Decyzja
DKE.561.31.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2022 r., poz. 2000 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na T. Sp. z o.o. z siedzibą w W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia T. Sp. z o.o. z siedzibą w W. przy ul. (…) za naruszenie przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DS.523.5569.2021.
UZASADNIENIE
Stan faktyczny
- W dniu 31 sierpnia 2021 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana M. T., zam. w Ł. przy ul. (…) (zwanego dalej „Skarżącym”), na nieprawidłowości w procesie przetwarzania jego danych osobowych polegające na udostępnieniu przez T. Sp. z o.o. z siedzibą w W. (zwaną dalej „Spółką”) danych osobowych Skarżącego podmiotom nieuprawnionym. W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie wyjaśniające o sygn. DS.523.5569.2021.
- W ramach wyżej wskazanego postępowania (zob. pkt 1 uzasadnienia niniejszej decyzji), Prezes UODO zwrócił się do Spółki – pismem z 14 września 2021 r. – z wezwaniem do odpowiedzi na poniższe pytania:
1) „kiedy (proszę wskazać dokładną datę), na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu i w jakim zakresie (proszę wymienić kategorie/rodzaje danych) Spółka pozyskała dane osobowe Skarżącego;
2) czy, a jeśli tak, to na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu, w jakim zakresie (proszę wymienić kategorie/rodzaje danych), Spółka aktualnie przetwarza dane osobowe Skarżącego;
3) czy doszło do udostępnienia danych osobowych Skarżącego na rzecz podmiotów trzecich, a jeżeli tak to kiedy, na jakiej podstawie prawnej, w jakim celu i zakresie oraz na rzecz jakich podmiotów dane te zostały udostępnione;
4) czy Spółka informowała Skarżącego o nieprawidłowościach związanych z procesem przetwarzania jego danych osobowych, a jeżeli tak, to kiedy oraz jaka była treść przekazanej informacji”.
Wezwanie to, wysłane na adres siedziby Spółki, tj. ul. (…), W., nie zostało odebrane przez Spółkę i wróciło do Urzędu Ochrony Danych Osobowych (zwany dalej „UODO”) z adnotacją „ZWROT nie podjęto w terminie”.
- Pismem z 15 października 2021 r. Prezes UODO ponownie zwrócił się do Spółki z wezwaniem do odpowiedzi na wskazane wyżej pytania (zob. pkt 2 uzasadnienia niniejszej decyzji). Ponadto, skierowane do Spółki wezwanie z 15 października 2021 r. zawierało pouczenie wskazujące, że niezłożenie wyczerpujących wyjaśnień może skutkować nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 lit. a) lub 83 ust. 5 lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016, str. 1 ze zm.) (zwanego dalej „Rozporządzeniem 2016/679”). Wezwanie to, również wysłane na adres siedziby Spółki (zob. pkt 2 uzasadnienia niniejszej decyzji), nie zostało odebrane przez Spółkę i wróciło do UODO z adnotacją „ZWROT nie podjęto w terminie”.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się w aktach postępowania o sygn. DS.523.5569.2021. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygn. DS.523.5569.2021, a z drugiej strony – reakcji Spółki na żądania Prezesa UODO.
Postępowanie
- W związku z nieudzieleniem przez Spółkę wiążących i mających moc dowodową informacji, niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.5569.2021, Prezes UODO pismem z 24 listopada 2022 r. wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DKE.561.31.2022, w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka została poinformowana pismem z 24 listopada 2022 r. (znak: DKE.561.31.2022), doręczonym Spółce 28 listopada 2022 r. Pismem tym, Spółka została zobowiązana – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do doręczenia informacji o osiągniętych dochodach za rok 2021, a ponadto została zobowiązana do udzielenia wyjaśnień w postępowaniu o sygn. DS.523.5569.2021.
- W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej – pismem z 6 grudnia 2022 r. – Spółka za pośrednictwem swojego pełnomocnika – r.pr. D. M. (Kancelaria Radcy Prawnego D. M., ul. (…) K.), której udzielone pełnomocnictwo przez Spółkę wraz z opłatą skarbową wpłynęły do UODO w dniu 2 grudnia 2022 r. – złożyła wyjaśnienia w sprawie. Spółka w sposób wyczerpujący odpowiedziała na pytania zawarte w wezwaniach z 14 września 2021 r. i 15 października 2021 r. (zob. pkt 2 - 3 uzasadnienia niniejszej decyzji), uprawdopodobniając swoje stanowisko załączoną do niniejszej odpowiedzi dokumentacją, tj. kopią zgłoszenia naruszenia ochrony danych osobowych z 27 sierpnia 2021 r. wraz z kopią raportu z naruszenia ochrony danych osobowych o nr 1/2021, kopią oceny incydentu i wykazu podjętych działań, kopią karty kontrolnej podjętych działań, kopią potwierdzenia nadania przesyłki poleconej z 25 sierpnia 2021 r. i uwierzytelnionym zrzutem ekranu z internetowego monitoringu przesyłki Poczty Polskiej, wydruku korespondencji mailowej, prowadzonej ze Skarżącym z 25 sierpnia 2021 r., do której została załączona kopia pisma z 25 sierpnia 2021 r. w przedmiocie naruszenia zasad ochrony danych osobowych oraz wydruk wiadomości mailowej z 25 sierpnia 2021 r., skierowanej do klienta Spółki.
- W kwestii naruszenia art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, Spółka wskazała, że „[…] pismem z dnia 16 grudnia 2021 roku w sprawie o sygn. DS.523.1730.2021 Urząd Ochrony Danych Osobowych („UODO”, „Organ”) został skutecznie poinformowany o zmianie adresu do doręczeń w trybie art. 41 §1 ustawy z dnia 14 czerwca 1960 roku kodeksu postepowania administracyjnego, zatem z dniem doręczenia ww. korespondencji do Organu, informacja w przedmiocie kierowania wszelkiej korespondencji do Spółki na adres ul. (…), W. – stała się w myśl ww. przepisu bezwzględnie wiążąca”. Powyższe, zdaniem Spółki prowadzi do wniosku, że w postępowaniu prowadzonym pod sygn. DS.523.5569.2021, Prezes UODO od momentu powzięcia informacji o nowym adresie korespondencyjnym Spółki, tj. od 16 grudnia 2021 r., „[…] świadomy realizacji normy art. 41 §1 kpa, […] nie dokonał ponownego doręczenia ww. pism do Spółki, co uniemożliwiło mojemu Mocodawcy [Spółce] pełnej współpracy z Organem w przedmiotowej sprawie”. Na dowód powyższego, Spółka załączyła do odpowiedzi uwierzytelnioną kopię pisma z 16 grudnia 2021 r., skierowanego do Prezesa UODO w sprawie o sygn. DS.523.1730.2021 wraz z uwierzytelnionym potwierdzeniem nadania powyższego pisma za pośrednictwem Elektronicznej Platformy Usług Administracji Publicznej (tzw. „ePUAP”). Ponadto, Spółka niniejszym pismem, wyraziła pełną wolę współpracy z Prezesem UODO.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przepisy prawne
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679).
- Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
- Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, Prezes UODO może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku stwierdzenia naruszenia przepisów Rozporządzenia 2016/679, w tym przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.
- Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- . Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Art. 7 ust. 1 u.o.d.o. stanowi zaś, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2022 r., poz. 2000 ze zm., zwanej dalej: „k.p.a.”). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
- Art. 44 § 4 k.p.a. w zw. z art. 44 §1 k.p.a. w zw. z art. 45 k.p.a. stanowi, że fikcja doręczenia zachodzi z upływem ostatniego dnia okresu, to jest 14 dni w przypadku doręczania pisma na adres siedziby osoby prawnej przez operatora pocztowego, a pismo pozostawia się w aktach sprawy.
- . Stosownie do art. 17 ust. 1 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. 2022 r., poz. 1683 ze zm., zwaną dalej „ustawą o KRS”) w zw. z art. 47 ustawy o KRS w zw. z art. 45 k.p.a., domniemywa się, że dane wpisane do rejestru przedsiębiorców są prawdziwe, a podmiot podlegający obowiązkowi wpisu do rejestru przedsiębiorców jest obowiązany zgłaszać swój adres i siedzibę oraz ich zmiany, niezależnie od obowiązków wynikających z odrębnych przepisów, chyba że ustawa stanowi inaczej. Natomiast, organ administracji publicznej doręcza pisma jednostkom organizacyjnym i organizacjom społecznym w lokalu ich siedziby do rąk osób uprawnionych do odbioru pism.
- . Na podstawie art. 41 k.p.a., strony oraz ich przedstawiciele i pełnomocnicy mają obowiązek zawiadomić organ administracji publicznej o każdej zmianie swojego adresu, a w razie zaniedbania niniejszego obowiązku, doręczenie pisma pod dotychczasowym adresem ma skutek prawny.
- Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Ocena prawna
- Odnosząc wyżej wskazaną podstawę prawną do ustalonego w niniejszej sprawie stanu faktycznego, należy uznać, że Spółka jako administrator danych osobowych Skarżącego, będąca stroną postępowania o sygn. DS.523.5569.2021, nie udzielając odpowiedzi na wezwania do złożenia wyjaśnień, naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, który wynika z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679.
- Prezes UODO dwukrotnie wezwał Spółkę do złożenia wyjaśnień w sprawie o sygn. DS.523.5569.2021. Zarówno wezwanie z 14 września 2021 r., jak i wezwanie z 15 października 2021 r. nie zostały odebrane przez Spółkę, co doprowadziło do fikcji doręczenia korespondencji, odpowiednio: w dniu 1 października 2021 r. oraz 30 listopada 2021 r. (zob. pkt 2 - 3 uzasadnienia niniejszej decyzji). Powyższe poskutkowało koniecznością wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej i w konsekwencji doprowadziło do złożenia wyczerpujących wyjaśnień przez Spółkę w sprawie o sygn. DS.523.5569.2021 oraz do nawiązania kontaktu z Prezesem UODO.
- W przedmiotowej sprawie nie jest sporne, że do obowiązków Spółki należy zapewnienie prawidłowej organizacji obiegu korespondencji, a w przypadku niepoinformowania Prezesa UODO o nowym adresie korespondencyjnym Spółki, Prezes UODO jest związany adresem siedziby, widniejącym w rejestrze przedsiębiorców. Niniejsze, wynika z przytoczonych powyżej przepisów, a w szczególności z domniemania prawdziwości danych wpisanych w rejestrze przedsiębiorców. W ocenie Prezesa UODO przedstawione przez Spółkę w piśmie z 6 grudnia 2022 r. uzasadnienie braku odpowiedzi na jego wezwania (zob. pkt 7 uzasadnienia niniejszej decyzji) nie stanowi przesłanki wyłączającej odpowiedzialność Spółki. W interesie Spółki jest podjęcie takich działań, które doprowadzą do należytego przekierowania korespondencji, co więcej to Spółka ponosi odpowiedzialność za właściwe zorganizowanie przyjmowania pism i obiegu korespondencji, która powinna odbywać się w sposób ciągły i niezakłócony (zob. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 9 grudnia 2020 r. o sygn. Akt VI SA/Wa 1697/20, LEX nr 3162004). W sprawie o sygn. DS.523.1730.2021, Spółka poinformowała Prezesa UODO o nowym adresie korespondencyjnym dopiero w dniu 16 grudnia 2021 r., czyli po dokonaniu doręczenia wezwań do złożenia wyjaśnień w sprawie o sygn. DS.523.5569.2021, wysłanych 14 września 2021 r. oraz 15 października 2021 r. Oznacza to, że wezwania do złożenia wyjaśnień z 14 września 2021 r. i z 15 października 2021 r. skierowane zostały na właściwy adres i zostały doręczone na zasadzie fikcji doręczenia. Natomiast, podnoszona przez Spółkę kwestia braku staranności organu nie jest spójna ze stanem faktycznym sprawy. Prezes UODO po powzięciu informacji o nowym adresie korespondencyjnym Spółki, wszczął niniejsze postępowanie, informując o tym fakcie Spółkę pismem z 24 listopada 2022 r., skierowanym na nowy adres korespondencyjny. Z uwagi na art. 45 k.p.a., Prezes UODO dokonał prawidłowego doręczenia wyżej wskazanych wezwań, czyli na adres siedziby Spółki, który wówczas był zgodny z aktualnym odpisem z rejestru przedsiębiorców, a ponadto był mu znany jako jedyny adres korespondencyjny Spółki.
- Jednakże, wyjaśnienia Spółki należy uznać za wiarygodne, ponieważ wyżej omawiane zaniedbanie Spółki (zob. pkt 7 i 19 niniejszego uzasadnienia), mogło spowodować brak odpowiedzi Spółki na niniejsze wezwania. W ocenie Prezesa UODO powyższe naruszenie miało charakter nieumyślny. Należy zatem uznać, że z chwilą wpłynięcia do UODO wyjaśnień Spółki, to jest z dniem 12 grudnia 2022 r. ustał stan naruszenia przepisów Rozporządzenia 2016/679, będący przedmiotem niniejszego postępowania (za jego początek należy uznać 9 października 2021 r., czyli datę upływu terminu na założenie wyjaśnień, wyznaczonego w wezwaniu z 14 września 2021 r., liczonego od momentu fikcji doręczenia niniejszego wezwania).
- Nie zostały stwierdzone inne przesłanki, wskazujące na brak woli współpracy Spółki z Prezesem UODO. Co więcej, po powzięciu informacji o toczącym się postępowaniu, Spółka wykazała aktywną postawę, była gotowa do dalszej współpracy w niniejszym postępowaniu, a także dostarczyła dokumenty finansowe, które ułatwiłyby Prezesowi UODO oszacowanie ewentualnej administracyjnej kary pieniężnej. Prowadzi to do wniosku, że brak odbioru i odpowiedzi Spółki na wezwania Prezesa UODO w postępowaniu o sygn. DS.523.5569.2021 nie miało charakteru celowego.
- Mając na uwadze powyższe, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie uwzględnione przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.
Pouczenie
Decyzja jest ostateczna. Od decyzji Stronie przysługuje prawo wniesienia skargi
do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.