DKE.561.22.2021

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 31 i art. 58 ust. 1 lit. a) i lit. e) w związku z art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na D. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych,

udziela upomnienia D. Sp. z o.o. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.) zwanego dalej „rozporządzeniem 2016/679”, polegającego na braku współpracy z Prezesem UODO w ramach wykonywania przez ten organ jego zadań oraz nieudzielaniu informacji niezbędnych Prezesowi UODO do realizacji jego zadań.

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana J. S. (zwanego dalej: „Skarżącym”), na nieprawidłowości w procesie przetwarzania jej danych osobowych, przez D.  Sp. z o.o. (zwanej dalej „Spółką”).

Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. […]), pismem z […] września 2020 r. zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na następujące szczegółowe pytania dotyczące sprawy:

  1. z jakiego źródła, na jakiej podstawie prawnej (proszę wymienić konkretne przepisy prawa), w jakim celu (proszę wymienić wszystkie aktualnie realizowane cele) i zakresie (proszę wymienić wszystkie kategorie danych) Spółka D. pozyskała dane osobowe Skarżącego,
  2. czy aktualnie Spółka D. przetwarza dane osobowe Skarżącego, a jeśli tak, to, na jakiej podstawie prawnej (proszę wymienić konkretne przepisy prawa), w jakim celu (proszę wymienić wszystkie aktualnie realizowane cele) i zakresie (proszę wymienić wszystkie kategorie danych);
  3. czy Spółka D. spełniła wobec Skarżącego obowiązek informacyjny w związku z przetwarzaniem jego danych osobowych;
  4. czy, a jeśli tak, to na jakiej podstawie prawnej (proszę wymienić konkretne przepisy prawa), w jakim celu (proszę wymienić wszystkie aktualnie realizowane cele) i zakresie (proszę wymienić wszystkie kategorie danych), Spółka D. udostępniła dane osobowe Skarżącego innemu podmiotowi, a w szczególności czy zostały one udostępnione Spółce L. (proszę o wymienienie wszystkich podmiotów, którym udostępniono dane osobowe Skarżącego);
  5. czy Spółka D. zawarła umowę powierzenia przetwarzania danych osobowych ze Spółką L. (proszę o nadesłanie kopii ewentualnej umowy po usunięciu z niej informacji stanowiących tajemnicę przedsiębiorstwa);
  6. czy Skarżący zwrócił się do Spółki D. z żądaniem usunięcia jego danych osobowych, a jeżeli tak, to czy żądanie to zostało uwzględnione oraz w jaki sposób zrealizowane;
  7. czy Skarżący zwracał się do Spółki D. z żądaniem udzielenia mu informacji na temat podmiotów, którym udostępniono jego dane osobowe, a jeżeli tak, to czy żądanie to zostało uwzględnione oraz w jaki sposób zrealizowane.

Prezes UODO kierował do Spółki wezwania do udzielenia wyjaśnień w tej sprawie także pismami z: […] grudnia 2020 r., […] stycznia 2021 r., […] marca 2021 r. Pismo z […] grudnia 2020 r. zostało odebrane przez Spółkę […] grudnia 2020 r., a pismo z […] stycznia 2021 r. zostało odebrane […] stycznia 2021 r. Natomiast, pismo z […] marca 2021 r. nie zostało odebrane przez Spółkę. Powyższe pismo po dwukrotnym awizowaniu […] marca 2021 r. i […] marca 2021 r. wróciło do Urzędu Ochrony Danych Osobowych z adnotacją „Zwrot nie podjęto w terminie”, w związku, z czym zostało uznane za doręczone Spółce zgodnie z art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) (zwanej dalej „k.p.a.”).

Pismem […] listopada 2020 r. Spółka wprawdzie udzieliła Prezesowi UODO odpowiedzi na ww. pytania, jednakże pismo to nie spełniało wymogów formalnych określonych w art. 63 k.p.a., to jest nie było opatrzone własnoręcznym podpisem i nie zostało złożone w postaci dokumentu elektronicznego przez Elektroniczną Platformę Usług Administracji Publicznej (ePUAP). Natomiast, pismem z […] stycznia 2021 r. Spółka udzieliła Prezesowi UODO dodatkowych wyjaśnień, jednakże wyjaśnienia te nie odnosiły się do pisma Spółki z […] listopada 2021 r. tylko do nieznanego Prezesowi UODO pisma z […] grudnia 2020 r. Zatem, konieczne było dalsze wezwanie Spółki – pismami z: […] maja 2021 r., […] lipca 2021 r. – do uzupełniła braków formalnych polegających na opatrzenie własnoręcznym podpisem pisma z […] listopada 2020 r. bądź złożenia tego pisma w postaci dokumentu elektronicznego przez Elektroniczną Platformę Usług Administracji Publicznej (ePUAP).

Pisma te przesłane zostały Spółce już za pośrednictwem elektronicznej Platformy Usług Administracji Publicznej (ePUAP) na adres indywidualnej skrzynki podawczej Spółki, to jest skrytkę […] - zgodnie z wolą Spółki wyrażoną w piśmie z […] marca 2021 r. Pismo z […] maja 2021 r. uznane zostało za doręczone Spółce […] maja 2021 r., co potwierdza wygenerowane automatycznie przez system urzędowe poświadczenie doręczenia […] przedmiotowej korespondencji. Natomiast pismo z […] lipca 2021 r. uznane zostało za doręczone Spółce […] lipca 2021 r., co potwierdza wygenerowane automatycznie przez system urzędowe poświadczenie doręczenia […] przedmiotowej korespondencji. Wezwania kierowane do Spółki pismami z: […] maja 2021 r. i […] lipca 2021 r. pozostały już bez odpowiedzi.

W piśmie z […] lipca 2021 r. Spółka pouczona została, że brak odpowiedzi na wezwania Prezesa UODO skutkować może – zgodnie z art. 83 ust. 5 lit. e) w zw. z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – nałożeniem na Spółkę administracyjnej kary pieniężnej.

W związku z nieudzieleniem przez Spółkę kompletnych i szczegółowych informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], zainicjowanej skargą Skarżącego, Prezes UODO wszczął z urzędu wobec Spółki – w oparciu o art. 83 ust. 5 lit. e) rozporządzenia 2016/679, w związku z naruszeniem przez Spółkę art. 31 oraz art. 58 ust. 1 lit. a) i lit e) rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (pod sygn. DKE.561.22.2021). O wszczęciu postępowania administracyjnego i zebraniu materiału dowodowego w sprawie Spółka poinformowana została pismem z […] sierpnia 2021 r. Pismem tym Spółka wezwana została także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego Spółki za rok 2020 lub – w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2020 r. Spółka pouczona została także, że w przypadku nieprzedstawienie ww. dokumentów Prezes UODO ustali wymiar kary w sposób szacunkowy. W ww. piśmie Spółka pouczona została także o tym, że jeżeli udzieli wyczerpujących wyjaśnień w postępowaniu o sygn. […], do udzielenia, których wezwał Prezes UODO oraz uzasadni wcześniejszy brak odpowiedzi na te wezwania, okoliczność ta w postępowaniu o sygn. […] może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej lub też może spowodować odstąpienie od jej nałożenia.

W reakcji na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, Spółka złożyła wyczerpujące wyjaśnienia, które pozwoliły Prezesowi UODO prowadzenie dalszego postępowania w sprawie o sygn. […].

Ponadto, pismem z […] sierpnia 2021 r. Spółka wyjaśniła, że:

  1. Pan T. D., wspólnik Spółki, jako jedyny uprawniony w Spółce do odbioru korespondencji za pośrednictwem elektronicznej Platformy Usług Administracji Publicznej (ePUAP) ze skrzynki: […], pisma z […] maja 2021 r. i […] lipca 2021 r. wzywające Spółkę do uzupełniła braków formalnych polegających na opatrzenie własnoręcznym podpisem pisma z […] listopada 2020 r. bądź złożenia tego pisma w postaci dokumentu elektronicznego przez Elektroniczną Platformę Usług Administracji Publicznej (ePUAP), nie mógł ich odebrać w terminie z uwagi na brak dostępu do skrzynki: […] elektronicznej Platformy Usług Administracji Publicznej (ePUAP).
  2. Powodem braku dostępu do ww. skrzynki było zatrzymanie Pana T. D. w sprawie o sygn. […] i osadzenie w Areszcie Śledczym w L., w dniach od […] kwietnia 2021 r. do […] lipca 2021 r. w charakterze osoby podejrzanej na podstawie Postanowienia Prokuratora Prokuratury Rejonowej w K. z  […] kwietnia 2021 r.
  3. Pan T. D. na podstawie Postanowienia Prokuratora Prokuratury Rejonowej w L. z […] lipca 2021 r. o sygn. akt […] został zwolniony z Aresztu Śledczego w L. Natomiast, świadectwo zwolnienia z Aresztu Śledczego w L. z […] lipca 2021 r. potwierdza także, że w dniach od […] kwietnia 2021 r. do […] lipca 2021 r. Pan T. D. był pozbawiony wolności.
  4. Pozbawienie wolności Pana T. D. w ww. dniach spowodowało, że nie mógł on odbierać od Prezesa UODO korespondencji kierowanej do Spółki za pośrednictwem elektronicznej Platformy Usług Administracji Publicznej (ePUAP), a co za tym uczestniczyć w czynnościach związanych ze sprawą Skarżącego.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)).

Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania.

Naruszenie przepisów rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega – zgodnie z art. 83 ust 5 lit e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast, naruszenie przepisów rozporządzenia 2016/679, polegające na braku woli współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31), podlega zaś – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisu art. 31 w związku z art. 58 ust. 1 lit. e) rozporządzenia 2016/679.

Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – administrator danych osobowych Skarżącego Pana J. S., – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. […], niewątpliwe naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia  sprawy.

Jednakże w odpowiedzi na informację o wszczęcie postępowania administracyjnego w sprawie o sygnaturze DKE.561.22.2021.DS, Spółka złożyła wyjaśnienia pozwalające Prezesowi UODO prowadzenie dalszego postępowania w sprawie o sygn. […].

Zdaniem Prezesa UODO, działania Spółki z pewnością skutkowały brakiem dostępu do dowodów wskazujących na legalność i zgodność z prawem przetwarzania przez Spółkę danych osobowych Skarżącego. Przedstawione przez Spółkę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego odpowiedzialności za stwierdzone zaniechanie. Jednakże wskazane przez Spółkę przyczyny braku współpracy z organem nadzorczym należało uwzględnić, jako wiarygodne oraz mające istotny wpływ na ocenę zachowania tej Spółki, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji.

W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny. Wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak reakcji Spółki na wezwania zarówno do złożenia wyjaśnień, jak i uzupełnienia braków formalnych polegających na opatrzenie własnoręcznym podpisem pisma z […] listopada 2020 r. bądź złożenia tego pisma w postaci dokumentu elektronicznego przez Elektroniczną Platformę Usług Administracji Publicznej (ePUAP), nie było celowe.

W toku niniejszego postępowania Spółka wyraziła chęć współpracy z Prezesem UODO w celu usunięcia naruszenia polegającego w szczególności na udzieleniu wyjaśnień w zakresie, w którym doszło do udaremnienia prowadzenia postępowania o sygn. […], uzasadniając brak tej współpracy m.in. pozbawieniem wolności Pana T. D. w dniach od […] kwietnia 2021 r. do […] lipca 2021 r., jako jedynej uprawnionej w Spółce osoby do odbioru korespondencji za pośrednictwem elektronicznej Platformy Usług Administracji Publicznej (ePUAP) ze skrzynki: […], co spowodowało brak możliwości odbioru pism z: […] maja 2021 r. i […] lipca 2021 r. oraz uczestniczenia w czynnościach związanych ze sprawą Skarżącego.

W ocenie organu nadzorczego, następcza, aktywa postawa Spółki wskakuje na gotowość do dalszego z nim współdziałania. W tym miejscu, wskazać również należy, że samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzania kary finansowej stały się dla Spółki wyraźnym sygnałem tego, że dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami sankcji. Celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje, że o wszelkich przeszkodach uniemożliwiających Spółce terminowe wywiązywanie się z obciążających go względem organu ochrony danych obowiązków, Spółka powinna informować niezwłocznie, w chwili ich zaistnienia.

Prezes UODO uznał, że w tej sprawie udzielenie upomnienia, w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679, będzie wystarczające, i co najmniej tak samo „skuteczne, proporcjonalne i odstraszające” jak wymierzenie kary pieniężnej (vide art. 83 ust. 1 rozporządzenia 2016/679).

Należy także zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.

W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2021-09-06
Wprowadził informację:
user Anna Pachla
date 2021-11-02 15:30:04
Ostatnio modyfikował:
user Edyta Madziar
date 2021-12-03 11:45:48