DOKE.561.8.2023
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 t. j.) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. l, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej: „Rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na A. S.A. z siedzibą w W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez A. S.A. z siedzibą w W. przy ul. (…) przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, nakłada na A. S.A. z siedzibą w W. przy ul. (…) administracyjną karę pieniężną w kwocie 56 592 zł (słownie: pięćdziesiąt sześć tysięcy pięćset dziewięćdziesiąt dwa złote).
UZASADNIENIE
Stan faktyczny
1. Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej „Prezesem UODO”) wpłynęła skarga Pana A. M., zam. w R. przy ul. (…) (zwanego dalej „Skarżącym”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. S.A. z siedzibą w W. przy ul. (…) (zwaną dalej „Spółką”), polegające na niespełnieniu wobec Skarżącego obowiązku informacyjnego, o którym mowa w art. 15 ust. 1 i 3 Rozporządzenia 2016/679. W związku z powyższym, celem rozpatrzenia zarzutów podnoszonych przez Skarżącego, Prezes UODO prowadzi postępowanie administracyjne o sygn. DS.523.6048.2020.
2. W ramach wyżej wskazanego postępowania, działając na podstawie art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, Prezes UODO – pismem z 30 grudnia 2020 r. – wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie poprzez udzielenie odpowiedzi na następujące pytania dotyczące istoty sprawy:
1) „kiedy (należy wskazać dokładną datę), z jakiego źródła, na jakiej podstawie prawnej (należy wskazać konkretny przepis/-y prawa), w jakim celu i w jakim zakresie (należy wymienić kategorie/ rodzaje danych) Spółka pozyskała dane osobowe Skarżącego,
2) czy, a jeśli tak, to na jakiej podstawie prawnej (należy wskazać konkretny przepis/-y prawa), w jakim celu, w jakim zakresie (należy wymienić kategorie/ rodzaje danych) Spółka przetwarzała lub aktualnie przetwarza dane osobowe Skarżącego,
3) czy Skarżący wystąpił do Spółki z wnioskiem o realizację jego praw z zakresu ochrony danych osobowych, w szczególności uzyskania dostępu do informacji wymienionych w art. 15 ust. 1 Rozporządzenia 2016/679, a także o udostepnienie kopii jego danych osobowych oraz jakie były działania Spółki w tym zakresie, czy, a jeśli tak, to na jakiej podstawie prawnej, w jaki sposób oraz kiedy ustosunkowano się do żądania Skarżącego”.
Pismo to, skierowane na ujawniony w Krajowym Rejestrze Sądowym adres siedziby Spółki, tj. ul. (…), W., zostało odebrane przez Spółkę 4 stycznia 2021 r.
3. W odpowiedzi na powyższe wezwanie, pismem z 15 stycznia 2021 r., Spółka udzieliła wyjaśnień w sprawie, w których wskazała, iż nie jest w stanie jednoznacznie określić źródła pozyskania danych osobowych Skarżącego. Spółka przyznała, że Skarżący wystąpił do niej – za pośrednictwem wiadomości e-mail z 9 października 2018 r., wysłanej na adres: (…) – z wnioskiem o udostępnienie informacji, jednakże ówczesny inspektor danych osobowych Spółki nie ustosunkował się w żaden sposób do ww. wniosku. Dane osobowe Skarżącego w postaci: imienia, nazwiska, adresu e-mail oraz numeru telefonu zostały natomiast umieszczone w bazie klientów, którzy skorzystali z prawa do żądania ich usunięcia. Tak sformułowane wyjaśnienia Spółki, nie zawierały pełnej odpowiedzi na szczegółowe pytania Prezesa UODO, zawarte w wezwaniu do złożenia wyjaśnień z 30 grudnia 2020 r.
4. W związku z powyższym – pismem z 14 października 2021 r. – Prezes UODO ponownie wezwał Spółkę do nadesłania wyjaśnień i dowodów niezbędnych do zbadania zasadności zarzutów podnoszonych przez Skarżącego, w tym do wskazania: dokładnej daty, źródła, podstawy prawnej, celu oraz zakresu pozyskania danych osobowych Skarżącego, jak również podstawy prawnej, celu i zakresu przetwarzania tych danych przez Spółkę – tak w przeszłości, jak i obecnie. Nadto Spółkę zobowiązano do jednoznacznego wskazania terminu usunięcia danych osobowych Skarżącego (wraz z podstawą prawną i sposobem jego wyliczenia) oraz do złożenia kopii wniosku Skarżącego z 9 października 2018 r., do którego to Spółka odniosła się w swych wyjaśnieniach z 15 stycznia 2021 r. Wezwanie to, skierowane na adres rejestrowy Spółki (vide pkt 2 uzasadnienia niniejszej decyzji), zostało odebrane przez Spółkę 19 października 2021 r. Mimo odbioru korespondencji, Spółka nie ustosunkowała się w żaden sposób do żądania organu ochrony danych osobowych.
5. Wobec braku odpowiedzi Spółki, Prezes UODO raz jeszcze – pismem z 9 grudnia 2021 r. – zwrócił się do Spółki o udzielenie wyjaśnień w sprawie. Pismo to zostało doręczone Spółce 14 grudnia 2021 r.
6. W odpowiedzi na powyższe wezwanie, pismem z 15 grudnia 2021 r. Spółka udzieliła żądanych informacji. W szczególności Spółka wskazała, iż dane osobowe Skarżącego, jako osoby prowadzącej jednoosobową działalność gospodarczą, pozyskane zostały z Internetu, ze źródeł powszechnie dostępnych, na podstawie art. 6 ust. 1 pkt 6 Rozporządzenia 2016/679, albowiem przetwarzanie tych danych było niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Spółkę – w tym wypadku do przedstawienia Skarżącemu oferty (…) Spółki. Do tego celu pozyskano imię, nazwisko, adres e-mail oraz numer telefonu Skarżącego. Spółka weszła w posiadanie wzmiankowanych danych przed pierwszym kontaktem telefonicznym ze Skarżącym, tj. przed dniem 9 listopada 2018 r. Obecnie podstawę przetwarzania przez Spółkę ww. danych osobowych Skarżącego stanowi art. 6 ust. 1 pkt d Rozporządzenia 2016/679 w związku z art. 118 ustawy z dnia 23 kwietnia 1964 r. – Kodeks Cywilny (Dz. U. z 2023 r., poz. 1610 t. j.,), zwanej dalej: „k.c.”, albowiem, wobec roszczeń Skarżącego kierowanych wobec Spółki, przetwarzanie niezbędne jest do ochrony jego żywotnych interesów. Zgodnie z wyjaśnieniami Spółki, stosownie do brzmienia art. 118 k.c., dane osobowe Skarżącego zostaną usunięte przez Spółkę 9 października 2024 r., tj. po upływie 6 lat od momentu wystąpienia przez Skarżącego z wnioskiem o udostępnienie danych. W celu realizacji żądania organu nadzorczego, do swoich wyjaśnień Spółka załączyła kopię rzeczonego wniosku.
7. Zważywszy na fakt, iż wyjaśnienia w imieniu Spółki złożył (…) – inspektor ochrony danych Spółki, którego podpis widnieje pod treścią pisma z 15 grudnia 2021 r., a który to nie przedstawił pełnomocnictwa do reprezentowania Spółki w postępowaniu przed organem nadzorczym – Prezes UODO, pismem z 10 lutego 2022 r., wezwał Spółkę do uzupełnienia braków formalnych pisma, poprzez udzielenie wyjaśnień opatrzonych podpisami osób uprawnionych do reprezentowania Spółki, zgodnie z treścią wpisu w Krajowym Rejestrze Sądowym lub przesłanie oryginału lub potwierdzonej za zgodność kopii pełnomocnictwa udzielonego (…), z którego wynika upoważnienie do reprezentowania Spółki przed Prezesem UODO i składania wyjaśnień w postępowaniu o sygn. DS.523.6048.2020. Pomimo odbioru ww. pisma 11 lutego 2022 r. Spółka nie spełniła zadość żądaniu organu nadzorczego.
8. Wobec powyższego, Prezes UODO raz jeszcze – pismem z 17 maja 2022 r. – zwrócił się do Spółki z żądaniem uzupełnienia braków formalnych pisma z 15 grudnia 2021 r. Spółka podjęła tę korespondencję 19 maja 2022 r., mimo to do chwili obecnej pozostaje ona bez odpowiedzi ze strony Spółki.
9. Skierowane do Spółki pisma Prezesa UODO z 14 października 2021 r., 9 grudnia 2021 r. oraz 17 maja 2022 r. zawierały pouczenie wskazujące, że brak złożenia wyczerpującej odpowiedzi na wezwania organu ochrony danych osobowych skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniem Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 lit. a) lub art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
10. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się w aktach postępowania o sygn. DS.523.6048.2020. Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji potrzebnych do realizacji jego zadań – w tym przypadku do rozpatrzenia sprawy o sygn. DS.523.6048.2020, a z drugiej strony odzwierciedla brak reakcji Spółki na żądania Prezesa UODO.
Postępowanie
11. W celu ustalenia przyczyn braku odpowiedzi na pisma Prezesa UODO wystosowane do Spółki w postępowaniu o sygn. DS.523.6048.2020, pracownik Departamentu Organizacji, Kar i Egzekucji UODO – za pośrednictwem numeru telefonu: (…) – nawiązał kontakt telefoniczny z inspektorem ochrony danych Spółki, Panem J. A. Uzasadniając zaniechanie zaistniałe po stronie Spółki, Pan J. A. wskazał, że z uwagi na zdalny charakter świadczenia pracy w Spółce w organizacji zdarzają się problemy z obiegiem korespondencji. Brak odpowiedzi na pisma Prezesa UODO nie był zatem działaniem celowym, a jedynie niedoparzeniem ze strony Spółki. W rozmowie tej inspektor ochrony danych Spółki oświadczył, że braki formalne w pisemnych wyjaśnieniach Spółki z 15 grudnia 2021 r. zostaną uzupełnione w ciągu 3 dni roboczych, tj. najpóźniej do 27 kwietnia 2023 r. Mimo tak złożonej deklaracji, Spółka do nie dopełniła czynności, do dokonania których wezwana została przez Prezesa UODO. Jednocześnie, kolejne próby nawiązania telefonicznego kontaktu z Panem J. A., ponowione w dniu 5 maja 2023 r. oraz 8 maja 2023 r., okazały się bezskuteczne.
12. W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.6048.2020, Prezes UODO wszczął wobec niej z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.8.2023, w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka poinformowana została pismem z 24 maja 2023 r. Korespondencja ta, skierowana na adres siedziby Spółki, została odebrana przez Spółkę 9 czerwca 2023 r. Pismem tym Spółka wezwana została, celem ustalenia podstawy wymiaru kary w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.”, do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez nią w roku 2022. Ponadto Spółka została poinformowana, na czym polega zarzucane jej naruszenie oraz pouczona o sankcjach za nie grożących. Spółkę poinformowano również, że okoliczność złożenia wyjaśnień, o które Prezes UODO uprzednio zwracał się do Spółki w postępowaniu o sygn. DS.523.6048.2020, może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Spółkę pouczono o możliwości wypowiedzenia się, przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
13. Spółka nie podjęła żadnych działań w reakcji na informację o wszczęciu niniejszego postępowania.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przepisy prawne
14. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).
15. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji swoich zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań (art. 58 ust. 1 lit. e).
16. Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 tego aktu prawnego, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
17. Dodatkowo zarówno administrator jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego swoich zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjną karą pieniężną w wysokości do 10 000 000 EUR.
18. Zgodnie z art. 83 ust. 3 Rozporządzenia 2016/679, w przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.
19. Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b) umyślny lub nieumyślny charakter naruszenia,
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g) kategorie danych osobowych, których dotyczyło naruszenie,
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
20. Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
21. Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast, w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).
22. Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
23. Stosowanie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
Ocena prawna
24. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności czy Spółka jest adresatem obowiązków, o których mowa w art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 i 5 Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają bowiem obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i na podmioty przetwarzające.
25. W sprawie o sygn. DS.523.6048.2020 – Prezes UODO ustalił – w oparciu o informacje i dowody przedstawione przez Skarżącego w jego skardze oraz wobec braku zaprzeczenia tej okoliczności przez Spółkę, że dane osobowe Skarżącego przetwarzane były przez Spółkę, działającą w tym procesie przetwarzania jako administrator, w celu przedstawienia mu informacji handlowej dotyczącej świadczonych przez Spółkę usług. Jak wynika z materiału dowodowego zebranego w tej sprawie, przedstawiciel Spółki kilkakrotnie kontaktował się ze Skarżącym telefonicznie z zamiarem przedstawienia mu oferty Spółki. Co więcej, treści o charakterze marketingowym Spółka kierowała również na adres poczty elektronicznej Skarżącego. Niewątpliwie rola Spółki w procesie przetwarzania danych osobowych Skarżącego wypełniła definicję „administratora” ustanowioną w art. 4 pkt 7 Rozporządzenia 2016/679. Ustalenie, że w kwestionowanym procesie przetwarzania Spółka występowała w roli administratora danych osobowych Skarżącego, pozwala na stwierdzenie, że Spółka zobowiązana była do udzielenia wszelkich informacji żądanych przez Prezesa UODO w celu wnikliwego i wszechstronnego rozpatrzenia skargi, będącej przedmiotem postępowania o sygn. DS.523.6048.2020.
26. W postępowaniu DS.523.6048.2020 w celu uzyskania wyjaśnień Spółki niezbędnych do zbadania zasadności zarzutów podnoszonych przez Skarżącego – działając w oparciu o art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 – Prezes UODO kilkakrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień, poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy (vide pkt 2, 4, 5, 7 i 8 uzasadnienia niniejszej decyzji). Pierwsze ze skierowanych do Spółki pism Prezesa UODO z 30 grudnia 2020 r. zostało odebrane przez Spółkę 4 stycznia 2021 r. W odpowiedzi na ww. wezwanie Spółka udzieliła wyjaśnień w sprawie, jednakże informacje przez nią przedstawione były lakoniczne, mało precyzyjne, a wreszcie dalece niepełne, albowiem nie zawierały odpowiedzi na kluczowe pytania sformułowane przez organ ochrony danych osobowych. Wobec powyższego, wyjaśnienia te nie przyczyniły się w istotnym stopniu do ustalenia stanu faktycznego sprawy o sygn. DS.523.6048.2020, którego wszechstronna analiza mogłaby dopiero zezwolić na zbadanie zasadności zarzutów podnoszonych przez Skarżącego. Kolejne pismo skierowane do Spółki – wezwanie do złożenia dodatkowych wyjaśnień z 14 października 2021 r. – zostało doręczone Spółce19 października 2021 r. Mimo prawidłowości doręczenia wzmiankowanej korespondencji, Spółka nie podjęła żadnych działań w celu spełnienia zadość żądaniu organu nadzorczego i nie przedstawiła informacji, ani dowodów, do złożenia których została zobowiązana. W efekcie powyższego, 9 grudnia 2021 r. Prezes UODO skierował do Spółki kolejne pismo w sprawie – wezwanie to zostało doręczone Spółce 14 grudnia 2021 r. W konsekwencji, pismem z 15 grudnia 2021 r. Spółka przedłożyła wymagane od niej informacje, w których kompleksowo odniosła się do kwestii pozyskania oraz przetwarzania danych osobowych Skarżącego, w tym podstaw prawnych, celu oraz zakresu przetwarzania, jak i szacowanego terminu ich usunięcia. Pismo to dotknięte było jednak brakami formalnymi, jako że podpisane zostało przez inspektora ochrony danych Spółki, (…), który w dacie sporządzenia ww. pisma nie figurował w Krajowym Rejestrze Sądowym, jako osoba uprawniona do reprezentowania Spółki, a jednocześnie nie przedstawił oryginału lub potwierdzonej za zgodność kopii udzielonego mu pełnomocnictwa, z którego wynikałoby upoważnienie do reprezentowania Spółki przed Prezesem UODO w postępowaniu o sygn. DS.523.6048.2020. Wobec stwierdzenia powyższej okoliczności, Prezes UODO dwukrotnie wezwał Spółkę do usunięcia braków formalnych jej pisma z 15 grudnia 2021 r. Oba wezwania skierowane do Spółki w przedmiotowej kwestii, tj. pismo z 10 lutego 2022 r. oraz pismo z 17 maja 2022 r., mimo ich odbioru przez Spółkę – odpowiednio w dniach: 11 lutego 2022 r. oraz 19 maja 2022 r. – zostały przez Spółkę całkowicie zignorowane. Zmiany tego stanu rzeczy nie przyniósł również bezpośredni kontakt telefoniczny nawiązany 24 kwietnia 2023 r. z (…). Inspektor ochrony danych Spółki przedstawił wprawdzie ustnie uzasadnienie braku reakcji Spółki na korespondencję Prezesa UODO wskazując, że zdalny charakter świadczenia pracy w Spółce powoduje trudności z prawidłowym obiegiem wpływającej do niej korespondencji (wobec braku przedstawienia jakichkolwiek dowodów fakt ten potwierdzających, nie sposób ocenić prawdziwość tego tłumaczenia), a także złożył deklarację, zgodnie z którą braki formalne pisma Spółki z 15 grudnia 2021 r. miały zostać uzupełnione do 27 kwietnia 2023 r. Mimo zapewnień ze strony (…), Spółka nie podjęła jednak żadnych działań w tym kierunku. W konsekwencji opisywanego zaniechania Spółki, Prezes UODO nie uzyskał dostępu do danych osobowych i informacji potrzebnych do realizacji jego zadań – w tym przypadku do zbadania zasadności skargi Skarżącego. Wzmiankowane pismo Spółki nie może bowiem zostać wykorzystane jako pełnowartościowy dowód w postępowaniu o sygn. DS.523.6048.2020, albowiem brak jest podstaw by przyjąć, że pochodzi ono od osoby uprawnionej do reprezentowania Spółki.
27. Zmiany postępowania Spółki nie przyniosło również wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (o sygn. DOKE.561.8.2023). Pismo z 24 maja 2023 r. skierowane do Spółki w ramach tego postępowania (vide pkt 12 uzasadnienia niniejszej decyzji), odebrane przez nią 9 czerwca 2023 r., również pozostało bez jakiejkolwiek odpowiedzi z jej strony.
28. W tym miejscu wskazać należy, że odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Spółce. W niniejszej sprawie niewątpliwe bowiem jest, że do obowiązków Spółki należało zapewnienie takiej organizacji obiegu korespondencji, która zezwoliłaby na terminowe wypełnienie przez Spółkę obowiązków nałożonych przepisami Rozporządzenia 2016/679. Spółka, jako podmiot prowadzący działalność gospodarczą, powinna określić – w wewnętrznym regulaminie organizacyjnym, bądź poprzez odpowiednie sformułowanie zakresu obowiązków jej pracowników – osobę upoważnioną do odbioru wpływającej do Spółki korespondencji. W takim stanie rzeczy „doręczenie [pisma] następuje w dacie potwierdzenia przez tę osobę odbioru pisma. Na jej ustalenie nie ma natomiast wpływu to, czy osoba ta przekazała następnie pismo osobom powołanym do dokonania czynności, których pismo dotyczyło. Jest to już sprawa wewnętrznej organizacji pracy jednostki organizacyjnej będącej adresatem pisma. Obowiązkiem każdej jednostki jest takie zorganizowanie odbioru pism, aby czynności tej dokonywała osoba upoważniona i to właśnie ta jednostka ponosi odpowiedzialność za właściwe zorganizowanie przyjmowania pism i obiegu korespondencji, która powinna odbywać się w sposób ciągły i niezakłócony” (zob. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 grudnia 2020 r. sygn. akt VI SA/Wa 1697/20, LEX nr 3162004). Uwzględniając powyższe należy skonstatować, że doręczenie korespondencji wystosowanej do Spółki w postępowaniu o sygn. DS.523.6048.2020 (która to korespondencja pozostała bez odpowiedzi z jej strony) dokonane: 19 października 2021 r., 14 lutego 2022 r. oraz 19 maja 2022 r., spowodowało rozpoczęcie biegu terminów na dokonanie czynności, do których Spółka została wezwana przez Prezesa UODO – w tym wypadku do złożenia wyjaśnień i dowodów niezbędnych organowi nadzorczemu do realizacji jego zadań. Brak jakiejkolwiek aktywności Spółki w tym zakresie niewątpliwie obciąża Spółkę.
29. Bezspornym wobec powyższego jest zatem fakt, że Prezes UODO, realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, skierował do Spółki, w formie zgodnej z przepisami k.p.a. regulującymi wezwania (Rozdział 9 k.p.a.), żądanie dostarczenia informacji potrzebnych do realizacji swoich zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy o sygn. DS.523.6048.2020. Bezsporny jest też fakt, że Prezes UODO nie uzyskał od Spółki żądanych informacji, co stanowi naruszenie art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679.
30. Działanie Spółki polegające na niezapewnieniu Prezesowi UODO dostępu do informacji potrzebnych mu do dokładnego wyjaśnienia stanu faktycznego sprawy o sygn. DS.523.6048.2020 wyczerpuje jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca administratora z organem nadzorczym w ramach wykonywania przez niego jego zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie, obejmuje również, a może nawet przede wszystkim, obowiązek przedstawienia organowi – na jego żądanie – wszelkich posiadanych przez siebie informacji związanych z przedmiotem prowadzonego z jego udziałem postępowania administracyjnego. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Spółki, była przeszkoda w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy, a także nieuzasadnione przedłużenie czasu trwania postępowania zainicjowanego skargą Skarżącego, co stało z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
31. Mając na uwadze powyższe, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine oraz art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 Rozporządzenia 2016/679) oraz w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozpatrzenia skargi wniesionej przez Skarżącego (art. 58 ust. 1 lit. a) i lit. e) w związku z art. 57 ust. 1 lit. f) Rozporządzenia 2016/679.
32. Jednocześnie, wobec stwierdzenia naruszenia przez Spółkę kilku przepisów Rozporządzenia 2016/679 (art. 31 oraz art. 58 ust. 1 lit. a) i lit. e)), stosownie do treści art. 83 ust. 3 tego aktu prawnego Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W ustalonym stanie faktycznym sprawy za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu mu przez Spółkę dostępu do informacji potrzebnych do realizacji jego zadań, to jest naruszenie przepisu art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, zagrożone karą pieniężną w wysokości do 20 000 000 EUR. O powadze tego naruszenia świadczy to, że brak dostępu do informacji, których Prezes UODO żądał od Spółki, nie tylko stało na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy, lecz skutkowało również nadmiernym i nieuzasadnionym przedłużeniem czasu trwania postępowania, co mogło uczynić uprawnienie Skarżącego do żądania od Prezesa UODO udzielenia mu ochrony jego praw i wolności bezskutecznym – wręcz fikcyjnym.
Przesłanki i zasady wymiaru administracyjnie kary pieniężnej
33. Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku uwagę na szereg przesłanek wymienionych w punktach od a) do k) wskazanego wyżej przepisu (vide pkt 13 uzasadnienia niniejszej decyzji). Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął spośród nich pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
34. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami Rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za ich naruszenie karę wyższą z dwóch określonych przepisami Rozporządzenia 2016/679 – karę do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Postępowanie Spółki w niniejszej sprawie, polegające na braku złożenia wszystkich żądanych przez Prezesa UODO wyjaśnień oraz dowodów – skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone zaniechanie Spółki było ciągłe i długotrwałe. Trwało bowiem od chwili upływu 7-dniowego terminu na złożenie wyjaśnień, wyznaczonego w skierowanym do Spółki w postępowaniu o sygn. DS.523.6048.2020 piśmie z 14 października 2021 r.– liczonego od 19 października 2021 r., tj. od dnia, w którym pismo zostało doręczone Spółce – a zatem od 26 października 2021 r., do dnia wydania decyzji kończącej niniejsze postępowanie.
35. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
W ocenie Prezesa UODO po stronie Spółki zaistniał świadomy i celowy brak współpracy w zapewnieniu organowi dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy o które Prezes UODO zwracał się do niej wielokrotnie. Nieudzielenie odpowiedzi na kierowaną do Spółki korespondencję, Prezes UODO odbiera jako celowe działanie mające na celu utrudnienie mu lub nawet uniemożliwienie dokonania oceny zasadności skargi wniesionej przez Skarżącego. Warto w tym miejscu zaznaczyć, że Spółka odebrała wszystkie skierowane do niej wezwania, a więc, jak należy domniemywać, osoby zarządzające Spółką były świadome treści żądań Prezesa UODO. Nieudzielenie odpowiedzi na nie musiało więc być efektem zamierzonej decyzji osób działających w imieniu Spółki. Warto również podkreślić, że ostatnie skierowane do Spółki pismo Prezesa UODO z 24 maja 2023 r., informujące o wszczęciu niniejszego postępowania – oprócz informacji o dokonanych przez Spółkę naruszeniach – wskazało również Spółce, iż ta ma jeszcze możliwość przedstawienia informacji, których żądał od niej Prezes UODO w postępowaniu o sygn. DS.523.6048.2020. Spółka miała więc pełną świadomość popełnionego naruszenia i wiedzę, w jaki sposób stan tego naruszenia zakończyć (przedstawić Prezesowi UODO żądane informacje, tj. wyjaśnienia opatrzone podpisami osób uprawnionych do reprezentowania Spółki, zgodnie z treścią wpisu w Krajowym Rejestrze Sądowym bądź oryginał lub potwierdzoną za zgodność z oryginałem kopię pełnomocnictwa udzielonego (…), z którego wynika upoważnienie do reprezentowania Spółki przed Prezesem UODO i składania wyjaśnień w postępowaniu o sygn. DS.523.6048.2020). Jednakże Spółka nie zareagowała i na to pismo, co należy potraktować jako działanie świadome i celowe, wpływające obciążająco na ocenę naruszenia stwierdzonego w niniejszej sprawie.
36. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679).
Niniejsze postępowanie administracyjne dotyczące naruszenia przez Spółkę art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 nie jest pierwszym postępowaniem prowadzonym przez Prezesa UODO w stosunku do Spółki, w którym doszło do stwierdzenia naruszenia przez Spółkę przepisów o ochronie danych osobowych. Analiza spraw wszczętych dotychczas przez organ nadzorczy, w których Spółka występowała w roli administratora danych, nakazuje stwierdzić, iż dwie spośród nich zakończyły się wydaniem przez Prezesa UODO decyzji administracyjnej udzielającej Spółce upomnienia w związku z naruszeniem przez Spółkę art. 6 ust. 1 oraz art. 15 ust. 1 lit. g) Rozporządzenia 2016/679. Rozstrzygnięcia zapadłe w powyższym zakresie objęte są: decyzją administracyjną Prezesa UODO z 28 marca 2022 r. wydaną w sprawie o sygn. DS.523.114.2021, prawomocną od 4 maja 2022 r. oraz decyzją administracyjną Prezesa UODO z 31 marca 2023 r., wydaną w sprawie o sygn. DS.523.6464.2020, prawomocną od 19 maja 2023 r. Jakkolwiek naruszenia stwierdzone w ww. postępowaniach przedmiotowo różnią się od naruszenia poddanego badaniu w niniejszej sprawie – przedmiotem ochrony art. 6 ust. 1 Rozporządzenia 2016/679 jest bowiem zgodność przetwarzania danych osobowych z prawem, art. 15 ust. 1 lit. g) prawo dostępu do danych osobowych oraz informacji na temat ich przetwarzania, przysługujące osobie, której dane dotyczą, zaś art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) właściwa współpraca z organem nadzorczym – to jednak stwierdzić należy, że sam fakt wystąpienia w strukturach Spółki powtarzających się, bezprawnych zachowań świadczy o ogólnym, lekceważącym podejściu Spółki do obowiązków związanych z ochroną danych osobowych. Wskazać również należy, że zarówno naruszenia stwierdzone w postępowaniach o sygn. DS.523.11.2021 oraz DS.523.6464.2020, jak i to objęte postępowaniem niniejszym popełnione zostały przez Spółkę w podobny sposób. We wszystkich trzech przypadkach Spółka nie udzieliła bowiem żądanych od niej informacji – do czego zobowiązana była na gruncie przepisów Rozporządzenia 2016/679. Wprawdzie, w przypadku postępowań o sygn. DS.523.11.2021 oraz DS.523.6464.2020 dostęp do informacji Spółka powinna była zapewnić osobom fizycznym, których dane przetwarzała, zaś w postępowaniu o sygn. DS.523.6048.2020 samemu organowi nadzorczemu badającemu potencjalne nieprawidłowości w procesie przetwarzania danych osobowych przez Spółkę. Niemniej, we wszystkich opisywanych sprawach modus operandi Spółki był zbliżony i polegał na świadomym utrudnianiu realizacji prawa dostępu do danych osobowych i informacji podmiotom do tego uprawnionym. Istotne znaczenie przypisać należy również okoliczności, iż wszystkie omawiane naruszenia popełnione zostały przez Spółkę w zbliżonym czasie, tj. w okresie od listopada 2020 r. (w zakresie naruszenia art. 6 ust. 1 oraz art. 15 ust. 1 lit. g) Rozporządzenia 2016/679) do 26 października 2021 r. (w zakresie naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, przy czym stan niezgodności zachowania Spółki z prawem utrzymuje się do chwili obecnej). Zważywszy na fakt, iż wobec Spółki uprzednio dwukrotnie zastosowany został środek naprawczy w postaci upomnienia, okoliczność ta musi zostać uwzględniona jako przesłanka obciążająca, poczytywana na niekorzyść Spółki w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej. Pasywna postawa Spółki, która do chwili wydania rozstrzygnięcia w przedmiotowej sprawie miała możliwość złożenia wyjaśnień, o które Prezes UODO zwrócił się do niej w postępowaniu o sygn. DS.523.6048.2020, jednoznacznie wskazuje na to, że stosowane dotychczas środki naprawcze nie odniosły oczekiwanego efektu, jako że nie skłoniły Spółki do współpracy z organem nadzorczym w kolejnych postępowaniach prowadzonych z jej udziałem.
37. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679.
W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO. W szczególności Spółka nie przedstawiła informacji żądanych przez Prezesa UODO w postępowaniu o sygn. DS.523.6048.2020, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Taki brak współpracy z Prezesem UODO skutkował utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania. Trwanie Spółki w stanie naruszenia (braku woli przywrócenia stanu zgodnego z prawem polegającego na wywiązywaniu się z ciążących na niej obowiązków procesowych w postępowaniu przed Prezesem UODO) wpływa – w ocenie Prezesa UODO – obciążająco na ocenę stwierdzonego naruszenia.
38. W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary orzeczonej niniejszą decyzją.
39. Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
- Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679). Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygn. DS.523.6048.2020. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu, wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny, jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Spółki; fakt ten nie może być jednak też uwzględniony na korzyść Spółki skoro nie brała ona żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
- Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
- Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679). Spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
- Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO nie stwierdził, żeby Spółka, w związku z nieudzieleniem żądanych przez niego informacji, odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Spółkę takich korzyści, jako stan naturalny wynikający z założenia, że przedsiębiorca prowadzący działalność gospodarczą osiąga z tego tytułu korzyści finansowe (zyski) pod warunkiem stosowania się do obowiązujących rygorów prawnych, jest okolicznością, która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
- Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
40. Pozostałe okoliczności wymienione w art. 83 ust. 2 Rozporządzenia 2016/679 siłą rzeczy nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na specyficzny charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:
- liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679) – ze względu na to, że naruszenie (nieudzielenie przez Spółkę Prezesowi UODO dostępu do niezbędnych informacji) nie wiąże się z naruszeniem ochrony danych osobowych żadnej osoby i w konsekwencji nie wystąpiły w sprawie żadne szkody po stronie osób fizycznych;
- działania podjęte przez administratora w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie;
- stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
- kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezapewnieniu dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań nie wiąże się z naruszeniem żadnych danych osobowych.
41. Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść należy się do poglądów doktryny prawa o ochronie danych osobowych. „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do wielkości, możliwości finansowych i pozycji ukaranego podmiotu na rynku, a za miernik tych atrybutów ukaranego podmiotu, w przypadku gdy jest nim przedsiębiorstwo, Rozporządzenie 2016/679 pozwala przyjąć całkowity roczny światowy obrót z poprzedniego roku obrotowego (art. 83 ust. 5 Rozporządzenia 2016/679). Uzupełniając tę zasadę, przepis art. 101a ust. 2 u.o.d.o. stanowi, że w przypadku braku takich danych Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w oparciu o szacunki, co do wielkości podmiotu, specyfiki prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu. Odniesienie się do potencjału ekonomicznego ukaranego podmiotu jest konieczne gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz „niezauważalna” dla tego podmiotu) nie będzie skuteczna i odstraszająca dla tego podmiotu; kara zbyt dolegliwa (kara, której uiszczenie zagrozi bytowi podmiotu) nie będzie natomiast karą proporcjonalną.
42. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu odpowiada zasadom wskazanym w art. 83 ust. 1 Rozporządzenia 2016/679. Jej dolegliwość w wymiarze finansowym zdyscyplinuje Spółkę do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych z jej udziałem przed Prezesem UODO. W wymiarze dyscyplinującym Spółkę kara będzie więc skuteczna (osiągnie swój cel). Nałożona niniejszą decyzją kara jest też – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Spółki, zobowiązanej na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
43. Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2022, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności. W ocenie Prezesa UODO Spółka prowadzi działalność gospodarczą na znaczną skalę, o czym świadczy wysokość jej kapitału zakładowego w kwocie (…) zł. Spółka (…), obecna jest na polskim rynku od (…) lat (wpis Spółki do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego miał miejsce (…) r.), co świadczy o stabilnym charakterze prowadzonej przez nią działalności. Zakres działalności Spółki skupia się przede wszystkim na (…). O skali działalności Spółki świadczyć może wysokość zysku netto osiągniętego przez Spółkę w 2021 r. w kwocie (…) zł (dane ze sprawozdania finansowego za rok obrotowy 2021 – uwzględnione wobec braku dostępności danych finansowych za rok 2022). Sprzedaż towarów i usług Spółki objęta jest również podatkiem VAT, którego Spółka jest czynnym płatnikiem (dane z wykazu podatników VAT - www.podatki.gov.pl/wykaz-podatnikow-vat-wyszukiwarka). Znaczna wysokość osiąganych przez Spółkę przychodów nie kwalifikuje jej do zwolnienia z ww. daniny publicznej, co również przemawia za uznaniem Spółki za podmiot rentowny i dobrze prosperujący.
44. W związku z tym, że ukaraniu w niniejszej sprawie podlega podmiot prowadzący działalność na znaczną skalę, nałożona na niego niniejszą decyzją administracyjna kara pieniężna (w wysokości stanowiącej 0,06 % maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 Prezes UODO mógł orzec za stwierdzone w niniejszej sprawie naruszenie) będzie dla niego z jednej strony wystarczająco dolegliwą i przez to skuteczną, ale również możliwą do jej poniesienia bez zagrożenia materialnych podstaw jego bytu i prowadzonej przez niego działalności.
45. Mając na uwadze przepis art. 103 u.o.d.o. Prezes UODO za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 30 stycznia 2023 r. (gdzie 1 EUR = 4,7160 PLN) – administracyjną karę pieniężną w kwocie 56 592 zł (co stanowi równowartość 12 000 euro).
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.
Pouczenie
- Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 259), zwanej dalej „p.p.s.a.”, od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) (dalej „u.o.d.o.”) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
- W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się oprawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
- Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP o/o Warszawa nr 28 1010 1010 0028 8622 3100 0000.
- Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2022 r. poz. 2651 ze zm.), od dnia następującego po dniu złożenia wniosku.