Ikonka home dla okruszków Prawo Decyzje Prezesa UODO Według zagadnień Upomnienie

DKE.561.5.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2023 r., poz. 775 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j.) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią S. P. zam. w N. przy ul. (…) (uprzednio prowadzącej działalność gospodarczą pod firmą W. z siedzibą w W. przy ul. (…)), reprezentowanej przez adw. J. K., Prezes Urzędu Ochrony Danych Osobowych

udziela Pani S. P., zam. w N. przy ul. (…) upomnienia za naruszenie przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DS.523.4217.2022.

 

UZASADNIENIE

Stan faktyczny

  1. W dniu 21 lipca 2022 r. do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej „Prezesem UODO”, „Organem”) wpłynęła skarga Pani M. B., zam. w M., W. (zwanej dalej „Skarżącą”) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Panią S. P., zam. w N. przy ul. (…) (uprzednio prowadzącą działalność gospodarczą pod firmą W. z siedzibą w W. przy ul. (…)) (zwaną dalej „Administratorem”), polegające na niespełnieniu wobec Skarżącej obowiązku informacyjnego wynikającego z art. 13 ust. 1 i 2 Rozporządzenia 2016/679 oraz na nieuwzględnieniu wniosku Skarżącej złożonego na podstawie art. 15 ust. 3 Rozporządzenia 2016/679 dotyczącego uzyskania kopii danych podlegających przetwarzaniu. W związku z powyższym, celem rozpatrzenia zarzutów podnoszonych przez Skarżącą, Prezes UODO wszczął postępowanie wyjaśniające o sygn. DS.523.4217.2022.
  2. W ramach wyżej wskazanego postępowania – działając na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – Prezes UODO pismem z 24 sierpnia 2022 r. wezwał Administratora do ustosunkowania się do treści skargi oraz złożenia wyjaśnień:

1)    „kiedy, na jakiej podstawie prawnej, z jakiego źródła, w jakim celu i zakresie pozyskała Pani dane osobowe Skarżącej w tym, czy pozyskała Pani dane dotyczące stanu jej zdrowia w celu wykonania usługi;

2)    czy a jeśli tak, to na jakiej podstawie prawnej, w jakim celu i zakresie przetwarza Pani aktualnie dane osobowe Skarżącej, w tym dane dotyczące stanu zdrowia pozyskane w związku z wykonaną usługą, oraz jak długo dane te będą przez Panią przetwarzane;

3)    czy, a jeżeli tak, to kiedy, w jaki sposób spełniła Pani wobec Skarżącej obowiązek informacyjny realizowany w przypadku pozyskiwania danych osobowych osoby, której dane dotyczą, tj. o którym mowa w art. 13 ust. 1 i 2 Rozporządzenia 2016/679 (np. umieściła Pani tablicę informacyjną, jakie informacje na niej Pani umieściła – proszę o nadesłanie kopii dokumentu potwierdzającego dokonanie powyższej czynności, o ile została ona dokonana);

4)    Skarżąca wskazała, że w dniu (...) kwietnia 2022 r. zwróciła się do Pani z wnioskiem w przedmiocie uzyskania kopii danych podlegających przetwarzaniu złożonego na podstawie art. 15 ust. 3 Rozporządzenia 2016/679, czy, a jeśli tak, to kiedy i w jaki sposób odniosła się Pani do ww. wniosku (w tym, jeżeli odmówiono uwzględnienia wniosku Skarżącej, proszę o wskazanie przyczyn tej odmowy). Ponadto, proszę o wskazanie w jakiej formie został złożony wniosek oraz w jakiej formie udzieliła Pani odpowiedzi (np. ustnie, pisemnie) – wzywam do przesłania pełnej kopii korespondencji między Panią a Skarżącą związanej z jej żądaniem oraz udzieloną przez Panią odpowiedzią, w sytuacji, gdy była prowadzona w formie pisemnej”.

Wezwanie to zostało wysłane na adres zamieszkania Administratora, to jest ul. (…), N., po dwukrotnej bezskutecznej awizacji zostało zwrócone do Urzędu Ochrony Danych Osobowych (zwany dalej „UODO”) w dniu 15 września 2022 r. z adnotacją „ZWROT nie podjęto w terminie”, przy czym należy je uznać za prawidłowo doręczone Administratorowi, zgodnie z brzmieniem art. 44 ustawy z dnia 14 czerwca 2960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.) (zwanej dalej „k.p.a.”). Administrator nie ustosunkował się w żaden sposób do żądania Organu w terminie wyznaczonym na dokonanie czynności, do podjęcia których był wzywany, tj. w terminie 7 dni od dnia doręczenia wezwania.

  1. Wobec powyższego – pismem z 21 września 2022 r. – Prezes UODO ponownie zwrócił się do Administratora do ustosunkowania się do treści skargi i do złożenia wyjaśnień w zakresie jak w wezwaniu z 24 sierpnia 2022 r. (zob. pkt 2 uzasadnienia niniejszej decyzji), które dla Organu były niezbędne dla dokonania oceny zasadności skargi w postępowaniu administracyjnym o sygn. DS.523.4217.2022. Analogicznie jak w przypadku pierwszego wezwania, wezwanie z 21 września 2022 r. zostało wysłane na adres zamieszkania Administratora i nie zostało przez niego odebrane. Korespondencja ta, po dwukrotnej bezskutecznej awizacji, została zwrócona w dniu 18 października 2022 r. do UODO z adnotacją „ZWROT nie podjęto w terminie” (zob. pkt 2 uzasadnienia niniejszej decyzji), a następnie uznana za prawidłowo doręczoną Administratorowi, zgodnie z art. 44 k.p.a. w trybie doręczenia zastępczego. Administrator nie udzielił odpowiedzi również na to pismo.
  2. Wezwania kierowane do Administratora w postępowaniu o sygn. DS.523.4217.2022 – tj. zarówno pismo z 24 sierpnia 2022 r. i 21 września     2022 r. – zawierały pouczenie wskazujące, że brak złożenia wyjaśnień w sprawie, skutkować może nałożeniem na Administratora administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
  3. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, wystosowanej przez Prezesa UODO do Administratora, znajdującej się w aktach postępowania o sygn. DS.523.4217.2022. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – to jest do rozpatrzenia sprawy o sygn. DS.523.4217.2022. Z drugiej zaś strony, odzwierciedla brak reakcji Administratora na żądania Prezesa UODO w tym postępowaniu administracyjnym.

Postępowanie

  1. W związku z nieudzieleniem przez Administratora informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.4217.2022, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DKE.561.5.2023, w przedmiocie nałożenia na Administratora administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Administrator został poinformowany pismem z 15 lutego 2023 r. (znak: DKE.561.5.2023). Pismem tym, Administrator został zobowiązany – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j., zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o osiągniętych przez niego dochodach w 2022 r. Administratora poinformowano również, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się w postępowaniu administracyjnym o sygn. DS.523.4217.2022 może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu, bądź może spowodować odstąpienie od jej nałożenia. Ponadto Administrator pouczony został o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

Informacja o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 15 lutego 2023 r. o sygn. DKE.561.5.2023 została wysłana na adres zamieszkania Administratora (zob. pkt 2 – 3 uzasadnienia niniejszej decyzji). Korespondencja ta, po dwukrotnej bezskutecznej awizacji, została zwrócona w dniu 20 marca 2023 r. do UODO z adnotacją „ZWROT nie podjęto w terminie” (zob. pkt 2 – 3 uzasadnienia niniejszej decyzji), a następnie uznana za prawidłowo doręczoną Administratorowi, zgodnie z art. 44 k.p.a. w trybie doręczenia zastępczego. W związku z powyższym, Administrator nie udzielił odpowiedzi na niniejszą informację o wszczęciu postępowania.

  1. W związku z brakiem odbioru korespondencji przez Administratora, Prezes UODO w celu uzyskania niezbędnych informacji dla dokonania oceny zasadności skargi w postępowaniu administracyjnym o sygn. DS.523.4217.2022, zwrócił się do Administratora pismami z 5 kwietnia 2023 r., które zostały wysłane na adresy pod którymi istniało wysokie prawdopodobieństwo zastania Administratora, to jest ul. (…), W. oraz ul. (…), W. W ich treści Organ zwrócił się do Administratora z prośbą o kontakt, w celu złożenia wyjaśnień, a także załączył kopię pisma informującego o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 15 lutego 2023 r. (zob. pkt 6 uzasadnienia niniejszej decyzji). Powyższa korespondencja została doręczona w dniu 11 kwietnia 2023 r. i doprowadziła do kontaktu Administratora w niniejszym postępowaniu administracyjnym.
  2. W odpowiedzi na pisma z 5 kwietnia 2023 r. (zob. pkt 7 uzasadnienia niniejszej decyzji) adw. J. K. (Kancelaria (…), ul. (…), W.) umocowany do reprezentacji Administratora w postępowaniu administracyjnym o sygn. DKE.561.5.2023 pismem z 19 kwietnia 2023 r. złożył wyjaśnienia w sprawie. Wskazał przede wszystkim, że dane osobowe Skarżącej nie są przetwarzane przez Administratora, ponieważ zostały usunięte z baz danych oraz nie istnieje żaden inny następca prawny. W niniejszym piśmie pełnomocnik Administratora wskazał, że od (...) października 2021 r. Administrator zaprzestał prowadzenia działalności gospodarczej, stąd jego zdaniem powstają wątpliwości co do zasadności doręczania korespondencji na adres stałego miejsca wykonywania wykreślonej już z Rejestru Przedsiębiorców CEIDG działalności gospodarczej Administratora, to jest ul. (…), W.
  3. Prezes UODO pismem z 27 kwietnia 2023 r. wezwał adw. J. K., umocowanego do reprezentacji Administratora, do uzupełnienia wyjaśnień z 19 kwietnia 2023 r. (zob. pkt 8 uzasadnienia niniejszej decyzji), w szczególności do udzielenia odpowiedzi na pytania z pkt 1) – 4) zawartych w informacji o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 15 lutego 2023 r. (zob. pkt 6 uzasadnienia niniejszej decyzji), a także wyjaśnił przebieg postępowania administracyjnego o sygn. DS.523.4217.2022 oraz postępowania o sygn. DKE.561.5.2023. Pismem tym Organ uzasadnił, dlaczego dokonał doręczenia korespondencji z 5 kwietnia 2023 r. na adresy stałych miejsc uprzednio wykonywanych przez Administratora działalności gospodarczych (zob. pkt 18 uzasadnienia niniejszej decyzji).

Wezwanie to zostało wysłane na wskazany w piśmie adw. J. K. z 19 kwietnia 2023 r. adres Kancelarii (…) – ul. (…), W. i zostało doręczone w dniu 5 maja 2023 r.

  1. W odpowiedzi na wezwanie Prezesa UODO w sprawie o sygn. DKE.561.5.2023 do uzupełnienia wyjaśnień z 27 kwietnia 2023 r. (zob. pkt 9 uzasadnienia niniejszej decyzji) adw. J. K. pismem z 11 maja 2023 r. udzielił odpowiedzi na zadane w informacji o wszczęciu postępowania i o zgromadzeniu materiału dowodowego pytania (zob. pkt 6 uzasadnienia niniejszej decyzji) w następujący sposób:

1)    Administrator pozyskał dane osobowe Skarżącej tuż przed umówioną wizytą kosmetyczną, bezpośrednio w gabinecie w dniu (...) czerwca 2020 r. w postaci uzupełnionej karty pacjenta, w której znajdowały się takie dane osobowe jak: imię i nazwisko, rok urodzenia, numer telefonu i „[…] inne, poświadczając przy tym, że nie ma przeciwskazań do wykonania danej usługi”.

2)    Administrator „[…] przetwarza dane osobowe Skarżącej w celu archiwalnym (dowodowym) będących realizacją zabezpieczenia informacji na wypadek prawnej potrzeby wykazania faktów, w tym poświadczenia zapoznania się z klauzulą informacyjną prosząc o imię, nazwisko, nr telefonu, adres e-mail i wykonanej usługi”.

3)    Administrator spełnił obowiązek informacyjny wobec Skarżącej za pośrednictwem klauzuli informacyjnej, która została umieszczona w karcie pacjenta. Wykonanie usługi jest możliwe po wypełnieniu karty pacjenta i „[…] akceptacji poprzez poświadczenie zapoznania się z treścią załączonej klauzuli”. Administrator podczas prowadzenia swojej działalności gospodarczej powyższy obowiązek również realizował za pomocą umieszczonej na ladzie recepcji lokalu wydrukowanej „[…] informacji o zasadach przetwarzania i przysługujących prawach osobie, której dane dotyczą”.

4)    Administrator nie ma wiedzy w kwestii skierowanego przez Skarżącą do niego wniosku o usunięcie jej danych osobowych. Wskazał ponadto, że jeśli taki wniosek został skierowany na adres: ul. (…), W. to nie został podjęty w terminie z uwagi na zaprzestanie prowadzenia działalności gospodarczej przez Administratora, a zatem również nie posiadał tytułu prawnego do nieruchomości pod wyżej wskazanym adresem, stąd adw. J. K. podniósł, że Administrator nie mógł podjąć przedmiotowej korespondencji.

Do niniejszych wyjaśnień został załączony dowód w postaci kopii karty pacjenta Skarżącej.

  1. W związku z zaistniałą koniecznością uzupełnienia materiału dowodowego, pismami z 29 czerwca 2023 r. oraz 4 sierpnia 2023 r. pełnomocnik Administratora wniósł dodatkowe wyjaśnienia do sprawy o sygn. DS.523.4217.2022, wskazując, że Administrator usunął dane osobowe Skarżącej z „Bazy Klientów” oraz podtrzymał swoje stanowisko w kwestii przetwarzania danych osobowych Skarżącej w zakresie ujętym w piśmie z 11 maja 2023 r. (zob. pkt 10 uzasadnienia niniejszej decyzji) na podstawie art. 5 ust. 1 Rozporządzenia 2016/679, w celu archiwalnym (dowodowym) przez okres 5 lat, który stanowi termin przedawnienia potencjalnych roszczeń. Oświadczył również, że Administrator nie prowadził i nie posiada dokumentacji medycznej Skarżącej, ponieważ dokumentacji medycznej Administrator nigdy nie prowadził. Wskazał, że dokumentacja prowadzona była przez Administratora w sposób ogólny, w formie papierowej, a każdy klient umawiający się na konsultację lub usługę kosmetyczną proszony był o wypełnienie formularza podając imię i nazwisko, rok urodzenia, numer telefonu, oraz czy posiada uczulenia lub choroby niepozwalające zastosować danego zabiegu kosmetycznego, bądź zmiany w obrębie twarzy poświadczając przy tym, że nie ma przeciwskazań do wykonania danej usługi (tzw. prekwalifikacja do zabiegu). Administrator poza powyższą dokumentacją nie prowadził dokumentacji opisującej przebieg, skutki czy użyte środki, bowiem usługi świadczone przez Administratora są usługami bezinwazyjnymi i nie stanowią usług medycznych. W ramach wyjaśnień z 4 sierpnia 2023 r. adw. J. K. poinformował organ nadzorczy, że Administrator w dniu (...) lipca 2023 r. udzielił odpowiedzi na wniosek Skarżącej w przedmiocie uzyskania kopii danych osobowych podlegających przetwarzaniu zgodnie z art. 15 ust. 3 Rozporządzenia 2016/679, co zostało przez niego uprawdopodobnione załączoną do wyjaśnień kopią pisma z (...) lipca 2023 r.
  2. W dniu 17 sierpnia 2023 r. adw. J. K. w odpowiedzi na ponowne wezwanie Prezesa UODO w postępowaniu administracyjnym o sygn. DKE.561.5.2023 z dnia 7 lipca 2023 r. w przedmiocie przedłożenia informacji o osiągniętych przez Administratora dochodach za rok 2022 przedłożył zeznanie Administratora o wysokości osiągniętego dochodu (poniesionej starty) w roku podatkowym 2022 (PIT-37) (zob. pkt 6 uzasadnienia niniejszej decyzji).

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80,  w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).
  2. Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
  3. Naruszenie przepisów Rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  4. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
  5. Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
  6. Pisma doręcza się osobom fizycznym w ich mieszkaniu lub miejscu pracy albo na adres do korespondencji wskazany w bazie adresów elektronicznych (art. 42 § 1 k.p.a.). W razie niemożności doręczania pisma w sposób określony w art. 42 § 1 i 2 k.p.a., a także w razie koniecznej potrzeby, pisma doręcza się w każdym miejscu, gdzie adresata się zastanie (art. 42 § 3 k.p.a.).
  7. Zgodnie z brzmieniem art. 44 § 4 k.p.a. w związku z art. 44 § 1 k.p.a., fikcja doręczenia zachodzi z upływem ostatniego dnia okresu, to jest 14 dni, w przypadku doręczenia pisma osobie fizycznej w jej mieszkaniu lub miejscu pracy przez operatora pocztowego, a pismo pozostawia się w aktach sprawy.

Ocena prawna

  1. Odnosząc wyżej wskazaną podstawę prawną do ustalonego w niniejszej sprawie stanu faktycznego należy uznać, że Pani S. P. jako administrator danych osobowych Skarżącej, będąca stroną postępowania administracyjnego o sygn. DS.523.4217.2022, naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, które to obowiązki wynikają wprost z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679.
  2. Prezes UODO dwukrotnie wzywał Administratora do złożenia wyjaśnień, celem ustalenia stanu faktycznego sprawy o sygn. DS.523.4217.2022 – pismami z 24 sierpnia 2022 r. i 21 września 2022 r. – zwracał się do Administratora z wezwaniem do złożenia wyjaśnień poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Administrator nie odebrał jednak żadnego z wyżej wskazanych pism, w efekcie czego nie ustosunkował się w terminie zakreślonym przez organ nadzorczy do treści zarzutów podnoszonych przez Skarżącego, tym samym uniemożliwiając ich wszechstronne zbadanie (zob. pkt 2 – 3 uzasadnienia niniejszej decyzji). Dopiero po wszczęciu postępowania w przedmiocie nałożenia na Administratora administracyjnej kary pieniężnej o sygn. DKE.561.5.2023, w toku którego Administrator również nie odebrał informacji o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 15 lutego 2023 r., Organ wysyłając korespondencję do Administratora w dniu 5 kwietnia 2023 r. na adresy stałych miejsc uprzednio wykonywanych przez niego działalności gospodarczych, pod którymi istniało wysokie prawdopodobieństwo zastania Administratora (zob. pkt 7 – 8 uzasadnienia niniejszej decyzji), doprowadził do powzięcia przez Administratora informacji o toczącym się postępowaniu. Wyżej opisane doręczenie korespondencji zostało uznane przez Prezesa UODO za konieczną potrzebę w celu uzyskania od Administratora dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, czyli do ustalenia stanu faktycznego sprawy rozpoznawanej pod sygn. DS.523.4217.2022 (zob. pkt 18 uzasadnienia niniejszej decyzji) (zob. Wyrok NSA z 6 lipca 2018 r., I OSK 801/18, LEX nr 2528038).
  3. Powyższe doprowadziło do ustanowienia przez Administratora pełnomocnika – adw. J. K. – w niniejszym postępowaniu administracyjnym, który w ramach swojego umocowania złożył w imieniu Administratora wyjaśnienia. W tym miejscu należy zauważyć, że pismem z 19 kwietnia 2023 r. wyjaśnienia Administratora nie przyczyniły się do ustalenia przebiegu zdarzeń w sprawie o sygn. DS.523.4217.2022, a jedynie doprowadziły do przedłużenia postępowania w celu uzyskania dostępu do danych osobowych i informacji niezbędnych do ustalenia stanu faktycznego sprawy (zob. pkt 8 – 9 uzasadnienia niniejszej decyzji). Wyżej wskazane wyjaśnienia Administratora nie zawierały odpowiedzi na szczegółowe pytania Organu, a jedynie w sposób lakoniczny odnosiły się do zaprzestania przez Administratora przetwarzania danych osobowych Skarżącej. Dopiero w wyniku kilkukrotnych wezwań organu nadzorczego do uzupełnienia wyjaśnień, Administrator pismami datowanymi na 11 maja 2023 r., 29 czerwca 2023 r. oraz 4 sierpnia 2023 r. złożył obszerne i rzeczowe wyjaśnienia, które doprowadziły do ustalenia przebiegu zdarzeń w sprawie o sygn. DS.523.4217.2022.
  4. W ocenie Prezesa UODO brak odbioru korespondencji kierowanej przez organ nadzorczy na adres zamieszkania Administratora, tj. ul. (…), N. (zob. pkt 2 – 3 i 6 uzasadnienia niniejszej decyzji) oraz niewyczerpujące wyjaśnienia pełnomocnika Administratora z 19 kwietnia 2023 r., które nie przyczyniły się do ustalenia stanu faktycznego sprawy o sygn. DS.523.4217.2022 i w następstwie doprowadziło to do przedłużenia postępowania w celu ustalenia przebiegu zdarzeń w sprawie o sygn. DS.523.4217.2022 (zob. pkt 8 – 9 i 22 uzasadnienia niniejszej decyzji), stanowią oczywiste zaniedbanie po stronie Administratora. Zaniedbanie to doprowadziło do naruszenia art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, które polega na niezapewnieniu organowi nadzorczemu dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań. Naruszenie art. 58 ust. 1 lit. a ) i e) Rozporządzenia 2016/679 – jakkolwiek wysoce naganne – zostało usunięte przez Administratora po powzięciu przez niego informacji o toczącym się postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 11 sierpnia 2023 r. jego dodatkowych wyjaśnień. W ocenie Prezesa UODO niniejsze naruszenie miało charakter nieumyślny, a przemawia za tym fakt, że Administrator po powzięciu informacji o toczącym się postępowaniu administracyjnym o sygn. DS.523.4217.2022 złożył za pośrednictwem swojego pełnomocnika wyjaśnienia, które ostatecznie doprowadziły do uzyskania dostępu do danych osobowych i informacji niezbędnych do ustalenia stanu faktycznego sprawy.
  5. Mając na uwadze powyższe, Prezes UODO uznał za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679 i poczytywane będzie na jego niekorzyść.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.

 

 

Pouczenie

Decyzja jest ostateczna. Od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

 

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2023-12-22
Wprowadził informację:
user Mathias Proch
date 2024-02-05 12:26:15
Ostatnio modyfikował:
user Edyta Madziar
date 2024-02-06 11:54:05