DOKE.561.19.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2023 r., poz. 775 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią M. J. prowadzącą działalność gospodarczą pod firmą P. w L. przy ul.(…), Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia Pani M. J. prowadzącej działalność gospodarczą pod firmą P. w L. przy ul. (…), za naruszenie przepisów art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DS.523.4408.2022.

UZASADNIENIE

Stan faktyczny

1. Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana J. D., zamieszkałego w L. (zwanego dalej: „Skarżącym”), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Panią M. J. prowadzącą działalność gospodarczą w L. przy ul. (…)  (zwaną dalej: „Przedsiębiorcą”), polegające na braku spełnienia żądania Skarżącego z art. 15 ust. 1 i 3 RODO oraz braku udzielenia Skarżącemu informacji o działaniach podjętych w związku ze wskazanym żądaniem (art. 12 ust. 3 RODO). W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej również „Prezesem UODO”) wszczął postępowanie wyjaśniające o sygn. DS.523.4408.2022.
2. W ramach wyżej wskazanego postępowania administracyjnego – pismem z 20 września 2022 r. – Prezes UODO zwrócił się do Przedsiębiorcy, wzywając go do ustosunkowania się (w terminie 7 dni od dnia doręczenia ww. pisma) do treści skargi oraz do złożenia wyjaśnień poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy, tj.:

a)    „czy przetwarza Pani dane osobowe Skarżącego, a jeżeli tak to na jakiej podstawie prawnej, w jakim celu oraz w jakim zakresie;

b)    czy Skarżący zwracał się do Pani o spełnienie obowiązku informacyjnego realizowanego na wniosek, o którym mowa w art. 15 ust. 1 RODO, w tym o wskazanie źródła pozyskanych danych oraz odbiorców, którym dane osobowe Skarżącego zostały ujawnione, a jeżeli tak, to w jaki sposób zrealizowano ww. obowiązek (w tym, w jakim zakresie) lub z jakich przyczyn i na jakiej podstawie prawnej odmówiono jego spełnienia – ponadto proszę o przesłanie prowadzonej w tej sprawie korespondencji ze Skarżącym, a zwłaszcza złożone wnioski i udzielone odpowiedzi.

c)    czy Skarżący zwracał się do Pani o udostępnienie kopii danych osobowych – art. 15 ust. 3 RODO, a jeżeli tak, to w jaki sposób zrealizowano ww. obowiązek (w tym, w jakim zakresie) lub na jakiej podstawie prawnej odmówiono jego spełnienia (proszę również o przesłanie kopii korespondencji w tym zakresie) –

w przypadku udostępnienia kopii danych osobowych proszę wskazać czy Skarżącemu zostały udostępnione kopie wszystkich jego danych osobowych przetwarzanych przez Panią”.

Wezwanie to zostało skierowane na wskazany przez Skarżącego adres wykonywania działalności gospodarczej Przedsiębiorcy, tj. L. ul. (…), który w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (dalej jako: „CEIDG”) figuruje jako adres dodatkowego stałego miejsca wykonywania działalności gospodarczej. Korespondencja zawierająca wezwanie, po dwukrotnej bezskutecznej awizacji, została zwrócona do UODO 20 października 2022 r. z adnotacją „ZWROT, nie podjęto w terminie”. Pismo to zostało uznane za prawidłowo doręczone Przedsiębiorcy, zgodnie z brzmieniem art. 44 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 r. poz. 572 t. j.), zwanej dalej: „k.p.a.”, w trybie doręczenia zastępczego.  

3. W związku z powyższym Prezes UODO ponownie – pismem z 24 października 2022 r. – zwrócił się do Przedsiębiorcy o udzielenie wyjaśnień. Pismo to zostało skierowane na ujawniony w CEIDG adres stałego miejsca wykonywania działalności gospodarczej przez Przedsiębiorcę tj. ul. (…) w L. i nie zostało przez niego odebrane. Korespondencja, po dwukrotnej bezskutecznej awizacji, została zwrócona 22 listopada 2022 r. do UODO z adnotacją „ZWROT nie podjęto w terminie”, a następnie uznana za prawidłowo doręczoną Przedsiębiorcy, zgodnie z art. 44 k.p.a.
4. 10 lutego 2023 r. Prezes UODO skierował do Przedsiębiorcy, na adres dodatkowego stałego miejsca wykonywania działalności gospodarczej, wezwanie do złożenia wyjaśnień, które zostało odebrane 15 lutego 2023 r. – jak wynika z adnotacji na potwierdzeniu odbioru przesyłki – przez panią B.S.(współpracownika). Pismo to pozostało bez odpowiedzi ze strony Przedsiębiorcy.
5. Pismem z 18 maja 2023 r. Prezes UODO ponownie zwrócił się do Przedsiębiorcy o udzielenie wyjaśnień. Pismo, wysłane na adres dodatkowego stałego miejsca wykonywania działalności gospodarczej, nie zostało odebrane i po dwukrotnej awizacji zostało zwrócone do UODO 15 czerwca 2023 r. z adnotacją „ZWROT, nie podjęto w terminie”, przy czym należy uznać je za prawidłowo doręczone Przedsiębiorcy zgodnie z brzmieniem art. 44 Kpa.
6. Oba wezwania z 10 lutego 2023 r. oraz z 18 maja 2023 r. skierowane do Przedsiębiorcy zawierały pouczenie wskazujące, że brak złożenia wyjaśnień w sprawie stanowić będzie naruszenie obowiązku współpracy z organem nadzorczym, jakim jest Prezes UODO, skutkującym nałożeniem na Przedsiębiorcę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
7. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, prowadzonej pomiędzy Przedsiębiorcą a Prezesem UODO w trakcie postępowania o sygn. DS.523.4408.2022, które zostały przekazane do sprawy o sygn. DOKE.561.19.2023. Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji potrzebnych do realizacji swoich zadań – to jest do rozpatrzenia ww. sprawy skargowej.

Postępowanie

8. W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.4408.2022, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne, sygn. DOKE.561.19.2023, w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca został poinformowany pismem z 11 października 2023 r. (sygn. DOKE.561.19.2023), doręczonym Przedsiębiorcy 17 października 2023 r. Pismem tym Przedsiębiorca został również zobowiązany – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o wysokości obrotu i wyniku finansowego osiągniętego przez niego w 2022 r. Ponadto Przedsiębiorcę poinformowano, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się do niego w postępowaniu o sygn. DS.523.4408.2022, może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej bądź spowodować odstąpienie od jej nałożenia.
9. W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Przedsiębiorca – pismem z 18 października 2023 r. –  złożył wyjaśnienia które pozwoliły na dalsze prowadzenie postępowania skargowego o sygn. DS.523.4408.2022. W kwestii naruszenia art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 Przedsiębiorca wniósł o odstąpienie od nałożenia administracyjnej kary pieniężnej. Wyjaśnił, że nie uchylał się od obowiązku udzielenia Prezesowi UODO informacji niezbędnych do realizacji jego zadań a brak odbioru korespondencji nie wynikał ze złych intencji - spowodowany był trudną sytuacją rodzinną i zdrowotną Przedsiębiorcy. Ponadto Przedsiębiorca wyjaśnił, że Pani B.S, która odebrała pismo z 10 lutego 2023 r. (pkt 4 uzasadnienia) nie jest jego współpracownikiem, nie posiada upoważnienia do odbioru korespondencji kierowanej do Przedsiębiorcy i nie przekazała mu tego pisma. W przedmiotowych wyjaśnieniach Przedsiębiorca zadeklarował również wolę współpracy z Prezesem UODO.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

10. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679). Rozporządzenia 2016/679) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).
11. Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
12. Naruszenie przepisów Rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
13. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
14. Stosownie do art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej „u.o.d.o.”, postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a.. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

15. Odnosząc wyżej wskazaną podstawę prawną do ustalonego w niniejszej sprawie stanu faktycznego należy uznać, że Przedsiębiorca - będąc stroną postępowania o sygnaturze DS.523.4408.2022 - poprzez nieudzielenie odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień naruszył obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, które to obowiązki wynikają wprost z art. 58 ust. 1 lit a) i e) Rozporządzenia 2019/679. Prezes czterokrotnie wzywał Przedsiębiorcę do złożenia wyjaśnień w sprawie o sygn. DS.523.4408.2022, tj. pismami z: 22 września 2022 r., 24 października 2022 r., 10 lutego 2023 r. oraz 18 maja 2023 r. Brak reakcji Przedsiębiorcy na przedmiotową korespondencję, bezsporny wobec zgromadzonego w niniejszej sprawie materiału dowodowego, skutkował koniecznością wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej.
16. W ocenie Prezesa UODO przedstawione przez Przedsiębiorcę w piśmie z 18 października 2023 r. uzasadnienie braku odpowiedzi na jego wezwania (zob. pkt 9 uzasadnienia niniejszej decyzji), jakkolwiek wiarygodne, nie stanowi przesłanki wyłączającej odpowiedzialność Przedsiębiorcy za stwierdzone naruszenie. Jednocześnie jednak, uwzględniając wyjaśnienia Przedsiębiorcy, Prezes UODO stanął na stanowisku, że stwierdzone w niniejszej sprawie naruszenie, nie miało charakteru umyślnego, lecz wynikało z sytuacji osobistej Przedsiębiorcy. Ponadto podkreślić należy, że naruszenie to zostało przez Przedsiębiorcę usunięte niezwłocznie po powzięciu informacji o toczącym się postepowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 20 października 2023 r. wyjaśnień Przedsiębiorcy. Składając wyjaśnienia Przedsiębiorca wykazał aktywną postawę oraz gotowość do dalszej współpracy.
17. Mając na uwadze powyższe Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes rozstrzygnął jak w sentencji niniejszej decyzji.

Pouczenie

Decyzja jest ostateczna. Od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.