DKE.561.5.2022

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Pana R. G., Prezes Urzędu Ochrony Danych Osobowych, 

stwierdzając naruszenie przez Pana R. G. przepisów art. 31 oraz art. 58 ust. 1 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji jego zadań, nakłada na niego administracyjną karę pieniężną w  kwocie 6 854 PLN (słownie: sześć tysięcy osiemset pięćdziesiąt cztery złote).

Uzasadnienie

                 Stan faktyczny

  1. Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani M. R. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Pana R. G. (zwanego dalej „Administratorem”), polegające na utrwalaniu jej wizerunku za pomocą monitoringu wizyjnego bez podstawy prawnej oraz na niespełnieniu wobec niej obowiązku informacyjnego, o którym mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”).
  2. Celem rozpatrzenia skargi Pani M. R. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie administracyjne o sygnaturze […], w ramach którego – na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – wezwał Administratora pismem z […] listopada 2020 r. – do ustosunkowania się do treści skargi, do złożenia wyjaśnień w sprawie, w szczególności do udzielenia odpowiedzi na szereg szczegółowych pytań w istotnych dla sprawy kwestiach, a także do przedstawienia dowodów potwierdzających złożone wyjaśnienia. Wezwanie to, skierowane za pośrednictwem Poczty Polskiej do Administratora na wskazany przez Panią M. R. adres jego zamieszkania, awizowane dwukrotnie – w dniach […] i […] listopada 2020 r. – nie zostało przez adresata odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. W związku z powyższym Prezes UODO – w oparciu o przepis art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) (zwanej dalej „k.p.a.”) –  uznał je za doręczone Administratorowi z dniem […] listopada 2020 r. i pozostawił w aktach sprawy. Administrator nie udzielił odpowiedzi na to wezwanie Prezesa UODO.
  3. Wobec braku odpowiedzi na wezwanie z […] listopada 2020 r. Prezes UODO ponownie – pismem z […] marca 2021 r. – zwrócił się do Administratora z wezwaniem o treści co do istoty tożsamej z treścią wezwania z […] listopada 2020 r. Wezwanie to – skierowane również na adres zamieszkania Administratora – odebrane zostało przez niego osobiście […] marca 2021 r. Również to wezwanie Prezesa UODO pozostało bez jakiejkolwiek odpowiedzi ze strony Administratora.
  4. Kolejne żądanie udzielenia informacji niezbędnych do rozpatrzenia skargi Pani M. R., o treści tożsamej z treścią poprzednich dwóch wezwań, Prezes UODO skierował do Administratora pismem z […] czerwca 2021 r. Wezwanie to – skierowane do Administratora na adres jego zamieszkania – odebrane zostało również przez niego osobiście […] czerwca 2021 r. Wezwanie to pozostało również bez jakiejkolwiek odpowiedzi ze strony Administratora.
  5. W pismach Prezesa UODO z […] marca 2021 r. i […] czerwca 2021 r. zawarte zostało pouczenie, że brak złożenia wyjaśnień w sprawie może stanowić naruszenie obowiązku współpracy z organem nadzorczym jakim jest Prezes Urzędu Ochrony Danych Osobowych, tj. art. 31 Rozporządzenia 2016/679 w zw. z art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, w konsekwencji czego Prezes UODO może rozważyć nałożenie na Administratora administracyjnej kary pieniężnej na podstawie art. 83 ust. 2 lit. f) w zw. z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
  6. Powyższe okoliczności stanu faktycznego sprawy Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, którą Prezes UODO prowadził z Administratorem w sprawie, a która to korespondencja zgromadzona jest w aktach postępowania o sygnaturze […]. Korespondencja ta, w której brak jest jakiejkolwiek odpowiedzi Administratora na wezwania Prezesa UODO, dokumentuje całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze […], a z drugiej strony odzwierciedla brak reakcji Administratora na żądania Prezesa UODO.

                Postępowanie

  1. W związku z nieudzieleniem przez Administratora informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze […], Prezes UODO wszczął wobec niego z urzędu – na podstawie art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygnaturze DKE.561.5.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. O wszczęciu postępowania Administrator poinformowany został pismem z […] lutego 2022 r. doręczonym mu […] lutego 2022 r. Pismem tym Administrator wezwany został – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) (zwanej dalej „u.o.d.o.”) – do przedstawienia informacji o osiągniętych przez niego dochodach za rok 2021. Administrator poinformowany został również na czym polega zarzucane mu naruszenie; pouczony został o sankcjach grożących za to naruszenie; poinformowany został także o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niego Prezes UODO w postępowaniu o sygnaturze […], co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Administrator poinformowany został o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
  2. Administrator nie podjął żadnych działań w reakcji na informację o wszczęciu niniejszego postępowania. Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

                Przepisy prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679).
  2. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
  3. Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  4. Dodatkowo zarówno administrator jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest - zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  5. Zgodnie z art. 83 ust. 3 Rozporządzenia 2016/679, w przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.
  6. Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:
    1. charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
    2. umyślny lub nieumyślny charakter naruszenia,
    3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
    4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
    5. wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
    6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
    7. kategorie danych osobowych, których dotyczyło naruszenie,
    8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
    9. jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków,
    10. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy  art. 42,
    11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
  7. Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
  8. Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).
  9. Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

                  Ocena prawna

  1. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego  w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności czy Administrator jest adresatem obowiązków, o których mowa w art. 58 ust. 1 lit. e) oraz art. 31 Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 i 5 Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i podmioty przetwarzające. Z treści skargi Pani M. R. wynika, że Administrator, instalując na budynku […] system monitoringu wizyjnego jest administratorem danych pozyskanych za pomocą tego systemu, w tym danych Pani M. R. w zakresie jej – co najmniej – wizerunku. Instalując ten system Administrator musiał mieć określony cel przetwarzania danych pozyskanych za pomocą tego systemu, a sama instalacja i uruchomienie tego systemu (służącego do co najmniej pobierania, a prawdopodobnie również do  przeglądania, utrwalania, przechowywania i wykorzystywania w celach określonych przez Administratora, wizerunku osób, które znalazły się w zasięgu tego systemu) jest sposobem przetwarzania danych osobowych określonym również przez Administratora. Powyższe pozwala przyjąć, że Administrator, w stanie faktycznym opisanym przez Panią M. R., występuje, w odniesieniu do danych osobowych pozyskanych za pomocą zainstalowanego przez siebie systemu monitoringu wizyjnego, w roli administratora zdefiniowanego w art. 4 pkt 7 Rozporządzenia 2016/679. Ustalenie to jest uzasadnione tym bardziej, że Administrator – pomimo wiedzy o wszczęciu niniejszego postępowania – nie przedstawił dowodów przeciwnych; nie zaprzeczył nawet, że przetwarza dane osobowe Pani M. R. pozyskane za pomocą systemu monitoringu wizyjnego. W związku z tym, że Pan R. G. jest administratorem w rozumieniu art. 4 pkt 7 Rozporządzenia 2016/679, Prezes UODO uprawniony był – zgodnie z art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – do nakazania mu przedstawienia informacji niezbędnych do rozpatrzenia skargi Pani M. R., a Administrator – na mocy art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 – zobowiązany był takie informacje przedstawić.
  2. W postępowaniu o sygnaturze […], celem ustalenia stanu faktycznego sprawy zainicjowanej skargą Pani M. R., Prezes UODO trzykrotnie zwrócił się do Administratora z wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Pierwsze wezwanie nie zostało przez Administratora odebrane pomimo dwukrotnego jego awizowania, w związku z czym uznane zostało za doręczone Administratorowi zgodnie z art. 44 § 4 k.p.a. Kolejne dwa wezwania zostały przez Administratora odebrane osobiście, co pozwala przyjąć, że do jego świadomości dotarła informacja o toczącym się przed Prezesem UODO postępowaniu z jego udziałem oraz o kierowanych do niego żądaniach organu. Pomimo to Administrator nie przedstawił żądanych przez Prezesa UODO wyjaśnień. Stanu tego nie zmieniło wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygnatura DKE.561.5.2022). Skierowane do Administratora pismo Prezesa UODO z […] lutego 2022 r., informujące o wszczęciu tego postępowania (vide pkt 7 uzasadnienia niniejszej decyzji), również pozostało bez odpowiedzi.
  3. Bezsporny jest zatem fakt, że Prezes UODO – realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – skierował do Administratora – w formie zgodnej z przepisami k.p.a. regulującymi wezwania – żądanie dostarczenie informacji potrzebnych do realizacji swoich zadań. Bezsporny jest też fakt, że Prezes UODO nie uzyskał od Administratora żądanych informacji, co stanowi naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.
  4. Postępowanie Administratora polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych mu w postępowaniu o sygnaturze […] wyczerpuje jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie, obejmuje również (a nawet przede wszystkim) obowiązek przedstawienia organowi – na jego żądanie – wszelkich posiadanych przez administratora lub podmiot przetwarzający informacji związanych z prowadzonym przez niego postępowaniem. W niniejszej sprawie żądanie współpracy, o którym mowa w tym przepisie, przedstawione zostało Administratorowi w trzech wezwaniach skierowanych do niego w postępowaniu o sygnaturze […]. Brak jakiejkolwiek reakcji Administratora na to żądanie stanowi niewątpliwie naruszenie ciążącego na nim obowiązku określonego w art. 31 Rozporządzenia.
  5. Mając na uwadze powyższe, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora – na mocy art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 Rozporządzenia 2016/679) oraz w związku z niezapewnieniem przez Administratora dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygnaturze […] (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
  6. Jednocześnie, wobec stwierdzenia naruszenia przez Administratora dwóch przepisów Rozporządzenia 2016/679 (art. 31 oraz art. 58 ust. 1 lit. e), stosownie do treści art. 83 ust. 3 tego aktu prawnego, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez Administratora dostępu do wszelkich informacji niezbędnych do realizacji jego zadań, tj. naruszenie przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, zagrożone karą o wysokości wyższej z dwóch przewidzianych w Rozporządzeniu 2016/679 – do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. O powadze tego naruszenia świadczy to, że brak dostępu do informacji, których Prezes UODO żądał i żąda od Administratora, nie tylko stoi na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.

           Przesłanki i zasady wymiaru administracyjnej kary pieniężnej

  1. Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg przesłanek wymienionych w punktach od a) do k) wskazanego wyżej przepisu (vide pkt 14 uzasadnienia niniejszej decyzji). Decydując o nałożeniu w niniejszej sprawie na Administratora administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
  2. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
  3. Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za niezapewnienie dostępu do informacji skutkujące naruszeniem art. 58 ust. 1 Rozporządzenia 2016/679 karę wyższą z dwóch określonych przepisami Rozporządzenia 2016/679 – karę do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4 % jego obrotu z poprzedniego roku obrotowego. Postępowanie Administratora, polegające na całkowitym ignorowaniu kierowanej do niego przez Prezesa UODO korespondencji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Administratora naruszenie nie było zdarzeniem incydentalnym. Działanie Administratora jest ciągłe i długotrwałe. Stan naruszenia przepisów Rozporządzenia 2016/679 trwa od upływu 7-dniowego terminu wyznaczonego na złożenie wyjaśnień w pierwszym wezwaniu skierowanym do niego przez Prezesa UODO w postępowaniu o sygnaturze […], to jest od […] grudnia 2020 r., do dnia wydania niniejszej decyzji.
  4. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
  5. W ocenie Prezesa UODO postępowanie Administratora w sprawie o sygnaturze […], polegające na całkowitym braku współpracy w zapewnieniu organowi dostępu do wszelkich informacji niezbędnych do jej rozstrzygnięcia jest świadome i celowe. Nie ulega wątpliwości, że żądania Prezesa UODO dotarły do świadomości Administratora (vide pkt 3, 4 i 7 uzasadnienia niniejszej decyzji). Brak odpowiedzi na nie musiał być efektem świadomej decyzji Administratora mającej na celu utrudnienie Prezesowi UODO rozpatrzenia skargi Pani M. R. Warto zauważyć, że informacja o wszczęciu niniejszego postępowania (pismo Prezesa UODO z […] lutego 2022 r.) – oprócz informacji o dokonanym przez Administratora naruszeniu oraz o zagrożeniu za to naruszenie sankcją w postaci administracyjnej kary pieniężnej – informowało również Administratora o istniejącej nadal możliwości przedstawienia informacji, których żądał od niego Prezes UODO w postępowaniu o sygnaturze [...]. Administrator więc miał i ma pełną świadomość popełnionego naruszenia, a także wiedzę w jaki sposób stan tego naruszenia zakończyć (przedstawić Prezesowi UODO żądane informacje). Administrator tego nie uczynił nawet na obecnym etapie sprawy, co zwiększa w ocenie Prezesa UODO stopień umyślności postępowania Administratora, i wpływa obciążająco na ocenę dokonanego przez niego naruszenia.
  6. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679.
  7. W toku niniejszego postępowania w przedmiocie nałożenia na Administratora administracyjnej kary pieniężnej (sygnatura DKE.561.5.2022) Administrator nie podjął w żadnym stopniu współpracy z Prezesem UODO. W szczególności Administrator nie przedstawił żadnych informacji żądanych przez Prezesa UODO w postępowaniu o sygnaturze […], co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Taki całkowity brak współpracy z Prezesem UODO skutkuje w dalszym ciągu utrudnieniem w szybkim i wnikliwym rozpatrzeniu skargi Pani M. R. w postępowaniu o sygnaturze […].
  8. W ocenie Prezesa UODO żadna z przesłanek, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej niniejszą decyzją kary.
  9. Ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobami, których dane dotyczą) następujące okoliczności siłą rzeczy nie mogły być wzięte pod uwagę przez Prezesa UODO w niniejszej sprawie:
    • liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679) – ze względu na to, że naruszenie nie wiąże się z naruszeniem danych osobowych żadnej osoby i w konsekwencji nie wystąpiły w sprawie żadne szkody po stronie osób fizycznych;
    • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Administratora jakichkolwiek działań mających na celu ich zminimalizowanie;
    • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Administratora w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
    • kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679) – ze względu na to, że naruszenie nie wiąże się z naruszeniem żadnych danych osobowych.
  10. Pozostałe, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
    • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679);
    • Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Administratorze obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
    • sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679);
    • Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygnaturze […]. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu (to jest o braku współpracy z organem i o niezapewnieniu dostępu do informacji niezbędnych do rozpoznania sprawy) wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Administratora; fakt ten nie może być jednak też uwzględniony na korzyść Administratora skoro nie brał on żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
    • przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679);
    • Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
    • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679);
    • Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
    • osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679)
    • Prezes UODO nie stwierdził, żeby Administrator, w związku z brakiem współpracy z organem i z nieudzieleniem żądanych przez ten organ informacji, odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od jego woli i jego działania, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
    • inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679).
    • Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
  11. Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679, nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść się należy do poglądów doktryny prawa o ochronie danych osobowych. „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz. Legalis). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do sytuacji finansowej i majątkowej ukaranego podmiotu. Takie odniesienie się jest konieczne gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz „niezauważalna” dla niego) nie będzie wobec niego skuteczna i odstraszająca; kara zbyt dolegliwa (kara, której uiszczenie zagrozi podstawom bytu materialnego ukaranego) nie będzie natomiast karą proporcjonalną.
  12. W ocenie Prezesa UODO kara nałożona na Administratora w niniejszym postępowaniu odpowiada zasadom wskazanym w art. 83 ust. 1 Rozporządzenia 2016/679. Jej dotkliwość w wymiarze finansowym zdyscyplinuje Administratora do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygnaturze […], jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. W wymiarze dyscyplinującym Administratora kara będzie więc skuteczna (osiągnie swój cel). W tym miejscu wskazać należy, że nałożenie na Administratora administracyjnej kary pieniężnej jest – wobec dotychczasowego jego postępowania jako strony w sprawie o sygnaturze […] – niezbędne; jest bowiem jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi mu uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu.
  13. Nałożona niniejszą decyzją kara będzie również – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Administratora bez nadmiernego uszczerbku dla jego indywidualnego i rodzinnego statusu materialnego. Ocena tego statusu, wobec nieprzedstawienia przez Administratora informacji o osiągniętych przez niego dochodach za rok 2021, dokonana została przez Prezesa UODO w sposób szacunkowy. Prezes UODO wziął pod uwagę m.in. okoliczność, że Administrator prowadzi działalność rolniczą, z tytułu której rocznie otrzymuje płatności w ramach Wspólnej Polityki Rolnej. Z ogólnodostępnych danych publikowanych przez Ministerstwo Rolnictwa i Rozwoju Wsi (https://beneficjenciwpr.minrol.gov.pl) wynika, że w ostatnich trzech latach otrzymane przez Administratora płatności z tego tytułu wyniosły: w 2019 r. – […], w 2020 r. – […], w 2021 r. – […]. Zważywszy na to, że kwoty te należy traktować jako dochody uboczne, niezależne od dochodów podstawowych uzyskiwanych niewątpliwie przez Administratora z działalności rolniczej lub z innych źródeł, jego status materialny należy uznać za co najmniej średni. Administracyjna kara pieniężna w wysokości odpowiadającej ok. 10 % samego tylko ostatniego dochodu (za 2021 r.) uzyskanego tytułem płatności z funduszy Wspólnej Polityki Rolnej, będzie dla Administratora odczuwalna ale nie przekroczy progu dolegliwości oznaczającego obniżenie jego statusu materialnego.
  14. Ponadto, zdaniem Prezesa UODO, nałożona na Administratora kara w tej konkretnej, określonej w sentencji niniejszej decyzji wysokości, spełni również funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Administratora, jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych z zapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
  15. Mając na uwadze przepis art. 103 u.o.d.o. (vide pkt 17 uzasadnienia niniejszej decyzji) Prezes UODO za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Administratora – stosując średni kurs euro z dnia 28 stycznia 2022 r. (gdzie 1 EUR = 4,5697 PLN) – administracyjną karę pieniężną w kwocie 6 854 zł (co stanowi równowartość 1 500 EUR).
  1. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.
  •        Pouczenie
  1. Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.) (dalej „p.p.s.a.”), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) (dalej „u.o.d.o.”) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
  2. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
  3. Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. 
  4. Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2021 r. poz. 1540 ze zm.), od dnia następującego po dniu złożenia wniosku.
Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2022-08-31
Wprowadził informację:
user Łukasz Kuligowski
date 2023-01-05 15:01:05
Ostatnio modyfikował:
user Łukasz Kuligowski
date 2023-01-05 15:37:11