DKE.561.13.2021
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7, art. 60,art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. i), art. 83 ust. 1-2 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią J. P., prowadzącą działalność gospodarczą pod firmą „P”, ul. (…), R., Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Panią J. P., prowadzącą działalność gospodarczą pod firmą „P”, ul. (…), R., przepisu art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, nakłada na wyżej wymienioną administracyjną karę pieniężną w kwocie 4.548 PLN (słownie: cztery tysiące pięćset czterdzieści osiem złotych).
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła informacja o nieprawidłowościach przy przetwarzaniu przez Panią J. P., prowadzącą działalność gospodarczą pod firmą „P”, ul. (…), R., zwaną dalej „Przedsiębiorcą”, danych osobowych w ramach prowadzonej przez nią działalności gospodarczej, polegających na możliwości pozostawienia przez Przedsiębiorcę danych osobowych kontrahentów w niezabezpieczonej lokalizacji, a więc niezapewnieniu odpowiedniego bezpieczeństwa danych osobowych (w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem) za pomocą odpowiednich środków technicznych.
W związku z koniecznością pozyskania informacji dodatkowych, niezbędnych organowi nadzorczemu do oceny okoliczności związanych z prawdopodobnym naruszeniem ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO”) w ramach wszczętego postępowania administracyjnego o sygn. DKN.5101.63.2020 zwrócił się do Przedsiębiorcy pismem z 29 stycznia 2021 r. o udzielenie odpowiedzi – w terminie 7 dni od dnia doręczenia przedmiotowej korespondencji – na następujące, szczegółowe pytania dotyczące zaistniałego incydentu:
1) wskazanie, czy Przedsiębiorca był świadom tego, że doszło do naruszenia ochrony danych osobowych, których był administratorem, a jeżeli tak – o wskazanie, kiedy dowiedział się o fakcie zaistnienia przedmiotowego naruszenia oraz podanie przyczyn, dla których nie dokonał zgłoszenia tego naruszenia do Prezesa UODO zgodnie z art. 33 Rozporządzenia 2016/679;
2) zakomunikowanie, czy Przedsiębiorca zawiadomił zgodnie z art. 34 Rozporządzenia 2016/679 osoby, których dane dotyczą, o przedmiotowym naruszeniu, a jeśli tak, to kiedy i w jakiej formie dokonał tego zawiadomienia;
3) poinformowanie, w jaki sposób Przedsiębiorca zapewniał zdolność do ciągłego utrzymywania poufności, integralności oraz dostępności procesów przetwarzania danych osobowych;
4) wskazanie, w jaki sposób Przedsiębiorca dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych;
5) przekazanie informacji, czy w fazie projektowania procesu przetwarzania danych osobowych Przedsiębiorca przeprowadził analizę ryzyka, w szczególności uwzględniającą ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, wraz z przedstawieniem jej wyników.
Wzmiankowane pismo, przesłane za pośrednictwem polskiego operatora pocztowego na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane. Podwójnie awizowane w dniach 3 lutego 2021 r. oraz 11 lutego 2021 r., a następnie opatrzone adnotacją „ZWROT nie podjęto w terminie”, zostało zwrócone w dniu 18 lutego 2021 r. do Urzędu Ochrony Danych Osobowych.
Wobec powyższego Prezes UODO ponownie pismem z 23 kwietnia 2021 r., zwrócił się do Przedsiębiorcy o złożenie stosownych wyjaśnień, zakreślając 7-dniowy termin na ustosunkowanie się do tak sformułowanego żądania. Jednocześnie Przedsiębiorcę pouczono o tym, że brak udzielenia wyczerpującej odpowiedzi na wezwanie skutkować może nałożeniem administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Wyżej wymienione pismo, dwukrotnie awizowane w dniach 28 kwietnia 2021 r. oraz 6 maja 2021 r., niepodjęte przez odbiorcę w terminie zostało zwrócone do nadawcy 13 maja 2021 r.
Mając na uwadze obowiązujące brzmienie art. 42 § 1 w związku art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.), zwanej dalej „k.p.a.”, oba ww. pisma uznano za prawidłowo doręczone Przedsiębiorcy.
W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DKN.5101.63.2020, Prezes Urzędu Ochrony Danych Osobowych wszczął wobec niego z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 19 lipca 2021 r. Korespondencja ta, skierowana do Przedsiębiorcy za pośrednictwem Poczty Polskiej, awizowana dwukrotnie w dniach 22 lipca 2021 r. oraz 30 lipca 2021 r., nie została przez niego odebrana. W związku z powyższym Prezes UODO – stosownie do brzmienia art. 42 § 1 w związku art. 44 § 4 k.p.a. – uznał ją za doręczoną Przedsiębiorcy z dniem 6 sierpnia 2021 r. Pismem powyższym Przedsiębiorca wezwany został także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2020 r.
Zgodnie z informacjami ujawnionymi w CEIDG, Przedsiębiorca wykonuje działalność gospodarczą sklasyfikowaną zgodnie z Polską Klasyfikacją Działalności jako działalność agentów i brokerów ubezpieczeniowych (kod: 66.22), przy czym od 1 grudnia 2019 r. ze statusem „zawieszony”. Jednocześnie Przedsiębiorca posiada zadłużenie w nieoznaczonej kwocie. Dowodem powyższego jest fakt, iż należąca do Przedsiębiorcy nieruchomość – lokal mieszkalny nr (...), położony w R. przy ul. (…), objęty księgą wieczystą o numerze (…), stał się przedmiotem licytacji komorniczej Km (…), jaka miała miejsce 3 marca 2020 r. w Sądzie Rejonowym w R. Obwieszczenie o pierwszym terminie licytacji przeprowadzonej przez Komornika Sądowego przy Sądzie Rejonowym w R., W. C widnieje m.in. na stronie internetowej mieszczącej się pod adresem: (…).
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji stanu faktycznego, stwierdzić należy, że Przedsiębiorca – administrator danych osobowych klientów przetwarzanych w ramach prowadzonej przez niego działalności gospodarczej – jako strona prowadzonego przez Prezesa UODO postępowania o sygnaturze DKN.5101.63.2020, naruszył ciążący na nim obowiązek zapewnienia Prezesowi UODO dostępu do informacji i danych osobowych niezbędnych do realizacji jego zadań, w tym przypadku do merytorycznego rozstrzygnięcia wyżej wymienionej sprawy. Takie działanie Przedsiębiorcy stanowi naruszenie art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679.
Prezes UODO, celem ustalenia stanu faktycznego sprawy o sygn. DKN.5101.63.2020, dwukrotnie zwrócił się do Przedsiębiorcy z wezwaniem do złożenia wyjaśnień poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Żadne z wystosowanych do Przedsiębiorcy pism datowanych na 29 stycznia 2021 r. oraz 23 kwietnia 2021 r., skierowanych na ujawniony w CEIDG adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane pomimo dwukrotnego awizowania. W związku z powyższym pisma te uznane zostały za prawidłowo doręczone Przedsiębiorcy zgodnie z 42 § 1 w związku z art. 44 § 4 k.p.a. W konsekwencji niepodejmowania przez Przedsiębiorcę kierowanej do niego korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy o sygn. DKN.5101.63.2020. Stanu tego nie zmieniło wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygn. DKE.561.13.2021). Pismo informujące o wszczęciu tego postępowania również nie zostało bowiem przez Przedsiębiorcę odebrane.
W tym miejscu wskazać należy, że odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Przedsiębiorcy. Nie zmienia tego okoliczność, że wezwania kierowane przez Prezesa UODO do Przedsiębiorcy nie zostały przez niego ostatecznie podjęte. Powinnością każdej osoby prowadzącej jednoosobową działalność gospodarczą jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony. W szczególności, w sytuacji niemożności osobistego odbioru pism, Przedsiębiorca powinien do tego celu wyznaczyć osobę upoważnioną. Zaniechanie takiego działania powinno być uznawane za rażące niedbalstwo Przedsiębiorcy, które w żadnym razie nie powinno negatywnie wpływać na możliwość realizacji uprawnień organu nadzorczego, w tym na terminowość prowadzonych przez niego postępowań.
Podobnie odpowiedzialności Przedsiębiorcy nie umniejsza fakt, iż ten zawiesił z dniem 1 grudnia 2019 r. (a zatem jeszcze przed wszczęciem postępowania administracyjnego o sygn. DKN.5101.63.2020) wykonywanie indywidualnej działalności gospodarczej, co ujawnione zostało w CEIDG. Okoliczność zawieszenia wykonywania działalności nie zwalnia Przedsiębiorcy z obowiązku współpracy z organem nadzorczym. Stosownie bowiem do zapisów ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców (Dz. U. z 2021 r., poz. 162), w okresie zawieszenia wykonywania działalności gospodarczej ma on prawo albo obowiązek uczestniczyć w postępowaniach sądowych, postępowaniach podatkowych i administracyjnych związanych z działalnością gospodarczą wykonywaną przed datą zawieszenia wykonywania działalności gospodarczej, a nadto wykonuje wszelkie obowiązki nakazane przepisami prawa (art. 25 ust. 2 pkt 4 i 5 tejże ustawy). Niewątpliwie obowiązkiem takim, wynikającym z mocy samego prawa jest egzekwowalny obowiązek dostarczenia Prezesowi UODO wszelkich żądanych informacji i danych osobowych, niezbędnych do realizacji zadań organu ochrony danych, o którym mowa w art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. Tym samym stwierdzić należy, że powinnością Przedsiębiorcy, również w okresie zawieszenia wykonywania przez niego działalności, było udzielenie terminowej oraz wyczerpującej odpowiedzi na wezwanie do złożenia wyjaśnień, kierowane do niego przez Prezesa UODO.
Mając na uwadze powyższe ustalenia, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej.
Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym uwagę na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu na Przedsiębiorcę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
- Charakter, wagę i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). Podlegające administracyjnej karze pieniężnej zachowanie Przedsiębiorcy, noszące znamiona naruszenia art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, godzi bowiem w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań, organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Działania Przedsiębiorcy w niniejszej sprawie, polegające na zaniechaniu dostarczenia wszelkich żądanych przez Prezesa UODO informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Przeciwnie, działanie Przedsiębiorcy miało charakter ciągły i długotrwały, co bezsprzecznie potwierdza fakt, iż stwierdzone w niniejszym postępowaniu naruszenie trwa od chwili upływu terminu wyznaczonego na złożenie wyjaśnień, zakreślonego w pierwszym piśmie Prezesa UODO, tj. od 24 lutego 2021 r., do chwili obecnej.
- Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679). W związku z tym, że żadne ze skierowanych przez Prezesa UODO do Przedsiębiorcy wezwań do złożenia wyjaśnień nie zostało faktycznie przez niego odebrane, brak jest podstaw do uznania, że działanie Przedsiębiorcy podlegające ukaraniu w niniejszej sprawie miało charakter celowy. W ocenie Prezesa UODO, dokonane przez Przedsiębiorcę naruszenie miało charakter nieumyślny, jednakże w związku z tym, że było ono następstwem rażącego i długotrwałego zaniedbania przez Przedsiębiorcę jego podstawowego obowiązku (zapewnienia takiej organizacji odbioru pism, aby przebieg korespondencji urzędowej odbywał się w sposób ciągły i niezakłócony), okoliczność ta winna być oceniona negatywnie i uznana za obciążającą w kontekście ustalenia wysokości orzeczonej kary.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679). W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygn. DKE.561.13.2021) Przedsiębiorca nie podjął w żadnym stopniu współpracy z Prezesem UODO. W szczególności Przedsiębiorca nie przedstawił informacji żądanych przez organ ochrony danych osobowych w postępowaniu o sygn. DKN.5101.63.2020, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia. Taki całkowity brak współpracy z Prezesem UODO skutkuje w dalszym ciągu utrudnianiem Prezesowi UODO szybkiego i wnikliwego zbadania informacji o przypuszczalnych nieprawidłowościach przy przetwarzaniu przez Przedsiębiorcę danych osobowych jego klientów.
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).
Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679, nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Przedsiębiorcę w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje ona Przedsiębiorcę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygn. DKN.5101.63.2020, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Przedsiębiorcę bez ponad miarowego uszczerbku dla prowadzonej przez niego działalności. Decydując o wysokości kary, Prezes UODO uwzględnił bowiem zarówno naganność postępowania Przedsiębiorcy, w tym przede wszystkim jego wpływ na prowadzone przez organ nadzorczy postępowanie w sprawie naruszenia ochrony danych, jak i pozyskane informacje dotyczące kondycji finansowej Przedsiębiorcy. Mając na uwadze zadłużenie Przedsiębiorcy, niewątpliwe wobec faktu sprzedaży w drodze licytacji komorniczej należącego do niego lokalu mieszkalnego nr (...), położonego w R. przy ul. (…), objętego księgą wieczystą o numerze (…), Prezes UODO stanął na stanowisku, że kwota administracyjnej kary pieniężnej wymierzonej w przedmiotowym postępowaniu będzie proporcjonalna do jego możliwości płatniczych. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Przedsiębiorcy, zobowiązanego na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych z zapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu wskazać należy, że nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest – wobec dotychczasowego postępowania ww., jako strony postępowania o sygn. DKN.5101.63.2020 – niezbędne; bowiem jest jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu.
Wobec nieprzedstawienia przez Przedsiębiorcę żądanych przez Prezesa UODO danych finansowych za rok 2020, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., specyfikę, zakres i skalę prowadzonej przez Przedsiębiorcę działalności.
Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z art. 103 u.o.d.o., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Przedsiębiorcę – stosując średni kurs euro z dnia 28 stycznia 2021 r. (gdzie 1 EUR = 4,5479 PLN) – administracyjną karę pieniężną w kwocie 4.548 PLN (co stanowi równowartość 1.000 EUR).
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa).
Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty.