DKE.561.33.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023, poz. 775) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r,  poz. 1781) na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 b) w związku z art. 31 oraz art. 58 ust.1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na M.K. prowadzącą działalność gospodarczą pod firmą M. z siedzibą w T. przy ul. (...),  Prezes Urzędu Ochrony Danych Osobowych,

udziela upomnienia M. K. prowadzącej działalność gospodarczą pod firmą M. z siedzibą w T. przy ul. (...) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.) zwanego dalej „Rozporządzeniem 2016/679”, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań w postępowaniu o sygn. DS.523.1537.2022

Uzasadnienie

Stan faktyczny

1. Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani K. T., zam. (...) C. (zwanej dalej "Skarżącą") na nieprawidłowości w procesie przetwarzania jej danych osobowych przez M. K. prowadzącą działalność gospodarczą pod firmą M. z siedzibą w T. przy ul. (...) (zwanej dalej "Przedsiębiorcą"), polegające na udostępnianiu jej danych osobowych osobom nieuprawnionym.

2. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygnaturą DS.523.1537.2022), pismem z 24 marca 2022 roku (o sygn. DS.523.1537.2022) wezwał Przedsiębiorcę do ustosunkowania się do treści skargi i złożenia wyjaśnień w terminie 7 dni od daty jego doręczenia. W treści ww. pisma Prezes UODO wezwał Przedsiębiorcę do udzielenia odpowiedzi na cztery pytania istotne dla merytorycznego rozstrzygnięcia sprawy o sygn. DS.523.1537.2022. Pismo to pomimo odebrania przez Przedsiębiorcę 28 marca 2022 roku, pozostało bez odpowiedzi.

3. W związku z powyższym pismem z 23 czerwca 2022 roku (o sygn. DS.523.1537.2022), Prezes UODO wezwał ponownie Przedsiębiorcę, do ustosunkowania się do treści skargi oraz złożenia wyjaśnień w sprawie o sygn. DS.523.1537.2022. W treści pisma Prezes UODO pouczył Przedsiębiorcę, że brak wyczerpującej odpowiedzi na wezwanie może skutkować, w związku z brakiem współpracy oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Przedsiębiorcę – zgodnie z art. 83 ust. 4 a) i art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR. Ww. pismo odebrane przez Przedsiębiorcę dnia 30 czerwca 2022 roku pozostało bez reakcji z jego strony.

4. Wobec nieprzedstawienia żadnych wyjaśnień przez Przedsiębiorcę, Prezes UODO dnia 2 września 2022 r. po raz trzeci skierował do Przedsiębiorcy pismo o sygn. DS.523.1537.2022, w którym wezwał do ustosunkowania się do treści skargi oraz złożenia wyjaśnień w sprawie o sygn. DS.523.1537.2022. Pismo zostało odebrane przez Przedsiębiorcę 6 września 2022 roku i również pozostało bez odpowiedzi.

5. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie korespondencji urzędowej kierowanej do  Przedsiębiorcy, a znajdującej się w aktach postępowania o sygn. DS.523.1537.2022. Korespondencja ta odzwierciedla z jednej strony  całokształt prób podjęcia współpracy z Przedsiębiorcą oraz uzyskania dostępu do informacji niezbędnych do realizacji jego zadań - to jest w tym przypadku do rozpatrzenia sprawy o sygnaturze DS.523.1537.2022 - a z drugiej strony brak reakcji Przedsiębiorcy na żądania Prezesa UODO.

Postępowanie

6. W związku z brakiem współpracy oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji tych zadań, Prezes UODO wszczął z urzędu wobec Przedsiębiorcy niniejsze postępowanie administracyjne (o sygnaturze DKE.561.33.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej, wzwiązku znaruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.

7. O wszczęciu postępowania Przedsiębiorca został  poinformowan pismem z 31 października 2022 roku (o sygnaturze DKE.561.33.2022). Pismo to zostało doręczone Przedsiębiorcy 7 listopada 2022 roku. Pismem tym Prezes UODO dodatkowo wezwał Przedsiębiorcę – celem ustalenia podstawy wymiaru kary w oparciu o art. 101a ust. 1 ustawy zdnia 10maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781) – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2021 r. w terminie 14 dni od doręczenia pisma. Przedsiębiorca poinformowany został na czym polega zarzucane mu naruszenie; został również pouczony o sankcjach grożących za to naruszenie, a także  o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niego Prezes UODO w postępowaniu o sygnaturze DS.523.1537.2022 do udzielenia, których wzywał prezes UODO w pismach z 24 marca 2022 roku, 23 czerwca 2022 roku, 2 września 2022 roku, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej lub na odstąpienie od nałożenia administrayjnej kary pienięznej.

8. 7 listopada 2022 roku do Prezesa UODO wpłynęło pismo Przedsiębiorcy, nadane 2 listopada 2022 roku, zawierające wyjaśnienia w sprawie o sygnaturze DS.523.1537.2022. Wyjasnienia te były jednak lakoniczne i niepełne.

9. Dnia  28 listopada 2022 roku do Prezesa UODO wpłynęły kolejne wyjaśnienia Przedsiębiorcy w sprawie o sygnaturze DS.523.1537.2022.  W ww. piśmie Przedsiębiorca ustosunkował się do treści skargi oraz pytań zawartych w wezwaniach z 24 marca 2022 roku, 23 czerwca 2022 roku, 2 września 2022 roku. Wyjaśnienia te, choć nadal niepełne, pozwoliły na dalsze prowadzenie postępowania o sygnaturze DS.523.1537.2022.

Uzasadnienie prawne

10. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.

11. Zgodnie z art. 57 ust. 1 lit. a) RODO, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarzącego o postepach i wynikach tych postępowań (art. 57 ust. 1 lit. f.)). Dla umożliwienia realizacji tak okreslonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostosowanie wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbednych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.

12. Naruszenie przepisów art. 31 oraz 58 ust. 1 lit. a) i e) RODO, o których mowa powyżej, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, podlega - zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 - administracyjnej karze pienięznej w wwysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

13. Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może uznać za uzasadnione udzielenie upomnienia w zakresie stwierdzonego naruszenia naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

14. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Przedsiębiorca – administrator danych osobowych Skarżącej – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. DS.523.1537.2022 niewątpliwe naruszył obowiązek wynikający z art. 31 oraz art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679, tj. obowiązek współpracy i zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy.

15. Jednakże ostateczne Przedsiębiorca złożył wyjaśnienia w sprawie o sygn. DS.523.1537.2022, które pozwoliły Prezesowi UODO na dalsze prowadzenie postępowania. Choć Przedsiębiorca ze znacznym opóźnieniem podjął współpracę z Prezesem UODO, to jednak z przesłanych wyjaśnień wynika, że ustosunkował się do treści skargi oraz pytań zawartych w pismach z 24 marca 2022 roku, 23 czerwca 2022 roku oraz 2 września 2022 roku. Ponadto, nalezy wskazać, że Prezes UODO nie stwierdził przesłanek wskazujących, że wcześniejszy brak współpracy z nim był działaniem celowym Przedsiębiorcy.

16. Podkreślić należy, że podjęcie przez Przedsiębiorcę współpracy z Prezesem UODO i udzielenie wyjaśnień nie zwalniają go z odpowiedzialności za wcześniejsze niezapewnienie dostępu do danych osobowych i informacji niezbędnych do rozstrzygnięcia sprawy DS.523.1537.2022. Dlatego też Prezes UODO uznał za uzasadnione udzielenie Przedsiebiorcy upomnienia, na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, w zakresie stwierdzonego naruszenia przepisu art. 31 oraz art. 58 ust. 1 lit a) i e) Rozporządzenia 2016/679, przyjmując że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 bedzie ono skuteczne i wystarczajace. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

17. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.

Pouczenie

• Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 259), zwanej dalej „p.p.s.a.”, od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) (dalej „u.o.d.o.”) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w  zakresie administracyjnej kary pieniężnej.
• W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się oprawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.