Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Godło białoczarny orzeł

PREZES
URZĘDU OCHRONY
DANYCH OSOBOWYCH

Warszawa, dnia 15 kwietnia 2021 r.

DECYZJA

DKE.561.3.2021

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) w związku z art. 7 i art. 60 ustawy z dnia  10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie  art. 31, art. 58 ust. 1 lit. a) i e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na N. sp. z o. o., reprezentowanej przez radcę prawnego Ł .S., Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia N. sp. z o. o. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu dostępu do informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań w postępowaniu […].

Uzasadnienie

W prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej także „Prezesem UODO”) postepowaniu o sygn. […], podjętym na podstawie skargi R. Ż. (dalej zwanego także Skarżącym), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez N. sp. z o. o., pismem z […] czerwca 2020 roku Prezes UODO wezwał Spółkę do ustosunkowania się do treści skargi oraz złożenia wyjaśnień w sprawie. Pismem z […] lipca 2020 roku, doręczonym do urzędu […] lipca 2020 roku, Spółka złożyła pisemne wyjaśnienia.

Z uwagi na potrzebę dokonania dalszych ustaleń w sprawie, pismem z […] sierpnia 2020 roku, doręczonym […] sierpnia 2020 roku, Prezes UODO wezwał Spółkę do uzupełnienia wyjaśnień w sprawie, poprzez odniesienie się do szczegółowo wskazanych kwestii – w terminie 7 dni od daty doręczenia pisma. Spółka nie udzieliła odpowiedzi na to wezwanie.

Pismem z […] września 2020 roku, doręczonym […] października 2020 roku, Prezes UODO ponownie wezwał Spółkę do udzielenia informacji uzupełniających w sprawie – w terminie 7 dni od daty doręczenia pisma. Pismo zawierało w swojej treści pouczenie o tym, że brak odpowiedzi na nie może skutkować nałożeniem administracyjnej kary pieniężnej. Spółka nie udzieliła odpowiedzi także na to wezwanie.

W związku z powyższym zostało wszczęte niniejsze postępowanie administracyjne pod sygnaturą DKE.561.3.2021 - w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 w związku z nieudzieleniem informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Informacja o wszczęciu przedmiotowego postępowania administracyjnego i zebraniu materiału dowodowego w sprawie, została doręczona Spółce […] listopada 2020 roku. Pismem tym Spółka wezwana została również – celem ustalenia podstawy wymiaru kary administracyjnej, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego Spółki za rok 2019 lub oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2019 r. pod rygorem ustalenia przez Prezesa UODO podstawy wymiaru kary w sposób szacunkowy. Ponadto w piśmie wskazano, że jeżeli Spółka udzieli wyczerpujących wyjaśnień w postępowaniu o sygn. […], do udzielenia których wezwał Prezes UODO oraz uzasadni wcześniejszy brak odpowiedzi na te wezwania, okoliczność ta może wpłynąć łagodzącona wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.

W dniu […] marca 2021 roku do Urzędu Ochrony Danych Osobowych wpłynęło pismo pełnomocnika Spółki, w którym udzielone zostały odpowiedzi na wezwania Prezesa UODO w postępowaniu […]. W treści pisma wskazano, że brak odpowiedzi na wezwania spowodowały problemy w przepływie i obsłudze korespondencji w Spółce, wywołane redukcją liczby pracowników z uwagi na trudną sytuację finansową Spółki powodowaną przez trwający stan epidemii COVID-19.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.

Naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i f) Rozporządzenia 2016/679, o których mowa powyżej, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, podlega – zgodnie z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może uznać za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka jako administrator danych osobowych będący stroną postępowania o sygn. […], nie udzielając odpowiedzi na wezwania do złożenia wyjaśnień, naruszyła przepis art. 31 Rozporządzenia 2016/679 poprzez brak współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, a także art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 poprzez brak zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań.

Prezes UODO dwukrotnie wezwał Spółkę do złożenia wyjaśnień. Pierwsze z tych wezwań zostało doręczone Spółce […] sierpnia 2020 roku a drugie […] października 2020 roku. Żadne z pism nie doczekało się odpowiedzi w zakreślonych terminach 7 dni od daty ich doręczenia. To zaniechanie Spółki spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. W rezultacie wszczęcia niniejszego postępowania Spółka wznowiła współpracę z Prezesem UODO, poprzez nadesłanie […] marca 2021 roku szczegółowych wyjaśnień w postępowaniu […], co pozwoliło Prezesowi UODO na prowadzenie dalszego postępowania w sprawie.

W niniejszej sprawie nie jest sporne, że organizacja wewnętrznego obiegu prawidłowo doręczonej korespondencji, leży w gestii Spółki. W ocenie Prezesa UODO przedstawione przez Spółkę uzasadnienie braku odpowiedzi na jego wezwania nie zdejmuje odpowiedzialności za to zaniechanie ze Spółki, jako administratora danych. Równolegle jednak jest to wyjaśnienie wiarygodne. W ocenie Prezesa UODO należy uznać, że brak odpowiedzi Spółki na jego wezwania, mogły spowodować wspomniane w piśmie pełnomocnika Spółki problemy w przepływie i obsłudze korespondencji, wywołane pośrednio skutkami stanu epidemii COVID-19.

W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień, który to brak został uzupełniony przez Spółkę w rezultacie wszczęcia niniejszego postępowania, nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Spółki z Prezesem UODO. Okoliczności sprawy pozwalają wnioskować, że brak odpowiedzi Spółki na wezwania Prezesa UODO w postępowaniu o sygn. […] nie miał charakteru celowego.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie N. Sp. z o. o. upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.

Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 Rozporządzenia 2016/679 stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Prezes UODO uznał, że w przedmiotowej sprawie, w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 wystarczające będzie udzielenie upomnienia,.

Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stały w wysokości 200 zł, zgodnie z art. 231 w związku  z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 poz. 2325, ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

2021-09-14 Metadane artykułu
Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację: Jan Nowak 2021-04-15
Wprowadził‚ informację: Anna Pachla 2021-09-14 10:24:34
Ostatnio modyfikował: Edyta Madziar 2021-09-15 11:12:43