Ikonka home dla okruszków Prawo Decyzje Prezesa UODO Według zagadnień Upomnienie

DKE.561.23.2022

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) w związku z art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią B. P. prowadzącą działalność gospodarczą pod firmą P., Prezes Urzędu Ochrony Danych Osobowych,

udziela upomnienia Pani B. P. prowadzącej działalność gospodarczą pod firmą P., za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z  04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) zwanego dalej „rozporządzeniem 2016/679”, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i  informacji niezbędnych do realizacji jego zadań.

Uzasadnienie

                 Stan faktyczny

  1. Do Urzędu Ochrony Danych Osobowych (dalej: „UODO”) wpłynęła skarga Pani M. P., zam. w Ł. (zwanej dalej: „Skarżącą”), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Panią B. P. prowadzącą działalność gospodarczą pod firmą P. (zwanej dalej „Przedsiębiorcą”), polegające na udostępnieniu danych osobowych Skarżącej w postaci adresu e-mail w korespondencji e-mail z dnia […] maja 2021 r. osobom trzecim.
  2. Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. [...]), pismem z [...] października 2021 r. zwrócił się do Przedsiębiorcy o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na następujące pytania:
    1. czy w związku z prowadzoną działalnością gospodarczą pod firmą P. jest Pani zarządcą nieruchomości wspólnej Wspólnoty Mieszkaniowej […] - jeśli tak, to na jakiej podstawie prawnej - proszę o przesłanie kopii dokumentacji w tym zakresie (kopii uchwały wspólnoty mieszkaniowej lub kopii umowy zawartej ze wspólnotą),
    2. czy pomiędzy Panią a wspólnotą mieszkaniową, o której mowa w pkt 1, została zawarta umowa powierzenia przetwarzania danych członków tej wspólnoty - jeśli tak, proszę o przesłanie jej kopii,
    3. czy przetwarza Pani dane osobowe Skarżącej w postaci adresu e-mail, a jeśli tak, to na jakiej podstawie prawnej i w jakim celu,
    4. czy w związku z zarządzaniem ww. nieruchomością wspólną udostępniła Pani dane osobowe Skarżącej w postaci adresu e-mail w korespondencji e-mail z dnia […] maja 2021 r. osobom trzecim, a jeśli tak, to na jakiej podstawie prawnej i w jakim celu.
  3. Wobec tego, że Przedsiębiorca nie udzielił odpowiedzi na ww. pismo, Prezes UODO pismem z […] listopada 2021 r. ponownie zwrócił się do Przedsiębiorcy z wezwaniem o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na ww. pytania. Zarówno pismo z […] października 2021 r., jak i pismo z […] listopada 2021 r. zostały Przedsiębiorcy doręczone w sposób przewidziany w Kpa.
  4. Przedsiębiorca udzielił wyjaśnień dopiero pismem z […] stycznia 2022 r. (po uprzednim nawiązaniu z nim kontaktu telefonicznego przez pracownika UODO), jednakże wyjaśnienia te były lakoniczne i nieprecyzyjne, a co za tym idzie - nie były wystarczające do wydania przez Prezesa UODO administracyjnej decyzji w ww. sprawie. Zatem, ponownie pismami z: […] lutego 2022 r. oraz […] kwietnia 2022 r. zwrócono się do Przedsiębiorcy o uzupełnienie złożonych wcześniej wyjaśnień. Pisma te zostały odebrane przez Przedsiębiorcę, jednak nie udzielił on na nie odpowiedzi.
  5. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie korespondencji urzędowej prowadzonej pomiędzy Przedsiębiorcą a Prezesem UODO, znajdującej się w aktach postępowania o sygnaturze […]. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze […], a z drugiej strony – reakcję Przedsiębiorcy na żądania Prezesa UODO.
  6. W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], Prezes UODO pismem z […] sierpnia 2022 r. wszczął z urzędu wobec Przedsiębiorcy – w oparciu o art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej (pod sygn. […]). W piśmie tym Przedsiębiorca pouczony został także o tym, że jeżeli udzieli wyczerpujących wyjaśnień w postępowaniu o sygn. […], do udzielenia, których wezwał ją Prezes UODO oraz uzasadni wcześniejszy brak odpowiedzi na te wezwania, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej w postępowaniu o sygn. DKE.561.23.2022 lub też może spowodować odstąpienie od jej nałożenia.
  7. W odpowiedzi na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, Przedsiębiorca niezwłocznie złożył wyjaśnienia, które pozwoliły Prezesowi UODO na prowadzenie dalszego postępowania w sprawie o sygn. […]. Przedsiębiorca uzasadnił także powody swojego milczenia w postępowaniu o sygn. […], którym Prezes UODO dał wiarę. Przedsiębiorca wskazał, że jego brak reakcji na wcześniejsze wezwania nie był w żaden sposób spowodowany lekceważeniem „postępowania skargowego”, lecz błędnym domniemaniem, że złożone wcześniej pisemne wyjaśnienia do tej sprawy były obszerne i wyczerpujące. Na swoje usprawiedliwienie Przedsiębiorca wskazał także nadmiar obowiązków związanych z przejętą do obsługi Wspólnotą Mieszkaniową […], który sprawił, że Przedsiębiorcy zabrakło czasu na ponowną analizę tej sprawy. Zaraz po objęciu przez Przedsiębiorcę nieruchomości, okazało się, że budynek jest w bardzo złym stanie technicznym, w związku, z czym, należało pilnie poszukiwać wykonawców remontu tego budynku (przeciekający dach, odpadające tynki i obróbki blacharskie z balkonów i tarasów, przez które dochodziło do zalewania lokali mieszkalnych), zbierać oferty, negocjować ceny i zakres robót remontowych. Ponadto należało wystosować wezwania dewelopera do usunięcia ww. wad budowlanych a w następstwie analizować otrzymaną odpowiedź odmowną od dewelopera celem zgromadzenia niezbędnych dokumentów (opinii i ekspertyz technicznych) do przygotowania powództwa sądowego przeciw nierzetelnemu deweloperowi. Przedsiębiorca zdając sobie sprawę z tego, że naruszył obowiązek współpracy z Prezesem UODO, poprosił o uwzględnienie przedstawionych wyjaśnień i odstąpienie od nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej.
  8. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

                 Uzasadnienie prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) RODO, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 RODO – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 RODO.
  2. Naruszenie przepisów rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega – zgodnie z art. 83 ust 5 lit e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast, naruszenie przepisów rozporządzenia 2016/679, polegające na braku woli współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31), podlega zaś – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  3. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisu art. 31 w związku z art. 58 ust. 1 lit. e) rozporządzenia 2016/679. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
  4. Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Przedsiębiorca jako strona prowadzonego przez Prezesa UODO postępowania o sygn. […],  naruszył przepis art. 31 RODO poprzez brak współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, a także art. 58 ust. 1 lit. a) i e) RODO poprzez brak zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy. Jednakże w odpowiedzi na informację o wszczęciu postępowania administracyjnego w sprawie o sygn. DKE.561.23.2022, Przedsiębiorca złożył wyjaśnienia pozwalające Prezesowi UODO na prowadzenie dalszego postępowania w sprawie o sygn. […]. Zdaniem Prezesa UODO działania Przedsiębiorcy bez wątpienia skutkowały brakiem dostępu do wszystkich informacji niezbędnych do merytorycznego rozstrzygnięcia sprawy Skarżącego, a przedstawione przez Przedsiębiorcę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego odpowiedzialności za stwierdzone zaniechanie. Jednakże wskazane przez Przedsiębiorcę przyczyny braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Przedsiębiorcy w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji.
  5. W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny. Wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak reakcji Przedsiębiorcy na wezwania do złożenia wyjaśnień, nie było celowe, lecz wynikało przede wszystkim z nadmiaru koniecznych obowiązków związanych z obsługą Wspólnoty Mieszkaniowej […], które nałożyły się w jednym czasie z obowiązkiem udzielenia organowi ochrony danych osobowych szczegółowych uzupełniających wyjaśnień. Przedsiębiorca natychmiast skontaktował się z UODO celem udzielania wyjaśnień niezbędnych do dalszego prowadzenia postępowania o sygn. […], jak również wyjaśnił, z jakiego powodu milczał w tym postępowaniu.
  6. W ocenie Prezesa UODO, następcza, aktywna postawa Przedsiębiorcy wskazuje na jego gotowość do dalszej współpracy z organem. W tym miejscu, wskazać również należy, że samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzania administracyjnej kary pieniężnej stały się dla Przedsiębiorcy wyraźnym sygnałem tego, że dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.
  7. Prezes UODO uznał, że w tej sprawie udzielenie upomnienia, w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679, będzie wystarczające, i co najmniej tak samo „skuteczne, proporcjonalne i odstraszające” jak wymierzenie kary pieniężnej.
  8. Należy także zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
  9. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.

                  Pouczenie

      Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2022-09-22
Wprowadził informację:
user Edyta Madziar
date 2024-01-08 10:01:31
Ostatnio modyfikował:
user Edyta Madziar
date 2024-01-08 12:49:23