Decyzja
DKE.561.21.2022
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2021 r., poz. 735 ze. zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 57 ust. 1 lit. a) i h), art. 31 i art. 58 ust. 1 lit. a) i lit. e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na T. Sp. z o.o. z siedzibą w W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia T. Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie przepisów art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) zwanego dalej „rozporządzeniem 2016/679”, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu dostępu do danych osobowych i informacji w postępowaniu o sygn. DS.523.4373.2020.
Uzasadnienie
Stan faktyczny
- Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani B. A. zam. w J. (zwanej dalej: Skarżącą), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez T. Sp. z o.o. z siedzibą w W. przy ul. (…) (zwaną dalej ,,Spółką”), polegające na przetwarzaniu jej danych osobowych bez podstawy prawnej oraz niespełnieniu wobec niej obowiązku informacyjnego wynikającego z art. 15 rozporządzenia 2016/679.
- Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. DS.523.4373.2020) w piśmie z 28 października 2021 r., zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o złożenie wyjaśnień:
1) czy, a jeżeli tak, to na jakiej podstawie prawnej, w jakim celu oraz zakresie Spółka przetwarza lub przetwarzała dane osobowe Skarżącej;
2) czy Skarżąca zwróciła się do Spółki z wnioskiem o dostęp do danych w trybie art. 15 ust. 1 RODO, a jeśli tak to jakie było stanowisko Spółki wobec powyższego;
3) czy Skarżąca zwracała się do Spółki z żądaniem usunięcia jej danych osobowych, a jeśli tak, to kiedy, w jakim zakresie i jakie było stanowisko Spółki;
4) czy Spółka otrzymała wniosek Skarżącej w przedmiocie udzielenia informacji na temat przetwarzania jej danych osobowych, a jeśli tak, to kiedy (w jakim dniu), w jaki sposób (w jakiej formie) oraz w jakim zakresie Spółka się do tego wniosku ustosunkowała (proszę o przesłanie kopii korespondencji w tym zakresie).
- Pismo z 28 października 2021 r. zostało doręczone Spółce 4 listopada 2021 r., co potwierdzone zostało na ,,Potwierdzeniu przesyłki listowej”. W piśmie tym Spółka została poinformowana o obowiązku zawiadomienia Prezesa UODO o każdej zmianie swojego adresu oraz że w razie zaniedbania tego obowiązku doręczenie pisma pod dotychczasowym adresem będzie miało skutek prawny stosowanie do przepisu art. 41 § 1 i 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022 r., poz. 2000), dalej jako: ,,K.p.a”.
- W odpowiedzi Spółka w piśmie z 4 listopada 2021 r. wyjaśniła, że prowadzi działalność od 1 grudnia 2020 r., natomiast zdarzenie, o którym pisze Skarżąca, miało miejsce w dniu 6 czerwca 2020 r. kiedy to zakład leczniczy I. prowadzony był przez Spółkę P. Sp. z o.o. (obecnie w upadłości), z którą Spółka nie jest w żaden sposób powiązana ani osobowo, ani kapitałowo.
- W związku z otrzymaniem ww. informacji Prezes UODO pismem z 1 grudnia 2021 r. zwrócił się do syndyka masy upadłości P. Sp. z o.o. w upadłości o udzielenie informacji dotyczących przetwarzania danych Skarżącej. W odpowiedzi syndyk pismem z 10 stycznia 2022 r. poinformował Prezesa UODO, że nie odnalazł potwierdzenia, aby P. Sp. z o.o. kiedykolwiek przetwarzała dane osobowe Skarżącej i że to Spółka jako podmiot prowadzący zakład leczniczy „I” powinna być w posiadaniu tych danych.
- W związku z powyższym Prezes UODO pismami z 2 marca 2022 r. oraz 29 kwietnia 2022 r. ponownie wezwał Spółkę – na dotychczasowy adres wskazany w aktach sprawy, tj. ul. (…) – do udzielenia odpowiedzi na pytania, o które zwrócił się w piśmie z 28 października 2021 r.
- Pisma z 2 marca 2022 r. oraz 29 kwietnia 2022 r. nie zostały podjęte przez Spółkę w terminie. Oba pisma po dwukrotnym awizowaniu wróciły do Urzędu z adnotacją ,,Zwrot nie podjęto w terminie”, jednakże – na podstawie art. 44 § 4 K.p.a. w związku z art. 45 K.p.a. – zostały uznane za doręczone odpowiednio 21 marca 2022 r. (pismo z 2 marca 2022) i 17 maja 2022 r. (pismo z 29 kwietnia 2022).
- W piśmie z 29 kwietnia 2022 r. Spółka została pouczona, że brak wyczerpującej odpowiedzi na wezwanie skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 5 lit. e) RODO – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Pomimo prawidłowo dokonanych przez Prezesa UODO wezwań Spółka nie udzieliła mu żądanych przez niego informacji.
- Wobec braku odpowiedzi na powyższe wezwania, Prezes UODO wszczął niniejsze postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 i art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez ten organ jego zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
- Prezes UODO w ramach wszczętego postępowania administracyjnego prowadzonego pod sygn. DKE.561.21.2022, na podstawie informacji dostępnych w rejestrze przedsiębiorców Krajowego Rejestru Sądowego, dalej jako: ,,KRS”, ustalił, że w dniu 1 lutego 2022 r. Spółka zmieniła adres siedziby z ul. (…), na: ul. (…) i nie poinformowała o tym Prezesa UODO.
- W związku z powzięciem ww. informacji, pismo z 3 sierpnia 2022 r. w sprawie wszczęcia postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej i zebrania materiału dowodowego w sprawie zostało wysłane na nowy adres Spółki, tj. (…). W piśmie tym wskazano, że jeżeli Spółka udzieli w terminie wyczerpujących wyjaśnień, o udzielenie których zwrócił się Prezes UODO w pismach z 2 marca 2022 r. oraz 29 kwietnia 2022 r., okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia. Spółka odebrała ww. pismo 24 sierpnia 2022 r.
- Pismem z 19 września 2022 r. Spółka ustosunkowała się do pytań skierowanych do niej w sprawie o sygn. DS.523.7928.2021 i wniosła o odstąpienie od wymierzania administracyjnej kary pieniężnej wskazując, że brak odpowiedzi na wezwania spowodowany był skierowaniem korespondencji na stary adres siedziby Spółki, tj. ul. (…), po ujawnieniu już nowego adresu Spółki w KRS, tj.: ul. (…). Dodatkowo uzasadniając swój wniosek Spółka wskazała, że po odebraniu pod swoim nowym adresem korespondencji w tej sprawie ustosunkowała się do żądań Prezesa UODO. Spółka podkreśliła, że brak korespondencji i wcześniejszego udzielenia informacji nie wynikał więc ze złej woli czy unikania współpracy z Prezesem UODO. W ww. piśmie Spółka poinformowała również, że do chwili obecnej nie ma jeszcze zatwierdzonego sprawozdania finansowego za pierwszy rok obrotowy, tj. za 2021 r., i w związku z tym wniosła o przedłużenie terminu na złożenie ww. dokumentu lub – wobec wykonania zobowiązania Prezesa UODO – zwolnienie jej z tego obowiązku. Dodała, że jest to pierwsze sprawozdanie finansowe Spółki wobec czego – na chwilę obecną – nie dysponuje inną dokumentacją wynikową.
- Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Uzasadnienie prawne
- Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielenie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679.
- Naruszenie przepisów rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań) podlega zaś – zgodnie zart. 83 ust. 5lit. e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej wwysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez ten niego zadań, o czym stanowi art. 31 rozporządzenia 2016/679. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 i art. 58 ust. 1 lit. a) i e).
- Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. DS.523.4373.2020 niewątpliwe naruszyła obowiązek współpracy z Prezesem UODO oraz obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy.
- Prezes UODO trzykrotnie wezwał Spółkę do złożenia wyjaśnień w postępowaniu prowadzonym pod sygn. DS.523.4373.2020. Pierwsze z tych wezwań zostało doręczone Spółce 4 listopada 2021 r., drugie i trzecie było natomiast dwukrotnie awizowane i ostatecznie zwrócone nadawcy odpowiednio 21 marca 2022 r. (pismo z 2 marca 2022 r.) i 17 maja 2022 r. (pismo z 29 kwietnia 2022 r.) z adnotacją: ,,zwrot nie podjęto w terminie”. Spółka ustosunkowała się do pierwszego z wezwań Prezesa UODO, natomiast na kolejne wezwania nie udzieliła odpowiedzi.
- W pierwszym wezwaniu Spółka została pouczona o konieczności zawiadomienia organu administracji publicznej o każdej zmianie swojego adresu oraz o tym, że w przypadku zaniedbania tego obowiązku doręczenie pisma pod dotychczasowym adresem ma skutek prawny (art. 41 § 1 i 2 K.p.a.). Powyższe wezwanie Spółka odebrała 28 października 2021 r. Spółka wiedziała więc o konieczności poinformowania Prezesa UODO o ewentualnej zmianie adresu oraz o ewentualnych konsekwencjach braku przekazania mu tej informacji.
- Z dniem 1 lutego 2022 r. Spółka zmieniła adres siedziby z: ul. (…), na: (…) i nie poinformowała o tym Prezesa UODO, do czego była zobowiązana na podstawie 41 § 1 i 2 K.p.a.
- W związku z tym, że Spółka nie poinformowała Prezesa UODO o zmianie swojego adresu w toczącym się postępowaniu prowadzonym pod sygn. DS.523.4373.2020, dalsze wezwania do złożenia wyjaśnień skierowane na dotychczasowy adres Spółki wskazany w aktach sprawy, tj. (…), wywarły skutek prawny stosowanie do art. 41 § 1 i 2 K.p.a. i zostały uznane za doręczone na podstawie art. 44 § 4 K.p.a. w związku z art. 45 K.p.a. przewidującego tzw. fikcję doręczenia.
- Spółka, mając świadomość o toczącym się postępowaniu prowadzonym pod sygn. DS.523.4373.2020, nie dopełniła obowiązku zawiadomienia Prezesa UODO o zmianie adresu swojej siedziby czym – w ocenie Prezesa UODO – naruszyła art. 31 rozporządzenia 679/16, tj. obowiązek współpracy z organem. Spółka zdawała sobie sprawę z obciążającego ją ryzyka związanego z nieinformowaniem Prezesa UODO o zmianie swojego adresu w postaci uznania przez Prezesa UODO dalszych pism w tej sprawie za skutecznie doręczonych stosowanie do dyspozycji art. 41 § 1 i 2 K.p.a. w związku z art. 44 § 4 K.p.a. i art. 45 K.p.a.
- Brak współpracy oraz wynikające z niego uniemożliwianie uzyskania dostępu do informacji, o udzielnie których Prezes UODO zwrócił się do Spółki w piśmie z 2 marca 2022 r. oraz 29 kwietnia 2022 r., stał na przeszkodzie wnikliwemu rozpatrzeniu sprawy o sygn. DS.523.4373.2020 i skutkował przedłużaniem postępowania, co z kolei stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym określonymi w art. 12 ust. 1 K.p.a. – zasadami wnikliwości i szybkości postępowania.
- Wyżej wymienione zaniechania Spółki spowodowały konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej.
- W odpowiedzi na informację o wszczęciu niniejszego postępowania Spółka wznowiła współpracę z Prezesem UODO poprzez nadesłanie wyjaśnień w postępowaniu o sygn. DS.523.1878.2022, co umożliwiło Prezesowi UODO na dalsze prowadzenie postępowania w tej sprawie. Jednocześnie w wyjaśnieniach Spółka wniosła o odstąpienie od wymierzenia administracyjnej kary pieniężnej. Uzasadniając swój wniosek wskazała, że brak odpowiedzi na wezwanie do złożenia wyjaśnień z 2 marca 2022 r. i 29 kwietnia 2022 r. nie wynikał ze złej woli czy unikania współpracy z Prezesem UODO w postępowaniu prowadzonym pod sygn. DS.523.1878.2022 lecz powodowany był skierowaniem korespondencji przez Prezesa UODO na stary adres siedziby Spółki, tj. ul. (…), po ujawnieniu już nowego adresu w KRS, tj.: ul. (…). Dodatkowo uzasadniając swój wniosek Spółka wskazała, że po odebraniu pod swoim nowym adresem korespondencji w tej sprawie odniosła się do wezwań Prezesa UODO.
- Jak wyżej wspomniano, nie budzi wątpliwości fakt, że Spółka swoim zachowaniem dopuściła się naruszenia przepisów rozporządzenia 2016/679. Przedstawione przez Spółkę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niej odpowiedzialności za stwierdzone zaniechanie. Jednakże Prezes UODO dał wiarę wyjaśnieniom Spółki, że brak odpowiedzi na kierowane do niej wezwania do złożenia wyjaśnień nie wynikał z jej złej woli, ani nie zmierzał do celowego utrudnienia postępowania. Spółka bowiem nie posiadała świadomości co do dalszej korespondencji kierowanej do niej w postępowaniu o sygn. DS.523.1878.2022, z uwagi na zmianę adresu swojej siedziby, i z tego powodu nie kontynuowała współpracy z Prezesem UODO .
- W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień – który to brak został uzupełniony przez Spółkę w rezultacie wszczęcia niniejszego postępowania – nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny. Okoliczności sprawy, a w szczególności późniejsza postawa Spółki pozwalają wnioskować, że jej początkowa postawa nie wynikała ze złej woli, ani nie miała na celu świadomego utrudnienia postępowania. Spółka po odebraniu pod swoim adresem korespondencji odniosła się do wezwań Prezesa UODO.
- Następcza, aktywna postawa Spółki, w szczególności udzielenie wyjaśnień do postępowania prowadzonego pod sygn. DS.523.1878.2022, wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Spółki wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami sankcji. Niemniej jednak, celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje, że o wszelkich przeszkodach uniemożliwiających Spółce terminowe wywiązywanie się z obciążających ją względem organu ochrony danych osobowych obowiązków, Spółka powinna informować niezwłocznie, w chwili ich zaistnienia.
- Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
- W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Pouczenie
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.