DKN.5110.12.2021
DECYZJA
Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.), art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2 oraz art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. z siedzibą w Poznaniu przy ul. Kartuskiej 60 (adres korespondencyjny: ul. ..., ... J.) przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych,
- stwierdzając naruszenie przez Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. z siedzibą w Poznaniu przy ul. Kartuskiej 60 przepisu art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm.), zwanego dalej rozporządzeniem 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nakłada na Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. z siedzibą w Poznaniu przy ul. Kartuskiej 60, administracyjną karę pieniężną w wysokości 15 994 złotych (słownie: piętnaście tysięcy dziewięćset dziewięćdziesiąt cztery złote);
- umarza postępowanie w pozostałym zakresie.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również ,,Prezesem UODO”, pismami z […] marca 2021 r. oraz […] kwietnia 2021 r. został powiadomiony przez Komendanta Powiatowego Policji w J. o potencjalnych nieprawidłowościach w Esselmann Technika Pojazdowa Sp. z o.o. Sp. k., zwanej dalej „Spółką”, dotyczących przetwarzania danych osobowych jej pracowników. Wątpliwości w tym zakresie związane były w szczególności z przetwarzaniem danych w aktach osobowych pracowników, w tym z zagubieniem dokumentów dotyczących pracowników Spółki. Ponadto, Komendant Powiatowy Policji w J., działając z upoważnienia Prokuratury Rejonowej w J., zwrócił się do Prezesa UODO o przeprowadzenie kontroli w zakresie przestrzegania przez Spółkę przepisów o ochronie danych osobowych.
W związku z powyższym, pismami z […] kwietnia 2021 r. (znak: …), z […] czerwca 2021 r. (znak: ...) oraz […] lipca 2021 r. (znak: …) Prezes UODO zwrócił się do Spółki z wezwaniem do złożenia wyjaśnień w sprawie, w tym m.in. o wskazanie:
- jakiej kategorii dane znajdowały się w zagubionych dokumentach stanowiących część akt osobowych pracowników Spółki,
- czy zagubione dokumenty stanowiące część akt osobowych pracowników Spółki zostały odnalezione, a jeżeli nie, to na jakiej podstawie Spółka uznała, że fakt ich zagubienia nie narusza praw lub wolności osób, których dane dotyczą, nie stanowi naruszenia ochrony danych osobowych jej pracowników i nie wymaga zgłoszenia naruszenia Prezesowi UODO na podstawie art. 33 ust. 1 rozporządzenia 2016/679,
- czy Spółka jako pracodawca uzyskała od osoby odpowiedzialnej za ich zagubienie wyjaśnienia w tym zakresie, a jeżeli tak, to jaka jest ich treść, a także w jakich okolicznościach do zagubienia doszło lub mogło dojść (przenoszenie lub przewożenie akt, ich udostępnianie, itd.).
W odpowiedzi na ww. pisma, Spółka skierowała do Prezesa UODO pisma z […] maja 2021 r., […] czerwca 2021 r. oraz z […] sierpnia 2021 r., w których wskazała, że w okresie od [...] stycznia do [...] marca 2020 r. dostęp do danych osobowych pracowników Spółki miała P. M. (zatrudniona na podstawie umowy o pracę w tym okresie). Ww. osoba, będąc w czasie zaistnienia incydentu jedyną osobą zatrudnioną w biurze Spółki, otrzymała polecenie skompletowania, opisania i wpięcia dokumentów w teczki personalne pracowników. Dokumenty do akt P. M. zbierała od pracowników osobiście. Jak wynika z wyjaśnień Spółki, w pierwszym tygodniu marca 2020 r. B. Z., inspektor BHP zatrudniony przez (…), które świadczyło usługi na rzecz Spółki, oświadczyła, że P. M. poprosiła ją o pomoc przy zakładaniu akt osobowych pracowników Spółki. Ponadto, B. Z. poinformowała Spółkę, że w aktach osobowych pracowników nie ma świadectwa pracy D. R. D. R. został poproszony przez Spółkę o doniesienie ww. dokumentu, oświadczył jednak, że dokument ten został już przekazany P. M. P. M. następnie oświadczyła, że dokument przekazała B. Z., która temu zaprzeczyła.
Zgodnie z wyjaśnieniami Spółki, przedmiotowy incydent nie został zgłoszony Prezesowi UODO z uwagi na brak ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. D. R. nie rościł bowiem pretensji do Spółki z tego powodu. Ponadto, jak wskazała Spółka, P. M. jest wieloletnią znajomą D. R. i ten fakt, w opinii Spółki miał wpływ na to, że nie wysuwał on wobec Spółki roszczeń z tytułu naruszenia ochrony jego danych osobowych.
Następnie, pismem z […] września 2021 r. (znak: ...) Prezes UODO zwrócił się ponownie do Spółki o wyjaśnienia, a w szczególności o wskazanie, czy zagubiony dokument (świadectwo pracy), stanowiący część akt osobowych pracownika Spółki, D. R., został odnaleziony, a jeżeli tak, to w jakich okolicznościach, miejscu i czasie od stwierdzenia zagubienia.
W odpowiedzi Spółka w piśmie z […] września 2021 r. skierowanym do Prezesa UODO oświadczyła, że świadectwo pracy D. R. zostało przez niego osobiście przekazane do rąk P. M., która nigdy go nie przekazała ani Spółce ani nie zwróciła D. R. Według oświadczenia Spółki, dokument nie został odnaleziony.
Kolejnym pismem z […] października 2021 r. (znak: ...), Prezes UODO zwrócił się do Spółki o wskazanie, czy w związku z zagubieniem dokumentu (świadectwa pracy), stanowiącego część akt osobowych pracownika Spółki, D. R., pracownik ten został zawiadomiony o naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679, a jeżeli tak, to w jaki sposób.
Odnosząc się do ww. pisma Prezesa UODO, Spółka w piśmie z […] listopada 2021 r. wyjaśniła, że D. R. został poinformowany o naruszeniu zgodnie z treścią art. 34 ust. 1 i 2 rozporządzenia 2016/679, niezwłocznie po jego stwierdzeniu. Spółka nie przedstawiła na poparcie powyższego oświadczenia innych dowodów, np. w postaci treści informacji skierowanej do D. R., dowodu doręczenia informacji, itp.
W związku z powyższymi ustaleniami, pismem z […] grudnia 2021 r. (znak: …) Prezes UODO skierował do Spółki zawiadomienie o wszczęciu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, zgodnie z art. 34 ust. 1 i 2 rozporządzenia 2016/679. Spółka, po otrzymaniu zawiadomienia o wszczęciu postępowania, nie złożyła dodatkowych wyjaśnień w sprawie.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes UODO zważył co następuje:
Przy ocenie, czy naruszenie ochrony danych osobowych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m.in. treść motywów 75 oraz 85 rozporządzenia 2016/679. Nadto, Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01), zwanych dalej wytycznymi [1], wskazała, że administrator oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia powinien uwzględnić konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia oraz zaleciła, by w trakcie oceny brać pod uwagę wskazane w tych wytycznych kryteria. W ww. wytycznych wyjaśniono również, że podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) – c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.
W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na utracie przez Spółkę dokumentu w postaci świadectwa pracy jej pracownika. Powyższy fakt Spółka potwierdziła w wyjaśnieniach skierowanych do Prezesa UODO m.in. pismami z […] czerwca 2021 r. oraz z […] sierpnia 2021 r. Spółka wskazała w nich także, iż nie zgłosiła przedmiotowego naruszenia Prezesowi UODO, ponieważ w jej opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą, a ponadto pracownik, którego świadectwo pracy zagubiono, nie zgłaszał z tego tytułu roszczeń wobec Spółki. Spółka oświadczyła jednocześnie, że zawiadomiła, zgodnie z przepisami, pracownika o utracie świadectwa pracy zawierającego jego dane osobowe.
Ustosunkowując się do powyższego wskazać należy, że w myśl § 2 ust. 1 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 30 grudnia 2016 r. w sprawie świadectwa pracy (Dz. U. z 2018 r. poz. 1289 ze zm.), w świadectwie pracy zamieszcza się informacje niezbędne do ustalenia uprawnień ze stosunku pracy i uprawnień z ubezpieczeń społecznych, dotyczące:
- okresu lub okresów zatrudnienia,
- wymiaru czasu pracy pracownika w czasie trwania stosunku pracy,
- rodzaju wykonywanej pracy lub zajmowanych stanowisk lub pełnionych funkcji,
- trybu i podstawy prawnej rozwiązania lub podstawy prawnej wygaśnięcia stosunku pracy, a w przypadku rozwiązania umowy o pracę za wypowiedzeniem – strony stosunku pracy, która dokonała wypowiedzenia,
- okresu, za który pracownikowi przysługuje odszkodowanie w związku ze skróceniem okresu wypowiedzenia umowy o pracę na podstawie art. 361 § 1 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy, zwanej dalej ,,Kodeksem pracy”,
- urlopu wypoczynkowego przysługującego pracownikowi w roku kalendarzowym, w którym ustał stosunek pracy i wykorzystanego w tym roku,
- wykorzystanego urlopu bezpłatnego i podstawy prawnej jego udzielenia,
- wykorzystanego urlopu ojcowskiego,
- wykorzystanego urlopu rodzicielskiego i podstawy prawnej jego udzielenia,
- wykorzystanego urlopu wychowawczego i podstawy prawnej jego udzielenia,
- okresu, w którym pracownik korzystał z ochrony stosunku pracy, o której mowa w art. 1868 § 1 pkt 2 Kodeksu pracy,
- zwolnienia od pracy przewidzianego w art. 188 Kodeksu pracy, wykorzystanego w roku kalendarzowym, w którym ustał stosunek pracy,
- liczby dni, za które pracownik otrzymał wynagrodzenie, zgodnie z art. 92 Kodeksu pracy, w roku kalendarzowym, w którym ustał stosunek pracy,
- okresu odbytej czynnej służby wojskowej lub jej form zastępczych,
- okresu wykonywania pracy w szczególnych warunkach lub w szczególnym charakterze;
- wykorzystanego dodatkowego urlopu albo innego uprawnienia lub świadczenia, przewidzianego przepisami prawa pracy,
- okresów nieskładkowych, przypadających w okresie zatrudnienia, którego dotyczy świadectwo pracy, uwzględnianych przy ustalaniu prawa do emerytury lub renty,
- zajęcia wynagrodzenia za pracę w myśl przepisów o postępowaniu egzekucyjnym,
- należności ze stosunku pracy uznanych i niezaspokojonych przez pracodawcę do dnia ustania tego stosunku z powodu braku środków finansowych,
- informacji o wysokości i składnikach wynagrodzenia oraz o uzyskanych kwalifikacjach – na żądanie pracownika.
Ww. informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe, szczególnie że występują łącznie z imieniem i nazwiskiem, określeniem pracodawcy oraz informacją o dacie urodzenia osoby, której dane dotyczą. Niektóre z tych danych są szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a w przypadku rozwiązania umowy o pracę za wypowiedzeniem – stronie stosunku pracy, która dokonała wypowiedzenia oraz o zajęciu wynagrodzenia za pracę w myśl przepisów o postępowaniu egzekucyjnym. Informacje te, z uwagi na ich charakter, w przypadku ich udostępnienia osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dane dotyczą. Powyższe dane mogą bowiem bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której dane dotyczą, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego), itd.
W tej sytuacji uznanie przez Spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Okoliczności naruszenia ochrony danych, jako istotne, powinny być wzięte pod uwagę przez Spółkę przy ocenie, czy do niego doszło, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów danych, a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z udzielonych wyjaśnień, Spółka tego nie uczyniła, bezpodstawnie uznając, iż naruszenie nie wiązało się z ryzykiem naruszenia ww. praw lub wolności w ogóle, pomimo tego, że zagubiony dokument nie został do tej pory odnaleziony.
Należy zatem ponownie podkreślić, że w przedmiotowej sprawie, z uwagi na nieodnalezienie dokumentu, nie jest istotna kwestia, czy nieuprawniony podmiot, np. potencjalny jego znalazca, faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi znajdującymi się na zagubionym świadectwie pracy pracownika Spółki, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. Należy podnieść, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu (chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych). Zatem podnoszone przez Spółkę okoliczności, że D. R. nie dochodzi wobec Spółki roszczeń z tytułu zagubienia świadectwa pracy, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki, jako administratora, obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. Nie ma również znaczenia to, że świadectwo pracy D. R. zostało przez niego osobiście przekazane do rąk P. M., która, jak wskazała w swoich wyjaśnieniach Spółka, nie przekazała go następnie ani Spółce ani nie zwróciła D. R. Należy pamiętać, że wręczenie świadectwa pracy P. M. było równoznaczne z przekazaniem go Spółce, bowiem P. M. jako pracownik Spółki działała w jej imieniu i na jej polecenie, przy czym była też osobą upoważnioną przez Spółkę do przetwarzania danych osobowych pracowników.
Podkreślić należy, że naruszenie ochrony danych osobowych, które wystąpiło w związku z zagubieniem świadectwa pracy pracownika Spółki, powoduje ryzyko naruszenia praw lub wolności. Jak wskazuje Grupa Robocza Art. 29 w wytycznych, „Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osoby, której dane osobowe stanowiły treść zagubionego świadectwa pracy. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osoby, której dane zostały objęte naruszeniem, szczególnie w jej środowisku lokalnym, które stanowi stosunkowo niewielkie miasto powiatowe (J.).
Tak więc należy ponownie podkreślić, że w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi osoby, której dane znajdują się na zagubionym świadectwie pracy, lecz to, że wystąpiło ryzyko takiego zdarzenia (tj. osoba nieuprawniona miała możliwość zapoznania się z tymi danymi), co w konsekwencji oznacza, z uwagi na zakres danych znajdujący się na zagubionym świadectwie, że wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. W podobnej sprawie Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. sygn. akt II SA/Wa 791/21 stwierdził, że „(…) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych”. W dalszej części Sąd podkreśla również, że „możliwe konsekwencje zaistniałego zdarzenia niemuszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zatem podnoszona przez Administratora okoliczność, że cyt.: „nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznychi organizacyjnych rozszerzających katalog podjętych działań” pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powyższym przepisem”.
Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 stycznia 2022 r. (sygn. akt: II SA/Wa 1353/21) wskazując, że „(…) możliwe konsekwencje zdarzenia naruszenia danych osobowych nie muszą się zmaterializować - gdyż w art. 33 ust. 1 RODO mowa o tym, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Podnoszona przez Spółkę okoliczność, że w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego lub szkód u osób fizycznych, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z ww. przepisem”.
Jak już wspomniano, w przedmiotowej sprawie istnieje ryzyko, iż z treścią świadectwa pracy oraz zawartymi w nim danymi osobowymi mogły zapoznać się nieuprawnione osoby w bliżej nieokreślonej liczbie z uwagi na niemożność precyzyjnego określenia okoliczności, a w szczególności miejsca zagubienia świadectwa pracy. W konsekwencji oznacza to, że występuje ryzyko naruszenia praw lub wolności osoby, której danych przedmiotowe naruszenie dotyczy, co z kolei skutkuje powstaniem po stronie Spółki, jako administratora, co należy ponownie podkreślić, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym to zgłoszeniu muszą się znaleźć informacje określone w art. 33 ust. 3 tego rozporządzenia.
Dla powyższej oceny nie ma wpływu to, czy z treścią świadectwa pracy w istocie zapoznały się osoby nieuprawnione, w jakiej liczbie itd. Nie ma bowiem pewności, że treść świadectwa pracy nie została udostępniona nieuprawnionym odbiorcom, przy czym Spółka nie może obarczać odpowiedzialnością za naruszenie wyłącznie osoby, do której obowiązków, w ramach zatrudnienia w Spółce, należało założenie i prowadzenie akt osobowych jej pracowników. Za działania tej osoby Spółka ponosi, na gruncie obowiązujących przepisów prawa, pełną odpowiedzialność, jak za działania własne. W ww. kwestii wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 lutego 2022 r. (sygn. akt II SA/Wa 3309/21), który orzekł, iż „(…) Prezes Sądu jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje fakt, że Prezes Sądu przeniósł obowiązek zabezpieczenia nośnika na kuratora sądowego, nie zweryfikował, czy kurator sądowy w jakikolwiek sposób dokonał jego zabezpieczenia oraz nie przeprowadził testu pod kątem skuteczności tego zabezpieczenia. W tym stanie rzeczy, zaniedbanie Prezesa Sądu należy uznać za rażące.”. Ponadto, Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.
Z kolei w motywie 75 preambuły rozporządzenia 2016/679 wskazano m.in.: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi […]”.
Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że ich celem (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.
Powyższe rozumowanie potwierdza wyrok WSA w Warszawie z dnia 22 września 2021 r. (sygn. akt II SA/Wa 791/21), w którym Sąd rozstrzygając w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem przepisów o ochronie danych osobowych odniósł się do wymienionych wyżej kwestii, dodatkowo wskazując, że „W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak: S. Jandt [w:] DS.-GVO..., red. J. Kuhling, B. Buchner, s. 617; Y. Reif [w:] DS.- GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616)”.
W konsekwencji należy stwierdzić, że Spółka, pomimo wystąpienia ryzyka naruszenia praw lub wolności osoby fizycznej, nie dokonała zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych polegającego na zagubieniu dokumentu zawierającego dane osobowe jej pracownika (świadectwa pracy) i tym samym nie wykonała obowiązku z art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tego przepisu.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679, stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO, stosownie do treści art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679, wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:
- Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
Za okoliczność obciążającą Prezes UODO uznaje stosunkowo długi czas trwania naruszenia. Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło co najmniej kilkanaście miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem mogło się zrealizować. - Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679);
Spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, pomimo kierowanych do niej pism Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Obowiązek Spółki, wynikający z art. 33 ust. 1 rozporządzenia 2016/679, nie został przez nią zrealizowany. - Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679);
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Spółki na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie i istnienie obowiązku zgłoszenia naruszenia organowi nadzorczemu. Prawidłowe, w ocenie Prezesa UODO, działanie (zgłoszenie naruszenia Prezesowi UODO) nie zostało podjęte przez Spółkę również po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie. - Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679);
O naruszeniu ochrony danych osobowych stanowiących przedmiot niniejszej sprawy, to jest o zagubieniu przez Spółkę świadectwa pracy jednego z jej pracowników, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679, tylko w wyniku przeprowadzonych przez Prezesa UODO czynności wyjaśniających w Spółce na skutek zawiadomienia o możliwych nieprawidłowościach i wniosku o przeprowadzenie czynności kontrolnych skierowanego do Prezesa UODO przez Komendanta Powiatowego Policji w J. na polecenie Prokuratury Rejonowej w J. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazania takiej informacji Prezesowi UODO, czyli od Spółki, należy uznać za obciążającą tego administratora.
Za okoliczności łagodzące w niniejszej sprawie uznano następujące okoliczności:
- liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679) – naruszenie w niniejszej sprawie dotyczyło tylko jednej osoby, przy czym nie stwierdzono, że osoba, której dane dotyczyły, poniosła jakąkolwiek szkodę, z racji braku roszczeń dochodzonych wobec Spółki;
- nie stwierdzono wcześniejszych, popełnionych przez administratora naruszeń (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:
- charakter i waga naruszenia przy uwzględnieniu charakteru, zakresu i celu przetwarzania (art. 83 ust. 2 lit. a rozporządzenia 2016/679) – stwierdzone w niniejszej sprawie naruszenie nie ma znacznej wagi i poważnego charakteru – ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, nie jest wysokie;
- działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osobę, której dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – w niniejszej sprawie nie stwierdzono powstania jakiejkolwiek szkody po stronie osoby dotkniętej naruszeniem, w związku z czym Spółka nie była zobowiązana do podjęcia jakichkolwiek działań mających na celu ich zminimalizowanie;
- stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) – naruszenie przepisów rozporządzenia 2016/679, oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych), nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi;
- kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679) – nie stwierdzono w niniejszej sprawie naruszenia ochrony danych należących do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, a których naruszenie mogłoby stanowić okoliczność mającą obciążający wpływ na wymierzoną niniejszą decyzją karę;
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) - w sprawie Prezes UODO nie stosował wcześniej środków, o których mowa we wskazanym przepisie;
- stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji;
- osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – nie stwierdzono aby administrator osiągnął w związku z naruszeniem jakiekolwiek korzyści lub uniknął strat finansowych.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka jako administrator w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO.Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2022 r. (1 EUR = 4,5697 PLN) – administracyjną karę pieniężną w kwocie 15 994 PLN (co stanowi równowartość 3500 EUR).
W ocenie Prezesa UODO, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę jako administratora przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną, ponieważ w ocenie Prezesa UODO wskaże zarówno Spółce, jak i innym administratorom danych, naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.
W związku z powyższym wskazać należy, że kara pieniężna w wysokości 15 994 złotych (słownie: piętnaście tysięcy dziewięćset dziewięćdziesiąt cztery złote), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na rodzaj i wagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż jest ona proporcjonalna zarówno do wagi stwierdzonego w niniejszej sprawie naruszenia, jak i do sytuacji finansowej Spółki i nie będzie stanowiła dla niej nadmiernego obciążenia. Z przesłanego rachunku zysków i strat wynika, że przychody z działalności Spółki w okresie 28 listopada 2019 r. – 31 grudnia 2020 r. wyniosły ok. 2 500 000 zł (dwa miliony pięćset tysięcy złotych), w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,64 % obrotu osiągniętego przez Spółkę w okresie, za który Spółka przedstawiła dane finansowe, to jest w okresie ok. 13 miesięcy (od pełnego grudnia 2019 r. do pełnego grudnia 2020 r.). Jednocześnie warto podkreślić, że kwota nałożonej kary (15 994 zł) to jedynie ok. 0,04 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując, zgodnie z art. 83 ust. 4 rozporządzenia 2016/679, maksymalny próg 10 000 000 EUR (zgodnie ze średnim kursem euro z dnia 28 stycznia 2022 r. - 45 697 000 zł) – nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Spółki jako administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki.
W kwestii niezawiadomienia przez Spółkę o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, to jest naruszenia art. 34 ust. 1 i 2 rozporządzenia 2016/67, które to naruszenie objęte było również zakresem niniejszego postępowania, Prezes UODO uznał, na podstawie zebranego materiału dowodowego, że w przedmiotowej sprawie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności ww. osoby, przede wszystkim z uwagi na zakres danych objętych naruszeniem, przewidzianych w świadectwie pracy. Zakres ten został określony w § 2 ust. 1 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 30 grudnia 2016 r. w sprawie świadectwa pracy (Dz.U. 2018 poz. 1289 ze zm.), przy czym nie należą do niego takie dane, jak np. nr PESEL, numery dokumentów tożsamości, dane zaliczone w art. 9 ust. 1 rozporządzenia 2016/679 do szczególnych kategorii danych osobowych lub inne dane, których charakter przesądza o wystąpieniu wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Z kolei okoliczność wystąpienia wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej stanowi niezbędną przesłankę powstania obowiązku zawiadomienia o naruszeniu osoby, której dane dotyczą, na podstawie art. 34 ust. 1 rozporządzenia 2016/679. Z uwagi na powyższe, wobec faktu niewystąpienia w przedmiotowej sprawie wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą oraz związanego z nim obowiązku zawiadomienia tej osoby o naruszeniu, postępowanie w części dotyczącej ww. kwestii stało się bezprzedmiotowe Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 Kodeksu postępowania administracyjnego jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z dnia 21 stycznia 1999 r., sygn. SA/Sz1029/97).
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2020 r. poz. 1325, ze zm.), od dnia następującego po dniu złożenia wniosku.
Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
[1] https://www.uodo.gov.pl/pl/10/12.