ZSPR.421.3.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, z późn. zm.) oraz art. 7 ust. 1 i 2, art. 60 i art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.) w związku z art. 12 ust. 1, art. 14 ust. 1 - 3 i art. 58 ust. 2 lit. d i lit. i oraz z art. 83 ust. 5 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez X. Sp. z o. o., Prezes Urzędu Ochrony Danych Osobowych
stwierdzając naruszenie przez X. Sp. z o. o., przepisów art. 14 ust. 1-3 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), polegające na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 wyżej powołanego rozporządzenia wszystkim osobom fizycznym, których dane osobowe X. Sp. z o. o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności:
- nakazuje X. Sp. z o. o., dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), osobom fizycznym, których dane osobowe X. Sp. z o. o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalność, którym informacje te nie zostały podane – w terminie trzech miesięcy od dnia doręczenia niniejszej decyzji;
- nakłada na X. Sp. z o. o., za naruszenie stwierdzone w niniejszej decyzji, administracyjną karę pieniężną w wysokości 943.470,00 PLN (słownie: dziewięćset czterdzieści trzy tysiące czterysta siedemdziesiąt złotych).
UZASADNIENIE
W dniach od […] do […] września 2018 r. oraz w dniach od […] do […] września 2018 r. (sygn. akt […]) upoważnieni pracownicy Urzędu Ochrony Danych Osobowych przeprowadzili kontrolę w X. Sp. z o. o. (zwanej dalej również: „Spółką”), w celu zbadania zgodności przetwarzania przez Spółkę danych osobowych z przepisami o ochronie danych osobowych, tj. rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanym dalej: „rozporządzeniem 2016/679” i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.), zwaną dalej: „Ustawą”.
Kontrolą objęto przetwarzanie przez Spółkę danych osobowych pozyskiwanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Bazy REGON Głównego Urzędu Statystycznego).
Prezes Urzędu Ochrony Danych Osobowych (zwany dalej: „Prezesem UODO”) pismem z dnia […] stycznia 2019 r. (o numerze: […]), zawiadomił Spółkę o wszczęciu z urzędu postępowania administracyjnego w sprawie niedopełnienia obowiązku informacyjnego, o którym mowa w art. 14 rozporządzenia 2016/679 wobec tych osób fizycznych prowadzących działalność gospodarczą, co do których Spółka nie posiadała adresu e-mail w swojej bazie danych, przy czym dotyczy to zarówno przedsiębiorców, którzy aktualnie prowadzą działalność gospodarczą bądź tę działalność zawiesili, jak i o tych, którzy tej działalności już nie prowadzą, lecz prowadzili ją w przeszłości.
Prezes UODO, na podstawie zebranego materiału dowodowego, ustalił następujący stan faktyczny sprawy.
- W ramach swojej działalności Spółka oferuje w szczególności raporty handlowe […]. Przedmiotem przeważającej działalności Spółki jest pozostała działalność usługowa w zakresie informacji, gdzie indziej niesklasyfikowana (PKD 63,99,Z). W zakresie działalności Spółki mieści się także m. in. wydawanie wykazów oraz list (np. adresowych, telefonicznych), przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność, a także pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania ([…]).
- W systemie informatycznym o nazwie „N[…]” (zwanym dalej: „system N[…]”) Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego ([…]).
- W bazie danych „systemu N[…]” znajdują się dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą ([…]).
- W „systemie N[…]” Spółka przetwarza w szczególności dane adresowe (adres rejestrowy, adres do korespondencji, adres operacyjny) odnoszące się do osób fizycznych prowadzących działalność gospodarczą ([…]).
- W dniu 27 kwietnia 2018 r., tj. przed dniem rozpoczęcia obowiązywania rozporządzenia 2016/679, Spółka wysłała informację o przetwarzaniu danych osobowych zatytułowaną „[…] – RODO – obowiązek informacyjny” na wszystkie adresy poczty elektronicznej posiadane w bazie danych systemu N[…] przypisane do przedsiębiorców prowadzących jednoosobową działalność gospodarczą ([…]). W trakcie ww. kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych ([…]).
- Spółka zamieściła także na swojej stronie internetowej o adresie www.[…].pl, w zakładce „Dane i prywatność”/”Informacja o przetwarzaniu danych osobowych”, informację o przetwarzaniu danych osobowych przez X. ([…]). Spółka opublikowała również na swojej stronie internetowej www.[…].pl, w zakładce „Dane i prywatność” / Informacja o przetwarzaniu danych osobowych”, pod adresem https://www.[…].pl/rodo/, pełną klauzulę informacyjną, odpowiadającą wymogom art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679.
- Spółka podjęła decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS) wobec osób, których dane pozyskała ze źródeł publicznie dostępnych (w tym osób fizycznych prowadzących działalność gospodarczą), ponieważ nie posiada numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na wysokie koszty takiej akcji. Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji wysłanej do osób, których dane przetwarza ([…]).
- Z wyjaśnień Spółki przedstawionych w piśmie z dnia […] lutego 2019 r. wynika, że dane przez nią przetwarzane są danymi dostępnymi publicznie, zgromadzonymi w oficjalnych, publicznych rejestrach, zakres tych danych jest stosunkowo wąski, a ryzyko dla praw i wolności osób, których dane dotyczą, związane z ich przetwarzaniem – niskie. Spółka posiada łącznie 7.594.636 rekordów danych dotyczących osób fizycznych, w tym przedsiębiorców prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych. Z wyjaśnień Spółki wynika także, że gdyby miała wykonać obowiązek informacyjny ustanowiony w art. 14 ust. 1 - 2 rozporządzenia 2016/679, indywidualnie wobec wszystkich osób fizycznych, których dane są przedmiotem postępowania, z wykorzystaniem poczty tradycyjnej, to koszt takiej operacji wyniósłby ponad 33.749.175,00 złotych (kwota uzyskana z przemnożenia liczby podmiotów danych, do których nie została wysłana klauzula informacyjna drogą korespondencji elektronicznej, przez koszt nadania za pośrednictwem Poczty Polskiej listu poleconego w wariancie ekonomicznym, bez dodatkowych kosztów administracyjnych), co stanowi […] obrotu Spółki z roku 2018.
- Ponadto, z wyjaśnień Spółki wynika, że realizacja obowiązku informacyjnego w jego podstawowej formie (tj. indywidualnego kontaktu z każdą osobą, której dane dotyczą) powodowałaby po stronie Spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b rozporządzenia 2016/679, rozumiany jako obciążenie organizacyjne (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych - komputerów, urządzeń biurowych - do realizacji wyłącznie tego zadania) oraz finansowe (tzn. koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonera, kopert, znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym Spółka mogłaby zlecić wykonanie tego zadania), które w krytyczny sposób zakłóciłyby funkcjonowanie Spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w Polsce.
- Spółka stosuje do przetwarzanych przez siebie danych osobowych wysokiej klasy zabezpieczenia techniczne, […]. Spółka posiada wdrożone szczegółowe procedury i instrukcje dla pracowników zapewniające bezpieczeństwo przetwarzania danych.
- Spółka powołała się również na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 lipca 2016 r. sygn. akt DIS/DEC-587/16/62309, w analogicznej sprawie, w której po orzeczeniu Naczelnego Sądu Administracyjnego z dnia 24 stycznia 2013 r. (o sygn. akt I OSK 1827/11) oraz Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 24 kwietnia 2013 r. (o sygn. akt II SA/Wa 507/13), GIODO stwierdził, że obowiązek informacyjny istnieje a odpowiednim środkiem służącym jego realizacji było zamieszczenie wymaganych informacji na stronie internetowej spółki będącej administratorem danych. W ocenie Spółki w niniejszym postępowaniu nie istnieją przesłanki, aby ocena dokonana przez Prezesa UODO była w tym zakresie odmienna.
- Spółka załączyła do pisma z dnia […] lutego 2019 r.: oświadczenie Zarządu o przychodach netto ze sprzedaży i zrównanych z nimi za rok 2018 w wysokości 34.778.450,50 PLN, oraz sprawozdanie finansowe Spółki za rok obrotowy od 01.01.2017 r. do 31.12.2017 r., z którego wynika wysokość przychodów netto ze sprzedaży i zrównanych z nimi: 29.026.755,76 PLN.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i organem nadzorczym w rozumieniu rozporządzenia 2016/679 (art. 34 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Stosownie do art. 57 ust. 1 rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a), prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia (lit. h). Instrumentami realizacji zadań, o których mowa w art. 57 rozporządzenia 2016/679 są w szczególności uprawnienia naprawcze nadane mocą art. 58 ust. 2, nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (lit. d) i zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (lit. i).
Zgodnie z art. 14 ust. 1 rozporządzenia 2016/679, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych;
- cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu udostępnienia.
Natomiast z treści art. 14 ust. 2 rozporządzenia 2016/679 wynika, że poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Artykuł 14 ust. 3 rozporządzenia 2016/679 wskazuje, w jakim czasie administrator winien zrealizować obowiązek informacyjny, o którym mowa w ust. 1 i 2, czyli:
- w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy - najpóźniej przy ich pierwszym ujawnieniu.
Mając na uwadze dokonane w tej sprawie ustalenia należy wskazać, że obowiązek, o którym mowa w art. 14 rozporządzenia 2016/679, został przez Spółkę dopełniony wyłącznie w odniesieniu do 682 439 osób fizycznych prowadzących działalność gospodarczą, których dane osobowe Spółka przetwarza w systemie informatycznym „N[…]”, odnośnie których Spółka posiadała adres elektroniczny (adres e-mail) i wysłała korespondencję elektroniczną zawierającą „Informację o przetwarzaniu danych osobowych” (liczba na dzień dokonanych ustaleń w toku kontroli).
Natomiast, przedmiotowy obowiązek wynikający z art. 14 rozporządzenia 2016/679 nie został przez Spółkę spełniony w stosunku do pozostałych osób fizycznych prowadzących działalność gospodarczą, których dane są przetwarzane w systemie „N[…]”, czyli takich, których adresów poczty elektronicznej (e-mail) Spółka nie posiadała. Z ustaleń Prezesa UODO wynika, że Spółka nie spełniła tego obowiązku wobec tych osób fizycznych prowadzących działalność gospodarczą, co do których nie posiadała adresu e-mail w swojej bazie danych, przy czym zarówno chodzi o przedsiębiorców, którzy prowadzą aktualnie działalność gospodarczą („nie zamknęli” tej działalności są aktywni, bądź zawieszeni), jak i o tych, którzy zaprzestali prowadzenia działalności gospodarczej.
Spółka zamieściła także na swojej stronie internetowej o adresie www.[…].pl, w zakładce „Dane i prywatność”/”Informacja o przetwarzaniu danych osobowych”, informację o przetwarzaniu danych osobowych przez Spółkę, w zakresie przewidzianym w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679.
W kontekście powyższego Prezes UODO stwierdza, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, w sytuacji posiadania przez Spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez Spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679.
Przesłanka wyłączająca spełnienie obowiązku informacyjnego, przewidziana w art. 14 ust. 5 lit. b) rozporządzenia 2016/679, tj. wyłączająca zastosowanie art. 14 ust. 1 do ust. 4 rozporządzenia 2016/679, gdy - i w zakresie, w jakim: udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, nie znajdzie zastosowania w niniejszej sprawie w odniesieniu do osób fizycznych prowadzących działalność gospodarczą, których dane osobowe Spółka przetwarza w bazie systemu N[…].
W ocenie Prezesa UODO wysłanie bowiem informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, w sytuacji posiadania przez Spółkę w bazie systemu informatycznego N[…] danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo - numerów telefonów - w odniesieniu do części tych osób. Wskazać w tym miejscu należy, że w odróżnieniu do ww. osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek i innych osób prawnych, których dane Spółka przetwarza. W rejestrach publicznych (w szczególności w Rejestrach KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym Spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić dla Spółki „niewspółmiernie duży wysiłek.
W piśmie z dnia […] lutego 2019 r. Spółka przedstawiła kalkulację kosztów związanych z ewentualnym dokonaniem osobom fizycznym, których dane osobowe przetwarza, wysyłki informacji, o których mowa w art. 14 ust. 1-2 rozporządzenia 2016/679, pocztą tradycyjną, tj. przesyłką poleconą w wariancie ekonomicznym, które to koszty wyniosłyby ponad 33.749.175,00 PLN (stanowiąc […] obrotu Spółki z roku 2018).
Tymczasem, z ustalonych okoliczności stanu faktycznego niniejszej sprawy wynika, że Spółka prowadzi działalność na polskim rynku od ponad 25 lat, a na dzień […] lutego 2019 r. osiada w bazie danych łącznie 7.594.636 rekordów zawierających dane osobowe przedsiębiorców oraz osób będących wspólnikami lub członkami organów spółek, fundacji czy stowarzyszeń. Ze złożonych wyjaśnień wynika również, że na dzień ich złożenia Spółka nie spełniła indywidualnego obowiązku informacyjnego łącznie wobec 6.671.368 osób. Odnośnie 181.142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, co oznacza, że może spełnić obowiązek informacyjny za pośrednictwem tego narzędzia komunikacji. Jeśli zaś chodzi o 6.490.226 osób, co do których Spółka dysponuje wyłącznie adresami korespondencyjnymi, zwrócić należy uwagę na treść art. 12 ust. 1 rozporządzenia 2016/679. Przepis ten przewiduje podjęcie przez administratora z własnej inicjatywy, bez udziału podmiotu danych, realizację obowiązku o charakterze informacyjnym, o którym mowa m. in. w art. 14 rozporządzenia 2016/679 W ocenie Prezesa UODO, z przepisu tego nie wynika, żeby prawodawca nałożył na administratora obowiązek wysyłania takiej informacji np. przesyłką poleconą, byleby tylko administrator mógł stosownymi dowodami wykazać, że ów obowiązek informacyjny został przez niego spełniony wobec podmiotów, których dane osobowe przetwarza. Istotą spełnienia obowiązku jest takie działanie administratora w sposób czynny, aktywny wobec osoby, której dane dotyczą, poprzez podanie tej osobie określonych przepisami rozporządzenia 2016/679 informacji.
Konieczność czynnego powiadamiania akcentuje Grupa Robocza Art. 29, w wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679 przyjętych dnia 29 listopada 2017 r. (ostatnio zmienionych i przyjętych w dniu 11 kwietnia 2018 r.). Niezależnie od wskazanych wyżej metod spełnienia obowiązku informacyjnego, w ocenie Prezesa UODO Spółka może zrealizować go w dowolny sposób, a w kontekście motywu 171 rozporządzenia 2016/479 - w którym ustawodawca unijny wskazał, że przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy powinno w terminie dwóch lat od wejścia w życie niniejszego rozporządzenia zostać dostosowane do jego przepisów - znaczenie ma termin, w którym określone obowiązki miały być wypełnione.
Przetwarzane dane osobowe Spółka pozyskała z publicznie dostępnych źródeł informacji. Zakres danych, które Spółka przetwarza w celach komercyjnych, to – w odniesieniu do wszystkich osób fizycznych, których dane przetwarza - m. in.: imię, nazwisko, PESEL (pozyskane z KRS), zaś w odniesieniu do osób fizycznych prowadzących działalność gospodarczą, to m. in. pozyskane z CEIDG i Bazy REGON GUS: imię, nazwisko, nazwa przedsiębiorstwa, adres rejestrowy oraz inne adresy, rodzaj działalności PKD, numer telefonu (opcjonalnie), adres e-mail (opcjonalnie), adres strony www (opcjonalnie), zakazy/uprawnienia/ograniczenia/koncesje na prowadzenie określonej działalności, związane z przedsiębiorcą zdarzenia prawne (zgodnie z zakresem danych wskazanych w załączniku nr 63 - karta akt sprawy numer 464).
Prezes UODO zauważa zatem, że rozpatrywana sytuacja Spółki nie jest analogiczna do tej, która była przedmiotem oceny Naczelnego Sądu Administracyjnego w wyroku z dnia 24 stycznia 2013 r. (o sygn. akt I OSK 1827/11) ani w zakresie ilości danych, które Spółka pozyskuje z publicznie dostępnych źródeł, ani spełnienia obowiązku informacyjnego. W sprawie tamtej NSA wskazał: „Z ustaleń dokonanych przez organ wynika, iż skarżąca spółka w ramach prowadzonej działalności komercyjnej świadczenia usług polegających na udzielaniu informacji przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i Gospodarczy nie zawierają danych o adresach osób fizycznych. Zasadnie skarżąca spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez wskazania w jaki sposób i jakimi środkami administrator danych winien je uzyskać.” Natomiast, w niniejszej sprawie Spółka dysponuje znacznie szerszym zakresem danych osobowych, w tym adresami korespondencyjnymi osób fizycznych i numerami telefonów, co oznacza, że mogła spełnić obowiązek podania danych, o których mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679, wobec osób fizycznych, których dane przetwarza.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. d rozporządzenia 2016/679, nakazuje Spółce - w terminie do trzech miesięcy od daty otrzymania niniejszej decyzji - dopełnienie obowiązku podania informacji, o których mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679, tym osobom fizycznym prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą , których dane osobowe przetwarza, a którym informacje te nie zostały podane.
Zgodnie z art. 58 ust. 2 lit. i rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na Spółkę administracyjnej kary pieniężnej.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a-h oraz lit. j.
Prezes UODO decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 wziął pod uwagę następujące okoliczności tej sprawy:
- nie został spełniony obowiązek informacyjny, wynikający z art. 14 ust. 1 - 3 rozporządzenia 2016/679, wobec osób fizycznych prowadzących aktualnie lub w przeszłości jednoosobową działalność gospodarczą (aktywnych, zawieszonych i historycznych - działalność zamknięta), stan ten trwa do chwili obecnej, czyli nie jest to jednorazowe zdarzenie ograniczone w czasie, a dotyczy łącznie 6.671.368 rekordów, według danych zawartych w wyśnieniach Spółki z dnia […] lutego 2019 r. (charakter, waga oraz czas trwania naruszenia);
- stwierdzone w niniejszej sprawie naruszenie ma poważny charakter, dotyczy bowiem podstawowych praw i wolności osób, których dane Spółka przetwarza, narusza również podstawową w odniesieniu do przetwarzania danych osobowych zasadę rzetelności i przejrzystości (art. 5 ust. 1 lit a rozporządzenia 2016/679). Naruszenie przez Spółkę obowiązku podania podstawowych informacji o przetwarzaniu oraz pouczenia o przysługujących podmiotom danych prawach z tym związanych (wskazanych w art. 15-21 rozporządzenia 2016/679), pociąga za sobą m.in. ryzyko odebrania im możliwości skorzystania z tych praw; wagę naruszenia zwiększa również okoliczność, że na Spółce przetwarzającej dane osobowe w sposób profesjonalny, w ramach swojej podstawowej działalności, w celach zarobkowych, i na bardzo dużą skalę (liczba podmiotów danych dotkniętych naruszeniem – 6.671.368), ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę. Podkreślić ponadto należy, co jest okolicznością obciążającą w niniejszej sprawie, że stwierdzone naruszenie trwa do chwili obecnej (charakter, waga i czas trwania naruszenia);
- Spółka podjęła świadomą decyzję (motywowaną chęcią uniknięcia dodatkowych nakładów finansowych) o niezrealizowaniu wobec osób fizycznych prowadzących aktualnie (w tym aktywnych, zawieszonych) lub w przeszłości jednoosobową działalność gospodarczą obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679 „ze względu na milionowe koszty” ([…]), co oznacza, że należy przypisać jej umyślność w naruszeniu wskazanych przepisów prawa (umyślny lub nieumyślny charakter naruszenia);
- w toku postępowania nie ustalono, żeby konsekwencją stwierdzonego naruszenia było powstanie po stronie podmiotów danych szkód, jednakże dalsze przetwarzanie danych osobowych bez wiedzy osób, których dotyczą, niewątpliwie utrudnia czy ogranicza skorzystanie przez te osoby z przysługujących im uprawnień, np. prawa do usunięcia danych, sprostowania, czy złożenia sprzeciwu wobec przetwarzania danych osobowych (na dzień […] września 2018 r. z uprawnienia tego skorzystało 12630 osób - […]). W konsekwencji, brak spełnienia obowiązku informacyjnego, prowadzi do uprzywilejowanej pozycji Spółki w realizacji jej praw w stosunku do praw osób, których dane dotyczą i stanowią istotny element przedmiotu działalności Spółki. Powołać w tym miejscu należy stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z dnia 16 grudnia 2004 r. (sygn. akt OSK 829/04), że ochrona dóbr jednych nie może odbywać się kosztem naruszenia praw innych, co można pośrednio lub bezpośrednio wywieźć z wielu przepisów Konstytucji RP, np. z: art. 2, art. 32 ust. 1 i art. 83 (działania podjęte dla zminimalizowania szkody);
- stwierdzone naruszenie nie ma związku z wdrożeniem i jakością stosowanych przez Spółkę – na mocy art. 25 i 32 rozporządzenia 2016/679 – środków organizacyjnych i technicznych, dlatego też nie istnieje konieczność ustalania w tym kontekście stopnia odpowiedzialności Spółki (stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych);
- nie zostało stwierdzone, żeby Spółka uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postepowania;
- zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania niniejszego postępowania Spółka współpracowała z Prezesem UODO, w wyznaczonym terminie Spółka przesłała wyjaśnienia i udzieliła odpowiedzi na pismo Prezesa UODO, a jednocześnie wraz z pismem przesłała stosowne dokumenty na potwierdzenie złożonych wyjaśnień. Jednakże współpraca ta miała na celu zapewnienie jedynie prawidłowego przebiegu postepowania, a nie usunięcie stwierdzonego w toku kontroli naruszenia, czy też usunięcie jego skutków (stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków);
- dane osobowe osób fizycznych prowadzących działalność gospodarczą (aktualnie lub w przeszłości), które Spółka przetwarza, pochodzą z publicznie dostępnych źródeł informacji i obejmują: imię, nazwisko, nazwę przedsiębiorstwa, adres rejestrowy oraz inne adresy, rodzaj działalności PKD, numer telefonu (opcjonalnie), adres e-mail (opcjonalnie), adres strony www (opcjonalnie), zakazy/uprawnienia/ograniczenia/koncesje na prowadzenie działalności gospodarczej, związane z przedsiębiorcą zdarzenia prawne (zgodnie z zakresem danych wskazanych w załączniku nr 63 - karta akt sprawy numer 464). Strona wskazała, że dysponuje także: adresami e-mail, adresami korespondencyjnymi osób fizycznych oraz numerami telefonów (kategorie danych osobowych, których dotyczy naruszenie). Stwierdzone naruszenie nie dotyczy szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679 (Spółka nie przetwarza takich danych);
- Prezes UODO pozyskał informację o niewypełnieniu przez Spółkę obowiązku z art. 14 ust. 1-3 rozporządzenia 2016/679, w trakcie kontroli przeprowadzanej w Spółce z urzędu (sposób, w jaki organ nadzorczy dowiedział się o naruszeniu);
- w tej samej sprawie nie zostały wcześniej zastosowane wobec Spółki środki, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (przestrzeganie środków nałożonych w tej samej sprawie na administratora);
- Spółka nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (stosowanie kodeksów postępowania lub mechanizmów certyfikacji);
- uzasadnianie przez Spółkę niewykonania obowiązku wynikającego z art. 14 ust. 1 - 3 rozporządzenia 2016/679 wysokimi kosztami finansowymi, aż do próby przerzucenia odpowiedzialności - gdyby go wykonała - za ewentualny spadek jej konkurencyjności na rynku, czy też utratę płynności finansowej, aż do konieczności zakończenia prowadzonej działalności, stanowi okoliczność zdecydowanie działającą na niekorzyść Spółki. Zwrócić należy bowiem uwagę, że chociaż Spółka pozyskuje dane ze wskazanych źródeł publicznych, to stanowią one przedmiot jej wieloletniej działalności komercyjnej, zaś osoby, których te dane dotyczą, nie posiadają informacji o przetwarzaniu przez Spółkę takich danych. W ocenie Prezesa UODO odpowiedzialność wobec tych osób spoczywa zatem na Spółce, szczególnie w zakresie realizacji obowiązku wynikającego z art. 14 ust. 1 - 3 rozporządzenia 2016/679. Niewykonanie ww. obowiązku z uwagi na wskazane przez Spółkę koszty finansowe, świadczy o obniżeniu wartości praw osób, których dane osobowe Spółka przetwarza, w stosunku do wartości finansów Spółki, której to argumentacji nie można uznać za zasadną w świetle wymogów rozporządzenia 2016/679. Wskazać także należy, że Spółka pozyskuje przecież środki finansowe w ramach prowadzonej działalności gospodarczej, której przedmiotem jest udostępnienie danych osobowych osób fizycznych jej klientom (tj. m.in. podmiotom gospodarczym, w tym osobom prowadzącym jednoosobową działalność gospodarczą, czy też organom publicznym), jako odrębnym administratorom, w związku z produktami oferowanymi przez Spółkę. W bazie danych N[…], Spółka przechowuje również dane osób, które nie prowadzą już działalności gospodarczej ponieważ jak wynika z ustaleń kontroli „(…) klienci Spółki zwracają się z pytaniami, czy wśród ich dostawców nie ma podmiotów wykreślonych. Informacja o klientach nieaktywnych jest częścią produktu Spółki polegającego na dostarczaniu informacji gospodarczych.” ([…]).
W ocenie Prezesa UODO dodatkową okolicznością obciążającą jest motywacja, którą kierowała się Spółka decydując, że wystarczającym sposobem przekazania informacji, o których mowa w art. 14 ust 1 i 2 rozporządzenia 2016/679, przedsiębiorcom, których adresami e-mail nie dysponuje, będzie opublikowanie ich na swojej stronie internetowej. Spółka nie ukrywa, że za tą decyzją stała kalkulacja kosztów związanych z bezpośrednimi formami dotarcia do osób, których dane przetwarza, a więc chęć uniknięcia dodatkowych związanych z tym kosztów. Spółka przy tym ma świadomość, że prawidłową, gwarantującą odpowiedni poziom zabezpieczenia praw i wolności podmiotów danych, formą podania im wymaganych informacji jest bezpośredni kontakt zainicjowany przez Spółkę. Świadczy o tym fakt wybrania w pierwszej kolejności takiego kontaktu w przypadku przedsiębiorców, których adresami e-mail Spółka dysponowała (w tym przypadku kontakt bezpośredni nie wiązał się jednak z praktycznie żadnymi kosztami). Rezygnacja z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności Spółki. Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych).
Zgodnie z art. 83 rozporządzenia 2016/679 – określającym ogólne warunki nakładania administracyjnych kar pieniężnych - każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (ust. 1).
Decydując czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejszy Prezes UODO uznał umyślny charakter naruszenia, czyli świadome podjęcie decyzji o nierealizowaniu obowiązku informacyjnego. Niezwykle istotne jest także to, że decyzja ta miała i ma wpływ na bardzo dużą ilość osób, wobec których obowiązek informacyjny nie został spełniony. Znaczenie mają także konsekwencje niespełniania tego obowiązku jakimi są: niewiedza osób, których dane dotyczą o procesach przetwarzania ich danych oraz o możliwości skorzystania z przysługujących im praw zagwarantowanych przepisami rozporządzenia 2016/679. Także czas trwania naruszenia ocenić należy negatywnie mając na uwadze termin wejścia w życie rozporządzenia 2016/679 i termin rozpoczęcia jego stosowania. Znaczenie w tej sprawie ma także to, że naruszenie dotyczy – zgodnie z art. 83 ust. 5 lit b rozporządzenia 2016/679 – jednego z podstawowych praw osób, do którego zastosowanie ma wyższa kwota administracyjnej kary pieniężne.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy uznać, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka dostosuje swoje procesy przetwarzania danych do stanu zgodnego z prawem. Wysokość kary powinna być na tyle duża, żeby Spółka, jako ukarany podmiot nie wkalkulowała jej w koszty swojej działalności. Ponadto skuteczność tego rodzaju środka powinna wiązać się dla administratora, jakim jest Spółka, z dolegliwością finansową, niewątpliwą w przypadku podmiotu prowadzącego działalność czysto komercyjną, motywującego swoje działania (w tym również te związane ze stwierdzonym naruszeniem) chęcią powiększenia swoich zysków czy też uniknięcia dodatkowych, niepotrzebnych w jego ocenie, kosztów czy nakładów finansowych. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Spółka będąc świadomą istnienia naruszenia, nie podjęła ani nawet nie zadeklarowała podjęcia, żadnych działań mających na celu jego usunięcie.
W ocenie Prezesa UODO zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie biorąc pod uwagę znaczą wagę naruszenia, liczbę podmiotów danych objętych naruszeniem i czas trwania naruszenia. Wskazuje na to Prezes UODO po dokonaniu wnikliwego i szczegółowego odniesienie się w niniejszej decyzji do wszystkich przesłanek, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679.
Odstraszający charakter kary pieniężnej wiąże się z zapobieganiem popełniania naruszeń przez karanie za ich popełnienie. Kara ma odstraszać zarówno Spółkę, przed ponownym naruszeniem, jak i inne podmioty. Nakładając niniejszą decyzją karę pieniężną za naruszenie przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych wziął pod uwagę oba aspekty: po pierwsze – charakter represyjny, Spółka naruszyła przepisy, po drugie – charakter prewencyjny, zarówno Spółka jak i inni administratorzy będą skutecznie zniechęceni do naruszania w przyszłości prawa ochrony danych osobowych.
Celem nałożonej kary jest doprowadzenie do wykonania przez Spółkę obowiązku wynikającego z art. 14 ust. 1-3 rozporządzenia 2016/679, a w konsekwencji przetwarzania danych zgodnie z przepisami o ochronie danych osobowych.
W ustalonych okolicznościach niniejszej sprawy, tj. wobec stwierdzenia naruszenia obowiązku wynikającego z art. 14 ust. 1-3 rozporządzenia 2016/679, zastosowanie znajdzie art. 83 ust. 5 lit. b rozporządzenia 2016/679, zgodnie z którym naruszenia przepisów dotyczących praw osób, których dane dotyczą (w tym prawa do uzyskania informacji, o których mowa w art. 14 ust. 1 i 2 tego rozporządzenia), podlegają a administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 103 Ustawy równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 5 lit. b rozporządzenia 2016/679, w związku z art. 103 Ustawy, za naruszenie opisane w sentencji niniejszej decyzji, wymierza Spółce – stosując średni kurs euro z dnia 28 stycznia 2019 r. (1 EUR = 4.2885 PLN) – administracyjną karę pieniężną w kwocie 943.470,00 PLN (co stanowi równowartość 220 000 EUR).
W ocenie Prezesa UODO, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – rzetelności i przejrzystości oraz prawa do informacji.
Odnosząc się do zasady przejrzystości – ustanowionej mocą art. 5 ust. 1 lit. a rozporządzenia 2016/679, zgodnie z którym dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą – wskazać trzeba, że ma ona kluczowe znaczenie dla rzetelnego przetwarzania danych osobowych, zwłaszcza w kontekście istotnego rozbudowania mocą przepisów rozporządzenia 2016/679 obowiązków dotyczących informowania podmiotów danych i umożliwienia osobom, których dane dotyczą realizacji ich uprawnień. Jednym z aspektów obowiązków informacyjnych wynikających z zasady przejrzystości jest aspekt formalny dotyczący wykonania obowiązku informacyjnego (w tym z art. 14 rozporządzenia 2016/679) w ogóle, a także wypełnienie tego w odpowiednim czasie i formie. Spełnienie obowiązku informacyjnego zgodnie z zasadą przejrzystości ma na celu uświadomienie osobom, których dane dotyczą ryzyk, zasad, zabezpieczeń, i praw związanych z przetwarzaniem danych osobowych oraz sposobów wykonania praw związanych z przetwarzaniem.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 1302, t. j. z dnia 2018.07.05). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000.