PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 23 marca 2022 r.

Decyzja

DKE.561.3.2022

Na podstawie art. 105 § l Ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także na podstawie art. 58 ust. 1 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na O. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych

 

umarza postępowanie.

 

UZASADNIENIE

 

           Stan faktyczny

 

  1. W związku z dokonanym […] lipca 2021 r. przez O. Sp. z o.o. (zwaną dalej „Spółką”), zgłoszeniem naruszenia ochrony danych osobowych polegającego na nieautoryzowanym dostępie do systemu informatycznego Spółki, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie administracyjne o sygn. […] mające na celu wyjaśnienie okoliczności zgłoszonego przez Spółkę naruszenia.
  2. W ramach wyżej wskazanego postępowania Prezes UODO zwrócił się do Spółki – pismem z […] sierpnia 2021 r. – z wezwaniem do udzielenia odpowiedzi na poniższe pytania oraz przedstawienia niżej wskazanych dokumentów:
    • „Czy skuteczność stosowanych środków technicznych mających zapewnić bezpieczeństwo przetwarzania była regularnie testowana, mierzona oraz oceniana? Jeśli tak, to proszę przedstawić dowody zarówno na przeprowadzanie takich testów przed wystąpieniem naruszenia, jak i po naruszeniu (np. testy penetracyjne).
    • Czy zostały opracowane procedury dotyczące autoryzacji użytkowników oraz nadawania im odpowiednich uprawnień (np. dotyczące parametrów haseł, ich złożoności, polityka nadawania identyfikatorów).
    • Przekazanie procedury dotyczącej wykonywania i testowania kopii zapasowych.
    • Przekazanie analizy ryzyka przeprowadzonej przed i po naruszeniu ochrony danych osobowych.
    • Czy przeprowadzono postępowanie wyjaśniające mające na celu ustalenie, czy atakujący nie uzyskał dostępu do innych danych niż podane w pkt 6 zgłoszenia naruszenia ochrony danych osobowych.
    • Przekazanie stosownych dowodów potwierdzających zastosowanie środków bezpieczeństwa z pkt 9B formularza.”
  1. Wezwanie to doręczone zostało Spółce […] września 2021 r.
  1. Pismem z […] września 2021 r. Spółka udzieliła wyjaśnień w zakresie pytań skierowanych do niej w piśmie Prezesa UODO z […] sierpnia 2021r.; przedstawiła również następujące dokumenty: […].
  2. Pismem z […] października 2021 r. Prezes UODO zwrócił się do Spółki z wezwaniem do złożenia dodatkowych wyjaśnień i przedstawienia dodatkowych dowodów w następującym zakresie:
    • „Proszę o przekazanie informacji, czy, a jeśli tak, to z jakimi kategoriami danych i kogo dotyczącymi osoba nieuprawniona mogła się zapoznać, skoro uzyskała dostęp do »listy naszych klientów« i »listy zamówień«, o których mowa w załączniku nr 4 do pisma administratora z dnia […] września 2021 r.
    • Proszę o przekazanie stosownych dowodów na poparcie twierdzenia, że »w Spółce na bieżąco jest przeprowadzana weryfikacja skuteczności środków technicznych«.”
  1. Wezwanie to doręczone zostało Spółce […] października 2021 r.
  1. Pismem z […] października 2021 r. Spółka udzieliła dodatkowych wyjaśnień w sprawie stwierdzając m.in., co następuje:
  1. „W zakresie »listy naszych klientów« mogło dojść do zapoznania się z informacjami, które nie zawierały w swej treści danych osobowych, ponieważ stanowiły jedynie dane podmiotów będących osobami prawnymi – klientami Spółki […].”
    „Odnosząc się natomiast do »listy zamówień« – mogło dojść do zapoznania się z danymi Klientów, czyli klientów administratorów powierzających Spółce dane osobowe należące do osób fizycznych będących ich klientami końcowymi. W stosunku do tych danych Spółka nie działa jako administrator, lecz jako podmiot przetwarzający, co pozostaje poza zakresem złożonego zawiadomienia, a wskazanie kategorii danych wymagałoby potwierdzenia możliwości ich przekazania przez Spółkę z Klientami.”
    W załączeniu pisma Spółka przedstawiła również oświadczenie z […] października 2021 r. dotyczące weryfikacji skuteczności wdrożonych przez Spółkę środków technicznych wraz z załącznikami przedstawiającymi stosowne, obowiązujące w Spółce, procedury.
  1. Pismem z […] listopada 2021 r. Prezes UODO zwrócił się do Spółki z wezwaniem do złożenia kolejnych wyjaśnień i przedstawienia dodatkowych dowodów w następującym zakresie:
    • „Wskazanie, czy administratorzy danych, dla których podmiotem przetwarzającym jest Spółka, zostali zawiadomieni o zaistniałym naruszeniu ochrony danych osobowych, a jeśli tak, to proszę o podanie daty ich zawiadomienia oraz przedstawienie stosownych dowodów w tym zakresie.
    • Przekazanie do Urzędu Danych Osobowych listy administratorów danych, dla których podmiotem przetwarzającym jest Spółka.
    • Wskazanie, jakie kategorie danych osobowych ujawniała »lista zamówień« oraz ilu osób dane te dotyczyły.
    • Wskazanie, czy skuteczność stosowanych środków technicznych mających zapewnić bezpieczeństwo przetwarzania była regularnie testowana, mierzona oraz oceniana przed i po zaistnieniu naruszenia ochrony danych osobowych  (proszę o przedstawienie stosownych dowodów).”
    Wezwanie to doręczone zostało Spółce […] listopada 2021 r.
  1. Pismem z […] listopada 2021 r. Spółka przedstawiła dodatkowe wyjaśnienia i dowody w zakresie dotyczącym powiadomienia administratorów o zaistniałym naruszeniu ochrony danych osobowych (pierwsze z pytań zawartych w piśmie Prezesa UODO z […] listopada 2021 r. – zob. pkt 6 uzasadnienia niniejszej decyzji) oraz w zakresie regularnego weryfikowania skuteczności stosowanych przez Spółkę środków technicznych (ostatnie z czterech pytań zawartych w piśmie Prezesa UODO z […] listopada 2021 r. – zob. pkt 6 uzasadnienia niniejszej decyzji).
  2. W piśmie z […] listopada 2021 r. Spółka odmówiła odpowiedzi na dwa pozostałe pytania zawarte w piśmie Prezesa UODO z […] listopada 2021 r.
  3. W odpowiedzi na żądanie przedstawienia listy administratorów danych, dla których Spółka jest podmiotem przetwarzającym, Spółka wskazała m.in., że „Obowiązek ten [obowiązek zachowania poufności] dotyczy zazwyczaj wszelkich otrzymanych od Administratorów danych, w tym danych o samym zawarciu umów na podstawie których odbywa się współpraca jak i danych o tym, że kontrahent korzysta z usług Spółki. Spółka pragnąc wywiązać się z obowiązku zachowania poufności, w celu uniknięcia negatywnych sankcji, nie tylko prawnych i finansowych, ale także wizerunkowych nie ma możliwości udostępnienia tych danych bez uzyskania uprzedniej zgody Administratorów.” I dalej: „Dodatkowo zastrzegamy, że niezależnie od powyższego lista Administratorów stanowi także prawnie chronioną tajemnicę przedsiębiorstwa Spółki (art. 11 ustawy o zwalczaniu nieuczciwej konkurencji). Informacja ta ma znaczną wartość gospodarczą dla Spółki, ponieważ stanowi bazę klientów Spółki.”
  4. W odpowiedzi na pytanie o kategorie danych osobowych, które ujawniała „lista zamówień” oraz o ilość osób, których dane te dotyczyły, Spółka podniosła w szczególności, że co do tych danych „Spółka nie działa jako administrator, lecz jako podmiot przetwarzający, wobec czego nie jest uprawniona do udostępnienia tego rodzaju danych bez udokumentowanego polecenia Administratorów. Spółkę wiążą zawarte z Administratorami umowy powierzenia przetwarzania danych osobowych, które ściśle wytyczają uprawnienia Spółki i możliwości oraz wytyczne dotyczące przetwarzania, w które wchodzi także przekazanie danych Urzędowi Ochrony Danych Osobowych. Zgodnie również z samym Ogólnym rozporządzeniem o ochronie danych (RODO) zgłoszenie naruszenia ochrony danych osobowych jest wyłącznym obowiązkiem i uprawnieniem administratora danych osobowych.” Spółka wskazała ponadto, że „Niezależnie od zobowiązań umownych Spółka wprost jest zobowiązana do zachowania otrzymanych od Administratorów danych ([…] także danych, które znajdowały się w »liście zamówień«) w ścisłej tajemnicy i poufności. Są to bowiem informacje posiadające wartość gospodarczą dla Administratorów stanowiące ich tajemnicę przedsiębiorstwa, która podlega szczególnej ochronie prawnej, m.in. w oparciu o ustawę z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (art. 11). Ujawnienie informacji stanowiących tajemnicę przedsiębiorstwa mogłoby stanowić czyn nieuczciwej konkurencji […].”
  5. W dniach […] stycznia 2022 r. Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych przeprowadził w Spółce kontrolę zgodności przetwarzania przez nią danych osobowych z przepisami o ochronie danych osobowych w związku z naruszeniem ochrony danych osobowych, które zainicjowało postępowanie o sygn. […].
  6. W toku kontroli, prowadzonej pod sygn. […], i zakończonej sporządzeniem […] stycznia 2022 r. protokołu kontroli, Spółka przedstawiła kontrolującym wszystkie żądane przez nich informacje i dokumenty; zapewniła również w pełnym zakresie wgląd w swoje systemy informatyczne. W szczególności Spółka przedstawiła listę swoich klientów – podmiotów, dla których świadczy usługi związane z przetwarzaniem powierzonych jej danych osobowych. Spółka przedstawiła również informację o przetwarzanych przez nią kategoriach danych osobowych. Jak zapisano w protokole kontroli: „W Spółce przetwarzane są dane pracowników w pełnym zakresie, pracowników klientów Spółki (osoby wskazane do kontaktu w zakresie: imię, nazwisko, adres e-mail oraz ewentualnie nr telefonu), jak również dane klientów podmiotów współpracujących, tj. adresatów przesyłek w zakresie: imię, nazwisko, adres e-mail, nr telefonu, adres wysyłki.” Ustalono ponadto, że „osoba, która dostała się do systemu Spółki, miała dostęp do danych pracowników wszystkich klientów, natomiast dostęp do danych wynikających z zamówień dotyczył około 20 klientów [klientów podmiotów współpracujących ze Spółką – adresatów przesyłek].”
  7. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się w aktach postępowania o sygn. […], a także dokumentów pochodzących z akt kontroli o sygn. […]. Dokumentacja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygn. […], a z drugiej strony – reakcję Spółki na żądania Prezesa UODO.

 

Postępowanie

 W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], niezależnie od postępowania kontrolnego o sygn. […] (zob. pkt 11-12 niniejszego uzasadnienia), Prezes UODO wszczął wobec Spółki z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygn. DKE.561.3.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka poinformowana została pismem z […] stycznia 2022 r. (znak: DKE.561.3.2022[…]), doręczonym Spółce […] stycznia 2022 r. Pismem tym Spółka wezwana została także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Spółkę w 2021 r.

W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Spółka – pismem z […] stycznia 2022 r. – wyjaśniła, że w trakcie przeprowadzonej u niej w dniach […] stycznia 2022 r. kontroli „zostały przedstawione wszelkie żądane informacje i dokumenty, w tym informacje o (i) kategorii danych osobowych, które zawierała Lista zamówień, (ii) liczbie osób, których dane te dotyczyły oraz (iii) liście administratorów danych, dla których Spółka jest podmiotem przetwarzającym, które nie zostały przesłane wcześniej”. W związku z powyższym Spółka wniosła o odstąpienie od wymierzenia jej administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit e) Rozporządzenia 2016/679. Jednocześnie – w załączeniu do pisma – Spółka przedłożyła swoje sprawozdanie finansowe za 2021 r., żądane przez Prezesa UODO pismem z […] stycznia 2022 r.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

 

Przepisy prawne

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów tego aktu prawnego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679), w tym postępowań związanych z oceną naruszeń ochrony danych osobowych, zgłaszanych Prezesowi UODO przez administratorów danych stosownie do treści art. 33 Rozporządzenia 2016/679.

Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).

Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 105 § 1 Ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.), zwanej dalej „k.p.a.”, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.

Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Art. 7 ust. 1 u.o.d.o. stanowi zaś, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

 

Ocena prawna

W niniejszej sprawie, w związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], Prezes UODO wszczął z urzędu postępowanie w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. O fakcie tym Spółka poinformowana została pismem datowanym na […] stycznia 2022 r., a doręczonym jej […] stycznia 2022 r.

W związku z powyższym za datę wszczęcia niniejszego postępowania przyjąć należy dzień […] stycznia 2022 r. Zgodnie doktryną i orzecznictwem sądów administracyjnych bowiem „[z]a datę wszczęcia postępowania z urzędu należy przyjąć pierwszą czynność urzędową wobec strony lub czynność podjętą w sprawie przez organ administracji publicznej z urzędu (wyr. NSA z 13.10.1999 r., IV SA 1364/97, niepubl.; wyr. NSA z 20.1.2010 r., II GSK 321/09, Legalis). Orzecznictwo podkreśla często również, że z faktem podjęcia takiej czynności powiązane musi być powiadomienie o niej strony (post. NSA z 4.3.1981 r., SA 654/81, ONSA 1981, Nr 1, poz. 15; wyr. NSA z 26.10.1999 r., III SA 7955/98, Legalis).” (R. Hauser, M. Wierzbowski (red), Kodeks postępowania administracyjnego. Komentarz. Wyd. 7, Warszawa 2021, komentarz do art. 61, Legalis).

Jednocześnie, na podstawie wyjaśnień udzielonych przez Spółkę pismem z […] stycznia 2022 r. (zob. pkt 14 uzasadnienia niniejszej decyzji) oraz dokumentów pochodzących z akt kontroli o sygn. […] (zob. pkt 12 uzasadnienia niniejszej decyzji), ustalono, że informacje żądane od Spółki pismem z […] listopada 2021 r. (zob. pkt 6 uzasadnienia niniejszej decyzji), udzielone zostały Prezesowi UODO – w zakresie wcześniej nie udostępnionym – najpóźniej […] stycznia 2022 r. W tym dniu bowiem sporządzono kończący kontrolę protokół, w którym to protokole (i w jego załączniku) zawarte zostały wyżej wskazane informacje.

W związku z powyższym stwierdzić należy, że niniejsze postępowanie, wszczęte po dacie uzyskania przez Prezesa UODO wszelkich niezbędnych mu w postępowaniu o sygn. […] informacji, było od chwili jego wszczęcia bezprzedmiotowe. Jak ustalono już w toku postępowania, nie istniał bowiem w tym momencie stan faktyczny uzasadniający nałożenie na Spółkę administracyjnej kary pieniężnej za naruszenie objęte przedmiotem postępowania określonym w piśmie informującym o jego wszczęciu, to jest za naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań.

Zgodnie z przepisem art. 105 § 1 k.p.a., stosowanym w postępowaniach administracyjnych przed Prezesem UODO na podstawie art. 7 ust. 1 u.o.d.o., w takiej sytuacji („gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części”) postępowanie administracyjne podlega obligatoryjnemu umorzeniu. Przesłanka umorzenia postępowania może przy tym istnieć jeszcze przed jego wszczęciem, co zostanie ujawnione dopiero w toczącym się postępowaniu (jak miało to miejsce w niniejszej sprawie), a może ona zaistnieć także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym.

W doktrynie wskazuje się, że „Umorzenie postępowania nie jest zależne ani od woli organu administracji, ani tym bardziej pozostawione do uznania organu – organ ten jest zobowiązany do umorzenia postępowania w przypadku stwierdzenia jego bezprzedmiotowości. […] Okoliczności stanowiące podstawę do umorzenia postępowania mogą pojawić się zarówno przed wszczęciem postępowania, jak i w jego trakcie. […] Bezprzedmiotowość postępowania może być także wynikiem zmiany stanu faktycznego sprawy. Postępowanie musi być uznane za bezprzedmiotowe wskutek ustania stanu faktycznego podlegającego uregulowaniu przez organ administracji w drodze decyzji (por. uzasadnienie wyroku NSA z 29 września 1987 r., IV SA 220/87, ONSA 1987, nr 2, poz. 67).” (P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2022, komentarz do art. 105).

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.

 Pouczenie

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi  do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis  od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Wojciech Trebnio
date 2022-03-23
Wprowadził informację:
user Edyta Madziar
date 2023-06-05 11:06:34
Ostatnio modyfikował:
user Edyta Madziar
date 2023-06-05 11:42:26