Decyzja
DKE.561.7.2022
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2021 r., poz. 735 ze. zm.) w związku z art. 7 ust. 1 i 2 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na S. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia S. Sp. z o.o., za naruszenie przepisów art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) zwanego dalej „rozporządzeniem 2016/679”, polegające niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.
Uzasadnienie
Stan faktyczny
- Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana W. Ś., (zwanego dalej: „Skarżącym”), na nieprawidłowości w procesie przetwarzania jego danych osobowych polegające na niespełnieniu wobec niego przez S. Sp. z o.o. (zwaną dalej ,,Spółką”), obowiązku informacyjnego wynikającego z art. 15 ust. 1 i 3 rozporządzenia 2016/679.
- Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. [...]), pismami z [...] lipca 2021 r. oraz [...] września 2021 r. zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz złożenie wyjaśnień:
- kiedy (proszę wskazać dokładną datę), na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu i w jakim zakresie (proszę wymienić kategorie/rodzaje danych) Spółka pozyskała dane osobowe Skarżącego; jeśli dane osobowe Skarżącego Spółka pozyskała dopiero w wyniku poinformowania jej przez Prezesa Urzędu Ochrony Danych Osobowych o skardze Skarżącego - proszę o wskazanie tej okoliczności w treści przesłanych wyjaśnień.
- czy Spółka aktualnie przetwarza dane osobowe Skarżącego, a jeżeli tak to, na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu, w jakim zakresie (proszę wymienić kategorie/rodzaje danych) oraz do kiedy dane te będą przetwarzane; Uwaga: Jeżeli dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. c RODO należy wskazać konkretny przepis prawa z którego wynika obowiązek przetwarzania danych.
- czy Skarżący zwracał się do Spółki o spełnienie obowiązku informacyjnego wynikającego z art. 15 ust. 1 RODO, a jeśli tak, to jaka była odpowiedź Spółki (proszę o przesłanie korespondencji prowadzonej między Spółką a Skarżącym w ww. zakresie) oraz dalsze działania; w przypadku złożenia ww. wniosku w innej formie (np. ustnie) proszę o wskazanie tej okoliczności w treści złożonych wyjaśnień.
- Pismo z [...] lipca 2021 r. – po dwukrotnym awizowaniu [...] lipca 2021 r. i [...] lipca 2021 r. – wróciło do Urzędu z adnotacją ,,Zwrot nie podjęto w terminie”, w związku z czym zostało uznane za doręczone Spółce zgodnie z art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. 2021 poz. 735 ze zm.) (zwanej dalej „k.p.a.”). Pismo z [...] września 2021 r. – po dwukrotnym awizowaniu [...] września 2021 r. i [...] września 2021 r. – wróciło do Urzędu z adnotacją ,,Zwrot nie podjęto w terminie”, w związku z czym również zostało uznane za doręczone Spółce zgodnie z art. 44 § 4 k.p.a.
- W piśmie z [...] września 2021 r. Spółka pouczona została, że brak wyczerpującej odpowiedzi na wezwanie skutkować może – zgodnie z art. 83 ust. 4 lit. a) lub 83 ust. 5 lit. e) rozporządzenia 2016/679 – nałożeniem na Spółkę administracyjnej kary pieniężnej za naruszenie polegające na niezapewnieniu dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie korespondencji urzędowej prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się w aktach postępowania o sygnaturze [...]. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze [...].
- W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. [...], Prezes UODO pismem z [...] lutego 2022 r. wszczął z urzędu wobec Spółki – w oparciu o art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (pod sygn. DKE.561.7.2022). W piśmie zawarte było pouczenie o możliwości nałożenia na Spółkę – w przypadku braku wyczerpującej odpowiedzi na to wezwanie – administracyjnej kary pieniężnej na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679 w związku z niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań (art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679). W ww. piśmie Spółka pouczona została także o tym, że jeżeli udzieli wyczerpujących wyjaśnień w postępowaniu o sygn. [...], do udzielenia, których wezwał ją Prezes UODO oraz uzasadni wcześniejszy brak odpowiedzi na te wezwania, okoliczność ta w postępowaniu o sygn. DKE.561.7.2022 może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej lub też może spowodować odstąpienie od jej nałożenia.
- W reakcji na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, Spółka w piśmie, które wpłynęło do Urzędu [...] marca 2022 r., udzieliła wyczerpujących wyjaśnień, o udzielnie których zwrócił się do niej Prezes UODO pismami z [...] lipca 2021 r. i [...] września 2021 r. Wyjaśnienia Spółki pozwoliły Prezesowi UODO na prowadzenie dalszego postępowania w sprawie o sygn. [...]. Spółka uzasadniła również powody swojego milczenia w postępowaniu prowadzonym pod sygn. [...]. Wskazała, że nie podejmowała korespondencji ze swojej winy. Spółka od [...] maja 2021 r. pomimo, że nie zmieniła adresu swojej siedziby – zmieniła lokal (pokój) – i przeniosła się na wyższe piętro w budynku pod tym samym adresem. Powyższa zmiana skutkowała nieudaną próbą doręczenia jej korespondencji przez pracownika poczty, który z „przyzwyczajenia” próbował doręczyć ją do niewłaściwego pokoju. W okresie tym nastąpiła zmiana listonosza, który nie był odpowiednio wdrożony, bowiem w budynku po adresem [...], znajduje się 8 firm, on natomiast nie posiadał wiedzy, do którego pokoju Spółka przeniosła swoją działalność. Spółka wskazała, że w ww. okresie z niewiadomych dla niej przyczyn nie otrzymała również awiz. Spółka poinformowała, że z uwagi na panującą pandemię wdrożyła obowiązek pracy zdalnej, natomiast w siedzibie Spółki zapewniono obecność osoby upoważnionej do odbioru korespondencji. Nieodebranie korespondencji przez Spółkę nie miało charakteru celowego i umyślnego działania, a nastąpiło na skutek fatalnego zbiegu okoliczności. Spółka zapewniła, że dopełni wszelkich starań, aby sytuacja taka nie powtórzyła się w przyszłości oraz wniosła o odstąpienie wymierzenia administracyjnej kary pieniężnej. Jednocześnie Spółka wniosła o przedłużenie terminu na przedstawienie żądanego przez Prezesa UODO sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Spółkę w 2021 r. Wskazała, że zgodnie z informacją od podmiotu obsługującego Spółkę w zakresie księgowości, sprawozdanie będzie gotowe między [...] marca 2022, a [...] kwietnia 2022, natomiast termin ustawowy na jego sporządzenie jest do [...] czerwca 2022 r.
- Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Uzasadnienie prawne
Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)).
Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 podlega zaś – zgodnie zart. 83 ust. 5lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej wwysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Ponadto Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku stwierdzenia naruszenia przepisów Rozporządzenia 2016/679, w tym przepisów art. 58 ust. 1 lit. a) i e) tego aktu prawnego. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – administrator danych osobowych Skarżącego – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. [...] niewątpliwe naruszyła obowiązek wynikający z art. 58 ust. 1. lit. a) i e) rozporządzenia 2016/679, tj. obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy. Podkreślić jednak należy, że Spółka nie była świadoma tego, iż przed Prezesem UODO toczy się wobec niej postępowanie administracyjne pod sygn. [...] w przedmiocie naruszenia ochrony danych osobowych, w którym wzywana jest do ustosunkowania się do treści skargi i dostarczenia informacji niezbędnych do rozstrzygnięcia sprawy. Informację o toczących się przed Prezesem UODO postępowaniach Spółka pozyskała dopiero z pisma z [...] lutego 2022 r., którym wszczęte zostało niniejsze postępowanie. Następnie, na skutek powzięcia informacji o toczących się wobec niej postępowaniach, Spółka złożyła wyczerpujące wyjaśnienia pozwalające Prezesowi UODO na prowadzenie dalszego postępowania w sprawie o sygn. [...]. W ocenie Prezesa UODO brak reakcji Spółki na kierowane do niej wezwania do złożenia wyjaśnień nie był celowy, lecz spowodowany zmianą organizacji pracy w siedzibie Spółki oraz przejściowymi trudnościami w dostarczeniu Spółce korespondencji przez nowego pracownika poczty. Wskazane przez Spółkę przyczyny początkowego braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Spółki w kontekście wyboru zastosowanej wobec niej w niniejszym postępowaniu sankcji. Zdaniem organu nadzorczego następcza, aktywa postawa Spółki wskazuje na gotowość do dalszego z nim współdziałania. W tym miejscu wskazać również należy, że samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzania kary finansowej stały się dla Spółki wyraźnym sygnałem tego, że dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.
Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów oraz art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji
Pouczenie
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.