Decyzja

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2021 r., poz. 735 ze. zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 57 ust. 1 lit. a) i h), art. 31 i art. 58 ust. 1 lit. a) i lit. e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Z. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych,

udziela upomnienia Z. Sp. z o.o., za naruszenie przepisów art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) zwanego dalej „rozporządzeniem 2016/679”, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu dostępu do danych osobowych i informacji w postępowaniu o sygn. [...].

Uzasadnienie

                Stan faktyczny

1. Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani A.S. (zwanej dalej: Skarżącą), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Z. Sp. z o.o. (zwaną dalej ,,Spółką”), polegające na wykorzystaniu jej adresu e-mail [...] po ustaniu stosunku pracy.
2. Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. [...], pismami z [...] kwietnia 2022 r. oraz [...] czerwca 2022 r., skierowanymi na ujawniony w Krajowym Rejestrze Sądowym adres siedziby Spółki ([...]), zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o złożenie wyjaśnień:
1. czy Spółka przetwarza lub przetwarzała dane osobowe Skarżącej w zakresie adresu e-mail [...] po ustaniu stosunku pracy, a jeżeli tak, to w jakim celu i na jakiej podstawie prawnej;
2. czy Skarżąca zwracała się do Spółki z żądaniem usunięcia jej danych osobowych w zakresie adresu e-mail [...], a jeżeli tak, to kiedy i w jaki sposób Spółka ustosunkowała się do tego żądania (proszę o przesłanie kopii odpowiedzi udzielonej Skarżącej). W przypadku nieudzielenia Skarżącej odpowiedzi na ww. żądanie proszę o wyjaśnienie przyczyn takiego stanu.
3. W piśmie z [...] czerwca 2022 r. Spółka została pouczona, że brak wyczerpującej odpowiedzi na wezwanie skutkować może, w związku z brakiem współpracy z Prezesem Urzędu w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi Urzędu do realizacji jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 4 lit. a) lub art. 83 ust. 5 lit. e) RODO – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
4. Pisma z [...] kwietnia 2022 r. i [...] czerwca 2022 r. zostały odebrane przez Spółkę odpowiednio [...] kwietnia 2022 r. i [...] czerwca 2022 r. Spółka nie udzieliła odpowiedzi na ww. wezwania.
5. Wobec braku odpowiedzi na wezwania Prezesa UODO wszczęte zostało niniejsze postępowania administracyjne pod sygn. DKE.561.22.2022 – w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 i art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez ten organ jego zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
6. Pismo z [...] sierpnia 2022 r. w sprawie wszczęcia przedmiotowego postępowania administracyjnego i zebrania materiału dowodowego w sprawie, zostało odebrane przez Spółkę [...] sierpnia 2022 r. W piśmie tym wskazano, że jeżeli Spółka udzieli skutecznie wyczerpujących wyjaśnień, o udzielenie których zwrócił się Prezes UODO w pismach z [...] kwietnia 2022 r. oraz [...] czerwca 2022 r., okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.
7. W piśmie z [...] sierpnia 2022 r. Spółka udzieliła wyczerpujących odpowiedzi na pytania skierowanej do niej w sprawie o sygn. [...].
8. Z kolei w piśmie z [...] sierpnia 2022 r. Spółka wniosła o odstąpienie od nałożenia na Spółkę administracyjnej kary pieniężnej w związku z brakiem współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez ten organ jego zadań oraz nieudzieleniem informacji niezbędnych Prezesowi UODO do realizacji tych zadań.
9. W piśmie z [...] sierpnia 2022 r. Spółka wyjaśniła, że brak odpowiedzi na wezwanie do złożenia wyjaśnień z [...] kwietnia 2022 r. oraz [...] czerwca 2022 r., nie wynikał z braku chęci współpracy z Prezesem UODO lecz spowodowany był błędem ludzkim oraz utrudnionym przepływem informacji związanym ze zmianami kadrowymi wewnątrz Spółki. Spółka wskazała, że osoba odpowiedzialna w tamtym czasie za ustosunkowanie się do wezwania nie wywiązała się należycie ze swoich obowiązków i nie przekazała informacji nowo zatrudnionej osobie o konieczności odpowiedzi na wezwania.
10. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

                 Uzasadnienie prawne

11. Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) rozporządzenia 2016/679). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679). Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 rozporządzenia 2016/679 uprawnień naprawczych, w tym udzielenie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679.
12. Naruszenie przepisów rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań) podlega zaś – zgodnie zart. 83 ust. 5lit. e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej wwysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez ten niego zadań, o czym stanowi art. 31 rozporządzenia 2016/679. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 i art. 58 ust. 1 lit. a) i e).
13. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. [...] niewątpliwe naruszyła obowiązek współpracy z Prezesem UODO oraz obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy.
14. Prezes UODO dwukrotnie wezwał Spółkę do złożenia wyjaśnień. Pierwsze z tych wezwań zostało doręczone Spółce [...] kwietnia 2022 r., drugie zaś [...] czerwca 2022 r. Żadne nie doczekało się odpowiedzi w zakreślonych terminach 7 dni od daty ich doręczenia. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Spółki, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy o sygn. [...] i skutkowało przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami: wnikliwości i szybkości postępowania. To zaniechanie Spółki spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. Jednakże w odpowiedzi na informację o wszczęciu niniejszego postępowania, Spółka wznowiła współpracę z Prezesem UODO, poprzez nadesłanie szczegółowych wyjaśnień w postępowaniu o sygn. [...], co umożliwiło Prezesowi UODO na dalsze prowadzenie postępowania w tej sprawie. Ponadto Spółka złożyła wyjaśnienia uzasadniające przyczyny braku współpracy z Prezesem UODO, mianowicie w wyjaśnieniach wskazała, że brak odpowiedzi Spółki na wezwanie do złożenia wyjaśnień z [...] kwietnia 2022 r. i [...] czerwca 2022 r. nie wynikał z braku chęci współpracy z Prezesem UODO lecz spowodowany był błędem ludzkim oraz utrudnionym przepływem informacji związanym ze zmianami kadrowymi wewnątrz Spółki. Ponadto, Spółka wskazała, że osoba odpowiedzialna w tamtym czasie za ustosunkowanie się do wezwania nie wywiązała się należycie ze swoich obowiązków i nie przekazała informacji nowo zatrudnionej osobie o konieczności odpowiedzi na wezwania.
15. Jak wyżej wspomniano, nie budzi wątpliwości fakt, że Spółka swoim zachowaniem dopuściła się naruszenia przepisów rozporządzenia 2016/679. Przedstawione przez Spółkę uzasadnienie braku odpowiedzi na wezwanie Prezesa UODO nie zdejmuje z niej odpowiedzialności za stwierdzone zaniechanie. Równolegle jednak, wskazane przez Spółkę przyczyny początkowego braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Spółki, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji. W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień – który to brak został uzupełniony przez Spółkę w rezultacie wszczęcia niniejszego postępowania – nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny. Okoliczności sprawy, a w szczególności późniejsza postawa Spółki pozwalają wnioskować, że jej początkowa opieszałość nie wynikała ze złej woli, ani nie miała na celu świadomego utrudnienia postępowania. Powodem braku reakcji Spółki na skierowane do niej wezwania do złożenia wyjaśnień w sprawie o sygn. [...], było błędem ludzkim oraz utrudnionym przepływem informacji związanym ze zmianami kadrowymi wewnątrz Spółki. Zdaniem organu działanie Spółki nie było ukierunkowane na brak woli współpracy z Prezesem UODO czy też na celowe utrudnianie wykonywania przez Prezesa UODO jego obowiązków.
16. Następcza, aktywna postawa Spółki, w szczególności udzielenie wyjaśnień do sprawy o sygn. [...], w tym wyjaśnienie powodów braku odpowiedzi na wezwania do złożenia wyjaśnień, wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Spółki wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami sankcji. Niemniej jednak, celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje, że o wszelkich przeszkodach uniemożliwiających Spółce terminowe wywiązywanie się z obciążających ją względem organu ochrony danych osobowych obowiązków, Spółka powinna informować niezwłocznie, w chwili ich zaistnienia.
17. Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
18. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.

           Pouczenie

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi  do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.