DKE.561.27.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 735 z późn. zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 31 oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na A. sp. z o. o., Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia A. sp. z o. o. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań w postępowaniu o sygn. […].
Uzasadnienie
W prowadzonym przez Prezesa UODO postępowaniu o sygn. [...], podjętym na podstawie informacji o nieprawidłowościach w procesie przetwarzania danych osobowych zawartych w dokumentacji A. Sp. z o. o., polegających na pozostawieniu w/w dokumentacji w zajmowanym uprzednio przez Spółkę lokalu użytkowym w W., pismem z [...] czerwca 2020 roku Prezes UODO wezwał Spółkę do złożenia wyjaśnień w sprawie. Wobec braku odbioru wezwania, zostało ono uznane za doręczone [...] czerwca 2020 roku na zasadzie doręczenia zastępczego z art. 44 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2020 r. poz. 256 z późn. zm.) (dalej „kpa”) – przesyłka dwukrotnie awizowana, nie podjęta w terminie. Spółka nie złożyła wyjaśnień w sprawie.
Prezes UODO, pismem z [...] października 2020 roku ponownie wezwał Spółkę do złożenia wyjaśnień. W piśmie zawarte było pouczenie, że brak złożenia wyjaśnień może skutkować nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.) (dalej „RODO”). Wobec braku odbioru wezwania, zostało ono uznane za doręczone [...] października 2020 roku również na zasadzie doręczenia zastępczego z art. 44 kpa – przesyłka dwukrotnie awizowana, nie podjęta w terminie. Spółka ponownie nie złożyła wyjaśnień w sprawie.
Wyżej opisane ignorowanie korespondencji Prezesa UODO i brak odpowiedzi Spółki na wezwanie do udzielenia wyjaśnień w postępowaniu o sygn. [...], dało podstawę do wszczęcia niniejszego postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) RODO, polegającym na nie wywiązaniu się Spółki z obowiązku zapewnienia Prezesowi UODO informacji niezbędnych do realizacji jego zadań. Zawiadomienie o wszczęciu przedmiotowego postępowania administracyjnego i zebraniu materiału dowodowego z dnia [...] grudnia 2020 roku, zostało doręczone Spółce znów na zasadzie doręczenia zastępczego z art. 44 kpa – przesyłka dwukrotnie awizowana, nie podjęta w terminie. W piśmie wskazano, że jeżeli Spółka udzieli wyczerpujących wyjaśnień w postępowaniu o sygn. [...], do udzielenia których wezwał Prezes UODO, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.
W toku niniejszego postępowania Prezes UODO przesłuchał w charakterze świadków: T. W., sprawującego funkcję [...] w czasie wystąpienia zarzucanego naruszenia ochrony danych osobowych oraz [...], Pana M. P. Zeznania zawierały wyczerpujące informacje. Świadkowie zeznali m. in., co jest istotne w postępowaniu o sygn. [...], że pozostawienie dokumentacji, zawierającej dane osobowe klientów Spółki, wynikał z utraty przez Spółkę posiadania lokalu w W., spowodowanej wymianą zamków, dokonaną przez Wynajmującego, tj. M. W toku niniejszego postępowania Spółka zainicjowała kontakt z Wynajmującym, wzywając go do wydania dokumentów, zawierających dane osobowe klientów Spółki. Korespondencja w tym przedmiocie została przez Spółkę przekazana do wiadomości Prezesa UODO oraz doczekała się odpowiedzi Wynajmującego, który sformułował roszczenia wobec Spółki w zamian za wydanie w/w dokumentów. Dalsze działania Prezesa UODO w tym kontekście, zarówno wobec Spółki jak i Wynajmującego, są przedmiotem postępowania o sygn. [...].
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) RODO, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 RODO – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)). Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 RODO.
Naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i f) RODO, o których mowa powyżej, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający informacji, podlega – zgodnie z art. 83 ust 5 lit e) in fine RODO – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) RODO może uznać za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) RODO. Zgodnie z motywem 148 RODO, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Odnosząc przytoczone powyżej przepisy RODO do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka jako administrator danych osobowych, nie udzielając odpowiedzi na wezwania kierowane do niej w postępowaniu o sygn. [...], naruszyła przepis art. 31 RODO poprzez brak współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, a także art. 58 ust. 1 lit. a) i RODO poprzez brak zapewnienia Prezesowi UODO niezbędnych informacji w sprawie. Prezes UODO dwukrotnie wezwał Spółkę do złożenia wyjaśnień. Brak odbioru tych wezwań wywołał skutek prawny w postaci uznania ich za doręczone zgodnie z art. 44 kpa. Nie jest zaskoczeniem, że żadne z pism nie doczekało się odpowiedzi w zakreślonych terminach 7 dni od daty uznania ich za doręczone, skoro adresat nie zapoznał się z ich treścią. Nie ma jednak wątpliwości co do faktu, że to Spółka odpowiada za organizację odbioru korespondencji, kierowanej zgodnie z adresem ujawnionym w KRS. Rezygnacja z odbioru korespondencji, może powodować negatywne skutki prawne. W niniejszej sprawie brak odpowiedzi na przedmiotowe wezwania skutkował stwierdzeniem braku współpracy z Prezesem UODO i koniecznością wszczęcia niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej.
W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień, nie stwierdzono jednak innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. Okoliczności sprawy pozwalają wnioskować, że brak odpowiedzi Spółki na wezwania Prezesa UODO w postępowaniu o sygn. [...] nie miał charakteru celowego, bowiem w toku niniejszego postępowania Spółka podjęła działania w celu odzyskania dokumentacji i zabezpieczenia danych osobowych jej klientów, informując Prezesa UODO o podejmowanych krokach. Jak już wskazano, dalsze działania Prezesa UODO, zarówno wobec Spółki jak i Wynajmującego, są przedmiotem postępowania o sygn. [...].
W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) RODO, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) RODO.
Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 RODO stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Prezes UODO uznał, że w przedmiotowej sprawie, w świetle kryteriów określonych w art. 83 ust. 2 RODO, wystarczające będzie udzielenie upomnienia.
Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 RODO.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stały w wysokości 200 zł, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 poz. 2325, ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.