Decyzja
DKE.561.28.2020
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256), art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), na podstawie art. 58 ust. 2 lit. b) i g) w związku z art. 83 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na M. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia M. Sp. z o.o. za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 1 lit. g) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.)
UZASADNIENIE
W dniu [...] sierpnia 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani M. K., prowadzącej działalność gospodarczą pod firmą „K.”, reprezentowanej przez adwokata Pana K. I., (zwana dalej: Skarżącą), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez M. Sp. z o.o. (zwaną dalej: Spółką). Pełnomocnik Skarżącej poinformował, iż w serwisie internetowym [...], na profilu Skarżącej w dniu [...] maja 2018 r. zostały umieszczone dwa wpisy, których treść ma charakter zniesławiający Skarżącą, a tym samym narusza dobra osobiste Skarżącej. W związku z tym, że administrator serwisu internetowego nie zareagował na kierowaną do niego korespondencję zawierającą żądanie usunięcia komentarzy, pełnomocnik skierował do Prezesa Urzędu Ochrony Danych Osobowych żądanie usunięcia danych osobowych Skarżącej ewentualnie ograniczenie ich przetwarzania w serwisie internetowym [...].
Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. [...]), skierował do Spółki pismo z dnia [...] listopada 2018 r. (znak: [...]) oraz z dnia [...] marca 2019 r. (znak: [...]), w których wezwał na podstawie art. 58 ust. 1 lit. a) i lit. e) do udzielenia odpowiedzi na następujące pytania:
- na jakiej podstawie prawnej, w jakim celu, zakresie oraz w jakim zbiorze Spółka przetwarza aktualnie dane osobowe Skarżącej, a także z jakiego źródła oraz na jakiej podstawie prawnej dane te pozyskano;
- czy Spółka umożliwia osobom, których dotyczą przetwarzane przez nią dane osobowe prowadzenie z nią komunikacji w sprawie przetwarzania tych danych, na mocy art. 15-22 i 34 RODO, oraz w jaki sposób realizuje te uprawnienia podmiotów danych;
- czy Skarżąca komunikowała się ze Spółką w sprawie przetwarzania jej danych, w szczególności w zakresie realizacji swoich praw wynikających z RODO, w tym w zakresie ich usunięcia lub ograniczenia ich przetwarzania;
- jeżeli odpowiedź na pytanie z pkt 3 jest pozytywna należy wyjaśnić jak Spółka ustosunkowała się do żądań Skarżącej oraz w jaki sposób i w jakim zakresie zrealizowano prawa Skarżącej wynikające z art. 15-22 i 34 RODO;
- czy, a jeśli tak to kiedy i w jakim zakresie oraz w jaki sposób Spółka zrealizowała wobec Skarżącej obowiązek informacyjny z art. 13 (ewentualnie z art. 14) RODO.
Pisma te zostały awizowane i powróciły do Urzędu z adnotacją ,,Zwrot - nie podjęto w terminie”.
Decyzją administracyjną z dnia [...] czerwca 2020 roku (sygn. [...]) Prezes UODO nakazał Spółce – na podstawie art. 58 ust. 2 lit. g) Rozporządzenia 2016/679 – usunięcie danych osobowych w postaci imienia, nazwiska oraz adresu prowadzonej działalności gospodarczej z dwóch komentarzy z dnia [...] maja 2018 r., użytkownika posługującego się pseudonimem K., zamieszczonych pod wpisem pochodzącym z dnia [...] stycznia 2016 r., autorstwa użytkownika posługującego się pseudonimem M., znajdujących się pod linkiem: [...]. Spółka odebrała ww. decyzję [...] lipca 2020 r. (podpis osoby na zwrotnym potwierdzeniu odbioru korespondencji: S.), nie wniosła od wyżej wskazanej decyzji administracyjnej skargi do Wojewódzkiego Sądu Administracyjnego, w związku z czym stała się ona prawomocna z dniem [...] sierpnia 2020 roku.
Celem sprawdzenia, czy nałożone powyższą decyzją obowiązki zostały wykonane przez Spółkę, Prezes UODO wszczął postępowanie sprawdzające o sygn. [...]
Pismem z dnia [...] września 2020 roku Prezes UODO wezwał Spółkę do złożenia wyjaśnień w sprawie i przedstawienia dowodów w postaci kopi protokołu usunięcia danych osobowych Pani M. K., a gdyby nie było to możliwe – oświadczenia o usunięciu jej danych wraz ze wskazaniem daty i sposobu dokonania tej czynności. W piśmie Spółka została jednocześnie pouczona, że stwierdzenie nieprzestrzegania nakazu nałożonego przez Prezesa UODO skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 6 Rozporządzenia 2016/679. Spółka nie odebrała ww. pisma. W dniu [...] października 2020 r. do Urzędu Ochrony Danych Osobowych wpłynął zwrot ww. pisma. Pismo było dwukrotnie awizowane w dniach [...] października 2020 r. i [...] października 2020 r., co stwierdzono na podstawie adnotacji na zwróconej kopercie z ww. pismem. Wobec powyższego pismo zostało na podstawie art. 44 § 4 ustawy z dnia uznane za doręczone z upływem dnia [...] października 2020 r. i pozostawione w aktach sprawy.
Brak odpowiedzi Spółki na wezwanie do złożenia wyjaśnień skierowane przez Prezesa UODO w sprawie o sygn. [...], jak również oględzin strony [...], na której w dalszym ciągu widniały dane osobowe Skarżącej, dały podstawę do stwierdzenia, że Spółka nie wykonała nakazu zawartego w decyzji administracyjnej z [...] czerwca 2020 r., sygn. [...].
Wobec powyższego Prezes UODO pismem z dnia [...] grudnia 2020 roku wszczął z urzędu niniejsze postępowanie administracyjne o sygn. […] w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. g) Rozporządzenia 2016/679. W piśmie Spółka została ponownie poinformowana, że nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 6 Rozporządzenia 2016/679). Powyższym pismem Spółka została m.in. wezwana do przedstawienia danych finansowych w postaci sprawozdania finansowego, a w razie jego braku – oświadczenia o wysokości obrotu i wyniku finansowego za 2019 roku, celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej. Ponadto w piśmie tym wskazano, że jeżeli Spółka przedstawi dowody na wykonanie nakazu przedmiotowej decyzji Prezesa UODO, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.W dniu [...] stycznia 2021 r. do Urzędu Ochrony Danych Osobowych wpłynął zwrot ww. pisma. Pismo było dwukrotnie awizowane w dniach [...] grudnia 2020 r. i [...] stycznia 2021 r., co stwierdzono na podstawie adnotacji na zwróconej kopercie z ww. pismem. Wobec powyższego pismo zostało na podstawie art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2021 r., poz. 735 ze zm.), zwanej dalej ,,Kpa”, uznane za doręczone z upływem dnia [...] stycznia 2021 r. i pozostawione w aktach sprawy.
Wobec braku kontaktu ze strony Spółki, pismem z dnia [...] maja 2021 r. rejestrator domeny [...] Pan Sz. P. prowadzący działalność gospodarczą pod firmą P., został wezwany do udostępnienia danych osobowych abonenta domeny [...], tj. imienia, nazwiska, adresu, numeru telefonu i adresu e-mail. Pan Sz. P. udostępnił ww. dane w korespondencji mailowej z [...] lipca 2021 r. W dniu [...] lipca 2021 r. Prezes Zarządu Spółki – Pan M. S., został poinformowany telefonicznie o prowadzonym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej na Spółkę. Powyższa informacja została jednocześnie przekazana w wiadomości elektronicznej z [...] lipca 2021 r. Prezes Zarządu Spółki zarówno telefonicznie jak i w wiadomości elektronicznej z [...] lipca 2021 r. poinformował, że cyt. ,,serwis […] od 5, 6 lat nie jest administrowany i zaginęły hasła dostępu do panelu administracyjnego, wobec czego Spółka spróbuje usunąć dane [objęte nakazem decyzji] od strony oprogramowania na serwerze, co jednak nie jest technicznie szybkie do wykonania również dlatego, że Spółka nie posiada stałej współpracy z programistami”.
W rezultacie w dniu [...] lipca 2021 roku Prezes Zarządu Spółki poinformował o wykonaniu nakazu decyzji administracyjnej. Oględziny strony internetowej [...] przeprowadzone w dniu [...] lipca 2021 roku wykazały, że dane osobowe Skarżącej zostały usunięte ze strony.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium (w tym Prezes UODO na terytorium Rzeczypospolitej Polskiej) między innymi monitoruje i egzekwuje stosowanie rozporządzenia (art. 57 ust. 1 lit. a)) oraz prowadzi postępowania w sprawie jego stosowania (art. 57 ust. 1 lit. h)). Instrumentami realizacji zadań, o których mowa w art. 57 ust. 1 Rozporządzenia 2016/679, są uprawnienia naprawcze przyznane organom nadzorczym (w tym Prezesowi UODO) mocą art. 58 ust. 2 Rozporządzenia 2016/679, w tym w szczególności uprawnienie do nakazania administratorowi usunięcia danych osobowych (art. 58 ust. 2 lit. g)), a także uprawnienie do udzielenia administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Naruszenie polegające na nieprzestrzeganiu nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 6). Niemniej jednak Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie upomnienia w zakresie stwierdzonego naruszenia ww. przepisu. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka jako administrator danych osobowych i jednocześnie strona postępowania o sygn. [...], naruszyła obowiązek przestrzegania nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. g). Spółka wykonała decyzję administracyjną dopiero [...] lipca 2021 r., przy czym decyzja ta była prawomocna, a zatem wykonalna od dnia [...] sierpnia 2020 roku. Zatem przez okres 11 miesięcy Spółka odmawiała wykonania nakazu orzeczonego przez organ nadzorczy.
Spółka początkowo nie odbierała kierowanej do niej korespondencji, jednakże Prezes Zarządu Spółki w wiadomości elektronicznej z [...] lipca 2021 r. poinformował o przeszkodach, które uzasadniały niemożność sprawnego jej wykonania, tj. długoletni brak administrowania serwisem […] oraz zaginięcie haseł dostępu do panelu administracyjnego. W ocenie Prezesa UODO wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak reakcji Spółki na wezwania do wykonania nakazu decyzji, tj. usunięcia danych osobowych, nie było celowe. W odpowiedzi na informację o wszczęciu postępowania administracyjnego w sprawie nałożenia administracyjnej kary pieniężnej – sygn. […], Prezes Zarządu Spółki w wiadomości elektronicznej z [...] lipca 2021 r. poinformował o wykonaniu decyzji. Przekazanie informacji dotyczących wszczęcia postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Spółki wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami sankcji.
Zdaniem Prezesa UODO Spółka bezspornie przez okres 11 miesięcy nie wywiązała się z ciążącego na niej na mocy art. 58 ust. 2 lit. g) w związku z art. 17 ust. 1 lit. c) Rozporządzenia 2016/679 obowiązku usunięcia danych. Spółka ostatecznie – pomimo znacznego opóźnienia – wykonała nakaz decyzji administracyjnej Prezesa UODO z [...] czerwca 2020 roku (sygn. [...]).
W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 2 lit. g) Rozporządzenia 2016/679. Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 Rozporządzenia 2016/679 stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.