Wiosną 2020 roku, w obliczu rozwijającej się pandemii COVID-19, polski rząd podjął decyzję o przeprowadzeniu wyborów prezydenckich w trybie korespondencyjnym, planowanych na 10 maja 2020 roku. Ówczesny premier, Mateusz Morawiecki, 16 kwietnia 2020 roku wydał decyzję nakładającą na Pocztę Polską obowiązek przygotowania i przeprowadzenia tych wyborów. Jednakże, ustawa umożliwiająca głosowanie korespondencyjne weszła w życie dopiero 9 maja 2020 roku, co oznaczało, że działania podjęte przed tą datą nie miały odpowiedniej podstawy prawnej.
W ramach przygotowań, Ministerstwo Cyfryzacji przekazało Poczcie Polskiej dane osobowe około 30 milionów obywateli z rejestru PESEL. Dane te obejmowały numery PESEL oraz adresy zamieszkania. Przekazanie tak obszernej bazy danych budziło kontrowersje, zwłaszcza że odbyło się bez jednoznacznej podstawy prawnej.
Ostatecznie wybory nie odbyły się w planowanym terminie 10 maja 2020 roku. Zostały przełożone i odbyły się 28 czerwca 2020 roku w tradycyjnej formie, z możliwością głosowania korespondencyjnego dla chętnych. W związku z tym, dane osobowe przekazane Poczcie Polskiej nie zostały wykorzystane zgodnie z pierwotnym zamierzeniem.
W wyniku tych wydarzeń, obywatele składali skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO) na bezprawne przetwarzanie ich danych osobowych. Początkowo UODO odmawiał wszczęcia postępowań, argumentując, że decyzja premiera stanowiła podstawę prawną dla działań Poczty Polskiej. Jednakże, w marcu 2024 roku Naczelny Sąd Administracyjny (NSA) orzekł, że decyzja premiera z 16 kwietnia 2020 roku nie miała mocy prawnej, co otworzyło drogę do ponownego rozpatrzenia skarg obywateli.
W konsekwencji, Prezes UODO, Mirosław Wróblewski, podjął decyzję o nałożeniu kar finansowych za naruszenie przepisów o ochronie danych osobowych. Poczta Polska została ukarana kwotą 27 milionów złotych za bezprawne przetwarzanie danych osobowych obywateli. Natomiast na Ministerstwo Cyfryzacji nałożono karę w wysokości 100 tysięcy złotych, co stanowi maksymalną możliwą karę dla organu administracji publicznej w świetle obowiązujących przepisów.
Decyzja o ukaraniu Poczty Polskiej i Ministerstwa Cyfryzacji następuje niespełna 5 lat od tych wydarzeń, a zatem została wydana w ostatniej chwili, zanim sprawa się przedawni. Ustawa o Ochronie Danych Osobowych nie przewiduje terminów przedawnienia przestępstw popełnionych w związku z przetwarzaniem danych osobowych, dlatego zastosowanie mają tu przepisy KK (art. 101. § 1. pkt. 4 KK), zgodnie z którymi przedawnienie następuje po upłynięciu 5 lat od momentu popełnienia czynu.
