Decyzja
DKE.561.24.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022, poz. 2000 ze zm.) art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 83 ust. 1-2 i art. 83 ust. 6 w związku z art. 58 ust. 2 lit. c) i lit. i) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na E. Spółka z o.o. z siedzibą we W. przy ul. (…) administracyjnej kary pieniężnej,Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając niewykonanie przez E. Spółka z o.o. z siedzibą we W. przy ul. (…) nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z dnia 6 maja 2021 roku, sygn. DS.523.152.2021 nakłada na E. Spółka z o.o. z siedzibą we W. przy ul. (…) administracyjną karę pieniężną w kwocie 22 848 PLN (słownie: dwadzieścia dwa tysiące osiemset czterdzieści osiem złotych).
UZASADNIENIE
Stan faktyczny
- Prezes Urzędu Ochrony Danych Osobowych, zwany dalej: „Prezesem UODO”, decyzją administracyjną z dnia 6 maja 2021 roku, sygn. DS.523.152.2021, zwaną dalej: ”Decyzją”, nakazał E. Sp. z o.o. z siedzibą we W. przy ul. (…), zwanej dalej „Spółką”, usunięcie danych osobowych Pana M. M., zam. w S. przy ul. (…) w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania.
- Decyzja jest ostateczna. Decyzja została odebrana przez Spółkę w dniu 13 maja 2021 roku. Decyzja nie została zaskarżona przez strony postępowania do Wojewódzkiego Sądu Administracyjnego w Warszawie, w związku z czym stała się prawomocna z dniem 15 czerwca 2021 roku.
- Celem sprawdzenia, czy nałożony Decyzją obowiązek został wykonany przez Spółkę, Prezes UODO pismem z dnia 19 maja 2022 roku (sygn. DKE.560.52.2022) wezwał Spółkę do złożenia wyjaśnień i przedstawienia dowodów potwierdzających wykonanie nakazu Decyzji oraz pouczył Spółkę, że stwierdzenie nieprzestrzegania nakazu orzeczonego przez Prezesa UODO może skutkować nałożeniem administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR zgodnie z art. 83 ust. 6 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), zwanego dalej „Rozporządzeniem 2016/679”. Pismo to zostało odebrane przez adresata w dniu 24 maja 2022 roku. Spółka nie odpowiedziała na wezwanie ani nie przedstawiła żadnych dowodów potwierdzających wykonanie Decyzji.
- Pismem z dnia 30 czerwca 2022 roku o sygn. DKE.560.52.2022 Prezes UODO skierował do Spółki upomnienie, którym wezwał Spółkę do wykonania nakazu Decyzji oraz do udokumentowania wykonania tego nakazu. Pismo to zostało odebrane przez adresata w dniu 5 lipca 2022 roku i pozostało bez odpowiedzi ze strony Spółki.
- W związku z powyższym, Prezes UODO wszczął z urzędu niniejsze postępowanie administracyjne o sygn. DKE.561.24.2022 w przedmiocie nałożenia administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 Rozporządzenia 2016/679. Informacja o wszczęciu niniejszego postępowania została wysłana do Spółki pismem z dnia 24 sierpnia 2022 roku, sygn. DKE.561.24.2022. Powyższym pismem Spółka została również wezwana do przedstawienia sprawozdania finansowego, a w razie jego braku – oświadczenia o wysokości obrotu i wyniku finansowego za 2021 rok celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej. Ponadto w piśmie tym wskazano, że jeżeli Spółka przedstawi dowody na wykonanie w całości nakazu przedmiotowej decyzji Prezesa UODO, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia. Pismo to, pomimo skierowania na adres siedziby Spółki ujawniony w KRS (na który kierowana była wcześniejsza korespondencja) nie zostało odebrane przez Spółkę i zostało uznane za doręczone w dniu 16 września 2022 roku zasadzie fikcji doręczenia, zgodnie z art. 44 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022, poz. 2000 ze zm.).
- Do dnia wydania niniejszej decyzji Spółka nie przedstawiła żadnych wyjaśnień dotyczących wykonania nakazu Decyzji ani nie przedstawiła dowodów na wykonanie nakazu Decyzji.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Uzasadnienie prawne
- Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium (w tym Prezes UODO na terytorium Rzeczypospolitej Polskiej) monitoruje i egzekwuje stosowanie rozporządzenia (art. 57 ust. 1 lit. a) oraz prowadzi postępowania w sprawie jego stosowania (art. 57 ust. 1 lit. h).
- W celu realizacji zadań, o których mowa w art. 57 ust. 1 Rozporządzenia 2016/679, Prezesowi UODO przyznane są uprawnienia naprawcze mocą art. 58 ust. 2 Rozporządzenia 2016/679, w tym w szczególności uprawnienie do nakazania administratorowi spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust. 2 lit. c), a także uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 tego rozporządzenia (art. 58 ust. 2 lit. i).
- Zgodnie z art. 83 ust. 6 RODO - nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Zgodnie ze sformułowaną w art. 5 ust. 2 Rozporządzenia 2016/679 zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 tego przepisu (w tym – zgodnie z tzw. zasadą legalności – za przetwarzanie danych osobowych „zgodnie z prawem”) i musi być w stanie wykazać ich przestrzeganie. Zastosowanie zasady rozliczalności w niniejszej sprawie oznacza, że Przedsiębiorca zobowiązany jest – w szczególności w postępowaniu przed Prezesem UODO – udowodnić wykonanie nakazu decyzji, które to wykonanie byłoby równoznaczne z przywróceniem przetwarzania przez niego danych osobowych do stanu zgodnego z prawem. Takie implikacje zasady rozliczalności potwierdza doktryna prawa ochrony danych osobowych, zgodnie z którą: „Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych.” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018).
11. Oceniając czy a jeśli tak to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42;
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
- Ponadto - organ nadzorczy - zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
- Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie, zobowiązany jest – na podstawie z art. 101a ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej ”u.o.d.o.” – na żądanie Prezesa UODO dostarczyć mu danych niezbędnych do określenia tej podstawy. Natomiast przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu Prezes UODO – zgodnie z art.101a ust. 2 u.o.d.o ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności gospodarczej lub ogólnie dostępne dane finansowe dotyczące podmiotu.
- Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
- Odnosząc wskazane wyżej przepisy do ustalonego w sprawie stanu faktycznego podkreślić należy w pierwszej kolejności, że ciężar udowodnienia wykonania nakazu decyzji, dotyczącego przetwarzania danych osobowych w oparciu o Rozporządzenie 2016/679 RODO, spoczywa na administratorze danych osobowych - wynika to wprost z zasady rozliczalności ustanowionej w RODO (patrz pkt 10 uzasadnienia decyzji).
- Spółka, jako administrator danych osobowych i adresat decyzji Prezesa UODO z 6 maja 2021 roku, sygn. DS.523.152.2021, nie udowodniła wykonania nakazu decyzji, mimo kierowanych przez organ wezwań, poprzedzających wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. Te okoliczności prowadzą do stwierdzenia, że Spółka nie wykonała (czy też – zgodnie z terminologią użytą przez prawodawcę unijnego w art. 83 ust. 6 Rozporządzenia 206/679 – „nie przestrzega”) ww. nakazu decyzji administracyjnej Prezesa UODO.
- Mając na uwadze powyższe ustalenia, Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 6 RODO – administracyjnej kary pieniężnej za niewykonanie decyzji administracyjnej Prezesa UODO z dnia 6 maja 2021 roku, sygn. DS.523.152.2021.
- Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął - spośród nich - pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
- Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Naruszenie Spółki w niniejszej sprawie, polegające na nieprzestrzeganiu nakazu decyzji administracyjnej Prezesa UODO, będącego organem właściwym do spraw ochrony danych osobowych i organem nadzorczym w rozumieniu RODO, należy uznać za godzące w istotny sposób w system ochrony danych osobowych. Dodatkowo należy podkreślić, że skoro Decyzja nakazywała usunięcie danych osobowych, to jej niewykonanie świadczy o dalszym, bezprawnym przetwarzaniu tych danych. Z tego względu naruszenie ma wysoką wagę i naganny charakter. Wagę tę zwiększa dodatkowo okoliczność, że stan ten trwa od 13 maja 2021 r., tj. od dnia odebrania ostatecznej Decyzji przez Spółkę do dnia wydania niniejszej decyzji.
- Umyślny charakter naruszenia (art. 83 ust. 2 lit. b Rozporządzenia 2016/679).
W ocenie Prezesa UODO przedmiotowe zaniechanie Spółki ma charakter umyślny. Spółka odebrała zarówno Decyzję, jak i późniejsze wezwanie do przedstawienia dowodów na jej wykonanie, a także upomnienie wzywające do wykonania nakazu Decyzji. Za bezsporne należy więc uznać, że Spółka ma pełną świadomość tego, jaki obowiązek na niej ciąży, kiedy powinien być przez nią wykonany, a także tego czym zagrożone jest nieprzestrzegania tego obowiązku. Zatem należy uznać, że brak reakcji Spółki na powyższe musiał być efektem jej świadomej decyzji.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).
W ocenie Prezesa UODO Spółka w toku niniejszego postępowania nie podjęła w żadnym stopniu współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków. W szczególności Spółka nie zareagowała na skierowaną do niej decyzję oraz nie odpowiedziała na kierowane do niej wezwania. Fakt, że Spółka zupełnie zlekceważyła nałożony na nią w drodze Decyzji obowiązek i nie podjęła współpracy z Prezesem UODO, jest kolejną wyraźną przesłanką do zastosowania wobec niej sankcji w postaci administracyjnej kary pieniężnej.
W ocenie Prezesa UODO żadna z przesłanek, o którym mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej kary.
- Ze względu na specyficzny charakter naruszenia (dotyczący relacji organu nadzorczego z administratorem, a nie administratora z osobami, których dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie następujące okoliczności:
- działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679).
Ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie.
- stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679).
Przedmiotowe naruszenie nie ma związku ze środkami organizacyjnymi i technicznymi wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa przetwarzania.
- kategorie danych osobowych, których dotyczy naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679).
Ze względu na to, że przedmiotowe naruszenie nie wiąże się z naruszeniem żadnych danych osobowych przesłanka ta nie mogła zostać wzięta pod uwagę.
- Pozostałe okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały uznane przez Prezesa UODO za neutralne dla oceny stwierdzonego w niniejszej sprawie naruszenia:
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e Rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Spółkę, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Spółce obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
- sposób w jaki organ nadzorczy dowiedział się o naruszeniu ( art. 83 ust. 2 lit. h) Rozporządzenia 2016/679).
Prezes UODO powziął informację o stwierdzonym w niniejszej sprawie naruszeniu z urzędu prowadząc postępowanie sprawdzające wykonanie decyzji o sygn. DKE.560.52.2022. Wiedza na temat naruszania wynika z analizy przebiegu tego postępowania. Okoliczność ta nie ma ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej wobec Spółki.
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679).
Prezes UODO nie stosował wobec Spółki w niniejszej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679 i nie monitorował ewentualnych działań Spółki związanych z ich stosowaniem, a które to działania mogłyby mieć wpływ na ocenę naruszenia.
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679)
Spółka nie stosuje żadnych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji. Posługiwanie się przez administratorów takimi instrumentami samoregulującymi nie jest obligatoryjne, w związku z tym okoliczność ich niestosowania nie może być traktowana obciążająco w ocenie naruszenia. W przypadku gdyby Spółka wdrożyła i stosowała się do zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji, organ nadzorczy mógłby poczytać ten fakt na jej korzyść jako środek gwarantujący wyższy niż standardowy poziom ochrony.
- osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679)
W niniejszym postępowaniu Prezes UODO nie stwierdził, żeby Spółka, w związku z nieprzestrzeganiem nakazu odniosła jakiekolwiek korzyści majątkowe lub uniknęła strat. Okoliczność, że administrator w związku z naruszeniem przepisów o ochronie danych osobowych osiągnął korzyści majątkowe jest postrzegana obciążająco i może stanowić wyraźną przesłankę do zastosowania administracyjnej kary pieniężnej zaś nieosiągnięcie żadnych korzyści nie jest przesłanką łagodzącą.
- inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679)
Prezes UODO po wnikliwym rozpoznaniu sprawy nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i wymiar orzeczonej administracyjnej kary pieniężnej.
- Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu spełnia te kryteria. Dolegliwość kary zdyscyplinuje Spółkę do przestrzegania nakazów decyzji oraz do prawidłowej współpracy z Prezesem UODO w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – taką reakcją na naruszenie, która jest zarówno skuteczna oraz proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą. Wskazać należy, że w ocenie Prezesa UODO, nałożenie na Spółkę administracyjnej kary pieniężnej jest środkiem, który zapewni przestrzeganie nakazu orzeczonego wobec niego w drodze decyzji z dnia 6 maja 2021 roku, sygn. DS.523.152.2021.
- Wobec nieprzedstawienia przez Spółkę danych finansowych za rok 2021, Prezes UODO ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie wziął pod uwagę szacunkową wielkość Spółki oraz specyfikę, zakres i skalę jego działalności w oparciu o art. 101a ust. 2 u.o.d.o. oraz ostatnie sprawozdanie finansowe Spółki za 2020 rok dostępne na stronie Krajowego Rejestru Sądowego https://ekrs.ms.gov.pl. Z danych finansowych Spółki wynika, że obrót (przychody netto ze sprzedaży) wyniósł w 2020 roku – 1 605 986, 35 zł. Biorąc pod uwagę powyższe, nałożona kara pieniężna nie będzie wiązać się z nadmiernym obciążaniem finansowym dla prowadzonej przez Spółkę działalności.
- Zgodnie z brzmieniem art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. W niniejszym postępowaniu Prezes UODO za naruszenie opisane w sentencji tej decyzji, nałożył na Spółkę - stosując średni kurs euro z dnia 28 stycznia 2022 r. (1 EUR = 4,5697 PLN) - administracyjną karę pieniężną w kwocie 22 848 zł (co stanowi równowartość 5.000 EUR).
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.
Pouczenie
- Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.) (dalej „p.p.s.a.”), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) (dalej „u.o.d.o.”) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
- W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
- Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP 0/0 Warszawa nr 28 1010 1010 0028 8622 3100 0000.
- Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2021 r. poz. 1540 ze zm.), od dnia następującego po dniu złożenia wniosku.