PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 23 grudnia 2021 r.

Decyzja

DKE.561.19.2021

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 i art. 60, art. 101, art. 101a ust. 2 oraz art. 103ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. i), art. 83 ust. 1-2 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią K. W., prowadzącą działalność gospodarczą pod firmą B., ul. (…) K., Prezes Urzędu Ochrony Danych Osobowych, 

stwierdzając naruszenie przez Panią K. W., prowadzącą działalność gospodarczą pod firmą B., ul. (…) K., przepisu art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, nakłada na wyżej wymienioną administracyjną karę pieniężną w  kwocie 4.548 PLN (słownie: cztery tysiące pięćset czterdzieści osiem złotych).

 

Uzasadnienie

 

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani D. J., zamieszkałej w C. przy ul. (…) (zwanej dalej „Skarżącą”), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Bank M. S.A. z siedzibą w W. przy ul. (…) (zwany dalej także „Bankiem”), polegające na udostępnieniu danych osobowych Skarżącej bez podstawy prawnej na rzecz Pani K. W., prowadzącej działalność gospodarczą pod firmą B., ul. (…) K. (zwanej dalej „Przedsiębiorcą”) oraz na przetwarzaniu danych osobowych Skarżącej bez podstawy prawnej przez Przedsiębiorcę.

Prezes Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO”) w ramach wszczętego postępowania administracyjnego, prowadzonego celem rozpatrzenia wniesionej skargi (sygn. DS.523.3666.2020) zwrócił się do Przedsiębiorcy pismem z 9 września 2020 r. o ustosunkowanie się – w terminie 7 dni od dnia doręczenia przedmiotowej korespondencji – do treści skargi oraz udzielenie odpowiedzi na następujące pytania dotyczące sprawy:

1)      kiedy, na jakiej podstawie prawnej, w jakim celu i w jakim zakresie Przedsiębiorca pozyskał dane osobowe Skarżącej;

2)      czy, a jeśli tak, to na jakiej podstawie prawnej, w jakim celu i w jakim zakresie Przedsiębiorca przetwarzał lub aktualnie przetwarza dane osobowe Skarżącej;

3)      czy miejsce miała  opisana w skardze sytuacja, dotycząca dokonania w systemie Banku zmiany danych osobowych Skarżącej i wykorzystania tych danych do zaciągnięcia zobowiązań kredytowych.

Wzmiankowane pismo, przesłane za pośrednictwem polskiego operatora pocztowego na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane. Podwójnie awizowane w dniach 14 września 2020 r. oraz 22 września 2020 r., a następnie opatrzone adnotacją „ZWROT nie podjęto w terminie”, zostało zwrócone w dniu 29 września 2020 r. do Urzędu Ochrony Danych Osobowych.

Wobec powyższego. Prezes UODO ponownie pismami z 25 lutego 2021 r., 9 kwietnia 2021 r. oraz 20 maja 2021 r., zwrócił się do Przedsiębiorcy o złożenie stosownych wyjaśnień, zakreślając każdorazowo 7-dniowy termin na ustosunkowanie się do tak sformułowanego żądania. Jednocześnie Przedsiębiorcę pouczono o tym, że brak udzielenia wyczerpującej odpowiedzi skutkować może nałożeniem administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a) lub w art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Wyżej wymienione pisma, podobnie jak pierwsze ze skierowanych do Przedsiębiorcy wezwań, nie zostały podjęte w terminie i po dwukrotnej awizacji zwrócone zostały do nadawcy – co miało miejsce odpowiednio: 16 marca 2021 r., 4 maja 2021 r. oraz 9 czerwca 2021 r. Mając na uwadze obowiązujące brzmienie art. 42 § 1 w związku art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.), zwanej dalej „k.p.a.”, wzmiankowaną korespondencję  uznano za prawidłowo doręczoną Przedsiębiorcy.

W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DS.523.3666.2020, Prezes Urzędu Ochrony Danych Osobowych wszczął wobec niego z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 18 sierpnia 2021 r. Korespondencja ta, skierowana do Przedsiębiorcy za pośrednictwem Poczty Polskiej, awizowana dwukrotnie w dniach 7 września 2021 r. oraz 15 września 2021 r., nie została przez niego odebrana. W związku z powyższym Prezes UODO – stosownie do brzmienia art. 42 § 1 w związku art. 44 § 4  k.p.a. –  uznał ją za doręczoną Przedsiębiorcy z dniem 22 września 2021 r. Pismem powyższym Przedsiębiorca wezwany został także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2020 r.

Zdarzenia objęte prowadzonym przez Prezesa UODO postępowaniem skargowym o sygn. DS.523.3666.2020, w tym m.in. bezprawne przetwarzanie danych osobowych Skarżącej przez Przedsiębiorcę w celu zaciągnięcia zobowiązań kredytowych, stały się równolegle podstawą wszczęcia postępowania przygotowawczego o sygn. (…), prowadzonego przez Komendę Powiatową Policji w C. a nadzorowanego przez Prokuraturę Rejonową w C. – zakończonego skierowaniem do sądu aktu oskarżenia przeciwko Pani K. W., podejrzanej o popełnienie czynu zabronionego z art. 286 § 1 k.k. w zw. z art. 12 § 1 k.k. Sąd Rejonowy w C. II Wydział Karny wyrokiem nakazowym z (…) września 2021 r., zapadłym w sprawie o sygn. (…), uznał ww. za winną popełnienia zarzucanego jej czynu i wymierzył karę grzywny. W związku z prowadzonym postępowaniem karnym wobec Pani K. W. nie stosowano żadnych środków zapobiegawczych, w tym środków o charakterze izolacyjnym, co uzasadnia przekonanie, iż miała ona obiektywną i niczym nieograniczoną możliwość odbioru korespondencji kierowanej do niej przez Prezesa UODO.

Zgodnie z informacjami ujawnionymi w CEIDG, Przedsiębiorca od 2012 r. aktywnie wykonuje działalność gospodarczą sklasyfikowaną zgodnie z Polską Klasyfikacją Działalności jako pozostałe pośrednictwo pieniężne (kod: 64.19.Z). Jednocześnie, jak ustalił Prezes UODO, Przedsiębiorca posiada niespłacone zobowiązania finansowe. Zadłużenie Przedsiębiorcy w łącznej kwocie około (…) zł stanowi obecnie przedmiot oferty sprzedaży figurującej na ogólnodostępnej Internetowe Giełdzie Długów, mieszczącej się pod adresem: www.dlugi.info. Podmiotem zarządzającym wierzytelnością jest E. sp. z o.o. z siedzibą w W.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Odnosząc przytoczone wyżej przepisy Rozporządzenia 2016/679 do stanu faktycznego niniejszej sprawy rozważyć należy w pierwszej kolejności czy Przedsiębiorca jest adresatem obowiązków skorelowanych z uprawnieniami organu nadzorczego, o których mowa w art.  58 ust. 1 lit. a) oraz e) Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Niewątpliwie bowiem, art. 58 ust. 1 Rozporządzenia 2016/679 nakłada obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i podmioty przetwarzające. Ocena tego czy Przedsiębiorca pełni w procesie przetwarzania danych, stanowiącym przedmiot skargi Skarżącej, rolę administratora czy też podmiotu przetwarzającego dane osobowe Skarżącej, stanowi element stanu faktycznego, podlegającego ustaleniu w postępowaniu o sygn. DS.523.3666.2020. Celem ustalenia tej m.in. okoliczności Prezes UODO kierował do Przedsiębiorcy – w ramach tego postępowania – wezwania do złożenia wyjaśnień. Wobec braku reakcji ze strony Przedsiębiorcy ustalenie tego, jak i pozostałych faktów, których dotyczyły pytania postawione przez organ ochrony danych osobowych, stało się utrudnione. Niemniej, dla potrzeb niniejszego postępowania, wystarczające do celów ustalenia roli Przedsiębiorcy w procesie przetwarzania danych osobowych Pani D. J. okazały się pozyskane w toku postępowania skargowego o sygn. DS.523.3666.2020 pisemne wyjaśnienia Banku M. S.A. z siedzibą w W.  przy ul. (…) z 14 grudnia 2020 r. Jak wynikało bowiem z ich treści, Przedsiębiorca „miał dostęp do danych klientów w związku z prowadzeniem placówki franczyzowej Banku, a zatem na podstawie umowy powierzenia z Bankiem”. W związku z powyższym wnioskować należy, że Przedsiębiorca przetwarzał dane osobowe Skarżącej jako podmiot przetwarzający, umocowany do podejmowania działań wyłącznie w imieniu Banku, występującego w tym przypadku w roli administratora. Tym samym stwierdzić należy, że obowiązki wynikające z art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 oraz odpowiedzialność za ich naruszenie (realizowana w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej), niewątpliwie ciążyły na Przedsiębiorcy.

W postępowaniu o sygn. DS.523.3666.2020, celem ustalenia stanu faktycznego sprawy zainicjowanej wnioskiem Skarżącej, Prezes UODO czterokrotnie zwrócił się do Przedsiębiorcy z wezwaniem do ustosunkowania się do treści skargi oraz złożenia wyjaśnień poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Żadne z pism datowanych na: 9 września 2020 r., 25 lutego 2021 r., 9 kwietnia 2021 r. oraz 20 maja 2021 r., a skierowanych na ujawniony w CEIDG adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane pomimo dwukrotnego awizowania. W związku z powyższym pisma te uznane zostały za prawidłowo doręczone Przedsiębiorcy zgodnie z 42 § 1 w związku art. 44 § 4 k.p.a. W konsekwencji niepodejmowania przez Przedsiębiorcę kierowanej do niego korespondencji, Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy o sygn. DS.523.3666.2020. Stanu tego nie zmieniło wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygn. DKE.561.19.2021). Pismo informujące o wszczęciu tego postępowania również nie zostało bowiem przez Przedsiębiorcę podjęte w terminie z placówki operatora pocztowego.

W tym miejscu wskazać wyraźnie należy, że odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Przedsiębiorcy. Nie zmienia tego okoliczność, że wezwania kierowane do Przedsiębiorcy nie zostały przez niego ostatecznie odebrane. Powinnością każdej osoby prowadzącej jednoosobową działalność gospodarczą jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony. W szczególności, w sytuacji niemożności osobistego odbioru pism, Przedsiębiorca powinien był do tego celu wyznaczyć osobę upoważnioną. Zaniechanie takiego działania powinno być uznawane za rażące niedbalstwo Przedsiębiorcy, które w żadnym razie nie powinno negatywnie wpływać na możliwość realizacji uprawnień organu nadzorczego, w tym na terminowość prowadzonych przez niego postępowań.

W toku niniejszego postępowania nie ujawniły się jakiekolwiek okoliczności, które przemawiałyby za uznaniem, że Przedsiębiorca posiadł ograniczoną bądź zniesioną zdolność odbioru kierowanych do niego pism. Stosownie do informacji ujawnionych w CEIDG, Przedsiębiorca aktywnie wykonuje działalność gospodarczą. W okresie, w którym Prezes UODO zwracał się do niego z żądaniem przedstawienia informacji dotyczących skargi Pani D. J. – pomimo równoległego wszczęcia przeciwko Przedsiębiorcy postępowania karnego o czyn z art. 286 § 1 k.k. w zw. z art. 12 § 1 k.k. – pozostawał on w warunkach wolnościowych, a tym samym posiadał możliwość zapoznania się z treścią wystosowanej do niego korespondencji, jak i udzielenia na nią odpowiedzi w zakreślonym przez organ ochrony danych terminie.

W związku z powyższym, zważywszy, że Przedsiębiorca przetwarzał – jako podmiot przetwarzający – dane osobowe Skarżącej, a więc niewątpliwie był w posiadaniu informacji niezbędnych do rozpatrzenia skargi Pani D. J., stwierdzić należy, że naruszył on ciążący na nim obowiązek zapewnienia Prezesowi UODO dostępu do informacji i danych osobowych niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy o sygn. DS.523.3666.2020. Takie działanie Przedsiębiorcy stanowi naruszenie art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679.

Mając na uwadze powyższe ustalenia, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej.

Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym, uwagę na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu na Przedsiębiorcę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:

  1. Charakter, wagę i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). Podlegające administracyjnej karze pieniężnej zachowanie Przedsiębiorcy, stanowiące naruszenie art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, godzi bowiem w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań, organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Działania Przedsiębiorcy w niniejszej sprawie, polegające na zaniechaniu dostarczenia wszelkich żądanych przez Prezesa UODO informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Przeciwnie, działanie Przedsiębiorcy miało charakter ciągły i długotrwały, co bezsprzecznie potwierdza fakt, iż stwierdzone w niniejszym postępowaniu naruszenie trwa od chwili upływu terminu wyznaczonego na złożenie wyjaśnień, zakreślonego w pierwszym piśmie Prezesa UODO, tj. od 7 października 2020 r., do chwili obecnej.
  2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679). W związku z tym, że żadne ze skierowanych przez Prezesa UODO do Przedsiębiorcy wezwań do złożenia wyjaśnień nie zostało faktycznie przez niego odebrane, brak jest podstaw do uznania, że działanie Przedsiębiorcy podlegające ukaraniu w niniejszej sprawie miało charakter celowy. W ocenie Prezesa UODO, dokonane przez Przedsiębiorcę naruszenie miało charakter nieumyślny, jednakże w związku z tym, że było ono następstwem rażącego i długotrwałego zaniedbania przez Przedsiębiorcę jego podstawowego obowiązku (zapewnienia takiej organizacji odbioru pism, aby przebieg korespondencji urzędowej odbywał się w sposób ciągły i niezakłócony), okoliczność ta winna być oceniona negatywnie i uznana za obciążającą w kontekście ustalenia wysokości orzeczonej kary.
  3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679). W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygn. DKE.561.19.2021) Przedsiębiorca nie podjął w żadnym stopniu współpracy z Prezesem UODO. W szczególności Przedsiębiorca nie przedstawił informacji żądanych przez organ ochrony danych osobowych w postępowaniu o sygn. DS.523.3666.2020, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia. Taki całkowity brak współpracy z Prezesem UODO skutkuje w dalszym ciągu utrudnieniem Prezesowi UODO szybkiego i wnikliwego rozpatrzenia skargi Pani D. J.

Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).

Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679, nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Przedsiębiorcę w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje ona Przedsiębiorcę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygn. DS.523.3666.2020, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Przedsiębiorcę bez ponad miarowego uszczerbku dla prowadzonej przez niego działalności. Decydując o wysokości kary, Prezes UODO uwzględnił bowiem zarówno naganność postępowania Przedsiębiorcy, w tym przede wszystkim jego wpływ na prowadzone przez organ nadzorczy postępowanie skargowe, jak i pozyskane informacje dotyczące kondycji finansowej Przedsiębiorcy. Mając na uwadze fakt zadłużenia Przedsiębiorcy,  jak również konieczność uiszczenia kary grzywny nałożonej na niego wyrokiem nakazowym z (…), zapadłym w sprawie o sygn. (…) przez Sąd Rejonowy w C. II Wydział Karny, Prezes UODO stanął na stanowisku, że kwota administracyjnej kary pieniężnej wymierzonej w przedmiotowym postępowaniu będzie proporcjonalna do jego możliwości płatniczych. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Przedsiębiorcy, zobowiązanego na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych z zapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu wskazać należy, że nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest – wobec dotychczasowego postępowania ww., jako strony postępowania o sygn. DS.523.3666.2020 – niezbędne; jest bowiem jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu.

Wobec nieprzedstawienia przez Przedsiębiorcę żądanych przez Prezesa UODO danych finansowych za rok 2020, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o. specyfikę, zakres i skalę prowadzonej przez Przedsiębiorcę działalności.

Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z art. 103 u.o.d.o., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Przedsiębiorcę – stosując średni kurs euro z dnia 28 stycznia 2021 r. (gdzie 1 EUR = 4,5479 PLN) – administracyjną karę pieniężną w kwocie 4.548 PLN (co stanowi równowartość 1.000 EUR).

Mając powyższe na uwadze Prezes UODO orzekł jak w  sentencji niniejszej decyzji.

Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa).

Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2021-12-23
Wprowadził informację:
user Mathias Proch
date 2023-08-03 12:58:25
Ostatnio modyfikował:
user Edyta Madziar
date 2023-10-03 09:56:42