PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 25 maja 2022 r.

Decyzja

DKE.561.6.2022

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) w związku z art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na J. C. prowadzącą działalność pod firmą […] , Prezes Urzędu Ochrony Danych Osobowych,

udziela upomnienia J. C. prowadzącą działalność pod firmą […] za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.

Uzasadnienie

                 Stan faktyczny

  1. Do Urzędu Ochrony Danych Osobowych (zwanego dalej również „UODO”) wpłynęła skarga Pana M. T. (zwanego dalej: „Skarżącym”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Panią J. C., prowadzącą działalność gospodarczą pod firmą […], (zwaną dalej „Przedsiębiorcą”) polegające na niespełnieniu obowiązku informacyjnego realizowanego na wniosek osoby, której dane dotyczą, tj. obowiązku o którym mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”), w tym na nie udostępnienie kopii danych osobowych.
  2. Celem rozpatrzenia skargi, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie administracyjne o sygnaturze […] w ramach którego, na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – pismami […] lipca 2020 r. oraz z […] września 2020 r. – wezwał Przedsiębiorcę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie poprzez udzielenie odpowiedzi na szczegółowo sformułowane pytania. Pierwsze pismo z […] lipca 2020 r. (doręczone […] lipca 2020 r.) pozostało bez odpowiedzi, natomiast w odpowiedzi na drugie pismo z […] września 2020 r. (doręczone […] września 2020 r.) Przedsiębiorca pismem z […] października 2020 r. udzielił wyjaśnień. Jednocześnie pismem z […] października 2020 r. Przedsiębiorca upoważnił do występowania w swoim imieniu Pana B. C. oraz wniósł o kierowanie korespondencji w sprawie na adres: […], ujawniony w CEIDG jako adres dodatkowego stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy.
  3. W związku z koniecznością uzyskania dodatkowych wyjaśnień w sprawie, do pełnomocnika Przedsiębiorcy (na wskazany przez Przedsiębiorcę adres do doręczeń) skierowane zostały dwa kolejne pisma z datami odpowiednio: […] czerwca 2021 r. oraz […] września 2021 r. Prezes UODO wzywał w nich do przesłania kopii umowy z łączącej Przedsiębiorcę z […] z której wynika rola Przedsiębiorcy w przetwarzaniu danych osobowych Skarżącego pozyskiwanych za pomocą strony internetowej […], a w przypadku braku takiego dokumentu, złożenie stosownych wyjaśnień w tym zakresie tj. odnośnie zasad przetwarzania i ról jaką pełnią obie strony tej umowy. Prezes UODO poprosił też o wyjaśnienia źródła pozyskania przez Przedsiębiorcę numeru konta Skarżącego oraz okoliczności jego wykorzystania pomimo zwrotu środków pieniężnych przez operatora strony internetowej […]. Oba pisma po dwukrotnym awizowaniu wróciły do Urzędu Ochrony Danych Osobowych z adnotacją „Zwrot nie podjęto w terminie”. Zgodnie z art. 44 § 4 k.p.a. pisma zostały uznane za doręczone z dniami odpowiednio […] czerwca 2021 r. oraz […] października 2021 r.
  4. W wezwaniu Prezesa UODO z […] czerwca 2021 r. oraz w wezwaniu z […] września 2021 r. zawarte było pouczenie, że brak złożenia wyjaśnień w sprawie będzie stanowić naruszenie obowiązku współpracy z organem nadzorczym jakim jest Urząd Ochrony Danych Osobowych tj. art. 31 rozporządzenia 2016/679 w zawiązku z art. 58 ust. 1 lit e rozporządzenia 2016/679, w konsekwencji czego Prezes UODO może rozważyć nałożenie administracyjnej kary pieniężnej na podstawie art. 83 ust 5 lit. e rozporządzenia 2016/679.
  5. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej prowadzonej pomiędzy Przedsiębiorcą a Prezesem UODO, znajdującej się w aktach postępowania o sygnaturze […]. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze […], a z drugiej strony – reakcję Przedsiębiorcy na żądania Prezesa UODO.
  6. W związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz nieudzieleniem informacji niezbędnych Prezesowi UODO do realizacji tych zadań, Prezes UODO wszczął z urzędu wobec Przedsiębiorcy – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygnaturze DKE.561.6.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorcę poinformowano pismem z […] lutego 2022 r., doręczonym […] marca 2022 r. Pismem tym wezwano Przedsiębiorcę – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10maja 2018r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2021 r.
  7. W odpowiedzi na pismo o wszczęciu postępowania administracyjnego osygnaturze […], pełnomocnik Przedsiębiorcy skontaktował się z UODO, poprosił o możliwość zapoznania się z aktami sprawy oraz pismem z […] marca 2022 r. złożył wyjaśnienia do sprawy […]. Poinformował, że korespondencja nie była odbierana na wskazany adres do doręczeń […] z powodu ograniczeń związanych z COVID-19 i zamknięciem działalności w tej lokalizacji. Adresem właściwym do korespondencji od tego czasu był adres stałego miejsca wykonywania działalności […]. Ponadto, po powzięciu informacji o wszczęciu niniejszego postępowania w sprawie nałożenia administracyjnej kary pieniężnej, pełnomocnik Przedsiębiorcy podjął również działania w celu złożenia wyjaśnień w sprawie […] - najpierw złożył wyjaśnienia telefonicznie, a następnie podczas osobistej wizyty w siedzibie UODO w dniu […] marca 2022 r. złożył wyjaśnienia na piśmie. Jednakże nie przedstawił umowy z […] odwołując się do bliżej niesprecyzowanego wzoru umowy na stronie internetowej […]. Jednocześnie dokładnie wskazał ścieżkę pozwalającą na pobranie właściwej umowy z konta Przedsiębiorcy dostępnego dla niego po zalogowaniu (niedostępnego zaś dla organu). Przedsiębiorca […] kwietnia 2022 r. dosłał UODO żądane sprawozdanie finansowe za 2021 r.
  8. Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

                 Uzasadnienie prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów tego aktu prawnego (art. 57 ust. 1 lit. h) a w szczególności rozpatruje skargi wniesione przez osoby których dane dotyczą i prowadzi postępowania w przedmiocie tych skarg stosownie do treści art. 57 ust 1 lit. f) Rozporządzenia 2016/679.
  2. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań  (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
  3. Naruszenie przepisów Rozporządzenia 2016/679 związane z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań skutkujące naruszeniem art. 31 Rozporządzenia 2016/679 podlega – zgodnie z art. 83 ust. 4 lit. a) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  4. Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do wszelkich danych osobowych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 podlega zaś – zgodnie z art. 83 ust. 5lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  5. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku stwierdzenia naruszenia przepisów Rozporządzenia 2016/679, w tym przepisów art. art. 31 i art. 58 ust. 1 lit. a) i e) tego aktu prawnego.
  6. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
  7. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 745 ze zm.) zasadami wnikliwości i szybkości postępowania
  8. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Przedsiębiorca, jako strona postępowania o sygnaturze […], poprzez trwający dłuższy czas (od […] czerwca 2021 r. do […] marca 2022 r., to jest od upływu terminu wyznaczonego w piśmie z […] czerwca 2021 r. do dnia, w którym Pełnomocnik Przedsiębiorcy złożył wyjaśnienia) brak nieudzielenia wyjaśnień niezbędnych do rozstrzygnięcia sprawy o sygn. […], naruszył wynikający z art. 58 ust. 1. lit. a) i e) Rozporządzenia 2016/679 - obowiązek zapewnienia Prezesowi UODO dostępu do informacji i niezbędnych do realizacji jego zadań. W tym przypadku informacjami niezbędnymi dla kontynuowania postępowania były informacje dotyczące zasad przetwarzania i ról jaką pełnią obie strony umowy łączącej Przedsiębiorcę z operatorem serwisu […] w przetwarzaniu danych osobowych Skarżącego (wyjaśnieniu tej okoliczności służyć miało wezwanie Przedsiębiorcy do przedstawienia kopii tej umowy), jak również wyjaśnienie źródła pozyskania przez Przedsiębiorcę numeru konta Skarżącego oraz okoliczności jego wykorzystania pomimo zwrotu środków przez operatora strony internetowej […].
  9. Prezes UODO, celem ustalenia stanu faktycznego sprawy o sygnaturze […], dwukrotnie zwrócił się do Przedsiębiorcy z żądaniem nadesłania dalszych wyjaśnień. Na żadne z wystosowanych do Przedsiębiorcy pism (z […] czerwca 2021 r. oraz […] września 2021 r.) Prezes UODO nie otrzymał odpowiedzi. Należy podkreślić, że pisma te skierowane zostały na adres wskazany przez Przedsiębiorcę jako adres właściwy do korespondencji w sprawie. Okoliczność, że żądania Prezesa UODO sformułowane w tych pismach nie dotarły do Przedsiębiorcy (czy też jego pełnomocnika) – nie zostały przez niego podjęte mimo dwukrotnego awizowania przez operatora pocztowego – obciąża więc samego Przedsiębiorcę. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną (vide np. wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 r., sygn. akt II SAB/Go 90/18 – LEX nr 2576144). Powyższe spowodowało konieczność wszczęcia postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. W rezultacie Przedsiębiorca niezwłocznie podjął współpracę z Prezesem UODO i złożył wyjaśnienia w postępowaniu o sygnaturze […]. Złożone wyjaśnienia nie były co prawda pełne i całkowicie zgodne z oczekiwaniami Prezesa UODO jednakże pozwoliły na dalsze prowadzenie czynności w ww. sprawie.
  10. Przedsiębiorca, mimo ciążącego na nim obowiązku, nie poinformował UODO o zmianie adresu do korespondencji. Zaniechanie to spowodowało, że pisma kierowane przez UODO na adres do doręczeń – wskazany uprzednio przez Przedsiębiorcę – nie były przez niego podejmowane. Przedsiębiorca nie udzielił odpowiedzi na szczegółowe pytania zawarte w kierowanych do niego w wezwaniach. Ponadto, Przedsiębiorca już po powzięciu informacji o wszczęciu niniejszego postępowania w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarczył wszystkich żądanych informacji tj. nie przedstawił umowy z […]. Powyższe zaniechania Przedsiębiorcy należy uznać za utrudnianie prowadzenia postępowania. Okoliczności te jednoznacznie wskazują, że Przedsiębiorca nie wypełnił obowiązku zapewnienia Prezesowi UODO dostępu do informacji i danych osobowych niezbędnych do realizacji jego zadań, wynikającego z art. 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy o sygn. […] i skutkowało przedłużaniem postępowania. 
  11. Opisane wyżej postępowanie Przedsiębiorcy, polegające na braku reakcji na kierowane do niego wezwania Prezesa UODO, wyczerpuje ponadto – poza naruszeniem art. 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679 – znamiona naruszenia art. 31 tego rozporządzenia, który to artykuł nakłada na administratora i podmiot przetwarzający obowiązek współpracy z organem nadzorczym – na jego żądanie – w ramach wykonywania przez niego jego zadań. W ocenie Prezesa UODO nie ma wątpliwości, że przez pewien czas (od […] czerwca 2021 r. do […] marca 2022 r.) w postępowaniu o sygnaturze […] nie można było mówić o współpracy ze strony Przedsiębiorcy i jego pełnomocnika, pomimo kierowanych do Przedsiębiorcy wezwań. Wezwania te w istocie formułowały „żądanie” organu nadzorczego, o którym mowa w art. 31 Rozporządzenia 2016/679.
  12. W przedmiotowym stanie faktycznym, w rezultacie wszczęcia niniejszego postępowania, nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Przedsiębiorcy z Prezesem UODO. Okoliczności sprawy, a w szczególności późniejsza postawa Przedsiębiorcy, pozwalają wnioskować, że jego początkowa opieszałość nie wynikała ze złej woli, natomiast następcza, choć nie czyniąca całkowicie zadość żądaniom organu, postawa Przedsiębiorcy wskazuje na jego gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa jej wymierzenia stały się dla Przedsiębiorcy wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami, sankcji.
  13. Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 1 i 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 1 i 2 Rozporządzenia 2016/679.
  14. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.

Pouczenie

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Wojciech Trebnio
date 2022-05-25
Wprowadził informację:
user Edyta Madziar
date 2023-05-22 11:05:25
Ostatnio modyfikował:
user Edyta Madziar
date 2023-05-22 11:42:39