Decyzja

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) w zw. z art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Z. Sp. j. Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia za naruszenie przez Z. Sp. j. przepisów art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), polegające na nieudzieleniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań.

Uzasadnienie

W prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej także „Prezesem UODO”) postepowaniu o sygn. […], wszczętym na podstawie zawiadomienia przez Z. Sp. j. (zwanego dalej także „Spółką”) o włamaniu na serwer ustalono, że zawiadomienie to zawiera braki: nie ujęto w nim wszystkich danych, wskazanych w art. 33 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej także „rozporządzeniem 2016/679”, potrzebnych Prezesowi UODO do oceny naruszenia ochrony danych osobowych.

Pismem z […] grudnia 2019 roku, doręczonym […] grudnia 2019 roku, Prezes UODO poinformował Spółkę o treści i formie prawidłowego zgłoszenia naruszenia ochrony danych osobowych. Ponadto Prezes UODO wezwał Spółkę do odpowiedzi na pytanie, czy w związku z przedmiotowym zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie.

Wobec braku odpowiedzi na to pismo, Prezes UODO, pismem z […] lutego 2020 roku, doręczonym […] marca 2020 roku, ponownie wezwał Spółkę do udzielenia w/w informacji.

Pismem doręczonym […] marca 2020 roku Spółka udzieliła wyjaśnień, które okazały się niewystarczające. Nie zawierały odpowiedzi na pytanie kierowane przez Prezesa UODO co do oceny możliwego naruszenia praw i wolności osób, których dotyczą dane osobowe objęte naruszeniem.

W związku z powyższym, pismem z […] lipca 2020 roku, Prezes UODO po raz trzeci poinformował Spółkę o treści i formie, w jakiej należy dokonać zgłoszenia naruszenia ochrony danych osobowych i ponownie wezwał do odpowiedzi na pytanie, czy w związku z przedmiotowym zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie. Pismo doręczone zostało […] sierpnia 2020 roku.

Spółka, mimo pouczenia o tym, że brak odpowiedzi na wezwanie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83. ust. 5 lit. e) Rozporządzenia 2016/679, nie udzieliła odpowiedzi na wezwanie Prezesa UODO.

W związku z powyższym […] października 2020 roku zostało wszczęte niniejsze postępowanie administracyjne pod sygnaturą DKE.561.20.2020.[…] - w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 w związku z nieudzieleniem informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Informacja o wszczęciu przedmiotowego postępowania administracyjnego i zebraniu materiału dowodowego w sprawie, została doręczona Spółce […] listopada 2020 roku.

Pismem tym Spółka wezwana została również – celem ustalenia podstawy wymiaru kary administracyjnej, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego Spółki za rok 2019 lub oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2019 r. pod rygorem ustalenia przez Prezesa UODO podstawy wymiaru kary w sposób szacunkowy.

Ponadto w piśmie wskazano, że jeżeli Spółka udzieli wyczerpujących wyjaśnień w postępowaniu o sygn. […], do udzielenia których wezwał Prezes UODO oraz uzasadni wcześniejszy brak odpowiedzi na te wezwania, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu sygn. DKE.561.20.2020.[…] lub też może spowodować odstąpienie od jej nałożenia.

W dniu […] listopada 2020 roku do Urzędu Ochrony Danych Osobowych wpłynęło pismo od współwłaściciela Spółki, zawierające szczegółowe wyjaśnienia merytoryczne w sprawie sygn. […], prawidłowo wypełniony formularz zgłoszenia naruszenia ochrony danych osobowych oraz wyjaśnienie przyczyn braku odpowiedzi na wezwanie Prezesa UODO z […] lipca 2020 roku.W treści wyjaśnień wskazano, że przyczyną braku odpowiedzi na pismo Prezesa UODO były zmiany organizacyjne w pracy biurowej Spółki, w rezultacie których pismo nie trafiło na czas do właściwej osoby. Nadesłane pismo zawierało ponadto załączniki korespondujące z wyjaśnieniami w sprawie […] oraz załączniki, o które wniósł Prezes UODO w niniejszym postępowaniu celem ustalenia podstawy wymiaru kary administracyjnej, tj. kopię bilansu oraz rachunek zysków i strat Spółki za 2019 rok.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)).

Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania.

Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.

Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.

Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka jako administrator danych osobowych i jednocześnie strona postępowania o sygn. […], poprzez brak odpowiedzi na wezwanie Prezesa UODO z […] lipca 2020 roku do złożenia wyjaśnień, naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań wynikający z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679. W tym przypadku informacją istotną dla dalszego kierunku postępowania było ustalenie, czy w związku ze zgłoszeniem przez Spółkę włamaniem na serwery oraz zaszyfrowaniem ich zawartości dokonana została analiza pod kątem ryzyka naruszenia ochrony danych skutkująca konieczność zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie ochrony danych osobowych.

W rezultacie wszczęcia niniejszego postępowania Spółka wznowiła jednak współpracę z Prezesem UODO poprzez nadesłanie w dniu […] listopada 2020 roku do Urzędu Ochrony Danych Osobowych pisma od współwłaściciela Spółki, zawierającego szczegółowe wyjaśnienia w sprawie sygn. […] oraz prawidłowo wypełniony formularz zgłoszenia naruszenia ochrony danych osobowych, co pozwoliło Prezesowi UODO na prowadzenie dalszego postępowania w sprawie o sygn. […].

Jednocześnie wskazany został powód braku odpowiedzi na wezwanie Prezesa UODO z […] lipca 2020 roku, który to brak odpowiedzi był bezpośrednią przyczyną wszczęcia niniejszego postępowania sygn. DKE.561.20.2020.[…]. W treści wyjaśnień wskazano, że przyczyną braku odpowiedzi na pismo Prezesa UODO były zmiany organizacyjne w pracy biurowej Spółki, w rezultacie których pismo nie trafiło na czas do właściwej osoby. W niniejszej sprawie nie jest sporne, że organizacja biura w sposób umożliwiający prawidłowy obieg korespondencji leży w gestii Spółki. W ocenie Prezesa UODO przedstawione przez Spółkę wyjaśnienie - o ile nie zdejmuje odpowiedzialności ze Spółki jako administratora danych za nieudzielanie odpowiedzi na wezwania Prezesa UODO – to jest jednak wiarygodne. Wniosek taki można wyprowadzić z historii sprawy sygn. […]. Spółka nie odpowiedziała na pierwsze wezwanie Prezesa UODO z […] grudnia 2020 roku, po czym niezwłocznie odpowiedziała na ponowne wezwanie nadane […] lutego 2020 roku, przesyłając odpowiedź […] marca 2020 roku. Pozwala to przypuszczać nie tyle brak woli czy chęci współpracy z Prezesem UODO, co sygnalizowany przez Spółkę nieefektywnie zorganizowany przepływ korespondencji czy też podział obowiązków w tym zakresie po stronie Spółki. Podobnie Spółka nie odpowiedziała na wezwanie prezesa z […] lipca 2020 roku, jednak po otrzymaniu informacji o wszczęciu niniejszego postępowania nawiązała kontakt telefoniczny a następnie przesłała szczegółowe wyjaśnienia.

Wobec powyższego, w ocenie Prezesa UODO, w przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwanie z […] lipca 2020 roku, stanowiącego bezpośrednią przyczynę wszczęcia niniejszego postępowania, nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. Istotny jest przy tym fakt, że pismem doręczonym […] marca 2020 roku Spółka udzieliła już odpowiedzi w sprawie DKE.561.20.2020.[…]. a treść złożonych wówczas wyjaśnień jest spójna z aktualnymi, szczegółowymi wyjaśnieniami Spółki, które wpłynęły do Urzędu […] listopada 2020 roku tj. po wszczęciu niniejszego postępowania.

W ocenie Prezesa UODO wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak odpowiedzi na wezwania Prezesa UODO w postępowaniu o sygn. […] nie miała charakteru celowego.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Z. Sp. j. upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.

Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 Rozporządzenia 2016/679 stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Prezes UODO uznał, że w przedmiotowej sprawie, w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 wystarczające będzie udzielenie upomnienia,.

Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stały w wysokości 200 zł, zgodnie z art. 231 w związku  z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 poz. 2325, ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.