DKE.561.25.2022
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 31 i 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 zdnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iwsprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na W. Sp. z o.o. z siedzibą w K. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia W. Sp. z o.o. z siedzibą w K. przy ul. (…), za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) zwanego dalej „rozporządzeniem 2016/679”, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.
Uzasadnienie
Stan faktyczny
- Do Urzędu Ochrony Danych Osobowych (dalej: „UODO”) wpłynęła skarga Pana P. C. zam. w K. przy ul. (…) (zwanego dalej: „Skarżącym”), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez W. Sp. z o.o. z siedzibą w K. przy ul. (…) (zwaną dalej „Spółką”), polegające na przetwarzaniu danych Skarżącego w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail oraz imienia jego żony.
- Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. DS.523.2405.2021), pismem z 21 lipca 2021 r. zwrócił się do Spółki o ustosunkowanie do treści skargi oraz o udzielenie odpowiedzi na następujące pytania:
1) czy Spółka przetwarza dane osobowe Skarżącego w zakresie imienia i nazwiska, adresu zamieszkania, adresu e-mail oraz imienia jego żony, a jeśli tak, to na jakiej podstawie prawnej w jakim celu;
2) kiedy Spółka pozyskała dane osobowe Skarżącego w zakresie imienia i nazwiska, adresu zamieszkania, adresu e-mail oraz imienia jego żony, z jakiego źródła, na jakiej podstawie prawnej i w jakim celu;
3) czy do Spółki wpłynęły wnioski Skarżącego o udzielenie informacji dotyczących przetwarzania jego danych osobowych przez Spółkę, a jeśli tak, proszę podać daty tych wniosków (w szczególności czy z dnia 3 września 2020 r. z dnia 22 września 2020 r. oraz z dnia 4 grudnia 2020 r.), a także kiedy i w jaki sposób Spółka się do nich ustosunkowała – proszę o przesłanie kopii wniosków i kopii odpowiedzi, jeśli zostały udzielone;
4) czy Skarżący zwrócił się do Spółki z wnioskiem o usunięcie jego danych osobowych w zakresie imienia i nazwiska, adresu zamieszkania, adresu e-mail oraz imienia jego żony, a jeśli tak, to kiedy (w szczególności czy dnia 4 grudnia 2020 r.), a także kiedy i w jaki sposób Spółka ustosunkowała się do żądania Skarżącego – jeśli usunęła jego dane osobowe, to kiedy to nastąpiło.
- Spółka w odpowiedzi złożyła wyjaśnienia pismem z 10 sierpnia 2021 r. Poinformowała, że na podstawie umowy z (…) o zarządzanie nieruchomością wspólną jest zarządcą nieruchomości położonej przy ul. (…) w K., na której znajduje się lokal Skarżącego i jego żony. Spółka działa w imieniu i na rzecz wspólnoty mieszkaniowej ww. nieruchomości. W związku z powyższym, Spółka pozyskała i przetwarza dane osobowe Skarżącego w zakresie imienia, nazwiska adresu zamieszkania, adresu e-mail oraz imienia jego żony w celu wykonania umowy o zarządzanie nieruchomością wspólną z (…). Zakres przedmiotowy tej umowy polega min. na prowadzeniu ewidencji opłat i zaliczek na pokrycie kosztów zarządu nieruchomością wspólną, windykację zalegających opłat, prowadzenie korespondencji, przygotowanie dokumentów umożliwiających sądową windykację. Do Spółki nie wpłynęły wnioski Skarżącego o udzielenie informacji dotyczących przetwarzania jego danych osobowych. Pisma Skarżącego z 3 września 2020 r. oraz 22 września 2020 r. dotyczyły zaliczek na pokrycie kosztów zarządu nieruchomością wspólną.
- Przesłane pismo Spółki z 10 sierpnia 2021 r. nie spełniało wymogów formalnych dla podań określonych w art. 63 § 2 Kpa – zostało podpisane tylko przez Pana K. I. – Wiceprezesa Zarządu Spółki, podczas gdy zgodnie ze sposobem reprezentacji opisanym w Krajowym Rejestrze Sądowym, Spółkę reprezentuje dwóch członków zarządu łącznie lub członek zarządu łącznie z prokurentem. Pismami z 18 stycznia 2022 r. oraz 14 kwietnia 2022 r. Prezes UODO wezwał Spółkę do uzupełnienia braków formalnych. Wskazywał na dostarczenie pełnomocnictwa udzielonego Panu K. I. do reprezentowania Spółki w postępowaniu przed UODO na dzień złożenia wyjaśnień lub alternatywnie, dostarczenie pisemnych wyjaśnień opatrzonych podpisami osób uprawnionych do reprezentacji Spółki zgodnie z treścią wpisu w Krajowym Rejestrze Sądowym. Oba pisma nie zostały przez Spółkę odebrane. Po dwukrotnym awizowaniu wróciły do UODO 18 lutego 2022 r. oraz 17 maja 2022 r. z adnotacją: „Zwrot – adresat nie podjął przesyłki w terminie”, w związku z czym pisma zostały uznane za doręczone Spółce zgodnie z art. 44 § 4 Kpa.
- W piśmie z 14 kwietnia 2022 r. Spółka pouczona została, że brak wyczerpującej odpowiedzi na wezwanie skutkować może w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 4 lit. a) lub art. 83 ust 5 lit. b) rozporządzenia 2016/679 – administracyjnej kary pieniężnej.
- W związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz nieudzieleniem informacji niezbędnych Prezesowi UODO do realizacji tych zadań, Prezes UODO wszczął z urzędu wobec Spółki niniejsze postępowanie administracyjne (o sygnaturze DKE.561.25.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679. O wszczęciu postępowania Spółkę poinformowano pismem z 2 września 2022 r. - doręczonym 7 września 2022 r. Pismem tym wezwano Przedsiębiorcę – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2021 r.
- W piśmie z 2 września 2022 r. zawarte było pouczenie o możliwości nałożenia na Spółkę – w przypadku braku wyczerpującej odpowiedzi na to wezwanie – administracyjnej kary pieniężnej na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679 w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań (art. 31 rozporządzenia 2016/679) oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań (art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679). Spółka została pouczona także o tym, że jeżeli udzieli wyjaśnień, o które Prezes UODO zwracał się pismem z 21 lipca 2021 r. w postępowaniu o sygn. DS.523.2405.2021 lub uzupełni braki formalne swojego pisma z 10 sierpnia 2021 r., okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej lub też może spowodować odstąpienie od jej nałożenia.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się w aktach postępowania o sygnaturze DS.523.2405.2021. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze DS.523.2405.2021, a z drugiej strony – reakcję Spółki na żądania Prezesa UODO.
- W odpowiedzi na pismo Prezesa UODO o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, Spółka złożyła wyjaśnienia pismem z 5 października 2022 r. Spółka poinformowała o podjęciu uchwały 17 września 2022 r. przez Nadzwyczajne Zgromadzenie Wspólników Spółki w sprawie zmiany umowy spółki w zakresie sposobu reprezentacji. Paragraf (…) umowy spółki otrzymał brzmienie: „Zarząd składa się z dwóch do pięciu osób, w tym z Prezesa i Wiceprezesa. Spółkę reprezentuje każdy członek zarządu samodzielnie z tym, że do zawierania umów kredytu, pożyczek, leasingu wymagane jest współdziałanie dwóch członków zarządu albo członka zarządu wraz z prokurentem.” Spółka dołączyła również pisemne wyjaśnienia (pismo z 26 września 2022 r.) podpisane przez osobę uprawnioną do samodzielnego reprezentowania Spółki – Pana K. I. Wiceprezesa Zarządu Spółki. Dodatkowo Spółka przedstawiła kopię uchwały Nadzwyczajnego Zgromadzenia Wspólników Spółki z 17 września 2022 r. oraz kopię sprawozdania finansowego za 2021 r. Zdając sobie sprawę z braku współpracy z Prezesem UODO, Spółka poprosiła o uwzględnienie przedstawionych ww. wyjaśnień i odstąpienie od nałożenia administracyjnej kary pieniężnej.
- Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.
Uzasadnienie prawne
- Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania.
- Naruszenie przepisów rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega – zgodnie z art. 83 ust 5 lit e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast, naruszenie przepisów rozporządzenia 2016/679, polegające na braku woli współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31), podlega – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisu art. 31 w związku z art. 58 ust. 1 lit. e) rozporządzenia 2016/679. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
- Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka – zarządzająca w imieniu wspólnoty mieszkaniowej danymi osobowymi Skarżącego i jego żony, – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. DS.523.2405.2021, poprzez brak złożenia wyjaśnień (pismo nie spełniało wymogów formalnych) niewątpliwe naruszyła obowiązek współpracy i zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy o sygn. DS.523.2405.2021. Prezes UODO, celem ustalenia stanu faktycznego sprawy o sygn. DS.523.2405.2021, dwukrotnie zwrócił się do Spółki z żądaniem uzupełnienia braków formalnych pisma. Na żadne z przesłanych pism datowanych na 18 stycznia 2022 r. i 14 kwietnia 2022 r. nie otrzymał odpowiedzi. Powyższe spowodowało konieczność wszczęcia postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygn. DKE.561.25.2022). W rezultacie, Spółka podjęła współpracę z Prezesem UODO. Spółka pismem z 26.09.2022 r. złożyła wyjaśnienia (o identycznej treści jak pismo z 10 sierpnia 2021 r.) zachowując przy tym wymogi formalne dla podań określonych w art. 63 § 2 Kpa. Pozwoliło to Prezesowi UODO na dalsze prowadzenie postępowania w sprawie o sygn. DS.523.2405.2021. W związku z tym należy uznać, że z chwilą dostarczenia do UODO pełnych wyjaśnień Spółki, to jest 19 października 2022 r., ustał stan naruszenia przepisów rozporządzenia 2016/679 będący przedmiotem niniejszego postępowania.
- W ocenie Prezesa UODO nie budzi wątpliwości fakt, że Spółka swoim zachowaniem dopuściła się naruszenia przepisów rozporządzenia 2016/679. Działania Spółki skutkowały brakiem dostępu do dowodów niezbędnych do merytorycznego rozstrzygnięcia sprawy Skarżącego przez okres od sierpnia 2021 r. do października 2022 r. tj. od terminu wymagalności złożenia wyjaśnień wskazanego w piśmie z 21 lipca 2021 r. do dnia dostarczenia wyjaśnień spełniających wymogi formalne. Uzyskanie przez Prezesa UODO wyjaśnień od Spółki, nie zdejmuje z niej odpowiedzialności za wcześniejsze zaniechanie, które polegało na dwukrotnym uchylaniu się od uzupełnienia braków formalnych pisma z 10 sierpnia 2021 r. Jednakże przedstawienie wyjaśnień przez Spółkę należało uwzględnić, jako mające istotny wpływ na ocenę zachowania Spółki w kontekście wyboru zastosowanej wobec niej w niniejszym postępowaniu sankcji.
- W przedmiotowym stanie faktycznym, w rezultacie wszczęcia niniejszego postępowania, nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. Okoliczności sprawy, a w szczególności późniejsza postawa Spółki, pozwalają wnioskować, że jej początkowa opieszałość nie wynikała ze złej woli, ani nie miała na celu świadomego utrudnienia postępowania. Przeciwnie – następcza, aktywna postawa Spółki wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Spółki wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami, sankcji.
- Prezes UODO uznał, że w tej sprawie udzielenie upomnienia, w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679, będzie wystarczające, i co najmniej tak samo „skuteczne, proporcjonalne i odstraszające” jak wymierzenie kary pieniężnej (vide art. 83 ust. 1 rozporządzenia 2016/679).
- Należy także zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Pouczenie
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.