DKE.561.20.2022
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na K. S.A. z siedzibą w K. przy ul.(…), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez K. S.A. z siedzibą w K. ul. (…), przepisów art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji jego zadań, nakłada na K. S.A. z siedzibą w K. ul. (…) administracyjną karę pieniężną w kwocie 27 418 PLN (słownie: dwadzieścia siedem tysięcy czterysta osiemnaście złotych).
Uzasadnienie
Stan faktyczny
- Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana J. M. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez K. S.A. z siedzibą w K. przy ul.(…) (zwana dalej: „Spółką”), polegające na udostępnieniu danych osobowych Skarżącego podmiotom nieuprawnionym.
- Prezes Urzędu Ochrony Danych Osobowych, (zwany dalej: „Prezesem UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygnaturą DS.523.347.2022), pismem z dnia 23 lutego 2022 roku wezwał Spółkę do ustosunkowania się do treści skargi oraz złożenia wyjaśnień i przedstawienia dowodów na ich potwierdzenia w terminie 7 dni od daty doręczenia pisma. W treści ww. pisma Prezes UODO wezwał Spółkę do udzielenia odpowiedzi na cztery pytania istotne dla merytorycznego rozstrzygnięcia sprawy o sygn. DS.523.347.2022. Pismo było dwukrotnie awizowane i zwrócone nadawcy w dniu 24 marca 2022 roku. Pismo nie zostało przez Spółkę odebrane pomimo skierowania na adres siedziby wskazany w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego (zwanym dalej „KRS”) : ul. (…) K. (nr KRS Spółki:(…)). W związku z powyższym Prezes UODO – na podstawie art. 44 § 4 w zw. z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022, poz. 2000) zwanej dalej „k.p.a.” – uznał je za doręczone Spółce z dniem 15 marca 2022 roku pozostawił w aktach sprawy.
- W związku ze zwrotem ww. pisma i nieudzieleniem odpowiedzi, Prezes UODO ponownie – pismem z dnia 31 marca 2022 roku wezwał Spółkę do ustosunkowania się do treści skargi oraz złożenia wyjaśnień w sprawie o sygn. DS.523.347.2022.Pismo było dwukrotnie awizowane i ostatecznie zwrócone nadawcy w dniu 26 kwietnia 2022 roku. W związku z powyższym Prezes UODO – w oparciu o przepis art. 44 § 4 w zw. z art. 45 k.p.a. – uznał je za doręczone Spółce z dniem 19 kwietnia 2022 roku i pozostawił w aktach sprawy. Wezwanie to także pozostało bez odpowiedzi przez Spółkę.
- W treści ww. pisma Prezes UODO pouczył Spółkę, że brak wyczerpującej odpowiedzi na pytania przedstawione w wezwaniu może skutkować, w związku z niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679” – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Powyższe okoliczności stanu faktycznego sprawy Prezes UODO ustalił na podstawie całokształtu korespondencji prowadzonej ze Spółką w trakcie postępowania o sygn. DS.523.347.2022. Zgromadzony w sprawie materiał dowodowy potwierdza próby uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, tj. rozpatrzenia sprawy o sygn. DS.523.347.2022.
- Spółka zarejestrowana została w KRS 27 czerwca 2011 roku. Głównym przedmiotem jej działalności jest świadczenie usług pośrednictwa finansowego. Spółka prowadzi biuro stacjonarne w K. przy ul (…) oraz oferuje swoje usługi online za pośrednictwem strony internetowej https://www.(...).
- Zgodnie z danymi ujawnionymi w KRS siedziba Spółki mieści się w K. przy ul.(…). Pomimo prawidłowego kierowania pism na ten adres, Spółka nie odebrała żadnej korespondencji z Urzędu Ochrony Danych Osobowych, a w konsekwencji nie złożyła wyjaśnień i nie przedstawiła dowodów w trakcie postępowania o sygnaturze DS.523.347.2022.
Postępowanie
- W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DS.523.347.2022, Prezes UODO wszczął wobec niej z urzędu - na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 - postępowanie (sygn. DKE.561.20.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.
- W związku z faktycznym nieodbieraniem przez Spółkę pism kierowanych na adres jej siedziby, prowadzący sprawę pracownik Urzędu Ochrony Danych Osobowych w dniu 6 lipca 2022 roku nawiązał kontakt telefoniczny z Prezesem Zarządu Spółki – D. K. Podczas rozmowy Prezes Zarządu Spółki poinformował o nowym adresie do doręczeń Spółki tj. K. ul. (…) oraz o adresie ePUAP:/(…)/(…). Na okoliczność przeprowadzenia niniejszej rozmowy sporządzona została notatka służbowa.
- Informację o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej oraz o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji w sprawie (o sygn. DKE.561.20.2022) Prezes UODO skierował pismem z dnia 8 lipca 2022 roku na adres ustalony w trakcie rozmowy telefonicznej z Prezesem Zarządu Spółki, tj. K ul.(…). Pismem tym Spółka została poinformowana, że złożenie wyczerpujących wyjaśnień w terminie 7 dni w postępowaniu o sygn.DS.523.347.2022, do udzielenia, których wzywał Prezes UODO w pismach z dnia 23 lutego 2022 roku oraz 31 marca 2022 roku może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia. Spółka została również pouczona ww. pismem, że niedostarczenie Prezesowi UODO wszystkich niezbędnych informacji do realizacji jego zadań oraz niezapewnienie dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, skutkujące naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, podlega – w przypadku administratora lub podmiotu przetwarzającego nie będącego przedsiębiorstwem – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Ponadto przedmiotowym pismem Prezes UODO zwrócił się – na podstawie art. 101a ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), zwanej dalej: „u.o.d.o.” – do przedstawienia, w terminie 7 dni od dnia otrzymania pisma, sprawozdania finansowego za 2021 rok – lub w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2021 roku, w celu ustalenia podstawy wymiaru administracyjnej kary pieniężnej. Ponadto Spółka poinformowana została o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
- Ww. pismo zostało doręczone Spółce w dniu 12 lipca 2022 roku. Pismo pozostało bez jakiejkolwiek odpowiedzi ze strony Spółki.
- Wobec braku reakcji Spółki na informację o wszczęciu niniejszego postępowania, prowadzący sprawę pracownik Urzędu Ochrony Danych Osobowych ponownie podjął próby nawiązania kontaktu telefonicznego z Prezesem Zarządu Spółki, które zakończyły się niepowodzeniem. Na tę okoliczność sporządzono notatkę służbową w dnia 20 września 2022 roku. Kontakt telefoniczny z Prezesem Zarządu Spółki udało się nawiązać dopiero w dniu 9 listopada 2022 roku. W trakcie tej rozmowy Prezes Zarządu Spółki po raz kolejny został pouczony, że brak odpowiedzi na wezwania Prezesa UODO skutkować będzie nałożeniem administracyjnej kary pieniężnej. Prezes Zarządu Spółki zobowiązał się do przedstawienia odpowiednich wyjaśnień i dowodów do dnia 11 listopada 2022 roku.
- Do momentu wydania niniejszej decyzji Spółka nie udzieliła żadnych żądanych przez Prezesa UODO informacji niezbędnych do realizacji jego zadań.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.
Przepisy prawa
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f Rozporządzenia 2016/679).
- Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 ).
- Nakazanie dostarczenia informacji potrzebnych do realizacji zadań Prezesa UODO, o którym mowa w art. 58 ust. 1 lit. a) Rozporządzenia 2016/679, realizowane jest drogą wezwania uregulowanego w Rozdziale 9 k.p.a.
- Wezwania i inne pisma kierowane do stron postępowania przez organ administracji publicznej doręcza się wg zasad określonych w Rozdziale 8 k.p.a. Zgodnie z tymi przepisami jednostkom organizacyjnym i organizacjom społecznym doręcza się pisma w lokalu ich siedziby do rąk osób uprawnionych do odbioru pism (art. 45 k.p.a.). Natomiast w przypadku niemożności doręczenia pisma, operator pocztowy przechowuje pismo przez okres czternastu dni w swojej placówce (art. 44 § 1 k.p.a) - umieszczając wcześniej zawiadomienie o pozostawieniu pisma wraz z informacją o możliwości jego odbioru w terminie siedmiu dni (art. 44 § 2 k.p.a.). W przypadku niepodjęcia przesyłki w terminie, pozostawia się powtórne zawiadomienie o możliwości odbioru przesyłki w terminie nie dłuższym niż czternaście dni od daty pierwszego zawiadomienia (art. 44 § 3 k.p.a.). Jeśli pomimo dwukrotnego zawiadomienia o możliwości odbioru przesyłki w placówce pocztowej, adresat pisma nie dokona jej odbioru zastosowanie znajdzie art. 44 § 4 k.p.a stanowiący, że doręczenie uważa się za dokonane z upływem czternastodniowego okresu, a pismo pozostawia się w aktach sprawy.
- Zgodnie z art. 38 ust. 1 lit. c) ustawy z dnia 20 sierpnia 1997 roku o Krajowym Rejestrze Sądowym (Dz.U. z 2022 r., poz.1683) (zwanej dalej: „u.k.r.s”) osoby prawne, do których stosuje się jej przepisy, w tym spółki akcyjne, zobowiązane są dokonywać w KRS wpisu m.in. swojej siedziby i swojego adresu. W przypadku zmiany tych danych podmioty podlegające wpisowi do KRS zobowiązane są zgłosić tę zmianę do Rejestru Przedsiębiorców na podstawie art. 47 ust. 1 u.k.r.s. Na podstawie art. 17 ust. 1 u.k.r.s domniemywa się, że dane wpisane do Rejestru Przedsiębiorców są prawdziwe.
- Naruszenia przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych lub informacji niezbędnych organowi nadzorczemu do realizacji jego zadań, a skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Oceniając, czy, a jeśli tak to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42;
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
- Ponadto – organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
- Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie, zobowiązany jest – na podstawie z art. 101a ust. 1 u.o.d.o. – na żądanie Prezesa UODO dostarczyć mu danych niezbędnych do określenia tej podstawy. Natomiast w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu Prezes UODO – zgodnie z art.101 a ust. 2 u.o.d.o ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności gospodarczej lub ogólnie dostępne dane finansowe dotyczące podmiotu.
- Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Ocena prawna
- Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka – jako strona prowadzonego przez Prezesa UODO postępowania o sygnaturze DS.523.347.2022, naruszyła obowiązek wynikający z art. 58 ust. 1 lit a) i e ) Rozporządzenia 2016/679 polegający na dostarczeniu Prezesowi UODO wszystkich informacji niezbędnych do realizacji jego zadań oraz zapewnieniu Prezesowi UODO dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań. Uchylanie się od ww. obowiązków wobec Prezesa UODO spowodowało brak możliwości wnikliwego rozpoznania sprawy, a także wydłużyło postępowanie, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym - określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
- W postępowaniu o sygn. DS.523.347.2022, celem uzyskania informacji niezbędnych do merytorycznego rozstrzygnięcia sprawy, Prezes UODO na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 dwukrotnie zwrócił się do Spółki z wezwaniem do przedstawienia wyjaśnień. Pisma te skierowane na adres siedziby Spółki nie zostały odebrane pomimo dwukrotnego awizowania, w związku z czym zostały uznane za doręczone Spółce – zgodnie z art. 44 § 4 k.p.a w związku z art. 45 k.p.a – odpowiednio w dniach 15 marca 2022 roku oraz 19 kwietnia 2022 roku. W konsekwencji niepodejmowania przez Spółkę korespondencji, nie udzieliła ona Prezesowi UODO żadnych informacji w postępowaniu o sygn. DS.523.347.2022.
- Odpowiedzialności Spółki za nieudzielenie Prezesowi UODO żądanych przez niego informacji w postępowaniu o sygn. DS.523.347.2022 nie umniejsza w żaden sposób fakt, że Spółka faktycznie nie odebrała kierowanej do niej korespondencji, zgodnie bowiem z uzasadnieniem wyroku Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 roku, sygn. akt II SAB/Go 90/18 (LEX nr 2576144) – „Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną”.
- Spółka, pomimo odebrania w dniu 12 lipca 2022 roku pisma z dnia 8 lipca 2022 roku o wszczęciu postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej o sygn. DKE.561.20.2022, nie udzieliła na to pismo żadnej odpowiedzi oraz nie przedstawiła danych pozwalających na ustalenie – celem określenia podstawy wymiaru kary – jej sytuacji finansowej. Warto podkreślić, że Spółka nie zareagowała na kierowane do niej pisma nawet mimo telefonicznego poinformowania Prezesa Zarządu Spółki o kierowanej do Spółki korespondencji i pouczenia go o grożącej Spółce odpowiedzialności.
- Mając na uwadze powyższe, Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę - na mocy art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 - administracyjnej kary pieniężnej w związku z niedostarczeniem Prezesowi UODO wszystkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz niezapewnieniem dostępu do wszelkich informacji i danych osobowych niezbędnych Prezesowi UODO do realizacji jego zadań ( art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
Przesłanki i zasady wymiaru administracyjnej kary pieniężnej
- Stosownie do treściart. 83 ust. 2Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął - spośród nich - pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
- Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a)Rozporządzenia 2016/679).Podlegające administracyjnej karze pieniężnej zachowanie Spółki, stanowiące naruszenie art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia2016/679, godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań, organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Zachowanie Spółki w niniejszej sprawie, polegające na niedostarczeniu żądanych przez Prezesa UODO informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Ponadto wagę naruszenia zwiększa okoliczność, że nie miało ono charakteru jednorazowego. Spółka dwukrotnie nie odebrała, a w konsekwencji nie udzieliła odpowiedzi na wezwania wystosowane do niej w postępowaniu o sygnaturze DS.523.347.2022. Zakreślając czas trwania naruszenia, należy je uznać za długotrwałe i ciągłe: stan naruszenia trwał od daty upływu terminu wyznaczonego Spółce w pierwszym wezwaniu do złożenia wyjaśnień, tj. od 23 marca 2022 roku, do chwili obecnej. Spółka do momentu wydania niniejszej decyzji nie udzieliła bowiem Prezesowi UODO żądanych przez niego informacji.
- Umyślny charakter naruszenia (art. 83 ust. 2 lit. b Rozporządzenia 2016/679). Przedmiotowe naruszenie Prezes UODO uznał za umyślne. Spółka odebrała pismo informujące o wszczęciu niniejszego postępowania, a ponadto o obowiązku udzielenia Prezesowi UODO informacji w postępowaniu o sygn. DS.523.347.2022 oraz o wszczęciu niniejszego postępowania Prezes Zarządu Spółki został poinformowany telefonicznie przez pracownika prowadzącego sprawę. W ocenie Prezesa UODO unikanie złożenia wyjaśnień, pomimo posiadania przez Spółkę wiedzy o toczącym się postępowaniu należy interpretować, przynajmniej od momentu odebrania pisma o wszczęciu niniejszego postępowania, jako działanie świadome i celowe. Okoliczność ta winna być oceniona negatywnie i uznana za obciążającą w kontekście ustalenia wysokości orzeczonej administracyjnej kary.
- Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679). Grupa Robocza ds. Ochrony Danych Art. 29 w Wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 przyjętych w dniu 3 października 2017 r., odnosząc się do przesłanki wymienionej w art. 83 ust. 2 lit e) Rozporządzenia 2016/679, wskazuje, że „każdy rodzaj naruszenia rozporządzenia, nawet jeśli jest inny niż ten, który jest obecnie badany przez organ nadzorczy, może być »istotny« dla oceny, ponieważ mógłby wskazywać na ogólny poziom niewystarczającej wiedzy lub lekceważenie zasad ochrony danych”. Prezes UODO stwierdził w postępowaniu o sygn. DKE.561.9.2020, prowadzonym wcześniej wobec Spółki, naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz nieudzieleniu informacji niezbędnych do merytorycznego rozstrzygnięcia sprawy o sygn. ZSPR.440.571.2019, i ostatecznie udzielił Spółce za to naruszenie upomnienia. Oceniając postępowanie Spółki w niniejszym postępowaniu należy wskazać, że Spółka po raz kolejny zignorowała obowiązek wynikający z art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. W związku z tym Prezes UODO uznał stosunek Spółki do zasad ochrony danych osobowych za całkowicie lekceważący. Okoliczność tą należy więc traktować jako obciążającą przy ustalaniu wymiaru administracyjnej kary pieniężnej.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679). W ocenie Prezesa UODO Spółka w toku niniejszego postępowania o sygn. DKE.561.20.2022 nie podjęła w żadnym stopniu współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków. W szczególności Spółka, pomimo doręczania jej pisma o wszczęciu niniejszego postępowania, nie przedstawiła żadnych informacji w postępowaniu o sygn.DS.523.347.2022, co mogłoby być potraktowane jako działanie w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Fakt, że Spółka nie podjęła żadnej współpracy z Prezesem UODO, jest kolejną wyraźną przesłanką do zastosowania wobec niej sankcji w postaci administracyjnej kary pieniężnej.
- W ocenie Prezesa UODO żadna z przesłanek, o którym mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej kary.
- Ze względu na specyficzny charakter naruszenia, nie mogły być wzięte pod uwagą w niniejszej sprawie następujące okoliczności:
- liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit.a) Rozporządzenia 2016/679) – w przypadku naruszenia polegającego na niedostarczeniu Prezesowi UODO wszelkich informacji potrzebnych do realizacji jego zadań oraz niezapewnieniu dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań, nie powstają żadne szkody po stronie osób fizycznych;
- działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na fakt, że przedmiotowe naruszenie nie powoduje szkody po stronie osób fizycznych Spółka nie mogła podjąć jakichkolwiek działań w celu zminimalizowania szkody;
- stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – z uwagi na fakt, że niniejsze naruszenie nie ma związku ze środkami organizacyjnymi i technicznymi wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa przetwarzania;
- kategorie danych osobowych, których dotyczy naruszenie (art. 83 ust. 2 lit. g)Rozporządzenia 2016/679) – ze względu na fakt, że naruszenie nie wiąże się z naruszeniem żadnych danych osobowych przesłanka ta nie mogła zostać wzięta pod uwagę.
- Pozostałe okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały uznane przez Prezesa UODO za neutralne dla oceny stwierdzonego w niniejszej sprawie naruszenia:
- sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679) Prezes UODO powziął informację o stwierdzonym w niniejszej sprawie naruszeniu prowadząc postępowanie o sygn. Ds.523.347.2022, z przebiegu którego wynikało, że Spółka nie udzieliła informacji niezbędnych do rozstrzygnięcia sprawy. Okoliczność ta nie ma ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej wobec Spółki. Z pewnością nie może być uwzględniona na korzyść Spółki skoro nie brała ona żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679) Prezes UODO nie stosował wobec Spółki w niniejszej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679 i nie monitorował ewentualnych działań Spółki związanych z ich stosowaniem, a które to działania mogłyby mieć wpływ na ocenę naruszenia.
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679) Spółka nie stosuje żadnych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji. Posługiwanie się przez administratorów takimi instrumentami samoregulującymi nie jest obligatoryjne, w związku z tym okoliczność ich niestosowania nie może być traktowana obciążająco w ocenie naruszenia. W przypadku gdyby Spółka wdrożyła i stosowała się do zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji, organ nadzorczy mógłby poczytać ten fakt na jej korzyść jako środek gwarantujący wyższy niż standardowy poziom ochrony.
- osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679) W niniejszym postępowaniu Prezes UODO nie stwierdził, żeby Spółka, w związku z nieudzieleniem niezbędnych do rozstrzygnięcia sprawy informacji, odniosła jakiekolwiek korzyści majątkowe lub uniknęła strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej lub łagodzącej.
- inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679) Prezes UODO po wnikliwym rozpoznaniu sprawy nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i wymiar orzeczonej administracyjnej kary pieniężnej.
- Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Przyjęta w doktrynie definicja stanowi, że „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji” (P. Litwiński (red.) Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. […] Komentarz do art. 83 [w]; P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). W ocenie Prezesa UODO w niniejszym postępowaniu skuteczność i odstraszający charakter kary przy uwzględnieniu zasady proporcjonalności, można osiągnąć wyłącznie za pomocą kary pieniężnej. Dolegliwość tej kary, w większym stopniu niż uprzednio nałożonego w postępowaniu o sygn. DKE.561.9.2020 upomnienia, zdyscyplinuje Spółkę do prawidłowej współpracy z Prezesem UODO także w innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Prezesem UODO. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do dużej wagi i nagannego charakteru stwierdzonego naruszenia. Jednocześnie nałożona kara jest jedynym sposobem przymuszenia Spółki do egzekwowania zasad ochrony danych osobowych. Kara ta spełni ponadto funkcję odstraszającą poprzez jej społeczny oddźwięk, wskazujący że lekceważenie obowiązków wynikających z Rozporządzenia 2016/679, w szczególności niezapewnienie organowi ochrony danych dostępu do informacji niezbędnych do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
- Wobec niedostarczenia Prezesowi UODO danych finansowych Spółki, odpowiednie ustalenia odnośnie podstawy wymiaru kary dokonywane były przez Prezesa UODO zgodnie z art. 101a ust. 2 u.o.d.o. Prezes UODO dokonał ustalenia podstawy wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając dane finansowe dotyczące Spółki za lata 20172019 dostępne na stronie internetowej Ministerstwa Sprawiedliwości https://ekrs.ms.gov.pl/. Z analizy uzyskanych danych finansowych Spółki wynika więc, że prowadzi ona aktywną działalność gospodarczą. Wobec powyższego stwierdzić należy, że w niniejszym postępowaniu administracyjna kara pieniężna została oszacowana tak, żeby również nie wiązała się ona z nadmiernym obciążeniem dla prowadzonej przez Spółkę działalności.
- Mając na uwadze przepis art. 103 u.o.d.o. (zob. pkt 29 uzasadnienia decyzji), Prezes UODO za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę - stosując średni kurs euro z dnia 28 stycznia 2022 r. (1 EUR = 4,5697 PLN) - administracyjną karę pieniężną w kwocie 27 418 PLN (co stanowi równowartość 6.000 EUR).
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 z późn. zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa).
Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 z późn. zm.). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania.
Wniosek jest wolny od opłat sądowych. Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000.
Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2021 r. poz. 1540 ze zm.), od dnia następującego po dniu złożenia wniosku.