Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023, poz. 775 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie 57 ust. 1 lit. a) i h) i art. 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na K. Sp. z o.o. z siedzibą we W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia K. Sp. z o.o. z siedzibą we W. przy ul. (…) za naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DKN.5130.11055.2021.

UZASADNIENIE

Stan faktyczny

1. W dniu 22 października 2021 r. do Urzędu Ochrony Danych Osobowych wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez K Sp. z o.o. z siedzibą we W. przy ul. (…) (zwaną dalej „Spółką”), a następnie, w dniu 27 grudnia 2021 roku, zgłoszenie uzupełniające. Mając na uwadze potrzebę uzyskania dodatkowych informacji dotyczących tego zgłoszenia, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej również „Prezesem UODO”) wszczął postępowanie wyjaśniające o sygnaturze DKN.5130.11055.2021, w ramach którego pismem z dnia  22 kwietnia 2022 r. wezwał Spółkę do uzupełnienia wyjaśnień w następującym zakresie:

• Czy i w jaki sposób w toku podejmowanych czynności administrator ustalił, czy doszło do utraty poufności danych, w związki z wyjaśnieniami udzielonymi w pkt 4C lit. a) zgłoszenia naruszenia, z których wynika, że „nie można wykluczyć naruszenia poufności danych”.
• Czy administrator przeprowadził analizę ryzyka dla procesu przetwarzania danych osobowych objętego naruszeniem, zarówno przed, jak i po wystąpieniu naruszenia (proszę o ich przedstawienie).
• Czy administrator odzyskał całą zawartość zaszyfrowanych zasobów? W przeciwnym razie proszę podać, w jakim zakresie doszło do nieodwracalnej utraty danych osobowych oraz jakiej kategorii były to dane;
• Czy przeprowadzono postępowanie wyjaśniające mające na celu ustalenie okoliczności naruszenia lub podatności wykorzystanej do przeprowadzenia ataku?

Pismo to zawierało pouczenie, że brak odpowiedzi na wezwanie Prezesa UODO skutkować może zastosowaniem wobec Spółki określonych w art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 sankcji.

2. Wyżej opisane wezwanie zostało odebrane 28 kwietnia 2022 r. przez Prezes Zarządu Spółki – Panią K.N, a więc osobę upoważnioną do reprezentacji Spółki, zgodnie z informacją ujawnioną w Krajowym Rejestrze Sądowym. Wezwanie to pozostało bez odpowiedzi ze strony Spółki.
3. Wobec braku odpowiedzi Spółki na ww. wezwanie, Prezes UODO - pismem z 12 lipca 2023 r. - ponownie wezwał Spółkę do złożenia wyjaśnień niezbędnych dla dokonania oceny zgłoszonego naruszenia. Pismo to, skierowane na ujawniony w KRS adres siedziby Spółki, zostało odebrane przez Panią S. N. która została oznaczona na zwrotnym potwierdzeniu odbioru jako dorosły domownik. Spółka nie udzieliła odpowiedzi również na to pismo.

Postępowanie

4. W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DKN.5130.11055.2021, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.17.2023 w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, w związku z naruszeniem  art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka została poinformowana pismem z 27 września 2023 r., doręczonym Spółce 16 października 2023 r. Pismem tym Spółka została zobowiązana – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2022 r. Spółkę poinformowano również, że jeżeli złoży wyczerpujące wyjaśnienia, o które Prezes UODO zwracał się do Spółki w postępowaniu o sygn. DKN.5130.11055.2021, okoliczność ta może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej, bądź spowodować odstąpienie od jej nałożenia.
5. W odpowiedzi na informację o wszczęciu przez Prezesa UODO przedmiotowego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, Spółka – pismem z 20 października 2023 r. – złożyła obszerne wyjaśnienia w sprawie o sygn. DKN.5130.11055.2021, o które Prezes UODO zwracał się pismami z 22 kwietnia 2022 r. oraz 12 lipca 2023 r.
6. W ww. piśmie Prezes Zarządu Spółki – Pani K.N. złożyła również wyjaśnienie dotyczące braku reakcji na wcześniejsze wezwania Prezesa UODO. Wynika z niego, że drugie z wezwań zostało odebrane przez 16 - letnią (a więc niepełnoletnią) S. N. i nie zostało przekazane K.N.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

7. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).
8. Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a ) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
9. Naruszenie przepisów Rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
10. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
11. Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023, poz. 775 ze zm.). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

12. Odnosząc wyżej wskazaną podstawę prawną do ustalonego w niniejszej sprawie stanu faktycznego należy uznać, że Spółka – będąc administratorem danych osobowych dokonującym zgłoszenia naruszenia ochrony danych osobowych oraz jednocześnie stroną postępowania o sygn. DKN.5130.11055.2021 – poprzez nieudzielenie odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień – naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań, które to obowiązki wynikają wprost z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679.
13. Prezes UODO dwukrotnie wezwał Spółkę do złożenia wyjaśnień w sprawie o sygn. DKN.5130.11055.2021 pismami z 22 kwietnia 2022 r. oraz 12 lipca 2023 r., skierowanymi na aktualny adres siedziby Spółki. I choć Prezes UODO dał wiarę wyjaśnieniom Prezes Zarządu Spółki, że drugie wezwanie zostało odebrane przez osobę niepełnoletnią, a więc nieuprawnioną do odbioru korespondencji kierowanej do Spółki, to należy podkreślić, że pierwsze wezwanie zostało odebrane przez osobę uprawnioną – Prezes Zarządu Spółki, co uzasadnia przekonanie, że Spółka miała obiektywną możliwość zapoznania się z treścią skierowanego do niej wezwania oraz udzielenia na nie odpowiedzi w zakreślonym przez organ ochrony danych osobowych terminie. Brak reakcji Spółki na przedmiotową korespondencję, bezsporny wobec zgromadzonego w niniejszej sprawie materiału dowodowego, poskutkował koniecznością wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Spółkę  administracyjnej kary pieniężnej, w efekcie którego dopiero Spółka podjęła współpracę z Prezesem UODO oraz złożyła wyczerpujące wyjaśnienia w sprawie o sygn. DKN.5130.11055.2021.
14. W niniejszej sprawie niewątpliwe również jest, że do obowiązków Spółki należało zapewnienie takiej organizacji obiegu korespondencji, która zezwoliłaby na terminowe wypełnienie przez Spółkę obowiązków nałożonych przepisami Rozporządzenia 2016/679. Spółka, jako podmiot profesjonalnie prowadzący działalność gospodarczą, powinna określić – w wewnętrznym regulaminie organizacyjnym, bądź poprzez odpowiednie sformułowanie zakresu obowiązków jej pracowników – osobę upoważnioną do odbioru wpływającej do Spółki korespondencji. W takim stanie rzeczy „doręczenie [korespondencji] następuje w dacie potwierdzenia przez tę osobę odbioru pisma. Na jej ustalenie nie ma natomiast wpływu to, czy osoba ta przekazała następnie pismo osobom powołanym do dokonania czynności, których pismo dotyczyło. Jest to już sprawa wewnętrznej organizacji pracy jednostki organizacyjnej będącej adresatem pisma. Obowiązkiem każdej jednostki jest takie zorganizowanie odbioru pism, aby czynności tej dokonywała osoba upoważniona i to właśnie ta jednostka ponosi odpowiedzialność za właściwe zorganizowanie przyjmowania pism i obiegu korespondencji, która powinna odbywać się w sposób ciągły i niezakłócony” (zob. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 grudnia 2020 r. sygn. akt VI SA/Wa 1697/20, LEX nr 3162004).
15. Stwierdzone w niniejszym postępowaniu naruszenie, polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań zostało przez Spółkę usunięte niezwłocznie po powzięciu informacji o toczącym się postepowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 20 października 2023 r. wyjaśnień Spółki. Spółka wykazała aktywną postawę i była gotowa do dalszej współpracy, zarówno w niniejszym postępowaniu, jak i w pozostałych sprawach wszczętych przed Prezesem UODO, których Spółka jest stroną. Prowadzi to do wniosku, że brak odpowiedzi Spółki na wezwania Prezesa UODO w postępowaniu o sygn. DKN.5130.11055.2021 nie miał charakteru celowego.
16. Mając na uwadze powyższe, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.

Pouczenie

Decyzja jest ostateczna. Od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.