DKE.561.3.2023
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2022 r. poz. 2000) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na P. sp. z o. o. z siedzibą we W., Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia P. sp. z o. o. z siedzibą we W. przy ul. (…), za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu dostępu do informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań w postępowaniu o sygn. DS.523.5051.2022.
Uzasadnienie
Stan faktyczny
- W prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) postepowaniu o sygn. DS.523.5051.2022, podjętym na podstawie skargi Pana M. K., zam. w M. przy ul. (…), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. sp. z o. o. z siedzibą we W. przy ul. (…) (dalej: „Spółka”), pismem z 18 października 2022 r., doręczonym 24 października 2022 r., Prezes UODO wezwał Spółkę do złożenia wyjaśnień w sprawie, w terminie 7 dni od daty doręczenia wezwania. Spółka nie udzieliła odpowiedzi na to wezwanie.
- Pismem z 2 grudnia 2022 r., doręczonym 7 grudnia 2022 r., Prezes UODO ponownie wezwał Spółkę do złożenia wyjaśnień w sprawie DS.523.5051.2022. Pismo zawierało pouczenie o tym, że brak wyczerpującej odpowiedzi na wezwanie może skutkować nałożeniem na Spółkę administracyjnej kary pieniężnej na podstawie art. 83 ust. 5) lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Spółka nie udzieliła odpowiedzi także i na to wezwanie.
- Wobec powyższego, pismem z 3 lutego 2023 r., doręczonym 9 lutego 2023 r., Prezes UODO wszczął niniejsze postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 a) i lit. e) RODO, polegające na braku współpracy z Prezesem UODO oraz nie wywiązaniu się Spółki z obowiązku zapewnienia Prezesowi UODO informacji niezbędnych do realizacji jego zadań. Tym pismem organ wezwał ponadto Spółkę do przedstawienia danych finansowych Spółki za 2022 rok. Dodatkowo w treści pisma zawarto pouczenie, że jeżeli Spółka udzieli pisemnie – w terminie 7 dni od dnia doręczenia informacji o wszczęciu postępowania – wyczerpujących wyjaśnień w postępowaniu o sygn. DS.523.5051.2022 oraz uzasadni wcześniejszy brak odpowiedzi na wezwania, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.
- W dniu 17 lutego 2023 r. do Prezesa UODO wpłynęło pismo pełnomocnika Spółki, w którym udzielono wyczerpujących odpowiedzi na wcześniejsze wezwania Prezesa UODO w postepowaniu o sygn. DS.523.5051.2022. Ponadto, w odpowiedzi na informację o wszczęciu niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej klary pieniężnej, pełnomocnik Spółki wyjaśnił, że Spółka od dnia odebrania pisma z dnia 18 października 2022 r., wyraziła chęć współpracy z Prezesem Urzędu Ochrony Danych Osobowych i wykazała pełne zaangażowanie przekazując pełnomocnikowi (kancelarii prawnej) wezwanie Prezesa UODO oraz informacje konieczne do przygotowania odpowiedzi na to wezwanie. Pełnomocnik wskazał, że odpowiedź na wezwanie Prezesa UODO z dnia 18 października 2022 r. została przygotowana przez kancelarię w terminie, o czym Spółka wiedziała. Spółka była przekonana, że odpowiedź została wysłana Prezesowi UODO przez kancelarię i nie przekazała kancelarii informacji o ponownym wezwaniu do złożenia wyjaśnień z 2 grudnia 2022 roku. Natomiast brak wysłania Prezesowi UODO odpowiedzi na wezwanie, był spowodowany niedopatrzeniem pracownika kancelarii.
Uzasadnienie prawne
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
- Zgodnie z art. 57 ust. 1 lit. a) RODO, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 RODO – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 RODO.
- Naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) RODO, o których mowa powyżej, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, podlega – zgodnie z art. 83 ust 5 lit e) in fine RODO – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) RODO może uznać za uzasadnione udzielenie upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) RODO. Zgodnie z motywem 148 RODO, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
- Odnosząc przytoczone powyżej przepisy RODO do ustalonego w niniejszej sprawie stanu faktycznego, należy stwierdzić, że Spółka jako administrator danych osobowych, będący stroną postępowania o sygn. DS.523.5051.2022, nie udzielając odpowiedzi na wezwania do złożenia wyjaśnień, naruszyła przepis art. 31 RODO poprzez brak współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, a także art. 58 ust. 1 lit. a) i e) RODO poprzez brak zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań.
- W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, odpowiedziała ona na wcześniejsze wezwania Prezesa UODO i złożyła wyjaśnienia w sprawie DS.523.5051.2022, co pozwoliło Prezesowi UODO na dalsze prowadzenie postępowania. Z wyjaśnień pełnomocnika Spółki, którym Prezes UODO dał wiarę, wynika, że brak wcześniejszej odpowiedzi Spółki na wezwania Prezesa UODO był rezultatem błędu pracownika kancelarii prawnej, której Spółka już w październiku 2022 r. zleciła sporządzenie kompleksowej odpowiedzi Prezesowi UODO – która to odpowiedź ostatecznie dotarła do organu w lutym 2023 roku. W ocenie Prezesa UODO nie zdejmuje to odpowiedzialności ze Spółki za naruszenie przepisów, stwierdzone w niniejszym postępowaniu, bowiem działania bądź zaniechania pełnomocnika procesowego Spółki, wywołują skutki prawne bezpośrednio w sferze prawnej Spółki. W przedmiotowej sprawie nie stwierdzono jednak innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. Z materiału dowodowego zebranego w sprawie nie wynika także, aby odwlekanie współpracy z Prezesem UODO mogło być korzystne dla Spółki. Powyższe okoliczności prowadzą do stwierdzenia, że wcześniejszy brak odpowiedzi Spółki na wezwania Prezesa UODO nie miał charakteru celowego.
- W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) RODO, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) RODO.
- Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 RODO stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Prezes UODO uznał, że w przedmiotowej sprawie, w świetle kryteriów określonych w art. 83 ust. 2 RODO wystarczające będzie udzielenie upomnienia.
- Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 RODO.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stały w wysokości 100 zł, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 z późn. zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.