DOKE.561.4.2024
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2024 r. poz. 572) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j.) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35, zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią A. K. prowadzącą działalność gospodarczą pod firmą B. w M. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Panią A. K. prowadzącą działalność gospodarczą pod firmą B. w M. przy ul. (…) przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, nakłada na Panią A. K., prowadzącą działalność gospodarczą pod firmą B. w M. przy ul. (…), administracyjną karę pieniężną w kwocie 19 644 PLN (słownie: dziewiętnaści tysięcy sześćset czterdzieści cztery złote).
UZASADNIENIE
Stan faktyczny
-
Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO” lub „organem”) wpłynęła skarga Pana W. D., zam. w C. przy ul. (…) (zwanego dalej: „Skarżącym”) na nieprawidłowości w procesie przetwarzania danych osobowych przez K. Sp. z o.o. Sp. k. z siedzibą we W. przy ul. (…). W toku postępowania Prezes UODO dokonał ustaleń, iż administratorem danych osobowych Skarżącego jest Pani A. K. prowadzącą działalność gospodarczą pod firmą B. w M. przy ul. (…) (zwaną dalej „Przedsiębiorcą”).
- W związku ze skargą Pana W. D. zostało wszczęte postępowanie administracyjne o sygn. (…). W toku wskazanego postępowania – działając na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – Prezes UODO pismem z 9 czerwca 2020 r. wezwał Przedsiębiorcę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie, w szczególności do odpowiedzi na następujące pytania:
1) kiedy (proszę wskazać dokładną datę), na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu i w jakim zakresie (proszę wymienić kategorie/rodzaje danych) Administrator pozyskał dane osobowe Skarżącego;
2) czy Administrator przetwarza dane osobowe Skarżącego, a jeżeli tak, to w jakim celu, na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim zakresie oraz do kiedy będą przetwarzane;
3) czy Administrator powierza lub powierzył przetwarzanie danych osobowych Skarżącego spółce K. Sp. z o.o. Sp. k. z siedzibą we W. przy ul. (…), zwaną dalej „Spółką”, a jeśli tak to do kiedy, w jakim celu, na jakiej podstawie prawnej oraz w jakiej dacie i jakie są to dane;
4) czy Administrator posiada umowę powierzenia przetwarzania danych osobowych zawartą ze Spółką, a jeśli tak to proszę o jej przesłanie;
5) czy Skarżący zwrócił się do Administratora z żądaniem zaprzestania przetwarzania jego danych osobowych lub usunięcia jego danych osobowych, a jeśli tak, to jaka była treść żądania, kiedy i w jaki sposób Administrator ustosunkował się do powyższego;
6) czy Spółka przekazała Administratorowi żądanie Skarżącego zaprzestania przetwarzania jego danych osobowych, a jeśli tak, to kiedy i w jaki sposób Administrator ustosunkował się do powyższego.
Wezwanie skierowane zostało na adres do doręczeń wskazany w Centralnej Ewidencji i Informacji o Działalności Gospodarczej „CEIDG”, to jest: ul. (…) M. i zostało odebrane przez Przedsiębiorcę (zgodnie z informacją na zwrotnym potwierdzeniu odbioru ww. wezwania) w dniu 12 czerwca 2020 r. Pomimo odbioru ww. pisma, Przedsiębiorca nie spełnił żądania organu.
- Wobec braku odpowiedzi na wezwanie z 9 czerwca 2020 r., pismami z: 20 października 2020 r., 13 stycznia 2021 r., 23 kwietnia 2021 r. oraz 21 października 2021 r. Prezes UODO ponownie zwracał do Przedsiębiorcy o ustosunkowanie się do treści skargi i udzielenie odpowiedzi na pytania zawarte w wezwaniu z 9 czerwca 2020 r. (zob. pkt 2 uzasadnienia). Pisma z 20 października 2020 r., 13 stycznia 2021 r., odebrane zostały bezpośrednio przez Przedsiębiorcę (zgodnie z informacją na zwrotnym potwierdzeniu odbioru ww. wezwań) odpowiednio: 23 października 2020 r., 19 stycznia 2021 r. Natomiast pisma z: 23 kwietnia 2021 r., 21 października 2021 r. odebrane zostały przez Pana K. S. (męża Pani A. K.) (zgodnie z informacją na zwrotnym potwierdzeniu odbioru ww. wezwań), odpowiednio 29 kwietnia 2021 r. i 26 października 2021 r. Wezwania te pomimo ich odebrania do chwili wydania niniejszej decyzji pozostały bez odpowiedzi.
Wprawdzie, pismem (bez oznaczenia daty), które wpłynęło do Urzędu Ochrony Danych Osobowych 12 listopada 2020 r., udzielone zostały lakoniczne wyjaśnienia ale nie były to wyjaśnienia Przedsiębiorcy ponieważ ww. pismo podpisane zostało przez osobę nieupoważnioną do reprezentowania firmy B. Prezes UODO m.in. pismem z 13 stycznia 2021 r. poinformował Przedsiębiorcę o złożonych wyjaśnieniach przez Pana K. S., który nie jest upoważniony do reprezentowania Przedsiębiorcy i jeżeli w jego imieniu wyjaśnienia składa pełnomocnik, należy przesłać opłacone pełnomocnictwo do reprezentowania Przedsiębiorcy w niniejszym postępowaniu. Pełnomocnictwo do reprezentowani Przedsiębiorcy do chwili wydania niniejszej decyzji nie wpłynęło do organu.
- Skierowane do Przedsiębiorcy pisma Prezesa UODO z 20 października 2020 r., z 13 stycznia 2021 r., z 23 kwietnia 2021 r. oraz z 21 października 2021 r. zawierały pouczenie wskazujące, że brak złożenia wyczerpujących odpowiedzi na wezwania Prezesa UODO, w związku z brakiem z nim współpracy w ramach wykonywania przez niego swoich zadań oraz niezapewnienie dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, może skutkować nałożeniem na Przedsiębiorcę – zgodnie z art. art. 83 ust. 4 lit. a) lub art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, którą Prezes UODO kierował do Przedsiębiorcy, znajdującą się w aktach sprawy o sygn. (…). Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji potrzebnych do realizacji swoich zadań – w tym przypadku do rozpatrzenia sprawy o sygn. (…), a z drugiej strony odzwierciedla brak reakcji Przedsiębiorcy na żądania Prezesa UODO w tym postępowaniu administracyjnym.
Postępowanie
- W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. (…), Prezes UODO wszczął wobec niego z urzędu – na podstawie art. 83 ust. 4 lit. a) oraz 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.4.2024 w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 31 maja 2024 r. (znak: DOKE.561.4.2024). Korespondencja została doręczona Przedsiębiorcy w dniu 6 czerwca 2024 r. Pismem tym Przedsiębiorca wezwany został, celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 t.j., zwanej dalej: „u.o.d.o.”), do przedstawienia kopii zeznania podatkowego PIT lub oświadczenia o osiągniętym wyniku finansowym w roku 2023. Przedsiębiorca poinformowany został na czym polega zarzucane mu naruszenie; został również pouczony o sankcjach grożących za to naruszenie, a także o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niego Prezes UODO, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Przedsiębiorca poinformowany został o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
- Przedsiębiorca nie podjął żadnych działań w reakcji na informację o wszczęciu niniejszego postępowania.
- Przedsiębiorca nie ustosunkował się do treści skargi i nie złożył wyjaśnień w sprawie o sygn. (…) także na kilkukrotne prośby kierowane do niego telefonicznie na numer telefonu wskazany w CEIDG (…).
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przepisy prawne
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).
- Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji swoich zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
- Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 tego aktu prawnego, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Dodatkowo zarówno administrator jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Zgodnie z art. 83 ust. 3 Rozporządzenia 2016/679, w przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.
- Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b) umyślny lub nieumyślny charakter naruszenia,
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g) kategorie danych osobowych, których dotyczyło naruszenie,
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
- Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
- Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast, w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).
- Równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego (art. 103 u.o.d.o.).
-
Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2024 r. poz. 572) zwanej dalej „k.p.a.”. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
Ocena prawna
- Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności czy Przedsiębiorca jest adresatem obowiązków, o których mowa w art. 31 i art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 lit. a) i ust. 5 lit. e) Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i na podmioty przetwarzające. W toku postępowania o sygn. (…) ustalono, że, Przedsiębiorca występuje, w odniesieniu do danych osobowych Pana W. D. (skarżącego), w roli administratora zdefiniowanego w art. 4 pkt 7 Rozporządzenia 2016/679. W związku z tym Prezes UODO uprawniony jest – zgodnie z art. 58 ust. 1 lit. a Rozporządzenia 2016/679 – do nakazania mu przedstawienia informacji niezbędnych do rozpatrzenia skargi Pana W. D., a Przedsiębiorca – na mocy art. 58 ust. 1 lit. e Rozporządzenia 2016/679 – zobowiązany jest takie informacje przedstawić.
- W postępowaniu o sygn. (…), w celu uzyskania informacji niezbędnych do rozpatrzenia skargi, Prezes UODO kilkakrotnie zwracał się do Przedsiębiorcy z wezwaniem do ustosunkowania się do treści skargi i do złożenia wyjaśnień w postaci udzielenia odpowiedzi na poszczególne pytania dotyczące sprawy (zob. pkt 2 uzasadnienia). Wezwania (pisma z 9 czerwca 2020 r., 20 października 2020 r., 13 stycznia 2021 r.) zostały odebrane bezpośrednio przez Przedsiębiorcę (zgodnie z informacją na zwrotnych potwierdzeniach odbioru ww. pism), co pozwala przyjąć, że do świadomości Przedsiębiorcy dotarła informacja o toczącym się postępowaniu oraz o kierowanych do niego żądaniach organu. Pomimo tego organ nie otrzymał odpowiedzi od Przedsiębiorcy do dnia wydania niniejszej decyzji. W konsekwencji Prezes UODO nie uzyskał dostępu do informacji potrzebnych do realizacji jego zadań – w tym przypadku do zbadania zasadności skargi Skarżącego.
- Stanu tego nie zmieniło wszczęcie przez Prezesa UODO postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej (o sygn. DOKE.561.4.2024). Pismo z 31 maja 2024 r. skierowane do Przedsiębiorcy w ramach tego postępowania (zob. pkt 6 uzasadnienia) pomimo prawidłowego odebrania w dniu 6 czerwca 2024 r., pozostało bez jakiejkolwiek odpowiedzi. Również rozmowa telefoniczna z Przedsiębiorcą nie przyniosła oczekiwanego rezultatu w postaci podjęcia współpracy z organem nadzorczym. W ocenie Prezesa UODO, świadczy to o lekceważącym stosunku Przedsiębiorcy wobec organu i prowadzonego postępowania.
- Postępowanie Przedsiębiorcy polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych w postępowaniu o sygn. (…) wyczerpują jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie obejmuje również obowiązek przedstawienia Prezesowi UODO – na jego żądanie – wszelkich posiadanych przez administratora informacji związanych z prowadzonym postępowaniem oraz udzielenie – w jego ramach – dostępu do wszelkich danych osobowych i informacji niezbędnych dla niniejszego postępowania. Brak dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy jest przeszkodą w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy o sygn. (…). W związku z powyższym, należy uznać, że w sprawie zaistniały przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 4 lit. a) oraz 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 Rozporządzenia 2016/679) oraz w związku z niezapewnieniem przez Przedsiębiorcę dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygn. (…).
- Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy, było także nieuzasadnione przedłużenie czasu trwania postępowania zainicjowanego skargą Skarżącego, co stało z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
- Jednocześnie wobec stwierdzenia naruszenia przez Przedsiębiorcę dwóch przepisów, to jest art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, stosownie do treści art. 83 ust. 3 tego aktu prawnego, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez Przedsiębiorcę Prezesowi UODO dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań, to jest naruszenie przepisu art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, zagrożone karą do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. O powadze tego naruszenia świadczy to, że brak dostępu do danych osobowych i informacji, których Prezes UODO żądał od Przedsiębiorcy, stoi na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy.
Przesłanki i zasady wymiaru administracyjnej kary pieniężnej
- Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku uwagę na szereg przesłanek wymienionych w punktach od a) do k) wskazanego wyżej przepisu (zob. pkt 14 uzasadnienia). Decydując o nałożeniu w niniejszej sprawie na Przedsiębiorcę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
- Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami Rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za ich naruszenie karę wyższą z dwóch określonych przepisami Rozporządzenia 2016/679 – karę do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Postępowanie Przedsiębiorcy w niniejszej sprawie, polegające na utrudnieniu i uniemożliwianiu dostępu do żądanych przez Prezesa UODO informacji i danych osobowych należy uznać za godzące w cały system ochrony danych osobowych, a w związku z tym mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone zaniechanie Przedsiębiorcy było ciągłe i długotrwałe, trwało bowiem od upływu 7-dniowego terminu na złożenie wyjaśnień, wyznaczonego w pierwszym wezwaniu skierowanym do Przedsiębiorcy w postępowaniu o sygn. (…), to jest od 19 czerwca 2020 r. Do dnia wydania decyzji administracyjnej kończącej niniejsze postępowanie minęło zatem ponad cztery lata.
- Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
W ocenie Prezesa UODO po stronie Przedsiębiorcy zaistniał świadomy i celowy brak woli współpracy w zapewnieniu organowi nadzorczemu dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, o które Prezes UODO zwracał się do niego kilkukrotnie. Nieudzielenie odpowiedzi na kierowaną do Przedsiębiorcy korespondencję Prezes UODO ocenia jako celowe działanie utrudniające mu lub nawet uniemożliwiające dokonania oceny zasadności skargi wniesionej przez Skarżącą. Warto w tym miejscu zaznaczyć, że informacja o wszczęciu niniejszego postępowania (pismo Prezesa UODO z 31 maja 2024 r.), oprócz informacji o dokonanym naruszeniu oraz zagrożeniu za to naruszenie sankcją w postaci administracyjnej kary pieniężnej, wskazywało również na istniejącą nadal możliwość przedstawienia wyjaśnień, których żądał od Przedsiębiorcy Prezes UODO w postępowaniu o sygn. (…). Przedsiębiorca miał więc pełną świadomość popełnionego naruszenia, a także wiedzę w jaki sposób stan tego naruszenia zakończyć (przedstawić Prezesowi UODO żądane informacje).Taki stan świadczy o braku woli współpracy Przedsiębiorcy z organem lub stanowi co najmniej rażące lekceważenie swoich obowiązków związanych z tą współpracą, a tym samym dowodzi świadomości Przedsiębiorcy, że jego postępowanie stanowi naruszenie przepisów Rozporządzenia 2016/679. Mając na uwadze powyższe, w ocenie Prezesa UODO dokonane przez Przedsiębiorcę naruszenie miało charakter umyślny, a zatem okoliczność ta winna być oceniana negatywnie i uznana za obciążającą w kontekście ustalenia zarówno zasadności wymierzenia, jak i wysokości orzeczonej kary.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).
W toku niniejszego postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, a także w toku postępowania o sygn. (…), Przedsiębiorca nie podjął w żadnym stopniu współpracy z Prezesem UODO. W szczególności Przedsiębiorca nie przedstawił informacji żądanych przez Prezesa UODO, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Taki brak współpracy z Prezesem UODO skutkował utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania. Trwanie Przedsiębiorcy w stanie naruszenia (brak woli przywrócenia stanu zgodnego z prawem polegającego na wywiązywaniu się z ciążących na nim obowiązków procesowych w postępowaniu przed Prezesem UODO) wpływa – w ocenie Prezesa UODO – obciążająco na ocenę stwierdzonego naruszenia.
- W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary orzeczonej niniejszą decyzją administracyjną.
- Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
- Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679). Prezes UODO nie stwierdził, aby Przedsiębiorca dokonał wcześniej jakichkolwiek naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (wywiązywanie się z obowiązków wynikających z przepisów o ochronie danych osobowych) jest stanem naturalnym w otoczeniu prawnym, w którym Przedsiębiorca funkcjonuje, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
- Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679). Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygn. (…). Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu, wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny, jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Przedsiębiorcy; fakt ten nie może być jednak też uwzględniony na korzyść Przedsiębiorcy skoro nie brał on żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
- Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Przedsiębiorcy w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Przedsiębiorca nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
- Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679). Przedsiębiorca nie stosuje instrumentów, o których mowa w art. 40 i art. 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Przedsiębiorcy. Na korzyść Przedsiębiorcy natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
- Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO nie stwierdził, żeby Przedsiębiorca, w związku z nieudzieleniem żądanych przez niego informacji, odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Przedsiębiorcę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Przedsiębiorcę takich korzyści, jako stan naturalny, niezależny od jego woli i jego działania, jest okolicznością, która z istoty rzeczy nie może być dla niego łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
- Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
- Pozostałe okoliczności wymienione w art. 83 ust. 2 Rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:
- liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679) – ze względu na to, że naruszenie (nieudzielenie przez Przedsiębiorcę Prezesowi UODO dostępu do niezbędnych informacji) nie wiąże się z naruszeniem danych osobowych żadnej osoby, w konsekwencji nie można stwierdzić, że w sprawie wystąpiły szkody po stronie osób fizycznych;
- działania podjęte przez administratora w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie można stwierdzić by wystąpiły szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Przedsiębiorcę jakichkolwiek działań mających na celu ich zminimalizowanie;
- stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Przedsiębiorcę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
- kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezapewnieniu dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań nie wiąże się z naruszeniem żadnych danych osobowych.
- Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść należy się do poglądów doktryny prawa o ochronie danych osobowych. „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do wielkości, możliwości finansowych i pozycji ukaranego podmiotu na rynku, a za miernik tych atrybutów ukaranego podmiotu, w przypadku gdy jest nim przedsiębiorstwo, Rozporządzenie 2016/679 pozwala przyjąć całkowity roczny światowy obrót z poprzedniego roku obrotowego (art. 83 ust. 5 Rozporządzenia 2016/679). Uzupełniając tę zasadę, przepis art. 101a ust. 2 u.o.d.o. stanowi, że w przypadku braku takich danych Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w oparciu o szacunki, co do wielkości podmiotu, specyfiki prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu. Odniesienie się do potencjału ekonomicznego ukaranego podmiotu jest konieczne gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz „niezauważalna” dla tego podmiotu) nie będzie skuteczna i odstraszająca dla tego podmiotu; kara zbyt dolegliwa (kara, której uiszczenie zagrozi bytowi podmiotu) nie będzie natomiast karą proporcjonalną.
- W ocenie Prezesa UODO kara nałożona na Przedsiębiorcę w niniejszym postępowaniu odpowiada zasadom wskazanym w art. 83 ust. 1 Rozporządzenia 2016/679. Jej dolegliwość w wymiarze finansowym zdyscyplinuje Przedsiębiorcę do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych z jego udziałem przed Prezesem UODO. W wymiarze dyscyplinującym Przedsiębiorcę kara będzie więc skuteczna (osiągnie swój cel). Nałożona niniejszą decyzją kara jest też – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Przedsiębiorcę bez dużego uszczerbku dla prowadzonej przez niego działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Przedsiębiorcy, zobowiązanego na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. Wobec nieprzedstawienia przez Przedsiębiorcę żądanych przez Prezesa UODO danych finansowych za rok 2023, a także wobec braku ogólnie dostępnych danych finansowych dotyczących Przedsiębiorcy, dokonując szacunkowego ustalenia wysokości administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., specyfikę, zakres i skalę prowadzonej przez Przedsiębiorcę działalności. Przedsiębiorca prowadzi aktywnie działalność gospodarczą o charakterze budowlanym. Stałym miejscem wykonywania działalności Przedsiębiorcy jest ul. (…) M., natomiast dodatkowym miejscem wykonywania działalności gospodarczej będącym jednocześnie adresem do doręczeń jest ul. (…) M. Przedsiębiorca figuruje w CEiDG ze statusem „aktywny”. Przedmiot w przeważającej działalności jest zaklasyfikowany jako nr PKD (…), tj. wykonywanie (…). Ponadto figuruje w Rejestrze VAT ze statutem „czynny podatnik”. W przestrzeni internetowej zidentyfikowano stronę internetową działalności gospodarczej Przedsiębiorcy. Wszystkie te informacje przemawiają za uznaniem działalności gospodarczej Przedsiębiorcy za podmiot rentowny i dobrze prosperujący.
- W związku z tym, że ukaraniu w niniejszej sprawie podlega podmiot prowadzący działalność na niewielką skalę, nałożona na niego niniejszą decyzją administracyjną kara pieniężna w stosunkowo niewielkiej wysokości (stanowiącej 0,02 % maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 Prezes UODO mógł orzec za stwierdzone w niniejszej sprawie naruszenie) będzie dla Przedsiębiorcy karą dolegliwą i przez to skuteczną, ale również możliwą do jej poniesienia bez zagrożenia materialnych podstaw jej bytu i prowadzonej przez niego działalności.
- Aby zapewnić spójne podejście do nakładania administracyjnych kar pieniężnych, Europejska Rada Ochrony Danych w dniu 24 maja 2023 r. przyjęła Wytyczne 4/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (zwane dalej „Wytyczne 4/2022”). Punktem wyjścia do obliczeń jest rozważenie trzech elementów: kategoryzacji naruszeń ze względu na ich charakter zgodnie z art. 83 ust. 4-6 Rozporządzenia 2016/679, powagę naruszenia oraz obrót przedsiębiorstwa stanowiącego jeden z istotnych elementów, które należy wziąć pod uwagę w celu wyliczenia wysokości kary pieniężnej. Brak informacji o wysokości rocznego obrotu przedsiębiorstwa w niniejszym postępowaniu, ograniczył możliwość zastosowania metodyki obliczenia kary pieniężnej za pomocą tabel lub wartości procentowych określonej w Wytycznych 4/2022. Prezes UODO ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie wziął zatem pod uwagę ogólne zasady wymiaru kary pieniężnej opisane wyżej.
- Mając na uwadze przepis art. 103 u.o.d.o. Prezes UODO za naruszenia opisane w sentencji niniejszej decyzji administracyjnej, nałożył na Przedsiębiorcę – stosując średni kurs euro z dnia 29 stycznia 2023 r. (gdzie 1 EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 19 644 PLN (słownie: dwadzieścia jeden tysięcy osiemset dwadzieścia siedem złotych, co stanowi równowartość 4 500 Euro – słownie: cztery tysiące pięćset tysięcy euro).
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.
Pouczenie
- Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r. poz. 935), (zwanej dalej „p.p.s.a.”), od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. u.o.d.o. wniesienie przez Stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
- W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
- Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP o/o Warszawa nr 28 1010 1010 0028 8622 3100 0000.
- Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2023 r. poz. 2383 t.j.), od dnia następującego po dniu złożenia wniosku.