Decyzja
DKE.561.11.2021
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 zdnia 27kwietnia 2016r. wsprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iwsprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na P. Sp. z o.o. z siedzibą w K. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia P. Sp. z o.o. z siedzibą w K. przy ul. (…) za naruszenie przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych wzwiązku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie oochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji jego zadań.
Uzasadnienie
Stan faktyczny
- Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pan P. P., zam. w C. przy ul. (…) (dalej: „Skarżący”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. Sp. z o.o. z siedzibą w K. przy ul. (…), (zwaną dalej „Spółką”) polegające na wysłaniu wiadomości e-mail zawierającej niezabezpieczony PIT Skarżącego na błędny adres poczty elektronicznej.
- Celem rozpatrzenia skargi Skarżącego, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie administracyjne o sygnaturze DS.523.3003.2020 w ramach którego – na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iw sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”) – pismem z 30 czerwca 2020 r. wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie, w szczególności do udzielenia odpowiedzi na dwa szczegółowe pytania w istotnych dla sprawy kwestiach. Wezwanie to doręczono Spółce 3 lipca 2020 r.
- W odpowiedzi Spółka pismem z 9 lipca 2020 r. poinformowała Prezesa UODO, że nie zawierała umowy ze Skarżącym, a z załączników wynika, że sprawa dotyczy spółki P. Spółka nie udzieliła odpowiedzi na dwa szczegółowe pytania. Ponadto pismo było obarczone wadą formalną. Zostało bowiem opatrzone jedynie pieczątką z nazwą Spółki na której złożono nieczytelny podpis (parafkę).
- Prezes UODO pismem z 25 listopada 2020 r. (sygn. DS.523.3003.2020) wskazał Spółce, że zgodnie z art. 63 § 1 k.p.a. podania (żądania, wyjaśnienia, odwołania, zażalenia) mogą być wnoszone pisemnie, telegraficznie, za pomocą telefaksu lub ustnie do protokołu, a także za pomocą innych środków komunikacji elektronicznej przez elektroniczną skrzynkę podawczą organu administracji publicznej utworzoną na podstawie ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Podanie powinno zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie oraz czynić zadość innym wymaganiom ustalonym w przepisach szczególnych (art. 63 § 2 k.p.a.). Podanie wniesione pisemnie albo ustnie do protokołu powinno być podpisane przez wnoszącego, a protokół ponadto przez pracownika, który go sporządził. Gdy podanie wnosi osoba, która nie może lub nie umie złożyć podpisu, podanie lub protokół podpisuje za nią inna osoba przez nią upoważniona, czyniąc o tym wzmiankę obok podpisu (art. 63 § 2 k.p.a.). Prezes UODO wezwał do uzupełnienia braków formalnych pisma Spółki z 9 lipca 2020 r. poprzez opatrzenie podpisem osób uprawnionych do reprezentowania Spółki zgodnie z treścią wpisu w Krajowym Rejestrze Sądowym. Jednocześnie ponownie zwrócił się o ustosunkowanie do treści skargi oraz złożenie wyjaśnień o które organ wystąpił pismem z 30 czerwca 2020 r. (sygn. DS.523.3003.2020) w zakresie: czy, a jeśli tak, to na jakiej podstawie prawnej, w jakim celu i zakresie oraz w jakim zbiorze Spółka aktualnie przetwarza dane osobowe Skarżącego oraz na jakiej podstawie prawnej i w jakim celu Spółka przesłała za pośrednictwem poczty elektronicznej PIT Skarżącego na adres: (…).
- W wezwaniu Prezesa UODO z 25 listopada 2020 r. zawarte było pouczenie o możliwości nałożenia na Spółkę – w przypadku braku wyczerpującej odpowiedzi na to wezwanie – administracyjnej kary pieniężnej w związku z niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Wezwanie to doręczono Spółce 30 listopada 2020 r.
- W odpowiedzi Spółka pismem z dnia 3 grudnia 2020 r. powiadomiła Prezesa UODO, że nie zawierała umowy ze Skarżącym a z załączników wynika, że sprawa dotyczy spółki P. Spółka ponownie nie udzieliła odpowiedzi na szczegółowe zapytania Prezesa UODO.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się waktach postępowania o sygnaturze DS.523.3003.2020. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze DS.523.3003.2020, a z drugiej strony – reakcję Spółki na żądania Prezesa UODO.
- W związku z nieudzieleniem przez Spółkę wiążących, i mających moc dowodową informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DS.523.3003.2020, Prezes UODO wszczął wobec niej z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – postępowanie administracyjne (o sygnaturze DKE.561.11.2021) w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku znaruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółkę poinformowano pismem z 16 czerwca 2021 r., a doręczonym 22 czerwca 2021 r. Pismem tym wezwano Spółkę także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy zdnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Spółkę w 2020 r.
- W odpowiedzi na pismo o wszczęciu postępowania administracyjnego o sygnaturze DKE.561.11.2021, Spółka – pismem z 29 czerwca 2021 r. (wpłynęło do Urzędu Ochrony Danych Osobowych 6 lipca 2021 r.) - poinformowała, że nie zawierała umowy ze Skarżącym, nie przetwarzała i nie przetwarza danych osobowych Skarżącego, rekrutację Skarżącego przeprowadzała spółka P. (nr KRS (…)), dołączając jej oświadczenie jako dowód. Spółka nie przedstawiła żądanego sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Spółkę w 2020 r.
- Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Uzasadnienie prawne
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 na swoim terytorium monitoruje iegzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów omawianego aktu prawnego (art. 57 ust. 1 lit. h)) w tym postępowań związanych z oceną naruszeń ochrony danych osobowych, zgłaszanych Prezesowi UODO przez administratorów danych stosownie do treści art. 33 Rozporządzenia 2016/679.
- Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
- Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 podlega zaś – zgodnie z art. 83 ust. 5lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej wwysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku stwierdzenia naruszenia przepisów Rozporządzenia 2016/679, w tym przepisów art. 58 ust. 1 lit. a) i e) tego aktu prawnego.
- Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
- Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Spółka, jako strona postępowania o sygnaturze DS.523.3003.2020, poprzez brak udzielenia merytorycznej odpowiedzi na wezwania organu nadzorczego do złożenia wyjaśnień naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do informacji i danych osobowych niezbędnych do realizacji jego zadań, wynikający z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679. W tym przypadku informacją istotną dla dalszego kierunku postępowania było ustalenie czy, a jeśli tak, to na jakiej podstawie prawnej, w jakim celu i zakresie oraz w jakim zbiorze Spółka aktualnie przetwarza dane osobowe Skarżącego, na jakiej podstawie prawnej i w jakim celu Spółka przesłała za pośrednictwem poczty elektronicznej PIT Skarżącego na adres: (…).
- Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Spółki stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 745 ze zm.) zasadami wnikliwości i szybkości postępowania.
- Prezes UODO, celem ustalenia stanu faktycznego sprawy o sygnaturze DS.523.3003.2020, dwukrotnie zwrócił się do Spółki z żądaniem nadesłania wyjaśnień. Na żadne z wystosowanych przez Spółkę pism datowanych na 9 lipca 2020 r. oraz 3 grudnia 2020 r. nie otrzymał wyczerpującej odpowiedzi. Powyższe spowodowało konieczność wszczęcia postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. W rezultacie Spółka podjęła współpracę z Prezesem UODO poprzez nadesłanie szczegółowych wyjaśnień w postępowaniu o sygnaturze DS.523.3003.2020, co pozwoliło Prezesowi UODO na dalsze prowadzenie czynności w ww. sprawie. W związku z tym należy uznać, że z chwilą wpłynięcia do Urzędu Ochrony Danych Osobowych pełnych wyjaśnień Spółki, to jest z dniem 6 lipca 2021 r., ustał stan naruszenia przepisów Rozporządzenia 2016/679 będący przedmiotem niniejszego postępowania.
- Uwzględniając powyższe ustalenia nie budzi wątpliwości fakt, że Spółka swoim zachowaniem dopuściła się naruszenia przepisów Rozporządzenia 2016/679. Uzyskanie przez Prezesa UODO, na skutek wszczęcia niniejszego postępowania, szczegółowych wyjaśnień od Spółki nie zdejmuje z niej odpowiedzialności za wcześniejsze zaniechanie, które polegało na dwukrotnym uchylaniu się od udzielenia szczegółowych informacji na kierowane do niej wezwania.
- W przedmiotowym stanie faktycznym, w rezultacie wszczęcia niniejszego postępowania, nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. Okoliczności sprawy, a w szczególności późniejsza postawa Spółki, pozwalają wnioskować, że jej początkowa opieszałość nie wynikała ze złej woli, ani nie miała na celu świadomego utrudnienia postępowania. Przeciwnie – następcza, aktywna postawa Spółki wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Spółki wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami, sankcji.
- Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
- W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.
Pouczenie
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.