PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 16 grudnia 2022 r.

Decyzja

DKE.561.20.2021

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 1 lit. a) i lit. e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią D. S., prowadzącą działalność gospodarczą pod firmą: I., ul. (…) P., Prezes Urzędu Ochrony Danych Osobowych, 

udziela upomnienia Pani D. S., prowadzącej działalność gospodarczą pod firmą: I. , ul. (…) P., za naruszenie przepisów art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.

 

Uzasadnienie

 

Do Urzędu Ochrony Danych Osobowych wpłynęła informacja o nieprawidłowościach przy przetwarzaniu przez Panią D. S., prowadzącą działalność gospodarczą pod firmą: I., ul. (…) P. (zwaną dalej: „Przedsiębiorcą”) danych osobowych w ramach prowadzonej działalności gospodarczej, polegających na pozostawieniu w lokalu przy ul. (…) w P. dokumentacji zawierającej dane osobowe, w tym dokumentacji medycznej wraz z danymi pacjentów (np. numerami PESEL, miejscami zamieszkania), skierowaniami na badania w zakresie medycyny pracy oraz orzeczeniami o zdolności do pracy, opatrzonej pieczęciami nagłówkowymi o treści: "I. (...) ul. (…) P. oraz „Badanie profilaktyczne przeprowadziła lek. med. (…).”.

Wobec konieczności pozyskania informacji dodatkowych, niezbędnych organowi nadzorczemu do oceny okoliczności związanych z prawdopodobnym naruszeniem ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO”) w ramach wszczętego postępowania administracyjnego o sygnaturze DKN.5101.66.2021 zwrócił się do Przedsiębiorcy pismem z 2 kwietnia 2021 r. o wskazanie – w terminie 7 dni od dnia doręczenia przedmiotowej korespondencji – czy w związku z wyżej opisaną sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny tego, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie, stosownie do treści art. 33 oraz art. 34 Rozporządzenia 2016/679.

Wzmiankowane pismo, przesłane za pośrednictwem polskiego operatora pocztowego na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane. Podwójnie awizowane w dniach 8 kwietnia 2021 r. oraz 16 kwietnia 2021 r., a następnie opatrzone adnotacją „ZWROT nie podjęto w terminie”, zostało zwrócone w dniu 23 kwietnia 2021 r. do Urzędu Ochrony Danych Osobowych.

Wobec powyższego. Prezes UODO ponownie pismem z 25 maja 2021 r., zwrócił się do Przedsiębiorcy o złożenie stosownych wyjaśnień, zakreślając 7-dniowy termin na ustosunkowanie się do tak sformułowanego żądania. Jednocześnie Przedsiębiorcę pouczono o tym, że brak udzielenia wyczerpującej odpowiedzi na wezwanie skutkować może nałożeniem administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Wyżej wymienione pismo, dwukrotnie awizowane w dniach 31 maja 2021 r. oraz 8 czerwca 2021 r., niepodjęte przez odbiorcę w terminie, zostało zwrócone do nadawcy 15 czerwca 2021 r.

Mając na uwadze obowiązujące brzmienie art. 42 § 1 w związku art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.), zwanej dalej „k.p.a.”, oba ww. pisma uznano za prawidłowo doręczone Przedsiębiorcy.

W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DKN.5101.66.2021, Prezes Urzędu Ochrony Danych Osobowych wszczął wobec niego z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 18 sierpnia 2021 r. Korespondencja ta, skierowana do Przedsiębiorcy za pośrednictwem Poczty Polskiej, awizowana dwukrotnie w dniach 23 sierpnia 2021 r. oraz 31 sierpnia 2021 r., nie została przez niego odebrana. W związku z powyższym Prezes UODO – stosownie do brzmienia art. 42 § 1 w związku art. 44 § 4  k.p.a. –  uznał ją za doręczoną Przedsiębiorcy z dniem  7 września 2021 r. Pismem powyższym Przedsiębiorca wezwany został także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2020 r.

Jednocześnie 12 października 2021 r. (po uprzednim telefonicznym uzgodnieniu z Przedsiębiorcą pod numerem telefonu (…)) informacja o wszczęciu niniejszego postępowania przekazana została Przedsiębiorcy za pośrednictwem poczty elektronicznej na wskazany przez niego adres e-mail: (…).

W reakcji na pismo informujące o wszczęciu postępowania administracyjnego o sygnaturze DKE.561.20.2021, Przedsiębiorca pismem z 18 października 2021 r. złożył obszerne wyjaśnienia, zezwalające na dalsze procedowanie w sprawie o sygnaturze DKN.5101.66.2021 oraz wniósł o odstąpienie od nałożenia administracyjnej kary pieniężnej, wskazując przyczyny braku dostarczenia żądanych przez Prezesa UODO informacji w terminie pierwotnie zakreślonym przez organ ochrony danych. Jak oświadczył, opóźnienie wynikało z faktu, iż z dniem 1 stycznia 2021 r. Przedsiębiorca zawiesił wykonywanie działalności gospodarczej prowadzonej pod adresem: ul. (…) w P., zdając ww. lokal spółdzielni mieszkaniowej. Od początku 2021 r. Przedsiębiorca nie posiadał dostępu do tego lokalu, w konsekwencji czego nie miał możliwości odebrania kierowanej tam korespondencji. Z uwagi na powyższe, Przedsiębiorca nie był świadom tego, iż przed Prezesem UODO toczy się wobec niego postępowanie administracyjne w przedmiocie naruszenia ochrony danych osobowych, w którym wzywany on jest do dostarczenia informacji niezbędnych do zbadania okoliczności związanych ze zgłoszonym organowi nadzorczemu incydentem. Pierwszą wiadomość o postępowaniu prowadzonym przez Prezesa UODO Przedsiębiorca pozyskał dopiero 12 października 2021 r. podczas rozmowy telefonicznej przeprowadzonej z pracownikiem UODO, który zawiadomił Przedsiębiorcę o skierowanych do niego pismach z 2 kwietnia 2021 r. oraz 25 maja 2021 r., wzywających do udzielenia wyjaśnień w postępowaniu o sygnaturze DKN.5101.66.2021, a nadto o piśmie z 18 sierpnia 2021 r., stanowiącego informację o wszczęciu postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej o sygnaturze DKE.561.20.2021. Mając na uwadze, że zaniechanie Przedsiębiorcy nie miało charakteru celowego, a jedynie wynikało z jego zaniedbania – gdyż za takie należy uznawać brak aktualizacji adresu do doręczeń w CEIDG – jak również fakt złożenia wymaganych od Przedsiębiorcy wyjaśnień, niezwłocznie po uzyskaniu informacji o toczących się wobec niego postępowaniach, Przedsiębiorca wniósł o odstąpienie od wymierzenia sankcji finansowej, deklarując chęć dalszej współpracy z Prezesem UODO w ramach realizacji jego zadań.  

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów omawianego aktu prawnego (art. 57 ust. 1 lit. h)), w tym postępowań związanych z oceną naruszeń ochrony danych osobowych, zgłaszanych Prezesowi UODO przez administratorów danych stosownie do treści art. 33 Rozporządzenia 2016/679. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, może uznać za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Przedsiębiorca, jako strona postępowania o sygnaturze DKN.5101.66.2021, a jednocześnie administrator danych osobowych, pozostawionych w lokalu zlokalizowanym w P. przy ul. (...), poprzez brak udzielenia merytorycznej odpowiedzi na wezwania organu nadzorczego do złożenia wyjaśnień, naruszył obowiązek zapewnienia Prezesowi UODO dostępu do informacji i danych osobowych niezbędnych do realizacji jego zadań, wynikający z art. 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679. W tym przypadku informacją istotną dla dalszego kierunku postępowania było ustalenie, czy w związku z opisaną na wstępie uzasadnienia niniejszej decyzji sytuacją została przeprowadzona analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny tego, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie, stosownie do treści art. 33 oraz art. 34 Rozporządzenia 2016/679. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 745 ze zm.) zasadami wnikliwości i szybkości postępowania.

Prezes UODO, celem ustalenia stanu faktycznego sprawy o sygn. DKN.5101.66.2021, dwukrotnie zwrócił się do Przedsiębiorcy z żądaniem nadesłania wyjaśnień. Żadne z wystosowanych do Przedsiębiorcy pism datowanych na 2 kwietnia 2021 r. oraz 25 maja 2021 r., skierowanych na ujawniony w CEIDG adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane pomimo dwukrotnego awizowania. W związku z powyższym, pisma te uznane zostały za prawidłowo doręczone Przedsiębiorcy zgodnie z art. 42 § 1 w związku z art. 44 § 4 k.p.a. Powyższe spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, w rezultacie czego Przedsiębiorca podjął współpracę z Prezesem UODO, poprzez nadesłanie szczegółowych wyjaśnień w postępowaniu o sygnaturze DKN.5101.66.2021, co pozwoliło Prezesowi UODO na dalsze prowadzenie czynności w ww. sprawie.

Uwzględniając powyższe ustalenia, nie budzi wątpliwości fakt, że Przedsiębiorca swoim zachowaniem dopuścił się naruszenia przepisów Rozporządzenia 2016/679. Przedstawione przez Przedsiębiorcę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego bowiem odpowiedzialności za stwierdzone zaniechanie. Równolegle jednak, wskazane przez Przedsiębiorcę przyczyny początkowego braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Przedsiębiorcy, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji. W ocenie Prezesa UODO, brak reakcji Przedsiębiorcy na kierowane do niego wezwania do złożenia wyjaśnień wynikał z zaniedbania Przedsiębiorcy, sprowadzającego się do tego, że pomimo zawieszenia z dniem 1 stycznia 2021 r. wykonywania działalności i braku faktycznego dostępu do lokalu wskazanego w CEIDG, jako miejsce stałego wykonywania działalności gospodarczej, Przedsiębiorca nie wskazał w rejestrze aktualnego adresu do korespondencji, czym skutecznie uniemożliwił nawiązanie z nim kontaktu celem wyjaśnienia istoty sprawy.

W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień – który to brak został uzupełniony przez Przedsiębiorcę w rezultacie wszczęcia niniejszego postępowania – nie stwierdzono jednak innych przesłanek wskazujących na brak woli współpracy Przedsiębiorcy z Prezesem UODO. Okoliczności sprawy, a w szczególności późniejsza postawa Przedsiębiorcy pozwalają wnioskować, że jego początkowa opieszałość nie wynikała ze złej woli, ani nie miała na celu świadomego utrudnienia postępowania. Przeciwnie – następcza, aktywna postawa Przedsiębiorcy wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Przedsiębiorcy wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji. W tym miejscu, celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje również, że o wszelkich przeszkodach uniemożliwiających Przedsiębiorcy terminowe wywiązywanie się z obciążających go względem organu ochrony danych osobowych obowiązków, Przedsiębiorca powinien informować niezwłocznie, w chwili ich zaistnienia.

 

Mając powyższe na uwadze,  działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.

 

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2022-12-16
Wprowadził informację:
user Mathias Proch
date 2023-08-01 13:28:41
Ostatnio modyfikował:
user Edyta Madziar
date 2023-10-04 12:54:33