Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią I. N. prowadzącą działalność gospodarczą pod firmą D., Prezes Urzędu Ochrony Danych Osobowych,

udziela upomnienia Pani I. N. prowadzącej działalność gospodarczą pod firmą D. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.

Uzasadnienie

1.       Stan faktyczny
1. Do Urzędu Ochrony Danych Osobowych (zwanego dalej również „UODO”) wpłynęła skarga Pana A. M. (zwanego dalej: „Skarżącym”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Panią I. N., prowadzącą działalność gospodarczą pod firmą D., (zwaną dalej „Przedsiębiorcą”) polegające na niespełnieniu obowiązków informacyjnych wynikających z art. 13, art. 14 i art. 15 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”).
2. Celem rozpatrzenia skargi, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie administracyjne o sygnaturze […] w ramach którego, na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – pismem z […] grudnia 2021 r. – wezwał Przedsiębiorcę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień:
1. kiedy (proszę wskazać dokładna datę), na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu i w jakim zakresie (proszę wymienić kategorie/rodzaje danych) Przedsiębiorca pozyskał dane osobowe Skarżącego;
2. czy Przedsiębiorca aktualnie przetwarza dane osobowe Skarżącego, a jeżeli tak, to na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/ów prawa), w jakim celu, w jakim zakresie (proszę wymienić kategorie/rodzaje danych oraz kiedy dane te będą przetwarzane. Jeżeli dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. c RODO należy wskazać konkretny przepis prawa, z którego wynika obowiązek przetwarzania danych;
3. czy, a jeżeli tak, to kiedy i w jaki sposób Przedsiębiorca spełnił wobec Skarżącego obowiązek informacyjny wynikający z art. 13, art. 14 i art. 15 Rozporządzenia 2016/679 (wzywam do wskazania treści przekazanej Skarżącego informacji oraz złożenia dokumentacji potwierdzającej fakt spełnienia ww. obowiązków informacyjnych);
4. czy Skarżący zwracał się do Przedsiębiorcy z wnioskiem o spełnienie wobec niego obowiązków informacyjnych wynikających z art. 13, art. 14 i art. 15 Rozporządzenia 2016/679;
5. czy, a jeśli tak, to kiedy, w jakim zakresie (wzywam do wymienienia kategorii/rodzajów danych), na jakiej podstawie prawnej, i jakiemu podmiotowi/podmiotom zostały udostępnione dane osobowe Skarżącego.
3. Przedsiębiorca w odpowiedzi złożył wyjaśnienia pismem z […] stycznia 2022 r. Poinformował, że nie przetwarzał ani nie udostępniał innym podmiotom danych osobowych Skarżącego. Świadczył usługi na rzecz D. Spółka Akcyjna na podstawie umowy z […] października 2014 r. o wykonywanie czynności agencyjnych. Na podstawie tej umowy, spółka D. była administratorem zbioru danych osobowych osób zainteresowanych ofertą pozyskanych przez Przedsiębiorcę. Spółka D. […] marca 2015 r. udzieliła Przedsiębiorcy upoważnienia do przetwarzania danych osobowych w D. S.A. W grudniu 2017 r. Przedsiębiorca zakończył współpracę z D. S.A., a wszystkie powierzone mu dane zostały przez niego usunięte. Informację o wystosowanym wniosku o spełnienie wobec Skarżącego obowiązku informacyjnego wynikającego z art. 13, 14, 15 Rozporządzenia 2016/679, Przedsiębiorca powziął dopiero w chwili wpłynięcia przedmiotowej skargi.
4. W związku z koniecznością uzyskania dodatkowych wyjaśnień w sprawie, do Przedsiębiorcy skierowane zostały dwa kolejne pisma z datami odpowiednio: […] stycznia 2022 r. oraz […] marca 2022 r. Prezes UODO wzywał w nich do pisemnego wskazania na jakiej podstawie prawnej Przedsiębiorca wykonał na numer telefonu Skarżącego połączenie telefoniczne oraz wysłał wiadomość SMS. Oba pisma zostały odebrane, odpowiednio: […] stycznia 2022 r. oraz […] marca 2022 r. Na żadne z tych pism Przedsiębiorca nie udzielił odpowiedzi.
5. Pismo z […] marca 2022 r. zawierało pouczenie, że brak złożenia wyjaśnień w sprawie będzie stanowić naruszenie obowiązku współpracy z organem nadzorczym jakim jest Urząd Ochrony Danych Osobowych a w konsekwencji czego Prezes UODO może rozważyć nałożenie administracyjnej kary pieniężnej na podstawie art. 83 ust. 4 lit. a) lub art. 83 ust 5 lit. e) Rozporządzenia 2016/679.
6. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej prowadzonej pomiędzy Przedsiębiorcą a Prezesem UODO, znajdującej się w aktach postępowania o sygnaturze […]. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze […], a z drugiej strony – reakcję Przedsiębiorcy na żądania Prezesa UODO.
7. W związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz nieudzieleniem informacji niezbędnych Prezesowi UODO do realizacji tych zadań, Prezes UODO wszczął z urzędu wobec Przedsiębiorcy niniejsze postępowanie administracyjne (o sygnaturze DKE.561.19.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorcę poinformowano pismem z […] czerwca 2022 r., doręczonym […] czerwca 2022 r. Pismem tym wezwano Przedsiębiorcę – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2021 r.
8. W odpowiedzi na wszczęcie postępowania administracyjnego o sygnaturze DKE.561.19.2022, Przedsiębiorca pismem z […] lipca 2022 r. udzielił wyjaśnień na pytanie zawarte w pismach z […] stycznia 2022 r. oraz z […] marca 2022 r. Poinformował, że połączenie telefoniczne oraz wysłanie wiadomości SMS do Skarżącego nastąpiło przypadkowo w związku z wcześniejszym przetwarzaniem danych Skarżącego na rzecz D. S.A. Brak odpowiedzi na pisma nie wynikał z jego winy, braku woli czy chęci współpracy z Prezesem UODO, a „z przeoczenia przez osoby trzecie przesyłanej przez tut. Urząd korespondencji” jak również nieodpowiednią organizacją przepływu korespondencji i podziałem obowiązków. Przedsiębiorca wyraził gotowość do dalszej współpracy w celu wyjaśnienia sprawy. Dostarczył również sprawozdanie finansowe za 2021 r.
9. Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

1.        Uzasadnienie prawne
10. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów tego aktu prawnego (art. 57 ust. 1 lit. h) a w szczególności rozpatruje skargi wniesione przez osoby których dane dotyczą i prowadzi postępowania w przedmiocie tych skarg stosownie do treści art. 57 ust 1 lit. f) Rozporządzenia 2016/679.
11. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
12. Naruszenie przepisów Rozporządzenia 2016/679 związane z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań skutkujące naruszeniem art. 31 Rozporządzenia 2016/679 podlega – zgodnie z art. 83 ust. 4 lit. a) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
13. Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do wszelkich danych osobowych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 podlega zaś – zgodnie zart. 83 ust. 5lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej wwysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
14. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku stwierdzenia naruszenia przepisów Rozporządzenia 2016/679, w tym przepisów art. 31 i art. 58 ust. 1 lit. a) i e) tego aktu prawnego.
15. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
16. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Przedsiębiorca, jako strona postępowania o sygnaturze […], poprzez nieudzielenie niezbędnych wyjaśnień do rozstrzygnięcia sprawy o sygn. […], naruszył wynikający z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679 - obowiązek zapewnienia Prezesowi UODO dostępu do informacji i niezbędnych do realizacji jego zadań. W tym przypadku informacjami niezbędnymi dla kontynuowania postępowania było wskazanie na jakiej podstawie prawnej Przedsiębiorca wykonał połączenie telefoniczne na numer telefonu Skarżącego oraz wysłał wiadomość SMS. Prezes UODO, celem ustalenia tych informacji, dwukrotnie zwrócił się do Przedsiębiorcy z żądaniem nadesłania dodatkowych wyjaśnień. Pomimo odbioru korespondencji przez Przedsiębiorcę, na żadne z  wystosowanych pism (z […] stycznia 2022 r. oraz […] marca 2022 r.) Prezes UODO nie otrzymał odpowiedzi. Powyższe spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. W rezultacie Przedsiębiorca niezwłocznie podjął współpracę z Prezesem UODO i pismem z […] lipca 2022 r. złożył wyjaśnienia w postępowaniu o sygnaturze […] oraz poinformował o przyczynach wcześniejszego braku reakcji na wezwania organu. Złożone wyjaśnienia pozwoliły na dalsze prowadzenie czynności w ww. sprawie.
17. Opisane wyżej postępowanie Przedsiębiorcy, polegające na braku reakcji na kierowane do niego wezwania Prezesa UODO, wyczerpuje ponadto – poza naruszeniem art. 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679 – znamiona naruszenia art. 31 tego rozporządzenia, który to artykuł nakłada na administratora i podmiot przetwarzający obowiązek współpracy z organem nadzorczym – na jego żądanie – w ramach wykonywania przez niego jego zadań. W ocenie Prezesa UODO nie ma wątpliwości, że przez pewien czas (od momentu odebrania pisma z […] stycznia 2022 r. do momentu udzielenia odpowiedzi pismem z […] lipca 2022 r.) w postępowaniu o sygnaturze […] nie można było mówić o współpracy ze strony Przedsiębiorcy pomimo kierowanych do niego wezwań. Wezwania te w istocie formułowały „żądanie” organu nadzorczego, o którym mowa w art. 31 Rozporządzenia 2016/679. Przedstawione przez Przedsiębiorcę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego odpowiedzialności za stwierdzone zaniechanie. Jednakże wskazane przez Przedsiębiorcę przyczyny braku współpracy z organem nadzorczym należało uwzględnić, jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Przedsiębiorcy, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji.
18. W przedmiotowym stanie faktycznym, w rezultacie wszczęcia niniejszego postępowania, nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Przedsiębiorcy z Prezesem UODO. Okoliczności sprawy, a w szczególności wyrażona gotowość Przedsiębiorcy do współdziałania z Prezesem UODO, pozwala wnioskować, że jego początkowa bezczynność nie była celowa. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa jej wymierzenia stały się dla Przedsiębiorcy wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami, sankcji.
19. Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 1 i 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 1 i 2 Rozporządzenia 2016/679.
20. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.

1.       Pouczenie

1. Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.