Decyzja
DKE.561.2.2021
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) i art. 58 ust. 2 lit. g) oraz art. 83 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na A. Z., Prezes Urzędu Ochrony Danych Osobowych
udziela A. Z. upomnienia za nieprzestrzeganie oraz uchylanie się od wykonania w okresie od […] sierpnia 2020 roku do […] marca 2021 roku decyzji Prezesa UODO z […] lipca 2020 roku, sygn. […], nakazującej usunięcie danych osobowych A. A. ze strony internetowej […].
Uzasadnienie
Prezes UODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. A. (zwanej dalej Skarżącą), reprezentowanej przez radcę prawnego M. B., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez A. Z., (zwanego dalej także Zobowiązanym), polegające na udostępnieniu jej danych osobowych w zakresie imienia i nazwiska pod adresem […] bez podstawy prawnej, decyzją z […] lipca 2020 roku, sygn. […], na podstawie art. 4 pkt. 1, art. 6 ust. 1 i art. 58 ust. 2 lit. g Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, nakazał Zobowiązanemu wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych A. A. poprzez usunięcie ze strony internetowej, znajdującej się pod adresem […] danych osobowych Skarżącej w zakresie imienia i nazwiska. Decyzja została doręczona Zobowiązanemu […] sierpnia 2020 roku. Od przedmiotowej decyzji nie zostało wniesione odwołanie.
Pismem z […] grudnia 2020 roku, doręczonym […] grudnia 2020 roku, Prezes UODO wezwał Zobowiązanego do złożenia wyjaśnień i dowodów potwierdzających wykonanie decyzji w terminie 7 dni od daty doręczenia wezwania. W dniu […] grudnia 2020 roku, do Urzędu Ochrony Danych Osobowych została nadesłana wiadomość e-mail z adresu: […], do której dołączony był dokument tekstowy. Treść dokumentu stanowiło oświadczenie: „Jak wyjaśniłem w rozmowie telefonicznej którą odbyłem z tutejszym Urzędem Ochrony Danych, po otrzymaniu pierwszego pisma – utraciłem dane do logowania do tej strony aby dokonać na niej jakichkolwiek zmian. W rozmowie telefonicznej ktoś z urzędu poinformował mnie że zwrócicie się do administratora domeny […] z takim poleceniem.” W treści dokumentu widniały dane osobowe Zobowiązanego sugerujące, że jest on autorem pisma. Ustalenia dokonane po stronie Urzędu, w tym bezpośrednie ustalenia z osobą prowadzącą sprawę […] wykazały, że rozmowa telefoniczna między Zobowiązanym a UODO, o której mowa w powołanym wyżej oświadczeniu, nie miała miejsca. W odpowiedzi na wezwanie do przesłania dowodów wykonania przedmiotowej decyzji, oprócz powołanej wyżej wiadomości e-mail, nie wpłynęły do Urzędu inne wyjaśnienia ani dowody potwierdzające wykonanie przedmiotowej decyzji. Fakt dalszego publikowania przedmiotowych danych pod adresem […] oraz treść oświadczenia przesłanego w wiadomości e-mail dały podstawę do stwierdzenia, że decyzja Prezesa UODO z […] lipca 2020 roku, sygn. […] nie została wykonana.
Wobec powyższego Prezes UODO wszczął z urzędu niniejsze postępowanie administracyjne (sygn. DKE.561.2.2021) w przedmiocie nałożenia na Zobowiązanego administracyjnej kary pieniężnej za niewykonanie nakazu Prezesa UODO orzeczonego decyzją z […] lipca 2020 roku, sygn.. […]. Pismo z […] stycznia 2021 roku, informujące o wszczęciu postępowania i zgromadzeniu materiału dowodowego zostało doręczone Zobowiązanemu […] lutego 2021 roku. W tym samym dniu Zobowiązany zainicjował kontakt telefoniczny z pracownikiem Departamentu Kar i Egzekucji UODO, prowadzącym niniejszą sprawę - […] (zwanym dalej także Prowadzącym sprawę). W toku rozmowy Zobowiązany podniósł, że nie posiada danych do zalogowania się na stronę […], na której znajdowały się dane osobowe, które winien usunąć na podstawie nakazu decyzji. Prowadzący sprawę zalecił Zobowiązanemu podjęcie wysiłku, w tym skierowania oficjalnej korespondencji do administratora domeny […] aby wyczerpać wszystkie możliwe działania w celu wykonania przedmiotowej decyzji.
Tego samego dnia, tj. […] lutego 2021 roku o godzinie […] na adres e-mail prowadzony przez Kancelarię Urzędu, wpłynęła kopia wiadomości e-mail z adresu […] na adres […]. Treść wiadomości była następująca:
„Dzień dobry, w związku z decyzją prezesa UODO o koniecznosci usuniecia imienia i nazwiska A. A. z utworzonej przeze mnie strony w Waszym serwisie, do ktorej utracilem dane do logowania, proszę o ich usuniecie. Z poważaniem Z. A.”
Pismem z […] marca 2021 roku - z uwagi na brak dalszych informacji od Zobowiązanego, dotyczących wykonania przedmiotowej decyzji - Prezes UODO wezwał Zobowiązanego do złożenia wyjaśnień i odpowiedzi na pytanie jakie działania podjął on w celu wykonania decyzji.
Pismem z […] marca, które wpłynęło do Urzędu poprzez system ePUAP Zobowiązany przesłał kopię wiadomości e-mail skierowanej na adres […] z […] lutego 2021 roku.
W dniu […] marca 2021 roku Prowadzący sprawę dokonał ponownej weryfikacji czy nakaz przedmiotowej decyzji został wykonany poprzez sprawdzenie zawartości witryny […]. Z uwagi na dalszą publikację danych osobowych Skarżącej pod w/w adresem oraz brak informacji dotyczących działań Zobowiązanego w celu wykonania decyzji, Prowadzący sprawę skontaktował się telefonicznie ze Zobowiązanym. W toku rozmowy Zobowiązany podtrzymał, że nie posiada danych do zalogowania się na stronę. Prowadzący sprawę pouczył Zobowiązanego, że jego dotychczasowe działania w celu wykonania decyzji mogą być postrzegane jako pozorne, tj. mające wywołać po stronie Prezesa UODO fałszywe przekonanie że Zobowiązany działa w celu wykonania decyzji, co w rzeczywistości nie ma miejsca.
Tego samego dnia, tj. […] marca 2021 roku na adres e-mail […] wpłynęła wiadomość z adresu […], wskazująca, że Zobowiązany wykonał przedmiotowy nakaz decyzji i usunął dane Skarżącej ze strony internetowej.
W dniu […] marca Prowadzący sprawę dokonał weryfikacji czy nakaz przedmiotowej decyzji został wykonany poprzez sprawdzenie zawartości witryny […]. W toku czynności ustalono, że Zobowiązany usunął dane osobowe Skarżącej z treści dostępnych pod tym adresem w niepełnym zakresie, bowiem strona nadal zapewniała dostęp do danych osobowych Skarżącej zarówno poprzez otwarcie pliku tekstowego stanowiącego element składowy strony pod adresem […] oraz po wyświetleniu elementu podrzędnego do przedmiotowej strony internetowej, tj. podstrony udostępnionej pod adresem […]. Tego samego dnia, tj. […] marca Prowadzący sprawę odpowiedział na wiadomość e-mail Zobowiązanego wskazując w/w miejsca, z których należy jeszcze usunąć dane osobowe Skarżącej.
Pismem z […] marca 2021 Prezes UODO wezwał Zobowiązanego do ostatecznego wykonania decyzji. W piśmie wskazano m.in., że treść decyzji Prezesa UODO z […] lipca 2020 roku, sygn. […] nie pozostawia wątpliwości, że Zobowiązany nie legitymuje się żadną ze wskazanych w art. 6 ust 1. Rozporządzenia 2016/679 podstaw prawnych do upubliczniania danych osobowych Skarżącej, niezależnie od miejsca i formy publikacji, co zostało wskazane na str. 5 przedmiotowej decyzji. W treści pisma podkreślono, że wynika z tego obowiązek usunięcia danych osobowych Skarżącej znajdujących się pod adresem internetowym […] niezależnie, czy są to dane zamieszczone w postaci otwartego tekstu czy w treści zintegrowanych pod tym adresem plików i podstron.
W dniu […] marca 2021 roku do Urzędu wpłynęła wiadomość e-mail z adresu […] wskazująca, że Zobowiązany usunął wszystkie dane osobowe Skarżącej, udostępnianie pod adresem […]. W dniu […] marca 2021 roku Prowadzący sprawę zweryfikował tę informację stwierdzając wykonanie przez Zobowiązanego w całości decyzji Prezesa UODO z […] lipca 2020 roku, sygn. […].
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)).
Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania.
Zgodnie z art. 83 ust. 6 Rozporządzenia 2016/679 nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Odnosząc wskazane wyżej przepisy Rozporządzenia 2016/679 do ustalonego w sprawie, a opisanego powyżej, stanu faktycznego stwierdzić należy, że Zobowiązany w okresie od […] sierpnia 2020 roku do […] marca 2021 roku uchylał się od wykonania (czy też zgodnie z terminologią użytą przez prawodawcę unijnego w art. 83 ust. 6 Rozporządzenia 2016/679) – „nie przestrzegał”) prawomocnego nakazu decyzji Prezesa UODO z […] lipca 2020 roku, sygn. […].
Decyzją z […] lipca 2020 roku, sygn. […], na podstawie art. 4 pkt. 1, art. 6 ust. 1 i art. 58 ust. 2 lit. g Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, Prezes UODO nakazał Zobowiązanemu wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych A. A. poprzez usunięcie ze strony internetowej, znajdującej się pod adresem […] danych osobowych Skarżącej w zakresie imienia i nazwiska. Decyzja została doręczona Zobowiązanemu […] sierpnia 2020 roku.
Od przedmiotowej decyzji nie zostało wniesione odwołanie, zatem stała się ona prawomocna i wykonalna z upływem […] sierpnia 2020 roku. Wykonanie decyzji nastąpiło w całości dopiero […] marca 2021 roku, poprzedzone wezwaniami Zobowiązanego do jej wykonania.
Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
W rezultacie wszczęcia niniejszego postępowania Zobowiązany wykonał w całości decyzję Prezesa UODO z […] lipca 2020 roku, sygn. […]. W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie A. Z. upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 2 lit. g) Rozporządzenia 2016/679.
Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 Rozporządzenia 2016/679 stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Prezes UODO uznał, że w przedmiotowej sprawie, w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 wystarczające będzie udzielenie upomnienia,.
Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Zobowiązanego będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stały w wysokości 200 zł, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 poz. 2325, ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.