DKE.561.27.2022
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 zdnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iwsprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią E. B. prowadzącą działalność gospodarczą pod firmą S. z siedzibą w B., Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia Pani E. B. prowadzącej działalność gospodarczą pod firmą S z siedzibą w B. przy ul. (…) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych wzwiązku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.
Uzasadnienie
Stan faktyczny
- Do Urzędu Ochrony Danych Osobowych (zwanego dalej również „UODO”) wpłynęła skarga Pani A. C. (zwana dalej „Skarżącą”) zam. w B. przy ul. (…) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Panią E. B. prowadzącą działalność gospodarczą pod firmą S z siedzibą w B. przy ul. (…) (zwaną dalej: „Przedsiębiorcą”) polegające na niespełnieniu żądania Skarżącej na podstawie art. 15 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”).
- Celem rozpatrzenia skargi, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie administracyjne o sygnaturze DS.523.2584.2022 w ramach którego, na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – pismem z 20 maja 2022 r. oraz pismem z 29 lipca 2022 r. – wezwał Przedsiębiorcę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień:
1) czy, a jeśli tak, to na jakiej podstawie prawnej, w jakim celu i w jakim zakresie Przedsiębiorca przetwarza dane osobowe Skarżącej;
2) czy do Przedsiębiorcy wpłynęło żądanie Skarżącej dostępu do jej danych osobowych na podstawie art. 15 ust. 1 RODO oraz otrzymania kopii tych danych na podstawie art. 15 ust. 3 RODO w szczególności danych utrwalonych za pomocą monitoringu oraz nagrań rozmów, jeżeli tak to jakie było stanowisko Przedsiębiorcy wobec powyższego (kopię odpowiedzi na żądanie Skarżącej proszę przesłać do Urzędu Ochrony Danych Osobowych).
Oba pisma doręczone Przedsiębiorcy odpowiednio: 25 maja 2022 r. oraz 18 sierpnia 2022 r. pozostały bez odpowiedzi. Pismo z 29 lipca 2022 r. zawierało pouczenie, że brak złożenia wyjaśnień w sprawie będzie stanowić naruszenie obowiązku współpracy z organem nadzorczym jakim jest Urząd Ochrony Danych Osobowych a w konsekwencji Prezes UODO może rozważyć nałożenie administracyjnej kary pieniężnej na podstawie art. 83 ust 5 lit. e) Rozporządzenia 2016/679.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej prowadzonej pomiędzy Przedsiębiorcą a Prezesem UODO, znajdującej się w aktach postępowania o sygnaturze DS.523.2584.2022. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze DS.523.2584.2022, a z drugiej strony – reakcję Przedsiębiorcy na żądania Prezesa UODO.
- W związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz nieudzieleniem informacji niezbędnych Prezesowi UODO do realizacji tych zadań, Prezes UODO wszczął z urzędu wobec Przedsiębiorcy postępowanie administracyjne (o sygnaturze DKE.561.27.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorcę poinformowano pismem z 6 października 2022 r., doręczonym 10 października 2022 r. Pismem tym, wezwano Przedsiębiorcę – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2021 r.
- W odpowiedzi na wszczęcie postępowania administracyjnego o sygnaturze DKE.561.27.2022, Przedsiębiorca pismem z 24 października 2022 r. udzielił wyjaśnień. Poinformował, że nigdy nie otrzymał pisma z 29 lipca 2022 r. Brak współpracy z Prezesem UODO, Przedsiębiorca uzasadniał nałożeniem się szeregu okoliczności, na które nie miał wpływu. Wyjaśniał, że w dniu otrzymania pisma z 20 maja 2022 r. przebywał na urlopie poza granicami kraju. Pismo odebrał pracownik, który nie był upoważniony do złożenia wyjaśnień w imieniu Przedsiębiorcy. Po powrocie z urlopu, trudna sytuacja rodzinna zmusiła Przedsiębiorcę do zaangażowania większości czasu w sprawowanie opieki nad niepełnosprawną babcią. Powyższe spowodowało uchybienie terminowi na udzielenie żądanych przez Prezesa UODO wyjaśnień.Przedsiębiorca poprosił o odstąpienie od nałożenia kary pieniężnej. Przedstawił jednocześnie sprawozdanie finansowe za rok 2021.
- Pismem z 8 listopada 2022 r. Przedsiębiorca udzielił Prezesowi UODO dodatkowych wyjaśnień. Poinformował w nim, że otrzymał pismo od Skarżącej w sprawie uzyskania dostępu do jej danych osobowych oraz otrzymania kopii tych danych. Przedsiębiorca nie udzielił jednak Skarżącej odpowiedzi, gdyż jak wyjaśniał, nigdy nie przetwarzał jej danych osobowych oraz nie nagrywał jej wizerunku. Zatem nie był w stanie przekazać kopii danych osobowych Skarżącej. Przedsiębiorca pismem z 8 listopada 2022 r. sprostował informację o nieodebraniu pisma z 29 lipca 2022 r.
- Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Uzasadnienie prawne
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 na swoim terytorium monitoruje iegzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów tego aktu prawnego (art. 57 ust. 1 lit. h) a w szczególności rozpatruje skargi wniesione przez osoby, których dane dotyczą i prowadzi postępowania w przedmiocie tych skarg stosownie do treści art. 57 ust. 1 lit. f) Rozporządzenia 2016/679.
- Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
- Naruszenie przepisów Rozporządzenia 2016/679 związane z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań skutkujące naruszeniem art. 31 Rozporządzenia 2016/679 podlega – zgodnie z art. 83 ust. 4 lit. a) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa
- Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do wszelkich danych osobowych i informacji, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 podlega zaś – zgodnie zart. 83 ust. 5lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej wwysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku stwierdzenia naruszenia przepisów Rozporządzenia 2016/679, w tym przepisów art. 31 i art. 58 ust. 1 lit. a) i e) tego aktu prawnego.
- Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
- Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Przedsiębiorca, jako strona postępowania o sygnaturze DS.523.2584.2022, poprzez nieudzielenie wyjaśnień do rozstrzygnięcia sprawy o sygn. DS.523.2584.2022, naruszył wynikający z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679 - obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań. W tym przypadku informacjami niezbędnymi dla kontynuowania postępowania było ustosunkowanie Przedsiębiorcy do treści złożonej skargi i przedstawienie wyjaśnień w postaci odpowiedzi na pytania Prezesa UODO zawarte w piśmie z 20 maja 2022 r. i powtórzone w piśmie z 29 lipca 2022 r. Pomimo odbioru korespondencji przez Przedsiębiorcę, na żadne z wystosowanych pism (z 20 maja 2022 r. oraz 29 lipca 2022 r.) Prezes UODO nie otrzymał odpowiedzi. Powyższe spowodowało konieczność wszczęcia postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. W rezultacie Przedsiębiorca niezwłocznie podjął współpracę z Prezesem UODO i pismami z 24 października 2022 r. oraz 8 listopada 2022 r. złożył wyjaśnienia w postępowaniu o sygnaturze DS.523.2584.2022. Poinformował też o przyczynach wcześniejszego braku reakcji na wezwania organu. Złożone wyjaśnienia pozwoliły na dalsze prowadzenie czynności w ww. sprawie.
- Opisane wyżej postępowanie Przedsiębiorcy, polegające na braku reakcji na kierowane do niego wezwania Prezesa UODO, wyczerpuje ponadto – poza naruszeniem art. 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679 – znamiona naruszenia art. 31 tego rozporządzenia, który to artykuł nakłada na administratora i podmiot przetwarzający obowiązek współpracy z organem nadzorczym – na jego żądanie – w ramach wykonywania przez niego jego zadań. W ocenie Prezesa UODO nie ma wątpliwości, że przez pewien czas (od momentu odebrania pismaz 20 maja 2022 r. do momentu udzielenia odpowiedzi pismem z 24 października 2022 r.) w postępowaniu o sygnaturze DS.523.2584.2022 nie można było mówić o współpracy ze strony Przedsiębiorcy, pomimo kierowanych do niego wezwań. Wezwania te w istocie formułowały „żądanie” organu nadzorczego, o którym mowa w art. 31 Rozporządzenia 2016/679. Przedstawione przez Przedsiębiorcę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego odpowiedzialności za stwierdzone zaniechanie. Jednakże wskazane przez Przedsiębiorcę przyczyny braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Przedsiębiorcy, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji.
- W przedmiotowym stanie faktycznym, w rezultacie wszczęcia niniejszego postępowania, nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Przedsiębiorcy z Prezesem UODO. Okoliczności sprawy, a w szczególności wyrażona gotowość Przedsiębiorcy do współdziałania z Prezesem UODO, pozwala wnioskować, że jego początkowa bezczynność nie była celowa. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa jej wymierzenia stały się dla Przedsiębiorcy wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.
- Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym, każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 1 i 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 1 i 2 Rozporządzenia 2016/679.
- W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.
Pouczenie
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.