Decyzja
DKE.561.12.2021
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 31 i art. 58 ust. 1 lit. a) i lit. e) w związku z art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Pana M. B. prowadzącego działalność gospodarczą pod firmą […], Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia Panu M. B. prowadzącemu działalność gospodarczą pod firmą […] za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.) zwanego dalej „rozporządzeniem 2016/679”, polegającego na braku współpracy z Prezesem UODO w ramach wykonywania przez ten organ jego zadań oraz nieudzielaniu informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani A. S. (zwanej dalej: „Skarżącą”), na nieprawidłowości w procesie przetwarzania jej danych osobowych, przez Pana M. B. prowadzącego działalność gospodarczą pod nazwą […] (zwanego dalej „Przedsiębiorcą”).
Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. […]), pismem z […] marca 2021 r. zwrócił się do Przedsiębiorcy (adres do korespondencji zgodny CEIDG Przedsiębiorcy, to jest:[…]) o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na następujące szczegółowe pytania dotyczące sprawy:
- czy, a jeśli tak, to na jakiej podstawie prawnej (proszę wskazać konkretny przepis prawa), w jakim celu oraz w jakim zakresie i z jakiego źródła pozyskał Pan dane osobowe Skarżącej;
- czy, a jeśli tak, to na jakiej podstawie prawnej (proszę wskazać konkretny przepis prawa), w jakim celu i w jakim zakresie przetwarza Pan dane osobowe Skarżącej;
- czy Skarżąca zwracała się do Pana z żądaniem usunięcia jej danych osobowych, a jeśli tak, to w jakim zakresie oraz w jaki sposób ustosunkował się Pan do tego żądania (proszę o przesłanie kopii ewentualnej korespondencji)? W przypadku nieudzielenia Skarżącej odpowiedzi, proszę o wyjaśnienie przyczyn takiego stanu.
Pismo to po dwukrotnym awizowaniu wróciło do Urzędu Ochrony Danych Osobowych (zwanego dalej „UODO”) z adnotacją „zwrot nie podjęto w terminie”. Wobec powyższego, pismem z […] maja 2021 r. skierowano do Przedsiębiorcy pismo z ponownym wezwaniem do niezwłocznego złożenia wyjaśnień w sprawie. Pismo to, również po dwukrotnym awizowaniu wróciło do UODO z adnotacją „zwrot nie podjęto w terminie”. Wobec powyższego ww. pisma zostały uznane za doręczone Przedsiębiorcy zgodnie z art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) (zwanej dalej „k.p.a.”).
W piśmie z […] maja 2021 r. Przedsiębiorca pouczony został, że brak odpowiedzi na wezwania Prezesa UODO skutkować może – zgodnie z art. 83 ust. 5 lit. e) w zw. z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – nałożeniem na Przedsiębiorcę administracyjnej kary pieniężnej.
W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], zainicjowanej skargą Skarżącej, Prezes UODO wszczął z urzędu wobec Przedsiębiorcy – w oparciu o art. 83 ust. 5 lit. e) rozporządzenia 2016/679, w związku z naruszeniem przez Przedsiębiorcę art. 31 oraz art. 58 ust. 1 lit. a) i lit e) rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej (pod sygn. DKE.560.12.2021.DS). O wszczęciu postępowania administracyjnego i zebraniu materiału dowodowego w sprawie Przedsiębiorca poinformowany został pismem z […] czerwca 2021 r. Pismo to, po dwukrotnym awizowaniu wróciło do UODO z adnotacją „zwrot nie podjęto w terminie”, w związku, z czym zostało uznane za doręczone Przedsiębiorcy zgodnie z art. 44 § k.p.a. Pismem tym Przedsiębiorca wezwany został również – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2020 r. Przedsiębiorca pouczony został także, że w przypadku nieprzedstawienie ww. dokumentów Prezes UODO ustali wymiar kary w sposób szacunkowy. W ww. piśmie Przedsiębiorca pouczony został także o tym, że jeżeli udzieli on wyczerpujących wyjaśnień w postępowaniu o sygn. […], do udzielenia, których wezwał Prezes UODO oraz uzasadni wcześniejszy brak odpowiedzi na te wezwania, okoliczność ta w postępowaniu o sygn. DKE.561.12.2021.DS może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej lub też może spowodować odstąpienie od jej nałożenia.
W reakcji na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, pismem z […] lipca 2021 r. Przedsiębiorca złożył wyczerpujące wyjaśnienia, które pozwoliły Prezesowi UODO prowadzenie dalszego postępowania w sprawie o sygn. […].
Ponadto, pismem z […] sierpnia 2021 r. Przedsiębiorca wyjaśnił także, że:
- W rejestrze CEIDG o nr […] dotyczącym prowadzenia przez Przedsiębiorcę działalności gospodarczej istnieje błąd w adresie do korespondencji, o którym Przedsiębiorca nie miał świadomości. Wskazany w CEIDG adres do korespondencji to: […], natomiast prawidłowym adresem do korespondencji jest: […].
- Przedsiębiorca w wyniku rozmowy telefonicznej przeprowadzonej w dniu […] sierpnia 2021 r. z pracownikiem UODO pozyskał informację o adresie, na który kierowana była do niego przez organ ochrony danych korespondencja, to jest: […]. Adres ten jak wyżej wskazano zgodny był z adresem wskazanym w CEIDG. Po zakończeniu tej rozmowy, Przedsiębiorca drogą elektroniczną złożył wniosek do CEIDG o zmianę wpisu w rejestrze CIDG dotyczącym prowadzenia przez niego działalności (nr […]), w celu poprawienia adresu na prawidłowy, na dowód, czego Przedsiębiorca załączył wydruk wniosku o wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej z […] sierpnia 2021 r. Tego samego dnia nastąpiła zmiana wpisu w CEIDG w zakresie adresu do korespondencji, to jest na adres: […], co obecnie odzwierciedla wydruk ze strony internetowej CEIDG dotyczący Przedsiębiorcy.
- Dodatkowo, placówka pocztowa, w której przechowywane są awizowane do Przedsiębiorcy przesyłki, zmieniła adres z […], na […]. Przez długi okres czasu, na pozostawionych w skrzynce pocztowej Przedsiębiorcy awizach, widniała pieczęć pocztowa z nieaktualnym adresem placówki, w której można było odebrać przesyłkę listową.
- Jako uzasadnienie braku współpracy z Prezesem UODO Przedsiębiorca wskazał, że nieodbieranie przez Przedsiębiorcę korespondencji mogło być spowodowane adresowaniem jej przez organ ochrony danych na nieprawidłowy adres związany z błędem we wpisie w CEIDG.
- W związku z zaistniałą sytuacją, Przedsiębiorca przeprosił Prezesa UODO za brak z nim współpracy w uczestniczeniu w czynnościach związanych ze sprawą Skarżącej.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO, – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)).
Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania.
Naruszenie przepisów rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega – zgodnie z art. 83 ust 5 lit e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast, naruszenie przepisów rozporządzenia 2016/679, polegające na braku woli współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31), podlega zaś – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisu art. 31 w związku z art. 58 ust. 1 lit. e) rozporządzenia 2016/679.
Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Przedsiębiorca – administrator danych osobowych Skarżącej Pani A. S., – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. […], niewątpliwe naruszył obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy.
Jednakże w odpowiedzi na informację o wszczęcie postępowania administracyjnego w sprawie o sygnaturze DKE.561.12.2021.DS, Przedsiębiorcy pismem z [ ] lipca 2021 r. złożył wyjaśnienia pozwalające Prezesowi UODO prowadzenie dalszego postępowania w sprawie o sygn. […].
Zdaniem Prezesa UODO, działania Przedsiębiorcy z pewnością skutkowały brakiem dostępu do dowodów wskazujących na legalność i zgodność z prawem przetwarzania przez Przedsiębiorcę danych osobowych Skarżącej. Przedstawione przez Przedsiębiorcę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego odpowiedzialności za stwierdzone zaniechanie. Jednakże wskazane przez Przedsiębiorcę przyczyny braku współpracy z organem nadzorczym należało uwzględnić, jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Przedsiębiorcy, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji.
W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny. Wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak reakcji Przedsiębiorcy na wezwania do złożenia wyjaśnień, nie było celowe.
W toku niniejszego postępowania Przedsiębiorca wyraził chęć współpracy z Prezesem UODO w celu usunięcia naruszenia polegającego w szczególności na udzieleniu wyjaśnień w zakresie, w którym doszło do udaremnienia prowadzenia postępowania o sygn. […], uzasadniając brak tej współpracy nieodbieraniem korespondencji w wyniku błędu adresu do korespondencji we wpisie Przedsiębiorcy w CEIDG.
W ocenie organu nadzorczego, następcza, aktywa postawa Przedsiębiorcy wskakuje na gotowość do dalszego z nim współdziałania. W tym miejscu, wskazać również należy, że samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzania kary finansowej stały się dla Przedsiębiorcy wyraźnym sygnałem tego, że dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji. Celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje, że o wszelkich przeszkodach uniemożliwiających Przedsiębiorcy terminowe wywiązywanie się z obciążających go względem organu ochrony danych obowiązków, Przedsiębiorca powinien informować niezwłocznie, w chwili ich zaistnienia.
Prezes UODO uznał, że w tej sprawie udzielenie upomnienia, w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679, będzie wystarczające, i co najmniej tak samo „skuteczne, proporcjonalne i odstraszające” jak wymierzenie kary pieniężnej (vide art. 83 ust. 1 rozporządzenia 2016/679).
Należy także zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.