DOKE.561.13.2023
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2024 r. poz. 572), w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią K. K. prowadzącą działalność gospodarczą pod firmą O. z siedzibą w Z. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia Pani K. K. prowadzącej działalność gospodarczą pod firmą O. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DKN.5130.1731.2020.
UZASADNIENIE
Stan faktyczny
- Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO”) w dniu 25 marca 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez Panią K. K. prowadzącą działalność gospodarczą pod firmą O. (zwanej dalej: „Przedsiębiorcą”). Naruszenie ochrony danych osobowych polegało na zaszyfrowaniu danych na serwerach, w wyniku czego osoba nieuprawniona mogła uzyskać dostęp do danych osobowych pracowników i klientów. Przedsiębiorca zrezygnował z powiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych, gdyż w jego ocenie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Mając na uwadze potrzebę uzyskania dodatkowych informacji dotyczących tego zgłoszenia, Prezes UODO wszczął postępowanie wyjaśniające o sygn. DKN.5130.1731.2020.
- W ramach wyżej wskazanego postępowania – działając na podstawie art. 52 ust. 1 ustawy o ochronie danych osobowych oraz art. 34 ust. 4 Rozporządzenia 2016/679 – Prezes UODO wystąpieniem z 12 kwietnia 2021 r. zwrócił się do Przedsiębiorcy o podjęcie stosownych działań mających na celu:
1) niezwłoczne zawiadomienie osób, których dane dotyczą o naruszeniu ich danych osobowych;
2) przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia;
3) wyeliminowanie podobnych nieprawidłowości w przyszłości.
Ponadto organ nadzorczy poinformował Przedsiębiorcę o konieczności przedstawienia zanonimizowanej treści zawiadomienia skierowanego do osób, których dotyczyło naruszenie ochrony danych. Niezależnie od powyższego, na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, Prezes UODO zwrócił się o wyjaśnienia w następującym zakresie:
1) czy przeprowadzono postępowanie wyjaśniające, w wyniku którego ustalono, czy doszło do przełamania zabezpieczeń, a jeśli tak, to jaka podatność została wykorzystana;
2) czy skuteczność stosowanych środków technicznych mających zapewnić bezpieczeństwo przetwarzania była regularnie testowana, mierzona oraz oceniana, a jeśli tak, to proszę o przedstawienie dowodów zarówno na przeprowadzanie takich testów przed wystąpieniem naruszenia, jak i po naruszeniu;
3) czy pracownicy przeszli szkolenie w zakresie ochrony informacji, zabezpieczenia danych osobowych, zachowania środków bezpieczeństwa przy korzystaniu z systemów informatycznych (w tym poczty elektronicznej) oraz zasad postępowania z podejrzanymi wiadomościami pocztowymi;
4) czy z analizy incydentu wynika, że mogło dojść do ujawnienia innych danych niż wskazane w zgłoszeniu, w związku z ujawnieniem nazwy użytkownika i/lub hasła;
5) czy opracowano i wdrożono procedury tworzenia kopii zapasowych, a jeśli tak, to jakie oraz czy uległy one modyfikacji w związku ze stwierdzonym naruszeniem;
6) czy testowano poprawność wykonania i odtworzenia kopii zapasowych.
Przedsiębiorcę pouczono jednocześnie, że brak wyczerpującej odpowiedzi skutkować może nałożeniem administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
- W dniu 25 lipca 2021 r. do Urzędu wpłynęło pismo Przedsiębiorcy z wyjaśnieniami w sprawie. Przedstawione wyjaśnienia w ocenie organu nadzorczego okazały się jednak niepełne i wymagające uzupełnienia.
- Wobec powyższego – pismem z 16 grudnia 2021 r. – Prezes UODO zwrócił się do Przedsiębiorcy z wezwaniem do złożenia szczegółowych odpowiedzi na zadane wcześniej pytania, przedstawienia stosownych dowodów, a także przedstawienia zanonimizowanej treści zawiadomienia osób o naruszeniu ochrony ich danych osobowych. Przedsiębiorcę pouczono ponownie, że brak wyczerpującej odpowiedzi na wezwanie skutkować może nałożeniem administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
- Wezwanie z 16 grudnia 2021 r. nie zostało odebrane i wróciło do Urzędu z adnotacją „ZWROT nie podjęto w terminie”, w związku z czym – na podstawie art. 44 § 4 w związku z art. 42 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2024 r. poz. 572), zwanej dalej k.p.a. – zostało uznane za prawidłowo doręczone w dniu 11 stycznia 2022 r.
- Pismami z 1 kwietnia 2022 r. oraz 6 czerwca 2022 r. Prezes UODO ponownie zwracał się do Przedsiębiorcy z wezwaniem do złożenia wyjaśnień o treści analogicznej do treści pisma z 16 grudnia 2021 r. Przedsiębiorcę po raz kolejny pouczono również, że brak odpowiedzi na wezwanie Prezesa UODO skutkować może zastosowaniem wobec Przedsiębiorcy określonych w art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 sankcji. Pomimo odbioru korespondencji, Przedsiębiorca nie udzielił żądanych wyjaśnień w sprawie, wskazując, że ze względu na zły stan zdrowia nie jest możliwe udzielenie informacji, jednocześnie załączając do pism z 11 kwietnia 2022 r. i 10 czerwca 2022 r. kopie zaświadczeń lekarskich o niezdolności do pracy.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, wystosowanej przez Prezesa UODO do Przedsiębiorcy, znajdującej się w aktach postępowania o sygn. DKN.5130.1731.2020. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań – to jest do rozpatrzenia sprawy o sygn. DKN.5130.1731.2020. Z drugiej zaś strony obrazuje ona reakcję Przedsiębiorcy na kierowane do niego żądania Prezesa UODO – sprowadzającą się do składania zaświadczeń lekarskich. W ocenie organu nadzorczego stanowi to bezpośredni dowód braku współpracy Przedsiębiorcy z Prezesem UODO w ramach wykonywania przez niego jego zadań.
Postępowanie
- W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DKN.5130.1731.2020, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.13.2023, w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca został poinformowany pismem z 7 sierpnia 2023 r. (znak: DOKE.561.13.2023.222285), doręczonym Przedsiębiorcy 9 sierpnia 2023 r. Pismem tym, Przedsiębiorca został zobowiązany – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o wysokości osiągniętych dochodów za rok 2022 w postaci np. kopii zeznania podatkowego PIT oraz oświadczenia o osiągniętym wyniku finansowym. Przedsiębiorcę poinformowano również, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się w postępowaniu o sygn. DKN.5130.1731.2020, może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej bądź spowodować odstąpienie od jej nałożenia. Ponadto poinformowany został o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
- W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej – pismem z 17 sierpnia 2023 r. – Przedsiębiorca złożył wyjaśnienia w sprawie, w których odniósł się szczegółowo do zadawanych we wcześniejszych pismach pytań.
- W odpowiedzi na wezwanie Prezesa UODO zawarte w piśmie informującym o wszczęciu niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Przedsiębiorca wniósł o nie wymierzanie kary pieniężnej. Jako załącznik do swojego pisma z 17 sierpnia 2023 r. przedstawił kopię zeznania podatkowego PIT za rok obrotowy 2022.
- Na podstawie dokumentacji znajdującej się w aktach postępowania o sygn. DKN.5130.1731.2020 ustalono, że do Przedsiębiorcy skierowano 30 października 2023 r. kolejne wezwanie do uzupełnienia wyjaśnień z 17 sierpnia 2023 r., na które udzielił on odpowiedzi pismem z 9 listopada 2023 r.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przepisy prawne
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).
- Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
- Naruszenie przepisów Rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Dodatkowo zarówno administrator, jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest, zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679, administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
- Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
- Zgodnie z brzmieniem art. 44 § 4 k.p.a. w związku z art. 42 § 1 k.p.a., fikcja doręczenia zachodzi z upływem ostatniego dnia okresu, to jest 14 dni, w przypadku doręczenia pisma osobie fizycznej w jej mieszkaniu lub miejscu pracy przez operatora pocztowego, a pismo pozostawia się w aktach sprawy.
Ocena prawna
- Odnosząc wyżej wskazane podstawy prawne do ustalonego w niniejszej sprawie stanu faktycznego należy uznać, że Przedsiębiorca – będąc administratorem danych osobowych dokonującym zgłoszenia naruszenia ochrony danych osobowych – poprzez nieudzielenie merytorycznej odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień w postępowaniu o sygn. DKN.5130.1731.2020 naruszył obowiązek współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań, które to obowiązki wynikają wprost z art. 31 oraz art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679.
- W niniejszej sprawie Prezes UODO – korzystając z uprawnienia, o którym mowa w art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – skierował do Przedsiębiorcy żądanie udzielenia informacji niezbędnych mu w postępowaniu o sygn. DKN.5130.1731.2020, Przedsiębiorca takich informacji mu nie udzielił – wbrew ciążącemu na nim na mocy art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 obowiązkowi – aż do chwili wszczęcia niniejszego postępowania. Uzasadnia to w ocenie Prezesa UODO bezsprzecznie, że miało miejsce w niniejszej sprawie naruszenie obu wskazanych wyżej przepisów Rozporządzenia 2016/679.
- Prezes UODO trzykrotnie wzywał Przedsiębiorcę do złożenia wyjaśnień w sprawie o sygn. DKN.5130.1731.2020. Wezwania z 1 kwietnia 2022 r. oraz 6 czerwca 2022 r. zostały skutecznie doręczone i odebrane odpowiednio 11 kwietnia 2022 r. oraz 10 czerwca 2022 r. Przedsiębiorca nie udzielił merytorycznej odpowiedzi na zadawane pytania wskazując, że ze względu na zły stan zdrowia nie jest możliwe udzielenie informacji, jednocześnie załączając do pism kopie zaświadczeń lekarskich o niezdolności do pracy w dniach 1-12 kwietnia 2022 r. oraz 8 czerwca 2022 r. – 5 lipca 2022 r. Wskazane przez Przedsiębiorcę okoliczności nie mogły jednak stanowić uzasadnionego usprawiedliwienia dla uniemożliwiania Prezesowi UODO uzyskania dostępu do informacji niezbędnych do rozpatrzenia sprawy. Pomimo ustania przeszkody w postaci niezdolności do pracy z powodu choroby, Przedsiębiorca nadal nie przedstawił żądnych informacji. Ponadto należy zauważyć, że jeśli Strona nie jest w stanie samodzielnie działać w toczącym się postępowaniu, może skorzystać z pomocy innych osób lub ustanowić pełnomocnika w sprawie, który reprezentowałby go w postępowaniu prowadzonym przez organ nadzorczy. Dopiero w efekcie wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, podjął on współpracę z Prezesem UODO oraz złożył szczegółowe wyjaśnienia w sprawie o sygn. DKN.5130.1731.2020.
- Mimo zaniedbania po stronie Przedsiębiorcy, Prezes UODO stanął na stanowisku, że stwierdzone naruszenie, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – jakkolwiek wysoce naganne – zostało przez Przedsiębiorcę usunięte niezwłocznie po powzięciu informacji o niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 17 sierpnia 2023 r. wyjaśnień Przedsiębiorcy. Aktywna postawa Przedsiębiorcy i gotowość do dalszej współpracy z organem nadzorczym, potwierdzona kolejnymi przedłożonymi wyjaśnieniami w sprawie, pozwala przyjąć, że zarówno w niniejszym postępowaniu, jak i w ewentualnych przyszłych postępowaniach wszczętych przez Prezesa UODO, których Przedsiębiorca byłby stroną, będzie on wywiązywał się z obowiązku współpracy z Prezesem UODO.
- Mając na uwadze powyższe, Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679 i poczytywane będzie na jego niekorzyść.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.
Pouczenie
Decyzja jest ostateczna. Od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.