DKE.561.23.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.) oraz art. 7 ust. 1 i ust. 2, art. 60, art. 101, art. 101a ust. 2, art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) w związku z art. 31 i art. 58 ust 1 lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na PNP Spółkę Akcyjną z siedzibą w Warszawie przy ul. Marszałkowskiej 126/134 administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez PNP Spółkę Akcyjną z siedzibą w Warszawie przy ul. Marszałkowskiej 126/134, przepisów art. 31 i art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu dostępu do wszelkich informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, to jest do rozpatrzenia skargi Pana P. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych, nakłada na PNP Spółkę Akcyjną z siedzibą w Warszawie przy ul. Marszałkowskiej 126/134 administracyjną karę pieniężną w kwocie 22.739 PLN (słownie: dwadzieścia dwa tysiące siedemset trzydzieści dziewięć złotych).
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana P. K., zwanego dalej „Skarżącym”, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank A, zwaną dalej „Bankiem”, polegające na przekazaniu danych osobowych Skarżącego – bez jego zgody – do Polskiego Domu Maklerskiego Spółki Akcyjnej z siedzibą w Warszawie przy ul. Stanisława Moniuszki 1A (aktualnie: PNP Spółka Akcyjna z siedzibą w Warszawie przy ul. Marszałkowskiej 126/134, zwana dalej „Spółką”).
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej „Prezesem UODO”, w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygnaturą […]), zwrócił się do Spółki pismem z […] września 2019 r. o ustosunkowanie się – w terminie 7 dni od chwili doręczenia wezwania – do treści skargi oraz o odpowiedź na następujące, szczegółowe pytania dotyczące sprawy:
- czy Spółka PDM przetwarza dane osobowe Skarżącego, a jeśli tak, to na jakiej podstawie prawnej, w jakim zakresie i jakim celu oraz do kiedy dane te będą przetwarzane;
- z jakiego źródła Spółka PDM pozyskała dane Skarżącego;
- czy Skarżący zgłaszał do Spółki sprzeciw w zakresie przetwarzania jego danych bez jego zgody, a jeśli tak, to jak Spółka PDM ustosunkowała się do żądania Skarżącego?
Pismo powyższe, skierowane do Spółki za pośrednictwem Poczty Polskiej, awizowane dwukrotnie – w dniach […] września 2019 r. i […] października 2019 r., nie zostało przez Spółkę odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. W związku z powyższym Prezes UODO – w związku z brzmieniem art. 44 § 4 w zw. z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), zwanej dalej „k.p.a.” – uznał je za doręczone Spółce z dniem […] października 2019 r.
W dniu […] lutego 2020 r. Prezes UODO zwrócił się do Spółki z ponownym wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie (przez udzielenie odpowiedzi na pytania analogiczne jak w wezwaniu z […] września 2019 r.). Wezwanie to, skierowane do Spółki za pośrednictwem Poczty Polskiej, awizowane dwukrotnie – w dniach […] i […] lutego 2020 r., nie zostało przez Spółkę odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. W związku z powyższym Prezes UODO – w związku z brzmieniem art. 44 § 4 w zw. z art. 45 k.p.a. – uznał je za doręczone Spółce z dniem […] lutego 2020 r.
W związku z brakiem odpowiedzi na powyższe wezwania Prezes UODO po raz kolejny – pismem z […] sierpnia 2020 r. – wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie. Również i to wezwanie, skierowane do Spółki za pośrednictwem Poczty Polskiej, awizowane dwukrotnie – w dniach […] i […] sierpnia 2020 r., nie zostało przez Spółkę odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. W związku z powyższym Prezes UODO – w związku z brzmieniem art. 44 § 4 w zw. z art. 45 k.p.a. – uznał je za doręczone Spółce z dniem […] sierpnia 2020 r.
W wezwaniach z […] lutego 2020 r. oraz z […] sierpnia 2020 r. Spółka pouczona została, że zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, niezapewnienie dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań, skutkujące naruszeniem art. 58 ust. 1 Rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej.
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], zainicjowanej skargą Skarżącego, Prezes UODO wszczął z urzędu wobec Spółki, w związku z naruszeniem przez nią przepisów art. 31 oraz art. 58 ust. 1 lit e) Rozporządzenia 2016/679, postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (pod sygn. DKE.561.23.2020). O wszczęciu postępowania Spółka poinformowana została pismem z […] listopada 2020 r. Pismo to, skierowane do Spółki za pośrednictwem Poczty Polskiej, awizowane dwukrotnie – w dniach […] i […] listopada 2020 r., nie zostało przez Spółkę odebrane. W związku z powyższym Prezes UODO – w związku z brzmieniem art. 44 § 4 w zw. z art. 45 k.p.a. – uznał je za doręczone Spółce z dniem […] grudnia 2020 r. Pismem powyższym Spółka wezwana została również – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego Spółki za rok 2019 lub – w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2019 r.
Do dnia wydania niniejszej decyzji Spółka nie udzieliła informacji niezbędnych do rozpatrzenia sprawy o sygn. […]. Spółka nie ustosunkowała się także do pisma informującego o wszczęciu postępowania o sygn. DKE.561.23.2020 w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f). Dla umożliwienia egzekwowania tak określonych kompetencji, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do uzyskania od administratora lub podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych mu do realizacji jego zadań (art. 58 ust. 1 lit. e). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niedostarczeniu informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu nadzorczego określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są – na żądanie organu nadzorczego – współpracować z nim w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Naruszenie zaś tego obowiązku podlega – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Odnosząc przytoczone wyżej przepisy Rozporządzenia 2016/679 do stanu faktycznego niniejszej sprawy rozważyć należy w pierwszej kolejności czy Spółka jest adresatem obowiązków, o których mowa w art. 58 ust. 1 lit. e) oraz art. 31 Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 i 5 Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i podmioty przetwarzające. Ocena czy Spółka pełni w procesie przetwarzania danych, stanowiącym przedmiot skargi Skarżącego, rolę administratora czy też podmiotu przetwarzającego dane osobowe Skarżącego, stanowi element stanu faktycznego, który ma zostać ustalony w postępowaniu o sygn. […]. Celem ustalenia tej m.in. okoliczności Prezes UODO kierował do Spółki – w ramach tego postępowania – wezwania do złożenia wyjaśnień. Wobec braku wyjaśnień ze strony Spółki ustalenie tej okoliczności jest utrudnione. Natomiast na potrzeby niniejszego postępowania wystarczające jest, dokonane w postępowaniu o sygn. […], ustalenie, że Spółka przetwarzała pozyskane od Banku dane osobowe Skarżącego celem zaoferowania i przeprowadzenia procesu nabycia przez Skarżącego obligacji emitowanych przez spółkę G. S.A. Powyższe ustalone zostało w sposób nie budzący wątpliwości w oparciu o twierdzenia Skarżącego oraz wyjaśnienia Banku przedstawione Skarżącemu pismami z […] marca 2019 r. oraz […] maja 2019 r. W związku z powyższym stwierdzić należy, że Spółka przetwarzała dane osobowe Skarżącego albo jako administrator albo jako podmiot przetwarzający. To, w której z tych ról występowała i występuje aktualnie Spółka przetwarzając dane osobowe Skarżącego, nie ma żadnego wpływu na rozstrzygnięcie niniejszej sprawy. Obowiązki, o których mowa w art. 31 oraz art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, oraz odpowiedzialność za ich naruszenie (realizowana w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej), są bowiem identyczne dla administratora i podmiotu przetwarzającego.
W niniejszej sprawie, celem ustalenia stanu faktycznego sprawy zainicjowanej skargą Skarżącego, Prezes UODO trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień przez udzielenie odpowiedzi na trzy pytania dotyczące sprawy. Żadne ze skierowanych do Spółki – na adresy ujawnione w Rejestrze Przedsiębiorców Krajowego rejestru Sądowego jako adresy lokalu jej siedziby – pism (z […] września 2019 r., […] lutego 2020 r. oraz […] sierpnia 2020 r.) nie zostało przez Spółkę odebrane pomimo dwukrotnego ich awizowania, w związku z czym uznane zostały za doręczone Spółce zgodnie z art. 44 § 4 w zw. z art. 45 k.p.a. W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy o sygn. […]. Stanu tego nie zmieniło również wszczęcie niniejszego postępowania (o sygn. DKE.561.23.2020) w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. Również pismo informujące o wszczęciu tego postępowania nie zostało przez Spółkę odebrane.
W tym miejscu wskazać należy, że odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że wezwania kierowane przez Prezesa UODO do Spółki nie zostały ostatecznie przez nią odebrane. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną (vide np. wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 r., sygn. akt II SAB/Go 90/18 – LEX nr 2576144).
W związku z powyższym, zważywszy, że Spółka przetwarzała – jako administrator lub podmiot przetwarzający – dane osobowe Skarżącego, a więc jest niewątpliwie w posiadaniu informacji niezbędnych do rozpatrzenia skargi Skarżącego, stwierdzić należy, że naruszyła ona ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy o sygn. […]. Takie działanie Spółki stanowi naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. Działanie to wyczerpuje jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie, obejmuje również (a nawet przede wszystkim) obowiązek przedstawienia organowi – na jego żądanie – wszelkich posiadanych przez administratora lub podmiot przetwarzający informacji związanych z prowadzonym przez niego postępowaniem.
Mając na uwadze powyższe ustalenia, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine oraz art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31) oraz w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań (art. 58 ust. 1 lit. e), to jest do rozstrzygnięcia sprawy o sygn. […].
Jednocześnie, wobec stwierdzenia naruszenia przez Spółkę przepisów dwóch przepisów Rozporządzenia 2016/679 (art. 31 oraz art. 58 ust. 1 lit. e), stosownie do treści art. 83 ust. 3 tego aktu prawnego, zgodnie z którym, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez Spółkę dostępu do wszelkich informacji niezbędnych do realizacji jego zadań, tj. naruszenie przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. O powadze tego naruszenia świadczy to, że brak dostępu do informacji, których Prezes UODO żądał i żąda od Spółki, nie tylko stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
1. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Działania Spółki w niniejszej sprawie, polegające na uchylaniu się od odbioru kierowanej do niej przez Prezesa UODO korespondencji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem incydentalnym. Działanie Spółki było ciągłe i długotrwałe. Trwa od upływu 7-dniowego terminu wyznaczonego na złożenie wyjaśnień w pierwszym wezwaniu Prezesa UODO, tj. od […] października 2019 r. – do dnia wydania niniejszej decyzji.
2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
W związku z tym, że żadne ze skierowanych przez Prezesa UODO do Spółki wezwań do złożenia wyjaśnień nie zostało faktycznie przez Spółkę odebrane, brak jest podstaw do uznania, że działanie Spółki podlegające ukaraniu w niniejszej sprawie miało charakter umyślny. W ocenie Prezesa UODO dokonane przez Spółkę naruszenie miało charakter nieumyślny, jednakże w związku z tym, że było ono następstwem rażącego i długotrwałego zaniedbania przez Spółkę swojego podstawowego obowiązku (zapewnienia takiej organizacji odbioru pism, aby przebieg korespondencji urzędowej odbywał się w sposób ciągły i niezakłócony), okoliczność ta winna być oceniona negatywnie i uznana za obciążającą w kontekście ustalenia wysokości orzeczonej kary.
3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679.
W toku niniejszego postępowania (o sygn. DKE.561.23.2020) w przedmiocie nałożenia administracyjnej kary pieniężnej Spóła nie podjęła w żadnym stopniu współpracy z Prezesem UODO. W szczególności Spółka nie przedstawiła informacji żądanych przez Prezesa UODO w postępowaniu o sygn. […], co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia. Taki całkowity brak współpracy z Prezesem UODO skutkuje w dalszym ciągu utrudnieniem Prezesowi UODO szybkiego i wnikliwego rozpatrzenia skargi Skarżącego w postępowaniu o sygn. […].
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji, osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).
Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679, nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje ona Spółkę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygnaturze […], jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Prezesem UODO. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Spółki, zobowiązanej na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu wskazać należy, że nałożenie na Spółkę administracyjnej kary pieniężnej jest – wobec dotychczasowego postępowania Spółki, jako strony postępowania […] – niezbędne; jest jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu.
Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2019, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności.
Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 3 i art. 83 ust. 4 lit a) oraz art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z art. 103 u.o.d.o., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2021 r. (1 EUR = 4,5479 PLN) – administracyjną karę pieniężną w kwocie 22 739 PLN (co stanowi równowartość 5.000 EUR).
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa).
Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty.