Decyzja
DKN.5131.10.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735) oraz art. 210 ust. 1 i 2 w związku z art. 210a ust. 1 pkt 2 i ust. 2 oraz art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r., poz. 576), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie zgłoszeń naruszeń ochrony danych osobowych dokonanych przez P4 Sp. z o.o. z siedzibą w Warszawie przy ul. Wynalazek 1, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez P4 Sp. z o. o. z siedzibą w Warszawie przy ul. Wynalazek 1 przepisu art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r., poz. 576) w zw. z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz.U.UE.L.2013.173.2), polegające na niezawiadamianiu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych, nakłada na P4 Sp. z o. o. z siedzibą w Warszawie przy ul. Wynalazek 1 karę pieniężną w wysokości 100 000 PLN (słownie: sto tysięcy złotych).
Uzasadnienie
P4 Spółka z o. o., zwana dalej „Spółką” lub „administratorem” jako jeden z operatorów telekomunikacyjnych działający na terenie Rzeczypospolitej Polskiej przetwarza profesjonalnie i na masową skalę dane osobowe abonentów w związku ze świadczeniem mobilnych usług telekomunikacyjnych, sprzedażą mobilnych urządzeń telekomunikacyjnych oraz świadczeniem usług zarządzania siecią dystrybucji produktów telekomunikacyjnych.
Spółka zawiadomiła Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej także „Prezesem UODO”) o naruszeniach danych osobowych klientów Spółki w dniach:
- […] października 2020 r. (nadane […] października 2020 r.), sygnatura administratora: [...], data stwierdzenia naruszenia: […] października 2020 r., które zostało zarejestrowane pod sygnaturą […];
- […] grudnia 2020 r. (nadane […] grudnia 2020 r.), sygnatura administratora: […], data stwierdzenia naruszenia: […] listopada 2020 r., które zostało zarejestrowane pod sygnaturą […];
- […] grudnia 2020 r. (nadane […] grudnia 2020 r.), sygnatura administratora: […], data stwierdzenia naruszenia: […] listopada 2020 r., które zostało zarejestrowane pod sygnaturą […];
- […] grudnia 2020 r. (nadane […] grudnia 2020 r.), sygnatura administratura: […], data stwierdzenia naruszenia: […] listopada 2020 r., które zostało zarejestrowane pod sygnaturą […];
- […] grudnia 2020 r. (nadane […] grudnia 2020 r.), sygnatura administratora: […], data stwierdzenia naruszenia: […] listopada 2020 r., które zostało zarejestrowane pod sygnaturą […].
Składając ww. zawiadomienia o naruszeniu danych osobowych Spółka nie poinformowała organu nadzorczego, jakie były przyczyny opóźnienia w powiadomieniu Prezesa UODO o naruszeniu.
W związku z powyższym, pismami z dnia […] października 2020 r. (w sprawie o sygn. […]) i z dnia […] grudnia 2020 r. (w sprawach o sygn. […], […], […] i […]) Prezes UODO zwrócił się do Spółki o złożenie wyjaśnień w terminie 7 dni od dnia doręczenia pisma, m.in.: jakie były przyczyny opóźnienia w przekazaniu zgłoszenia naruszenia danych osobowych organowi nadzorczemu, tj. w jego dokonaniu po upływie 24 godzin od stwierdzenia naruszenia, który to termin wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz.U.UE.L.2013.173.2), zwanego dalej rozporządzeniem 611/2013.
W odpowiedzi na powyższe, Spółka w piśmie z dnia […] października 2020 r. ([…]) przedstawiła, że cyt.: „(…)
1. naruszenie ochrony danych osobowych stwierdzono […] października 2020 r.;
2. zawiadomienie do osoby, której dane zostały naruszone zostało wysłane za pismem z dnia […] października 2020 r.;
3. zawiadomienie o naruszeniu ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych dotyczące powyższego zdarzenia, zostało wysłane za pismem z dnia […] października 2020 r. (sygnatura sprawy […]), zgodnie z art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (tekst jednolity Dz. U. z 2019 r., poz. 2460 z późn. zm.), czyli w terminie, który wynika z art. 2 ust. 2 Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (…)”.
Natomiast pismem z dnia […] grudnia 2020 r. ([…]) Spółka wyjaśniła, że cyt.: „(…)
1. wszystkie naruszenia ochrony danych osobowych stwierdzono w dniu [...] listopada 2020 r.;
2. zawiadomienia do osób, których dane dotyczą zostały wysłane w dniach […] i […] listopada 2020 r.;
3. zawiadomienia o naruszeniu ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych) dotyczące powyższych zdarzeń zostały przekazane do kancelarii Spółki w dniu […] listopada 2020 r. przed południem w celu wysyłki z zachowaniem terminu wynikającego z art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (tekst jednolity Dz. U. z 2019 r., poz. 2460 z późn. zm.) i art. 2 ust. 2 Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej;
4. opóźnienie wysłania zawiadomień zostało spowodowane nieumyślnym błędem pracownika kancelarii Spółki (działanie pozbawione złych intencji);
5. inspektor ochrony danych Spółki przekazał w dniu […] grudnia 2020 r. osobie nadzorującej pracowników kancelarii Spółki informację przypominającą o zachowaniu szczególnej staranności w terminowej wysyłce przesyłek do Prezesa Urzędu Ochrony Danych Osobowych (…)”.
Ustosunkowując się do wyjaśnień Spółki zawartych w piśmie z dnia […] października 2020 r. (sygn.: […]), cyt.: „(…) zawiadomienie o naruszeniu ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych dotyczące powyższego zdarzenia, zostało wysłane za pismem z dnia […] października 2020 r. (sygnatura sprawy […]) (…)”, podnieść należy, że wskazana przesyłka została przez Spółkę nadana listem poleconym w dniu […] października 2020 r. za pośrednictwem operatora pocztowego P. S.A., o czym jednoznacznie świadczy data stempla pocztowego (z datą […] października 2020 r.). Oznacza to w konsekwencji, że Spółka dokonała zgłoszenia przedmiotowego naruszenia danych osobowych (stwierdzonego w dniu […] października 2020 r.) z uchybieniem terminu wynikającego z art. 2 ust. 2 rozporządzenia 611/2013, tj. po upływie 24 godzin od jego wykrycia.
Z powodu braku zawiadomienia o naruszeniu danych osobowych (sygnatura administratora […]) w terminie wskazanym w art. 2 ust. 2 rozporządzenia 611/2013, Prezes UODO w dniu […] listopada 2020 r. wszczął wobec Spółki postępowanie administracyjne w tym zakresie (sygnatura sprawy: […]).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Spółka pismem z dnia […] listopada 2020 r. (sygn. […]) poinformowała, że cyt.: „(…)
1. po przeprowadzeniu szczegółowych ustaleń dotyczących wysyłki zgłoszenia Spółki […], opóźnienie było spowodowane nieumyślnym błędem pracownika Spółki, pozbawionym złych intencji, zajmującego się wysyłką korespondencji, za co w imieniu Spółki przepraszam;
2. pracownik został pouczony o potrzebie terminowego przesyłania zgłoszeń naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych (…)”.
W dniu […] lutego 2021 roku Prezes UODO, na podstawie art. 61 § 1 i 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256, ze zm.), zawiadomił Spółkę, że prowadzone wobec P4 Sp. z o.o. z siedzibą w Warszawie postępowanie administracyjne o sygn. […] zostało rozszerzone o następujące o naruszenia danych osobowych:
1) oznaczenie Spółki: […], zarejestrowane w Urzędzie Ochrony Danych Osobowych pod sygnaturą […];
2) oznaczenie Spółki: […], zarejestrowane w Urzędzie Ochrony Danych Osobowych pod sygnaturą […];
3) oznaczenie Spółki: […], zarejestrowane w Urzędzie Ochrony Danych Osobowych pod sygnaturą […];
4) oznaczenie Spółki: […], zarejestrowane w Urzędzie Ochrony Danych Osobowych pod sygnaturą […],
które również zostały zgłoszone organowi nadzorczemu po upływie terminu wynikającego z art. 2 ust. 2 rozporządzenia 611/2013.
W odpowiedzi na ww. pismo, Spółka w piśmie z dnia […] marca 2021 r. ([…]) wyjaśniła stan faktyczny zaistniałej sytuacji, wskazując w szczególności cyt.: „(…) Pismo Spółki z dnia […] listopada 2020 r. ([…]), którego załącznikami (Załączniki nr 2-5) były zawiadomienia o naruszeniu ochrony danych osobowych o sygnaturach odpowiednio:[…], […], […] i […] (dalej „pismo”), zostało zaniesione do kancelarii Spółki w dniu […] listopada 2020 r. przed południem oraz przekazane w tym samym dniu przez pracownika kancelarii Spółki pracownikowi P. S.A. Przesyłka zawierająca zawiadomienia o naruszeniu danych osobowych została tego dnia wysłana i opuściła Spółkę. Osoba obsługująca wysyłkę w kancelarii Spółki, nie wpisała jednak pisma do książki nadawczej przekazywanej pracownikowi P. S.A. razem z wszystkimi nadawanymi przesyłkami. Przesyłka zawierająca pismo została zwrócona Spółce przez P. S.A. w dniu [...] listopada 2020 r. - w załączeniu (Załącznik nr 2) kopia protokołu niezgodności, stanowiącego potwierdzenie wyjaśnień Spółki, w szczególności w zakresie braku wpisu w książce nadawczej. Osoba przyjmująca zwrot (ta sama, która obsługiwała wysyłkę) nie zauważyła, że pod książką nadawczą znajdowały się 2 zwrócone przesyłki i wpięła wszystko co przywiózł pracownik P. S.A. do segregatora z książkami nadawczymi. W dniu […] grudnia 2020 r. inny pracownik kancelarii Spółki przeglądając segregator z książkami nadawczymi zauważył zwrócone 2 listy i nadał je niezwłocznie priorytetem. Zgodnie z informacją przekazaną przez Spółkę w piśmie z dnia [...] grudnia 2020 r. ([…]) Inspektor Ochrony Danych Spółki przekazał w dniu […] grudnia 2020 r. osobie nadzorującej pracę kancelarii Spółki informację przypominającą o konieczności zachowania szczególnej staranności w terminowej wysyłce przesyłek do Prezesa Urzędu Ochrony Danych Osobowych (dalej: „PUODO"), która to upomniała pracownika kancelarii, który obsługiwał wysyłkę i zwrot pisma. Aktualnie osoba ta nie jest już pracownikiem Spółki”. Spółka również wyjaśniła, że „(…) Przedmiotowe zgłoszenia zostały wysłane w terminie i opuściły Spółkę, niestety zostały zwrócone przez P. S.A. w związku z błędem pracownika naszej kancelarii (potwierdza to protokół niezgodności P. S.A.). Wszelkie inne obowiązki regulacyjne związane z przedmiotowymi naruszeniami danych osobowych zostały dopełnione (szybko ustalono przyczynę naruszenia, zawiadomiono zainteresowane podmioty danych itd.) (…)”.
Zawiadomienie z dnia […] marca 2021 r., w którym Prezes UODO poinformował Spółkę m.in. o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji i o prawie wypowiedzenia się co do zebranych w toku postępowania dowodów i materiałów oraz zgłoszonych żądań (w terminie 7 dni od dnia otrzymania przez Spółkę tego pisma), zostało Spółce doręczone w dniu […] kwietnia 2021 r. W odpowiedzi na ww. zawiadomienie przedstawiciele Spółki w dniu […] maja 2021 r. przedłożyli Prezesowi UODO pismo zatytułowane „Wniosek strony w przedmiocie postępowania w sprawie wymierzenia administracyjnej kary pieniężnej wraz z wypowiedzeniem się co do zebranych dowodów i materiałów w postępowaniu”. W piśmie tym (złożonym bez dochowania ww. siedmiodniowego terminu) zgłaszający się jednocześnie jako pełnomocnicy Spółki do przedmiotowego postępowania złożyli wyjaśnienia, wnieśli o dopuszczenie i przeprowadzenie wskazanych w tym piśmie dowodów oraz wnieśli:
1) o umorzenie w całości prowadzonego przez Prezesa UODO postępowania administracyjnego,
2) względnie: o odstąpienie przez Prezesa UODO od nałożenia administracyjnej kary pieniężnej i poprzestanie na pouczeniu ze względu na to, że waga naruszenia prawa jest znikoma, a strona postępowania zaprzestała naruszania prawa (art. 189f § 1 pkt 1 KPA),
3) względnie (na wypadek, gdyby Prezes UODO nie przychylił się do argumentacji Spółki i uznał, że nie zachodzą przesłanki umorzenia i nie odstąpił od nałożenia administracyjnej kary pieniężnej): o maksymalne możliwe obniżenie wysokości administracyjnej kary pieniężnej przez Prezesa UODO, ze względu na zaistnienie przesłanek obniżających wymiar kary (art. 189d KPA).
Uzasadniając powyższe wnioski pełnomocnicy Spółki wskazali m.in., że naruszenie (cyt.) „(…) art. 2 ust. 2 Rozporządzenia 611/2013 polegające na opóźnieniu w przesłaniu zgłoszenia naruszenia ochrony danych osobowych przez Spółkę do organu nadzorczego jest znikomej wagi naruszeniem” oraz, że: (cyt.) „W niniejszej sprawie spełnione zostały ustawowe warunki odstąpienia od wymierzenia kary, ponieważ:
1) Spółka zaprzestała naruszenia prawa (przywróciła stan zgodny z prawem),
2) waga naruszenia prawa w normie sankcjonowanej jest znikoma z następujących powodów:
a) uchybienie porządkowi prawnemu miało charakter incydentalny (jednorazowy),
b) przedmiotem uchybienia normie sankcjonowanej były jedynie opóźnienia w wykonaniu obowiązku notyfikacyjnego względem organu nadzorczego (zgłoszenia), co jednak nie wpłynęło na skuteczność późniejszej czynności notyfikacyjnej,
c) uchybienie normie sankcjonowanej nie wynikało z lekceważenia przez stronę porządku prawnego, ale było spowodowane tylko prostymi błędami pracowników przedsiębiorcy,
d) skala uchybień normie sankcjonowanej była znikoma z punktu widzenia całościowego i terminowego wykonywania obowiązku znajdującego się w normie sankcjonowanej,
e) uchybienie normie sankcjonowanej nie spowodowało jakichkolwiek negatywnych konsekwencji w obszarze dóbr chronionych przez wspomnianą normę”.
W piśmie z dnia […] maja 2021 r. pełnomocnicy Spółki podkreślili, że (cyt.) „(…) Spółka mimo uchybienia terminowi 24 godzin określonemu w art. 2 ust. 2 Rozporządzenia 611/2013 przekazała organowi nadzorczemu zgłoszenia naruszenia ochrony danych osobowych najszybciej jak to było możliwe, co oznacza, że przywróciła stan zgodny z prawem. Istotą obowiązku określonego w art. 2 ust. 1 i 2 Rozporządzenia 611/2013 jest przekazanie Prezesowi UODO informacji o wystąpieniu naruszenia ochrony danych osobowych, aby ten mógł dokonać weryfikacji działań podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych oraz ewentualnie wskazać inne niezbędne czynności do wykonania”. Nadto w tym samym piśmie wskazano, że (cyt.):
- „Uchybienia normy sankcjonowanej przez Spółkę polegały na incydentalnym zgłoszeniu naruszenia po upływie terminu 24 godzin określonym w art. 2 ust. 2 Rozporządzenia 611/2013:
- raz w odniesieniu do zgłoszenia naruszenia ochrony danych oznaczonego przez Spółkę jako […], oraz - drugi raz w odniesieniu do czterech zgłoszeń naruszeń ochrony danych ([…], […], […] i […], które zostały wysłane jako jedna przesyłka do Prezesa UODO ([…])”,
- „(…) skala uchybień normie sankcjonowanej przez Spółkę była znikoma z punktu widzenia całościowego i terminowego wykonywania obowiązku znajdującego się w normie sankcjonowanej. Pięć zgłoszeń naruszeń ochrony danych osobowych będących przedmiotem tego postępowania to jedynie 1,5% wszystkich naruszeń zgłoszonych organowi nadzorczemu w 2020 r., co potwierdza, że naruszenie terminu zgłoszenia naruszenia ma charakter incydentalny, ponieważ Spółka starannie zarządza występującymi naruszeniami ochrony danych osobowych. Należy również wskazać, że w roku 2020 r. kancelaria Spółki obsłużyła ok. 15 000 wychodzących rejestrowanych przesyłek. Dwie przesyłki zawierające zgłoszenia naruszeń ochrony danych będące przedmiotem tego postępowania to tylko 0,013% wszystkich wychodzących przesyłek rejestrowanych z siedziby głównej Spółki”.
Konkludując obszerną argumentację, przedstawiciele Spółki oświadczyli m.in., że (cyt.):
- „Będąc profesjonalnymi pełnomocnikami bierzemy pod uwagę, że pod względem dowodowym dla organu administracji publicznej najprościej jest wykazać uchybienie terminu jako podstawę nałożenia kary, ale w naszej ocenie, zważając na okoliczności tej sprawy, nie jest to wystarczające do ukarania zobowiązanego przedsiębiorcy, właśnie ze względu na całokształt funkcji tej kary. W niniejszej sprawie kara nie będzie bowiem realizowała jej podstawowej funkcji - funkcji ochronnej”,
- „(…) nie zachodzi potrzeba dodatkowego motywowania przedsiębiorcy karą do przestrzegania prawa, a zastosowanie sankcji będzie niewspółmierne do uchybienia, tym bardziej, że to uchybienie - jak wykazano powyżej - nie miało negatywnego wpływu na wartości chronione norma sankcjonowaną. Postępowanie w sprawie nałożenie kary można zatem także umorzyć jako bezprzedmiotowe, gdyż niezaistnienie funkcji ochronnej może powodować brak elementu materialnego stosunku, a co najwyżej organ w tej sprawie może merytorycznie odstąpić od nałożenia kary. Natomiast ewentualne nałożenie kary nie będzie w niniejszej sprawie odpowiadało zasadzie sprawiedliwej sankcji, a wręcz będzie wyrazem karania dla samego karania”.
Po zapoznaniu się z całością materiału dowodowego Prezes UODO zważył, co następuje.
Zgodnie z art. 174a ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r., poz. 576), dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2). Stosownie do art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz.U.UE.L.2013.173.2), dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne.
Wyżej wymienione przepisy precyzyjnie wskazują termin, w którym dostawcy publicznie dostępnych usług telekomunikacyjnych są zobowiązani zawiadamiać właściwy organ krajowy (Prezes UODO) o naruszeniu danych osobowych. Spółka, jako dostawca publicznie dostępnych usług telekomunikacyjnych zobowiązany do stosowania tych przepisów, była zobligowana do takiego zorganizowania procesu zawiadamiania o naruszeniach ochrony danych osobowych Prezesa UODO, aby dokonywać ich w terminie określonym w przywołanych wyżej przepisach prawa. Zawiadomienia o naruszeniach ochrony danych osobowych, które wpłynęły do organu nadzorczego z przekroczeniem tego terminu (oznaczenia administratora: […] – data stwierdzenia naruszenia: […] października 2020 r., data nadania: […] października 2020 r., data wpływu: […] października 2020 r. oraz […], […], […] i […] – data stwierdzenia naruszenia: […] listopada 2020 r., data nadania: […] grudnia 2020 r., data wpływu: […] grudnia 2020 r.), potwierdzają natomiast brak odpowiedniego zorganizowania tego procesu.
Spółka uzasadniając dokonanie ww. zawiadomień o naruszeniu danych osobowych po upływie terminu wynikającego z art. 2 ust. 2 rozporządzenia 611/2013 wskazywała na nieumyślne błędy pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji, w tym korespondencji dotyczącej naruszeń danych osobowych kierowanej do Prezesa UODO, polegające np. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego. Błędy pracowników Spółki w tym zakresie nie mogą jednak zostać uznane za okoliczność uzasadniającą opóźnienie zawiadomienia o naruszeniu danych osobowych organowi nadzorczemu. Świadczą one bowiem wyłącznie o nieprawidłowym zorganizowaniu przez Spółkę procesu powiadamiania Prezesa UODO o naruszeniach danych osobowych, tym bardziej, że Spółka na żadnym etapie postępowania nie wykazała, aby sprawowała odpowiedni nadzór nad tym procesem, a w szczególności nad pracownikami kancelarii odpowiedzialnymi za wysyłkę tej korespondencji. Wskazać również należy, że ani przepisy ustawy Prawo telekomunikacyjne ani rozporządzenia 611/2013 nie przewidują możliwości przekroczenia terminu 24 godzin w zawiadomieniu o naruszeniu danych osobowych z takich przyczyn.
W tym miejscu warto podkreślić, że Spółka podjęła decyzję o tym, aby wszelką korespondencję dotyczącą naruszeń danych osobowych kierować do Prezesa UODO za pośrednictwem operatora pocztowego P. S.A. Wobec powyższego wskazać należy, że Prezes UODO niejednokrotnie kierował do Spółki pisma, np. w dniu […] marca 2020 r. w sprawie […] (oznaczenie administratora:[…]), w dniu […] kwietnia 2020 r. w sprawie […] (oznaczenie administratora: […]), w dniu […] maja 2020 r. w sprawie […] (oznaczenie administratora: […]), w dniu […] sierpnia 2020 r. w sprawie […] (oznaczenie administratora:[…]) oraz w dniu […] października 2020 r. w sprawie […] (oznaczenie administratora: […]), o złożenie wyjaśnień dotyczących zgłoszenia naruszenia po upływie 24 godzin od jego wykrycia, tj. po upływie terminu wynikającego z art. 2 ust. 2 rozporządzenia 611/2013. Dodatkowo, w niektórych sprawach, np. w sprawie […], Prezes UODO informował Spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w ww. przepisie rozporządzenia 611/2013.
W sprawach ([…], […], […]) Spółka wyjaśniła w szczególności, że członkowie zespołu pracowali w trybie zdalnym, a w związku ze stanem zagrożenia epidemicznego ogłoszonym w Polsce, najbliższym możliwym terminem do wysłania do Prezesa UODO zawiadomień o naruszeniu był poniedziałek, czy też, że pracownik przygotowujący zawiadomienie o naruszeniu ochrony danych osobowych popełnił oczywistą omyłkę pisarską w dacie stwierdzenia naruszenia ([…], […]). Wobec powyższego wnioskować należy, że powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu wynikającego z art. 2 ust. 2 rozporządzenia 611/2013 stanowią okoliczność obciążającą dla operatora telekomunikacyjnego, z uwagi na brak zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości.
Należy zatem uznać, że Administrator wkalkulował ryzyko niezgłaszania w terminie naruszeń danych osobowych Prezesowi UODO, co również stanowi okoliczność obciążającą.
Z korespondencji tej Spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do Prezesa UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego P. S.A., co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. Konsekwencją były w szczególności błędy tych pracowników, skutkujące nie dotrzymaniem przez Spółkę terminu 24 godzin na powiadomienie Prezesa UODO o naruszeniu danych osobowych, wynikającego z art. 2 ust. 2 rozporządzenia 611/2013, w przypadku naruszeń oznaczonych przez Spółkę […], […], […], […] i […]. Praktykę tę Spółka zmieniła dopiero w dniu […] lutego 2021 r. – od tego dnia zaczęły bowiem wpływać do Prezesa UODO naruszenia składane przez Spółkę za pośrednictwem platformy ePUAP.
Wskazać należy, że Prezes UODO stosownie do art. 174a ust. 2a ustawy Prawo telekomunikacyjne oraz art. 2 ust. 4 rozporządzenia 611/2013 zapewnił bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych (za pośrednictwem platformy biznes.gov.pl oraz platformy ePUAP), a także informacje dotyczące trybu dostępu do tych środków i ich stosowania (informacje w tym zakresie są dostępne w szczególności na stronie internetowej Urzędu Ochrony Danych Osobowych). Nie było zatem przeciwwskazań do wykorzystywania przez Spółkę tych środków do powiadamiania Prezesa UODO o naruszeniach danych osobowych przed dniem […] lutego 2021 r. Tym samym stwierdzić należy, że zgłoszenie naruszeń danych osobowych objętych niniejszym postępowaniem Prezesowi UODO w terminie określonym w art. 2 ust. 2 rozporządzenia 611/2013 było wykonalne.
Podkreślić należy, że dostawcy publicznie dostępnych usług telekomunikacyjnych, a więc również Spółka, nie tylko są zobowiązani chronić dane osobowe osób korzystających z ich usług, ale także w przypadku stwierdzenia naruszenia ochrony danych osobowych zobligowani są powiadomić o tym fakcie krajowe organy nadzorcze, w Polsce - Prezesa UODO. Nadrzędnym celem każdego zgłoszenia naruszenia organowi nadzorczemu jest ochrona praw lub wolności osób fizycznych. Niezmiernie ważną kwestią w tym przypadku jest czas reakcji administratora, tj. jak najszybsze powiadomienie o naruszeniu organu nadzorczego. Naruszenie danych osobowych powinno być zgłoszone nie później niż 24 godziny po wykryciu naruszenia. Spółka powinna dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w terminie 24 godzin.
W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, należy stwierdzić, że Spółka nie dokonała zgłoszeń naruszeń danych osobowych (oznaczenia administratora: […], […], […], […] i […]), Prezesowi UODO w terminie określonym w art. 174a ust. 1 ustawy Prawo telekomunikacyjne w związku z art. 2 ust. 2 rozporządzenia 611/2013.
Prezes UODO decydując o nałożeniu na Spółkę kary pieniężnej zapoznał się również z argumentami Spółki zawartymi we wniosku z dnia […] maja 2021 r. i rozważył je w kontekście dotychczas poczynionych w sprawie ustaleń. Uznał m.in., że fakt, iż Spółka ostatecznie dokonała zgłoszeń naruszeń ochrony danych osobowych (bez dochowania przewidzianego przez przepisy prawa terminu) nie oznacza jednak, iż Spółka „zaprzestała naruszenia prawa”. W przedmiotowej sprawie bezsprzecznie doszło do naruszenia normy wynikającej z art. 2 ust. 2 rozporządzenia 611/2013 i dokonanie spóźnionego zgłoszenia nie sanuje naruszenia tego przepisu. Jak już bowiem wskazano, sensem obowiązywania przepisu art. 2 ust. 2 rozporządzenia 611/2013 jest zapewnienie jak najszybszej reakcji administratora - a następnie organu nadzorczego w sytuacji, gdy jest to uzasadnione. Trudno przyjąć, że Spółka dokonując zgłoszenia organowi nadzorczemu naruszeń bez dochowania terminu (w przypadku czterech naruszeń będących przedmiotem niniejszego postępowania do zgłoszenia doszło po 12 dniach od ich stwierdzenia) „przywróciła stan zgodny z prawem” – na takie stwierdzenie nie pozwala bowiem cel uregulowań, z których wynika ten termin.
Spółka we wniosku z dnia […] maja 2021 r. wskazywała również na znikomą wagę naruszenia prawa w normie sankcjonowanej m.in. powołując się na to, iż „uchybienie porządkowi prawnemu miało charakter incydentalny (jednorazowy)”. Tymczasem, jak wykazano powyżej, do uchybiania przewidzianemu prawem terminowi dochodziło również w przypadku innych zgłaszanych przez Spółkę naruszeń. Nie sposób również pominąć faktu, że niniejszym postępowaniem objęto pięć zgłoszeń naruszeń ochrony danych osobowych - stąd uchybienie przepisom nie mogło mieć charakteru jednorazowego.
Pełnomocnicy Spółki wykazując znikomą wagę naruszenia prawa w ww. piśmie wskazali również, że „przedmiotem uchybienia normie sankcjonowanej były jedynie opóźnienia w wykonaniu obowiązku notyfikacyjnego względem organu nadzorczego (zgłoszenia), co jednak nie wpłynęło na skuteczność późniejszej czynności notyfikacyjnej”. Jak już wykazano powyżej, fakt, że doszło do zawiadomienia o naruszeniu ochrony danych osobowych nie oznacza w opinii Prezesa UODO, iż przywrócono stan zgodny z prawem. Wskazanie w treści art. 2 ust. 2 rozporządzenia 611/2013 konkretnego terminu na dokonanie zawiadomienia nie jest bowiem przypadkowe, a przyjęcie argumentacji Spółki w tym zakresie prowadziłoby do wypaczenia sensu obowiązywania tego przepisu.
Znikoma waga naruszenia prawa była przez Spółkę w piśmie z dnia […] maja 2021 r. wykazywana również poprzez wskazanie, że (cyt.): „uchybienie normie sankcjonowanej nie wynikało z lekceważenia przez stronę porządku prawnego, ale było spowodowane tylko prostymi błędami pracowników przedsiębiorcy”. Unikając powtarzania wcześniej powołanej w niniejszej decyzji argumentacji Prezesa UODO w tym zakresie, warto jedynie raz jeszcze podkreślić, iż w przedmiotowej sytuacji bez znaczenia pozostaje przyczyna niedochowania terminu wynikającego z art. 2 ust. 2 rozporządzenia 611/2013 leżąca po stronie pracowników Spółki. Nadzór nad pracownikami (podobnie jak zawiadamianie o naruszeniach ochrony danych osobowych z dochowaniem przewidzianego prawem terminu) pozostaje bowiem obowiązkiem administratora i to on ponosi odpowiedzialność za jego realizację.
Spółka na poparcie swojej tezy, iż waga naruszenia prawa była znikoma, w ww. piśmie z dnia […] maja 2021 r. powołała m.in. argument, że (cyt.): „skala uchybień normie sankcjonowanej była znikoma z punktu widzenia całościowego i terminowego wykonywania obowiązku znajdującego się w normie sankcjonowanej”. W opinii Prezesa UODO stwierdzenie, że (cyt.): „Pięć zgłoszeń naruszeń ochrony danych osobowych będących przedmiotem tego postępowania to jedynie 1,5% wszystkich naruszeń zgłoszonych organowi nadzorczemu w 2020 r. (…)” nie może uzasadniać przyjęcia, iż nie doszło do naruszenia przez Spółkę przepisu art. 2 ust. 2 rozporządzenia 611/2013. Fakt, że Spółka dokonuje wielu zgłoszeń naruszeń ochrony danych osobowych, a większość z nich zgłaszana jest w przewidzianym prawem terminie, nie sanuje dokonanego przez Spółkę naruszenia prawa. Na marginesie warto także zaznaczyć, że od dnia poinformowania administratora o naruszeniu danych osobowych do dnia stwierdzenia przez Spółkę zaistnienia tego naruszenia nie powinno mijać dziewiętnaście dni, tak jak to miało miejsce w przypadku zawiadomienia oznaczonego przez administratora sygnaturą: […] - zarejestrowanego przez tutejszy Urząd pod sygnaturą […] (w zawiadomieniu, którego zanonimizowaną treść Spółka przekazała Prezesowi UODO, zawarto następujący fragment: „Informuję, że w dniu […] września 2020 roku P4 Sp. z o.o., z siedzibą w Warszawie, ul. Taśmowa 7, (dalej „Spółka”) została poinformowana o zdarzeniu związanym z przetwarzaniem Pana danych osobowych” - Spółka dokonując zawiadomienia o naruszeniu wskazała jednak, że stwierdziła naruszenie ochrony danych osobowych dopiero […] października 2020 r.). Odnosząc się jeszcze do argumentów Spółki zawartych w piśmie z dnia […] maja 2021 r., warto wskazać, że zupełnie bez znaczenia dla oceny postępowania Spółki pozostaje przywołany przez Spółkę argument, iż (cyt.): „(…) w roku 2020 r. kancelaria Spółki obsłużyła ok. 15 000 wychodzących rejestrowanych przesyłek. Dwie przesyłki zawierające zgłoszenia naruszeń ochrony danych będące przedmiotem tego postępowania to tylko 0,013% wszystkich wychodzących przesyłek rejestrowanych z siedziby głównej Spółki”.
Spółka w piśmie z dnia […] maja 2021 r. podnosiła również, że (cyt.): „uchybienie normie sankcjonowanej nie spowodowało jakichkolwiek negatywnych konsekwencji w obszarze dóbr chronionych przez wspomnianą normę”. Pełnomocnicy Spółki pokreślili, iż osoby, których danych dotyczyły zaistniałe naruszenia, zostały o tym naruszeniu zawiadomione. Jednak w opinii Prezesa UODO spełnienie przez administratora jednego z nałożonych na niego prawem obowiązków (tj. zawiadomienia o naruszeniu danych osobowych osób nim dotkniętych) nie powoduje, iż niedopełnienie przez niego innego obowiązku staje się pomijalne.
Chcąc zakończyć ustosunkowywanie się do argumentów Spółki zawartych w piśmie z dnia […] maja 2021 r. (jako że zasadność nałożenia na Spółkę kary pieniężnej zostanie wykazana w dalszej części uzasadnienia niniejszej decyzji), Prezes UODO zaznacza, iż celem jego działania nie jest „karanie dla samego karania”, lecz ochrona praw lub wolności osób fizycznych - i to tymi wartościami również powinni kierować się administratorzy realizując swoje obowiązki przewidziane w przepisach dotyczących ochrony danych osobowych.
Stosownie do art. 210a ust. 1 pkt 2 ustawy Prawo telekomunikacyjne, kto nie wypełnia obowiązku informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1 – podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym. W myśl art. 210a ust. 2 ustawy Prawo telekomunikacyjne, do kar nakładanych na podstawie ust. 1 tego przepisu stosuje się odpowiednio przepisy art. 209 ust. 1a–3 oraz art. 210 ustawy Prawo telekomunikacyjne. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi Urzędu Ochrony Danych Osobowych. Zgodnie z art. 210 ust. 2 ustawy Prawo telekomunikacyjne, ustalając wysokość kary pieniężnej, Prezes UKE uwzględnia zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 210 ust. 2 ustawy Prawo telekomunikacyjne – wziął pod uwagę następujące okoliczności sprawy stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające na wymiar nałożonej kary pieniężnej:
1. Zakres naruszenia.
Zgodnie z ugruntowanym stanowiskiem doktryny wypracowanym na gruncie ustawy Prawo telekomunikacyjne „zakres naruszenia należy ustalać z uwzględnieniem podstawowych celów ustawy, biorąc pod uwagą głównie elementy szkodliwości o charakterze przedmiotowym. Dotyczą one rodzaju naruszonych obowiązków, rodzaju naruszonych dóbr, intensywności naruszenia oraz wartości społecznych i ekonomicznych, następstw czynu objętego karą finansową, wysokości spowodowanej szkody, sposobu działania” (S. Piątek, Prawo telekomunikacyjne. Komentarz, Komentarz do art. 210 ust. 2, Warszawa 2019, wyd. 4, Legalis). Do podstawowych celów ustawy, o których mowa powyżej, zaliczyć należy „zapewnienie użytkownikom maksymalnych korzyści w zakresie różnorodności, ceny i jakości usług telekomunikacyjnych” (art. 1 ust. 2 pkt 4 ustawy Prawo telekomunikacyjne). W ocenie Prezesa UODO sformułowanie „maksymalne korzyści w zakresie […] jakości usług telekomunikacyjnych” obejmuje jak najwyższy poziom ochrony danych osobowych użytkowników (osób korzystających z publicznie dostępnej usługi telekomunikacyjnej lub żądających świadczenia takiej usługi). Potwierdza powyższe stanowisko sformułowanie jednego z celów polityki regulacyjnej prowadzonej przez organy właściwe w sprawach telekomunikacji, to jest „przyczynianie się do zapewnienia wysokiego poziomu ochrony danych osobowych” (art. 189 ust. 2 pkt 3 lit. c ustawy Prawo telekomunikacyjne). W niniejszej sprawie stwierdzono ponad wszelką wątpliwość naruszenie przepisów o ochronie danych osobowych – przepisów chroniących dobro o wysokiej wartości społecznej (stanowiące element konstytucyjnego prawa do prywatności) i ekonomicznej (wykorzystanie którego może wiązać się uzyskaniem dużych korzyści majątkowych). Naruszenie dotyczyło obowiązku Spółki wobec Prezesa UODO, a nie wobec osób, których dane dotyczą, niemniej jednak w ocenie Prezesa UODO naruszenie to obniża wysoki (optymalny w określonych okolicznościach) poziom ochrony danych osobowych klientów Spółki. Opóźnia ono bowiem reakcję Prezesa UODO na zaistniałe (w przypadku Spółki – liczne) naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć. Takie naruszenie godzące w system ochrony danych osobowych, nie będące jednorazowym wypadkiem, lecz – jak wykazano to poniżej w punkcie dotyczącym „dotychczasowej działalności podmiotu” – stałą praktyką działania Spółki (które można określić jako działanie o dużej intensywności) zasługuje na negatywną ocenę, której wyrazem jest nałożenie na Spółkę w niniejszej sprawie kary pieniężnej. Jednocześnie Prezes UODO zauważa okoliczności wpływające łagodząco na wysokość nałożonej kary, a to:
a) nieumyślność naruszenia (opóźnienia w procedurze zawiadamianiu Prezesa UODO o naruszeniach danych osobowych) nie wynikającego z istniejącego po stronie Spółki zamiaru jego dokonania, lecz z niewłaściwego zorganizowania tej procedury,
b) okoliczność, że nie stwierdzono w następstwie naruszenia żadnych szkód po stronie osób, których dotyczyły objęte niniejszym postępowaniem naruszenia ochrony danych osobowych zgłoszone przez Spółkę z niezachowaniem terminu określonego w art. 2 ust. 2 rozporządzenia 611/2013,
c) okoliczność, że w trakcie niniejszego postępowania w przedmiocie nałożenia na Spółkę kary pieniężnej, Spółka dokonała w procedurze zawiadamianiu Prezesa UODO o naruszeniach danych osobowych zmian mających na celu wyeliminowanie możliwości zaistnienia w przyszłości naruszenia podlegającego ukaraniu w niniejszej sprawie.
2. Dotychczasowa działalność podmiotu.
Mająca wpływ na wymiar kary przesłanka „dotychczasowej działalności” podmiotu podlegającego karze stanowi dyrektywę służącą zindywidualizowaniu wymiaru kary ze względu na ocenę działalności tego podmiotu w przeszłości, co ma w szczególności wskazać na to, czy naruszenie jest zdarzeniem incydentalnym i niewynikającym z polityki działalności tego podmiotu (co nie wiązałoby się z dużym ryzykiem dla wielkiej ilości klientów Spółki; nie musiałoby więc stanowić okoliczności dla Spółki obciążającej), czy też naruszanie obowiązujących przepisów (w niniejszej sprawie przepisów o ochronie danych osobowych) wpisane jest niejako w politykę podmiotu i wkalkulowane w jej rachunek zysków i strat (co należałoby uznać za okoliczność obciążającą). Ocena dotychczasowej działalności podmiotu obejmuje zaś szeroki zakres szczegółowych okoliczności, takich jak: wykonywanie przez ten podmiot obowiązków ustawowych, dokonane przez niego naruszenia prawa, wcześniej nałożone kary lub inne sankcje administracyjne, dotychczasowa współpraca z Prezesem UODO (organem właściwym w sprawach ochrony danych osobowych) w ramach wykonywania przez niego jego zadań. Zawiadomienia o naruszeniach danych osobowych, objęte niniejszym postępowaniem, nie były pierwszymi naruszeniami zgłoszonymi przez Spółkę Prezesowi UODO po upływie 24 godzin od ich wykrycia, a więc z naruszeniem terminu określonego w art. 2 ust. 2 rozporządzenia 611/2013. W przypadku tych naruszeń Prezes UODO kierował do Spółki korespondencję, np. w dniu […] marca 2020 r. w sprawie […] (oznaczenie administratora: […]), w dniu […] kwietnia 2020 r. w sprawie […] (oznaczenie administratora: […]), w dniu […] maja 2020 r. w sprawie […] (oznaczenie administratora: […]), w dniu […] sierpnia 2020 r. w sprawie […] (oznaczenie administratora: […]) oraz w dniu […] października 2020 r. w sprawie […] (oznaczenie administratora: […]), o złożenie stosownych wyjaśnień w tym zakresie. Dodatkowo, w niektórych sprawach, np. w sprawie […], Prezes UODO informował Spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie ww. terminu. Pomimo tych pism, administrator zdecydował się na dokonanie zmian w organizacji procesu wysyłki korespondencji w sprawie naruszeń danych osobowych, kierowanej do Prezesa UODO, dopiero od dnia […] lutego 2021 r. – wtedy bowiem zaczęły wpływać do organu nadzorczego zgłoszenia naruszenia danych osobowych za pośrednictwem platformy ePUAP. Oznacza to w konsekwencji, że Spółka przez długi czas nie wypracowała odpowiednich mechanizmów mających na celu zapewnienie terminowego zawiadamiania o naruszeniach danych osobowych Prezesowi UODO. Zrobiła to dopiero na skutek zdecydowanego (traktowanego przez Prezesa UODO jako ostateczność) działania – wszczęcia postępowania w przedmiocie nałożenia na nią kary pieniężnej za dokonane naruszenie. Opisane wyżej działanie Spółki przetwarzającej - ze względu na przedmiot swojej działalności gospodarczej – dane osobowe w sposób profesjonalny i na masową skalę, jest w ocenie Prezesa UODO naganne i świadczące o lekceważeniu wynikających z przepisów ustawy Prawo telekomunikacyjne obowiązków z zakresu ochrony danych osobowych.
3. Możliwości finansowe Spółki.
Z „Raportu rocznego za rok zakończony 31 grudnia 2020 r.” opublikowanego przez Spółkę na stronie internetowej [...] wynika, że w 2020 r. przychody operacyjne Spółki wyniosły 7 054 988 000 zł, natomiast jej zysk netto – 887 901 000 zł. Osiągnięcie przez Spółkę w jednym tylko roku obrotowym zysku netto w kwocie blisko 888 mln zł świadczy o bardzo dużych możliwościach finansowych Spółki, dla której orzeczona niniejszą decyzją kara pieniężna w kwocie 0,1 mln zł stanowić będzie – w ocenie Prezesa UODO – niewielkie, chociaż adekwatne do wagi stwierdzonego naruszenia, obciążenie finansowe. W tym miejscu, nawiązując do wniosku przedstawicieli Spółki „o maksymalne możliwe obniżenie” wysokości orzeczonej kary pieniężnej, zawartego w piśmie z dnia […] maja 2021 r., Prezes UODO wskazuje, że kwota orzeczonej kary pieniężnej stanowi 0,011 % zysku netto osiągniętego przez Spółkę w roku 2020. Jest to wartość zdecydowanie niższa niż wskazywany przez Spółkę (a mający świadczyć o „znikomości” uchybień) stosunek stanowiących przedmiot niniejszego postępowania opóźnionych zawiadomień o naruszeniach danych osobowych do wszystkich naruszeń zgłoszonych Prezesowi UODO przez Spółkę w 2020 r. (1,5 % - zgodnie obliczeniami przedstawionymi przez przedstawicieli Spółki w piśmie z dnia [...] maja 2021 r.).
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, iż nałożenie kary pieniężnej na Spółkę jest konieczne i uzasadnione naruszeniem przez Spółkę przepisu art. 174a ust. 1 ustawy Prawo telekomunikacyjne w związku z art. 2 ust. 2 rozporządzenia 611/2013.
Prezes UODO, po dokonaniu wszechstronnej analizy zebranego w trakcie prowadzonego postępowania materiału dowodowego, uwzględniając dopuszczalną wysokość kary pieniężnej, określoną w art. 210a ust. 1 pkt 2 ustawy Prawo telekomunikacyjne, ustalił wysokość kary pieniężnej nałożonej na Spółkę na kwotę 100 000 PLN (słownie: sto tysięcy złotych). Podkreślić należy, że ustalona kwota kary pieniężnej, biorąc pod uwagę przychody Spółki, mieści się w granicy 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym, wskazanej w ww. przepisie ustawy Prawo telekomunikacyjne (stanowi 0,0014 % przychodów operacyjnych osiągniętych przez Spółkę w 2020 r.). W ocenie Prezesa UODO, wysokość nałożonej kary pieniężnej odpowiada możliwościom finansowym Spółki oraz zakresowi naruszenia przepisów prawa. Nakładając powyższą karę pieniężną Prezes UODO wziął pod uwagę dotychczasową działalność Spółki, a w szczególności fakt, że Spółka nie była dotychczas karana przez Prezesa UODO. Kara pieniężna w tej wysokości jest adekwatna do naruszenia stwierdzonego w trakcie niniejszego postępowania oraz spełnia zamierzone funkcje: represyjną (kara nakładana jest za naruszenie obowiązków wynikających z przepisów prawa), prewencyjną (ma zabiegać podobnym naruszeniom w przyszłości) oraz dyscyplinującą dostawców publicznie dostępnych usług telekomunikacyjnych (ma zniechęcać ich do naruszania prawa). Kara ma bowiem stanowić z jednej strony dolegliwość dla ukaranego podmiotu, z drugiej zaś strony ma odnosić się do jego możliwości finansowych. Warunki te zostały spełnione przy nakładaniu kary w wysokości określonej niniejszą decyzją.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie terminowego zawiadamiania o naruszeniach danych osobowych Prezesa UODO.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.