. Równolegle, w odrębnej sprawie dotyczącej samego udostępnienia danych z rejestru PESEL, WSA uznał czynność Ministra Cyfryzacji za bezskuteczną, a NSA w marcu 2024 r. utrzymał ten wyrok w mocy.

Z tych wcześniejszych wyroków wynikało więc jasno, że fundament prawny całej operacji był wadliwy. I właśnie na tym założeniu opierała się decyzja UODO z 2025 r.

Dlaczego więc WSA uchylił karę dla Poczty Polskiej?

Tu dochodzimy do sedna najnowszego wyroku. Z dostępnych publicznie informacji wynika, że WSA nie zakwestionował samego faktu, iż decyzja premiera została ostatecznie uznana przez sądy administracyjne za wydaną bez podstawy prawnej. Sąd przyjął jednak inną perspektywę oceny odpowiedzialności Poczty Polskiej jako adresata tej decyzji. Według ustnych motywów rozstrzygnięcia, decyzja Prezesa Rady Ministrów – dopóki formalnie pozostawała w obrocie prawnym – korzystała z domniemania legalności i wiązała adresata. W ocenie WSA oznacza to, że Prezes UODO powinien był badać, czy w chwili przetwarzania danych Poczta Polska działała w ramach obowiązującego polecenia, a nie oceniać tę sytuację wyłącznie przez pryzmat późniejszego stwierdzenia nieważności decyzji.

Sąd wskazał również, że adresat takiej decyzji nie może samodzielnie odmówić jej wykonania tylko dlatego, że ma wątpliwości co do jej legalności. WSA zaakcentował, że decyzję można kwestionować w odpowiednim trybie, ale do czasu jej uchylenia albo stwierdzenia nieważności pozostaje ona wiążąca. Z takim stanowiskiem powiązany był kolejny argument: nie wszystkie skutki wykonania nieważnej decyzji da się odwrócić, a do takich skutków sąd zaliczył także sam proces przetwarzania danych osobowych i upływ czasu.

Co ten wyrok oznacza w praktyce?

Najkrócej rzecz ujmując: nie jest to prosty komunikat, że „przetwarzanie było zgodne z RODO”. Znacznie trafniejsze jest stwierdzenie, że WSA – przynajmniej na poziomie ustnych motywów – przesunął punkt ciężkości z oceny bezprawności samej decyzji premiera na ocenę sytuacji prawnej podmiotu, który tę decyzję wykonywał. Innymi słowy, spór nie dotyczy już wyłącznie tego, czy decyzja z 16 kwietnia 2020 r. była wadliwa, lecz także tego, jakie konsekwencje dla odpowiedzialności z RODO ma wykonywanie decyzji administracyjnej, która dopiero po latach została wyeliminowana z obrotu. To jest najciekawszy i najdalej idący element tego orzeczenia.

Z perspektywy ochrony danych osobowych sprawa stawia bardzo praktyczne pytanie: czy administrator, który działa na podstawie aktu władczego pochodzącego od organu publicznego, ma obowiązek samodzielnie i „na własne ryzyko” zakwestionować jego legalność, czy może oprzeć się na formalnym obowiązywaniu tego aktu aż do chwili jego skutecznego wyeliminowania z obrotu? Właśnie na to pytanie WSA odpowiedział obecnie bardziej przychylnie dla Poczty Polskiej niż zrobił to wcześniej Prezes UODO.

Czy to koniec sprawy? Zdecydowanie nie!

Trzeba jednak bardzo wyraźnie zaznaczyć, że wyrok z 5 marca 2026 r. jest nieprawomocny. Można powiedzieć, że spór wszedł właśnie w najbardziej zniuansowaną fazę, w której ważą się granice odpowiedzialności administratora wykonującego decyzję organu państwa.

Na moment publikacji znamy przede wszystkim komunikat UODO oraz ustne motywy rozstrzygnięcia. Pisemne uzasadnienie będzie miało kluczowe znaczenie dla oceny, czy sąd zbudował w tej sprawie szerszą tezę dotyczącą relacji między RODO a domniemaniem legalności decyzji administracyjnej, czy też rozstrzygnięcie pozostanie mocno osadzone w wyjątkowych realiach tej konkretnej sprawy.

Nasz wniosek

Rok temu decyzja UODO wydawała się domykać ten rozdział jasnym komunikatem: masowe przetwarzanie danych obywateli bez podstawy prawnej spotyka się z dotkliwą sankcją, nawet jeśli chodzi o podmiot państwowy. Najnowszy wyrok WSA pokazuje jednak, że na styku prawa administracyjnego i RODO sytuacja może być bardziej skomplikowana. Wadliwość decyzji organu nie zawsze automatycznie przesądzi o odpowiedzialności adresata tej decyzji za przetwarzanie danych – zwłaszcza gdy w danym czasie decyzja formalnie obowiązywała i korzystała z domniemania legalności.

Dla praktyki compliance to bardzo ważny sygnał. Sprawa „wyborów kopertowych” coraz wyraźniej przestaje być wyłącznie historią o bezprawnym pozyskaniu danych z PESEL. Staje się również sprawą o granice zaufania adresata do aktu administracyjnego oraz o to, gdzie kończy się obowiązek wykonania decyzji organu państwa, a zaczyna własna odpowiedzialność administratora za legalność przetwarzania danych osobowych. I właśnie dlatego na dalszy ciąg tego sporu – zapewne już przed NSA – warto patrzeć bardzo uważnie