Decyzja

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b)  w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016r. wsprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na D. Sp. z o.o. , Prezes Urzędu Ochrony Danych Osobowych,

udziela upomnienia D. Sp. z o.o. za naruszenie przepisów art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.

Uzasadnienie

                Stan faktyczny

1. Do Urzędu Ochrony Danych Osobowych (zwanego dalej „UODO”) wpłynęła skarga Pana W. N. (zwanego dalej: „Skarżącym”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez D. Sp. z o.o., (zwana dalej „Spółką”) w tym na udostępnienie danych osobowych w zakresie imienia, nazwiska, prywatnego numeru telefonu oraz miejsca zamieszkania na portalu internetowym […] – temat „[…]”.
2. Celem rozpatrzenia skargi wniesionej przez Skarżącego, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) wszczął postępowanie administracyjne  o sygnaturze […] w ramach którego, na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r.  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”) – pismem z […] sierpnia 2021 r. oraz pismem z […] października 2021 r. – wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie poprzez udzielenie odpowiedzi na szczegółowo sformułowane pytania. Oba pisma nie zostały odebrane przez Spółkę, po dwukrotnym awizowaniu wróciły do UODO z adnotacją „Zwrot - nie podjęto w terminie”. Wobec powyższego ww. pisma zostały uznane za doręczone Spółce zgodnie z art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.).
3. W piśmie z […] października 2021 r. zawarte było pouczenie, że brak wyczerpującej odpowiedzi skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 4 lit. a lub art. 83 ust. 5 lit. e Rozporządzenia 2016/679 – administracyjnej kary pieniężnej.
4. W związku z niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, pismem z […] marca 2022 r. Prezes UODO wszczął z urzędu wobec Spółki – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygnaturze DKE.561.8.2022) w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. Pismem tym wezwano Spółkę  – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Spółkę w 2021 r.
5.  Pismo z […] marca 2022 r. o wszczęciu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej nie zostało przez Spółkę odebrane. Dwukrotnie awizowane powróciło do UODO z adnotacją „Zwrot - nie podjęto w terminie”. W następstwie kontaktu telefonicznego z Prezesem Zarządu Spółki, Panem M. C., pracownik UODO ustalił,  że korespondencja wysyłana na adres siedziby Spółki nie jest odbierana z uwagi na konflikt  ze wspólnikiem. Pan M. C. podał nowy adres do korespondencji:[…]. Na podany adres wysłano kopię pisma z […] października 2021 r. oraz kopię pisma z […] marca  2022 r. Korespondencja została odebrana […] maja 2022 r. W rezultacie Spółka niezwłocznie podjęła współpracę z Prezesem UODO. Pismem z […] maja 2022 r. Spółka złożyła wyjaśnienia  w postępowaniu o sygnaturze […] oraz dostarczyła żądane sprawozdanie finansowe, sporządzone na dzień […] maja 2021r.
6. Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.

                Uzasadnienie prawne

7. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO jako organ nadzorczy  w rozumieniu art. 51 Rozporządzenia 2016/679 na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m.in. do prowadzenia postępowań w sprawie stosowania przepisów tego aktu prawnego (art. 57 ust. 1 lit. h) a w szczególności rozpatruje skargi wniesione przez osoby których dane dotyczą i prowadzi postępowania w przedmiocie tych skarg stosownie do treści art. 57 ust 1 lit. f) Rozporządzenia 2016/679.
8. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
9. Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do wszelkich danych osobowych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 podlega – zgodnie z art. 83 ust. 5lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do  4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
10. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w przypadku stwierdzenia naruszenia przepisów Rozporządzenia 2016/679, w tym przepisów art. 58 ust. 1 lit. a) i e) tego aktu prawnego.
11. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
12. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Spółki stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym  – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) zasadami wnikliwości i szybkości postępowania.
13. Prezes UODO, celem ustalenia stanu faktycznego sprawy o sygnaturze […], dwukrotnie zwrócił się do Spółki z żądaniem nadesłania dalszych wyjaśnień. Na żadne z wystosowanych do Spółki pism z […] sierpnia 2021 r. oraz z […] października 2021 r., Prezes UODO nie otrzymał odpowiedzi. Należy podkreślić, że pisma te skierowane zostały na poprawny adres Spółki, właściwy do korespondencji. Okoliczność, że żądania Prezesa UODO sformułowane w tych pismach nie dotarły do Spółki – nie zostały podjęte mimo dwukrotnego awizowania przez operatora pocztowego – obciąża samą Spółkę. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się  w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną (vide np. wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 r., sygn. akt II SAB/Go 90/18 – LEX nr 2576144). Powyższe spowodowało konieczność wszczęcia postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej.
14. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Spółka – jako strona prowadzonego przez Prezesa UODO postępowania o sygnaturze […] naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań. Przedstawione przez Spółkę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niej odpowiedzialności za stwierdzone zaniechanie. Jednakże wskazane przez Spółkę przyczyny braku współpracy z organem nadzorczym należało uwzględnić, jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Spółki, w kontekście wyboru zastosowanej wobec niej sankcji. W ocenie Prezesa UODO, brak reakcji Spółki na wezwania do złożenia wyjaśnień nie było celowe. Spółka po zapoznaniu się z otrzymanymi kopiami wysyłanych do niej pism, niezwłocznie udzieliła wyjaśnień. Wskazuje to na gotowość współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa jej wymierzenia, stały się dla Spółki wyraźnym sygnałem tego, iż uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679 nieuchronnie prowadziło będzie do zastosowania wobec niej najsurowszych, przewidzianych tymi przepisami sankcji.
15. Działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 1 i 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi  w art. 83 ust. 1 i 2 Rozporządzenia 2016/679.
16. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.

                 Pouczenie

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.  W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się  o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.