Decyzja
DKE.561.8.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.) w związku z art. 7 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 31, art. 58 ust. 1 lit. a) i lit. e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na E. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia E. Sp. z o.o., za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2.), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego swoich zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana J. F. (zwanego dalej „Skarżącym”), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez E. Sp. z o.o. (zwaną dalej „Spółką”). Prezes Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO”) w ramach wszczętego postępowania administracyjnego, prowadzonego celem rozpatrzenia wniesionej skargi (sygn. […]) zwrócił się do Spółki pismem z […] grudnia 2019 r. o ustosunkowanie się – w terminie 7 dni od dnia doręczenia przedmiotowej korespondencji – do treści skargi oraz udzielenie odpowiedzi na następujące pytania dotyczące sprawy:
1) czy Spółka przetwarza lub przetwarzała dane osobowe Skarżącego, a jeżeli tak, to na jakiej podstawie prawnej, w jakim zakresie i celu;
2) czy Spółka udostępnia lub udostępniła dane osobowe Skarżącego, tj. jego prywatny adres i numer telefonu klientom Spółki, a jeżeli tak, to kiedy, na jakiej podstawie prawnej i w jakim celu.
Pismo powyższe zostało doręczone Spółce […] grudnia 2019 r. Pismem z […] grudnia 2019 r. Prezes Zarządu Spółki, Pan J. T., złożył Prezesowi UODO lakoniczne wyjaśnienia, w których poinformował o fakcie zawieszenia wykonywania działalności gospodarczej przez Spółkę począwszy od […] sierpnia 2019 r. oraz okoliczności, iż Spółka nie zatrudnia od tego czasu żadnych pracowników. Nadto ww. oświadczył, że sam przebywa na zwolnieniu lekarskim do […] stycznia 2020 r., w związku z czym wyczerpujących wyjaśnień w sprawie udzieli po upływie wyżej wskazanego terminu. Na potwierdzenie podnoszonych okoliczności Prezes Zarządu Spółki przedłożył kopię uchwały Zarządu Spółki w przedmiocie zawieszenia wykonywania działalności gospodarczej na czas nieokreślony oraz kopię zaświadczenia lekarskiego, potwierdzającego jego niezdolność do pracy. Z kolei pismem datowanym na […] stycznia 2020 r. Pan J. T. poinformował o fakcie przedłużenia zwolnienia lekarskiego do […] stycznia 2020 r.
Uznając powyższe wyjaśnienia za niewystarczające Prezes UODO, pismami z […] stycznia 2020 r. oraz […] czerwca 2020 r. (doręczonymi Spółce – odpowiednio – […] lutego 2020 r. oraz […] czerwca 2020 r.) ponownie wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień, zakreślając przy tym Spółce każdorazowo 7-dniowy termin na udzielenie odpowiedzi. Spółka pouczona została również, że nienadesłanie wyjaśnień w wyznaczonym terminie spowoduje podjęcie wobec niej działań kontrolnych, jak również skutkować będzie nałożeniem administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. W odpowiedzi na powyższe, pismami z […] lutego 2020 r. oraz […] czerwca 2020 r., Prezes Zarządu Spółki ponownie powiadomił o zawieszeniu wykonywania działalności gospodarczej przez Spółkę oraz o trwającej w dalszym ciągu – a dotyczącej go osobiście – niezdolności do pracy, wskazując na możliwość ustosunkowania się do kierowanych wobec Spółki wezwań do złożenia wyjaśnień po powrocie do pełnienia obowiązków służbowych. Jako dowód wzmiankowanych okoliczności, ww. przedłożył: kopie kolejnych zwolnień lekarskich oraz wydruk z Platformy Usług Elektronicznych Zakładu Ubezpieczeń Społecznych, z którego wynikało, iż Pan J. T. przebywał nieprzerwanie na zwolnieniu lekarskim w okresie od […] grudnia 2019 r. do […] czerwca 2020 r.
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze […], Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu wobec Spółki – w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, w związku z naruszeniem przez Spółkę art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka poinformowana została pismem z […] sierpnia 2020 r., prawidłowo doręczonym jej […] sierpnia 2020 r. Pismem tym Spółka wezwana została również – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) – do przedstawienia sprawozdania finansowego Spółki za rok 2019 lub, w przypadku jego braku, oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2019 r.
W reakcji na pismo informujące o wszczęciu postępowania administracyjnego o sygn. DKE.561.8.2020, Prezes Zarządu Spółki skierował do Prezesa UODO pismo z […] sierpnia 2020 r., w którym złożył wyjaśnienia do sprawy o sygn. […] zezwalające Prezesowi UODO na dalsze prowadzenie ww. postępowania wszczętego ze skargi Pana J. F. Prezes Zarządu Spółki wyjaśnił zwłaszcza, że Spółka zatrudniała Skarżącego do […] sierpnia 2020 r. na stanowisku koordynatora ds. sprzedaży. W ramach swoich obowiązków, Skarżący zajmował się utrzymywaniem relacji z klientami, rozliczaniem pobrań oraz innymi kwestiami finansowymi, jego dane osobowe były zaś udostępniane klientom za jego zgodą. W okresie zatrudnienia Skarżący posiadał służbowy adres poczty e-mail, wysyłana przez niego korespondencja opatrzona była stopką, w której znajdowały się jego imię oraz nazwisko. Skarżący posiadał także telefon służbowy, numer kontaktowy do niego przypisany udostępniany był publicznie. Informacje dotyczące pracownika byty udostępniane wraz z każdą wysyłaną przez niego wiadomością, jak również w przypadku innej formy komunikacji z klientem, np. telefonicznie. Odnosząc się do treści skargi. Prezes Zarządu Spółki wskazał ponadto, że adres wymieniony w piśmie Skarżącego, tj. […], był adresem jednej z filii Spółki, wobec czego nie stanowił prywatnych danych osobowych Pana J. F. Dodatkowo ww. oświadczył, że przeciwko Skarżącemu Spółka złożyła pozew o przywłaszczenie mienia Spółki w wysokości około […] złotych. Wskazując na przyczynę braku dostarczenia wyczerpujących wyjaśnień w terminie zakreślonym przez organ ochrony danych, Prezes Zarządu Spółki wyjaśnił, iż opóźnienie wynikało wyłącznie z jego złego stanu zdrowia.
Uznając ww. informacje za niewystarczające do merytorycznego rozstrzygnięcia postępowania skargowego o sygn. […], pismami z […] października 2020 r., […] listopada 2020 r. oraz […] grudnia 2020 r. Prezes UODO zwrócił się ponownie do Spółki o uzupełnienie złożonych dotychczas wyjaśnień.
O ile żądanie do udzielenia dodatkowych informacji z dnia […] listopada 2020 r. – prawidłowo doręczone Spółce […] listopada 2020 r. – pozostało bez odpowiedzi, o tyle w reakcji na pozostałe kierowane do niej wezwania, Spółka pismami z […] października 2020 r. oraz […] grudnia 2020 r. sprostowała uprzednio przekazane dane wyjaśniając, że Skarżący zatrudniony był w Spółce do […] sierpnia 2019 r. (nie zaś 2020 r., jak pierwotnie wskazano). Ponadto Spółka wyjaśniła, że starter z przypisanym do niego numerem telefonu […], którym to w okresie zatrudnienia posługiwał się Skarżący, zakupiony był ze środków finansowych Spółki. Spółka nie posiadała natomiast informacji czy Skarżący w dalszym ciągu jest użytkownikiem wyżej wskazanego numeru telefonu.
Uzyskawszy dodatkowe wyjaśnienia Spółki, pismem z […] stycznia 2021 r. Prezes UODO zawiadomił ją, jako stronę postępowania o sygn. […], o zebraniu materiału dowodowego wystarczającego do wydania decyzji administracyjnej w przedmiotowej sprawie.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka jako administrator danych osobowych i jednocześnie strona postępowania o sygn. […], poprzez brak udzielenia merytorycznej odpowiedzi na wezwania Prezesa UODO z […] grudnia 2019 r., […] stycznia 2020 r. oraz […] czerwca 2020 r. do złożenia wyjaśnień, naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań wynikający z art. 31 oraz 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679. W tym przypadku informacją istotną dla dalszego kierunku postępowania było potwierdzenie zasadności skargi – w tym ustalenie relacji prawnych i faktycznych łączących Spółkę ze Skarżącym. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Spółki, a które niewątpliwie były w jej posiadaniu, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256) zasadami wnikliwości i szybkości postępowania.
Należy w tym miejscu nadmienić, iż fakt zawieszenia wykonywania działalności gospodarczej przez Spółkę, na który to powoływał się Prezes Zarządu Spółki w pismach kierowanych do Prezesa UODO we wstępnej fazie postępowania o sygn. […], nie zwalniał jej z obowiązku złożenia wyjaśnień w postępowaniu prowadzonym przez organ nadzorczy. Zgodnie bowiem z brzmieniem art. 25 ust. 2 pkt 4 i 5 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców (Dz. U. z 2021 r. poz. 162), w okresie zawieszenia wykonywania działalności gospodarczej przedsiębiorca ma prawo albo obowiązek uczestniczyć w postępowaniach sądowych, postępowaniach podatkowych i administracyjnych związanych z działalnością gospodarczą wykonywaną przed datą zawieszenia wykonywania działalności gospodarczej, a nadto wykonuje wszelkie obowiązki nakazane przepisami prawa. Jak wynika zatem z powyższego na Spółce, jako przedsiębiorcy, spoczywał wynikający z przepisów prawa krajowego prawny obowiązek współpracy z Prezesem UODO, którego nie znosił ani fakt zawieszenia działalności Spółki, ani też okoliczność przebywania na zwolnieniu lekarskim Prezesa jej Zarządu. Prezes Zarządu, jako osoba umocowana do reprezentacji podmiotu gospodarczego, którego niniejsza sprawa dotyczy, mógł bowiem ustanowić pełnomocnika do celów prowadzenia spraw Spółki na czas jego niezdolności do pracy. Tym samym wezwania Prezesa UODO do udzielenia wyjaśnień, kierowane do E. Sp. z o.o. winny były doczekać się odpowiedzi. Wobec powyższego należy uznać, że wyjaśnienia Spółki co do przyczyn nieudzielania odpowiedzi na wezwania Prezesa UODO nie stanowią podstawy do uchylenia odpowiedzialności Spółki w tym zakresie.
Zdaniem Prezesa UODO, postawa Spółki wskazuje jednak na brak celowości w jej działaniu. Trzeba bowiem uwzględnić fakt, że Spółka nie ignorowała całkowicie korespondencji kierowanej do niej w sprawie o sygn. […], informując o przeszkodach, które jej zdaniem uzasadniały niemożność złożenia wyczerpujących wyjaśnień. Przeciwnie, Prezes Zarządu Spółki reagował na każde z wystosowanych do Spółki pism, deklarując wolę współpracy z Prezesem UODO w wyjaśnieniu okoliczności faktycznych sprawy zapoczątkowanej skargą Pana J. F. – niezwłocznie po powrocie do pełnienia obowiązków służbowych. Choć argumentację Spółki należy uznać za wadliwą (co powyżej wykazano), późniejsza postawa Spółki nakazuje przyjąć, iż początkowy brak współpracy z organem ochrony danych nie wynikał ze złej woli osób piastujących w Spółce stanowiska kierownicze, ani nie zmierzał do celowego utrudnienia postępowania. W odpowiedzi na informację o wszczęciu postępowania administracyjnego w sprawie o sygn. […], Prezes Zarządu Spółki pismem z […] sierpnia 2020 r. złożył bowiem wyjaśnienia pozwalające Prezesowi UODO na dalsze prowadzenie postępowania o sygn. […]. Dodatkowo, wyjaśnienia nadesłane w jego toku, będące wynikiem dalszej wymiany korespondencji pomiędzy Prezesem UODO a Spółką – jakkolwiek zwięzłe i nie w pełni czyniące zadość żądaniom organu nadzorczego, co do zakresu udostępnionych danych – przyczyniły się do ustalenia okoliczności faktycznych niezbędnych do merytorycznego rozstrzygnięcia sprawy. Aktywna postawa Spółki wskazuje na gotowość do dalszej współpracy z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Spółki wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami sankcji.
W ocenie Prezesa UODO wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak merytorycznej odpowiedzi na wezwania Prezesa UODO w postępowaniu o sygn. […] nie miał charakteru celowego. W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie E. Sp. z o.o. upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 Rozporządzenia 2016/679 stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Prezes UODO uznał, że w przedmiotowej sprawie, w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 wystarczające będzie udzielenie upomnienia. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.