DOKE.561.3.2023
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775) w związku z art. 7 ust. 1 i 2, art. 60, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Pana K. R. prowadzącego działalność gospodarczą pod firmą G. z siedzibą w W. przy al. (…), Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia Panu K. R. prowadzącemu działalność gospodarczą pod firmą G. z siedzibą w W. przy al. (…) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DS.523.6921.2022.
UZASADNIENIE
Stan faktyczny
- Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej „Prezesem UODO”) wpłynęła skarga Pana A. M., zam. w W. przy al. (…) (zwanego dalej „Skarżącym”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Pana K. R. prowadzącego działalność gospodarczą pod firmą G. z siedzibą w W. przy al. (…) (zwanego dalej ,,Przedsiębiorcą”) polegające na braku realizacji prawa dostępu do danych Skarżącego zgodnie z art. 15 rozporządzenia 2016/679.
- Zgodnie z wpisem do CEIDG przeważająca działalność Przedsiębiorcy to praktyka lekarska specjalistyczna (kod PKD 86.22.Z). Przedmiotem pozostałej działalności Przedsiębiorcy są m.in. pozostałe pozaszkolne formy edukacji, gdzie indziej niesklasyfikowane oraz pozostała działalność profesjonalna, naukowa i techniczna, gdzie indziej niesklasyfikowana. Skarga Skarżącego związana była natomiast z działalnością Przedsiębiorcy polegającą na świadczeniu praktyki lekarskiej.
- Celem rozpatrzenia skargi Skarżącego Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne o sygnaturze DS.523.6921.2022, w ramach którego – na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – pismem z 17 stycznia 2023 r. wezwał Przedsiębiorcę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie, w szczególności do udzielenia odpowiedzi na pytania w istotnych dla sprawy kwestiach, a także do przedstawienia ewentualnych dowodów potwierdzających złożone wyjaśnienia. Pismo to zostało odebrane przez Przedsiębiorcę 20 stycznia 2023 r., jednakże pozostało bez jakiejkolwiek reakcji ze strony Przedsiębiorcy.
- W związku z powyższym Prezes UODO pismem z 23 lutego 2023 r. ponownie zwrócił się do Przedsiębiorcy o udzielenie wyjaśnień w sprawie. Wezwanie to zostało odebrane przez adresata 27 lutego 2023 r. i również pozostało bez jakiejkolwiek odpowiedzi ze strony Przedsiębiorcy.
- W piśmie Prezesa UODO z 23 lutego 2023 r. zawarte zostało skierowane do Przedsiębiorcy pouczenie, że brak odpowiedzi na wezwanie skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Przedsiębiorcę – zgodnie z art. 83 ust. 4 lit. a) lub art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR lub do 4 % obrotu przedsiębiorstwa.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej kierowanej do Przedsiębiorcy, znajdującej się w aktach postępowania o sygnaturze DS.523.6921.2022. Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji swoich zadań, to jest w tym przypadku do rozpatrzenia sprawy o sygnaturze DS.523.6921.2022, a z drugiej strony odzwierciedla brak reakcji Przedsiębiorcy na żądania Prezesa UODO.
Postępowanie
- W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DS.523.6921.2022, Prezes UODO wszczął wobec niej z urzędu – na podstawie art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygnaturze DOKE.561.3.2023) w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej za naruszenie art. 31 oraz 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.
- O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 6 kwietnia 2023 r. Pismem tym Przedsiębiorca wezwany został – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w roku 2022. Przedsiębiorca poinformowany został, na czym polega zarzucane mu naruszenie; został również pouczony o sankcjach grożących za to naruszenie, a także o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niego Prezes UODO w postępowaniu o sygnaturze DS.523.6921.2022, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Przedsiębiorca poinformowany został o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań. Pismo to, pomimo skierowania na adres do doręczeń będący także adresem stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy ujawniony w CEIDG (na który kierowana była wcześniejsza korespondencja) nie zostało odebrane przez Przedsiębiorcę i zostało uznane – na podstawie art. 44 § 4 k.p.a. – za doręczone Przedsiębiorcy.
- W drodze rozmowy telefonicznej przeprowadzonej z Przedsiębiorcą w dniu 10 maja 2023 r. (nr tel. (…)) pracownik organu ochrony danych osobowych przekazał informację o toczącym się postępowaniu w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej w związku z brakiem współpracy Przedsiębiorcy z Prezesem UODO w postępowaniu o sygn. DS.523.6921.2022 oraz niezapewnieniu organowi dostępu do danych osobowych i informacji niezbędnych do tego postępowania.
- W reakcji na ww. rozmowę telefoniczną, Przedsiębiorca pismem z 10 maja 2023 r. złożył wyjaśnienia, które pozwoliły Prezesowi UODO na prowadzenie dalszego postępowania w sprawie o sygn. DS.523.6921.2022.
- Odrębnym pismem, także z dnia 10 maja 2023 r. Przedsiębiorca uzasadnił powody swojego milczenia w postępowaniu o sygn. DS.523.6921.2022, którym Prezes UODO dał wiarę. Przedsiębiorca wskazał, że jego milczenie w postępowaniu o sygn. DS.523.6921.2022 spowodowane było przede wszystkim błędnym założeniem, że udzielił już Prezesowi UODO stosownych wyjaśnień. Przedsiębiorca w tym okresie udzielał wyjaśnień także innemu organowi i był przekonany, że wyjaśnienia do Prezesa UODO zostały także przez niego wysłane.
- Przedsiębiorca zdając sobie sprawę z niezapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, w tym przypadku rozpatrzenia sprawy o sygn. DS.523.6921.2022 przeprosił za zaistniałą zwłokę w udzieleniu odpowiedzi na wezwania organu ochrony danych osobowych i poprosił o odstąpienie od wymierzenia administracyjnej kary pieniężnej.
Przepisy prawne
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
- Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania.
- Naruszenie przepisów rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega – zgodnie z art. 83 ust 5 lit e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisu art. 58 ust. 1 lit. e) rozporządzenia 2016/679. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody oraz wszelkie inne czynniki obciążające lub łagodzące.
Ocena prawna
- Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Przedsiębiorca, będący administratorem danych osobowych Skarżącego jako strony prowadzonego przez Prezesa UODO postępowania o sygn. DS.523.6921.2022, niewątpliwe naruszył obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy. Jednakże w odpowiedzi na informację o wszczęciu postępowania administracyjnego w niniejszej sprawie o sygn. DOKE.561.3.2023, Przedsiębiorca złożył wyjaśnienia pozwalające Prezesowi UODO prowadzenie dalszego postępowania w sprawie o sygn. DS.523.6921.2022. W ocenie Prezesa UODO, działania Przedsiębiorcy niewątpliwie skutkowały brakiem dostępu do informacji niezbędnych do merytorycznego rozstrzygnięcia sprawy Skarżącego i to przez okres od chwili upływu terminu wyznaczonego na złożenie wyjaśnień (zakreślonego w skierowanym do Przedsiębiorcy pierwszym piśmie Prezesa UODO z 17 stycznia 2023 r.), który upłyną 24 stycznia 2023 r. do dnia złożenia przez Przedsiębiorcę wyjaśnień pismem z 10 maja 2023 r. Przedstawione przez Przedsiębiorcę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego odpowiedzialności za stwierdzone zaniechanie. Jednakże wskazane przez Przedsiębiorcę przyczyny braku współpracy z organem nadzorczym należało uwzględnić, jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Przedsiębiorcy, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji.
- W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny. Wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak reakcji Przedsiębiorcy na wezwania do złożenia wyjaśnień, nie był celowy, lecz wynikał przede wszystkim z błędnego założenia, że Przedsiębiorca udzielił już Prezesowi UODO stosownych wyjaśnień. Jednakże Przedsiębiorca podjął współpracę z organem ochrony danych i udzielił wyjaśnień niezbędnych do dalszego prowadzenia postępowania o sygn. DS.523.6921.2022, jak również wyjaśnił powód wcześniejszego braku rekcji w tym postępowaniu.
- W ocenie organu nadzorczego, następcza, aktywa postawa Przedsiębiorcy wskazuje na gotowość do dalszej współpracy z organem. W tym miejscu, wskazać również należy, że samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzania administracyjnej kary pieniężnej stały się dla Przedsiębiorcy wyraźnym sygnałem, że dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.
- Prezes UODO uznał, że w tej sprawie udzielenie upomnienia, w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679, będzie wystarczające, i co najmniej tak samo „skuteczne, proporcjonalne i odstraszające” jak wymierzenie kary pieniężnej (vide art. 83 ust. 1 rozporządzenia 2016/679).
- Należy także zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Pouczenie
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.