Decyzja
DKE.561.9.2020
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r poz. 1781) na podstawie art. 58 ust. 2 b w związku z art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej K. S.A., Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia K. S.A. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.) zwanego dalej „rozporządzeniem 2016/679”, polegające na braku współpracy z Prezesem UODO w ramach wykonywania jego zadań oraz nieudzieleniu informacji w postępowaniu (sygn. […]) niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana M.K. (zwanego dalej Skarżącym), na przetwarzanie jego danych osobowych w celach marketingowych bez podstawy prawnej i niespełnieniu obowiązku informacyjnego przez K. S.A.(zwana dalej Spółką). Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygnaturą […]), zwrócił się pismem z […] kwietnia 2019 roku do Spółki o ustosunkowanie się do treści skargi oraz udzielenia odpowiedzi na zawarte w piśmie pytania w terminie 7 dni od daty jego otrzymania. Pismo było dwukrotnie awizowane i ostatecznie zwrócone nadawcy […] maja 2019 roku. Pismem z […] lutego 2020 roku Prezes UODO ponownie zwrócił się do Spółki o złożenie wyjaśnień w sprawie. Pismo było dwukrotnie awizowane i ostatecznie zwrócone nadawcy […] marca 2020 roku. Prezes UODO wyżej wskazanymi pismami zwrócił się do Spółki o ustosunkowanie do treści skargi oraz o udzielenie odpowiedzi na następujące pytania:
1) czy, a jeśli tak, to kiedy, na jakiej podstawie prawnej, z jakiego źródła, w jakim celu i zakresie Spółka pozyskała dane osobowe Skarżącego, w szczególności numer telefonu – […];
2) czy, a jeśli tak, to na jakiej podstawie prawnej, w jakim zbiorze danych, w jakim celu i zakresie Spółka przetwarza aktualnie oraz ewentualnie jak długo i na jakiej podstawie prawnej przetwarzać będzie wszelkie posiadane dane Skarżącego;
3) czy Spółka wypełniła wobec Skarżącego obowiązek informacyjny, a jeśli tak, to kiedy, w jakiej formie i w jakim zakresie;
4) czy Skarżący złożył skutecznie Spółce sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych, a jeśli tak to kiedy, czy został on przez Spółkę uwzględniony, jakiej odpowiedzi udzielono Skarżącemu i na jakiej podstawie prawnej;
5) czy Skarżący zwracał się do Spółki z żądaniem zaprzestania przetwarzania i usunięcia jego danych osobowych, a jeśli tak, to jak Spółka ustosunkowała się do przedmiotowego żądania i na jakiej podstawie prawnej;
6) czy Spółka prowadzi portale internetowe takie jak: […], […], […], […], […].
Spółka nie udzieliła odpowiedzi na żadne z powyższych pism Prezesa UODO. Wyżej opisane zaniechanie Spółki w postępowaniu o sygn. […] dało podstawę do stwierdzenia naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i e) RODO, polegającego na nie wywiązaniu się Spółki z obowiązku współpracy z Prezesem UODO w ramach wykonywania przez niego zadań (art. 31 RODO), oraz nie wywiązania się Spółki z obowiązku zapewnienia Prezesowi UODO informacji niezbędnych do realizacji jego zadań art. 58 ust. 1 lit. a) i e) RODO) – w tym przypadku do merytorycznego rozstrzygnięcia w/w sprawy. W związku nieudzieleniem przez Spółkę żadnych informacji, pismem z […] sierpnia 2020 roku Prezes Urzędu Ochrony Danych Osobowych (sygn. […]) poinformował o wszczęciu z urzędu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej na podstawie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Powyższe pismo zostało doręczone Spółce na adres wskazany w KRS nr […] w […]. Pismem tym Prezes Urzędu Ochrony Danych Osobowych wezwał również Spółkę – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego Spółki za rok 2019 lub – w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2019 r. Pismo było dwukrotnie awizowane i zwrócone do nadawcy z adnotacją „zwrot nie podjęto w terminie” w dniu […] września 2020 roku.
Wobec braku reakcji na pismo o wszczęciu postępowania o nałożenie kary i zebraniu materiału dowodowego, […] września 2020 roku Prezes Urzędu Danych Osobowych skierował ponownie do Spółki na adresy wskazane w regulaminie wykonywania usług, regulaminie wykonywania umowy współpracy z K. pisma o wszczęciu postępowania o nałożenie administracyjnej kary pieniężnej oraz wezwał do ustosunkowania się do treści skargi oraz do udzielenia odpowiedzi na pytania zawarte w piśmie z dnia […] kwietnia 2019 roku. Dnia […] października 2020 oraz […] października 2020 roku pisma zostały zwrócone do nadawcy z adnotacją „zwrot nie podjęto w terminie”.
W związku z nieudzieleniem przez Spółkę żadnych informacji niezbędnych do merytorycznego rozstrzygnięcia sprawy sygn. […] pracownik Urzędu Ochrony Danych Osobowych w dniu […] października 2020 roku skontaktował się telefonicznie z Prezesem Zarządu Spółki. W trakcie rozmowy Prezes Zarządu poinformował Urząd Ochrony Danych Osobowych o zmianie adresu do korespondencji Spółki. Na podany adres Prezes Urzędu Ochrony Danych Osobowych za pismem przewodnim z dnia […] października 2020 roku przesłał w załączeniu informację o wszczęciu postępowania i zgromadzeniu materiału dowodowego z dnia […] sierpnia 2020 roku (sygn. […]) i wezwał do ustosunkowania się do treści skargi oraz do udzielenia odpowiedzi na pytania zawarte w piśmie z dnia […] kwietnia 2019 roku. Ponadto w załączonym piśmie wskazano, że jeżeli Spółka udzieli wyczerpujących wyjaśnień w postępowaniu sygn. […], do których udzielenia wezwał Prezes Urzędu Ochrony Danych Osobowych we wcześniejszych pismach, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia. Pismo zostało prawidłowo doręczone Spółce w dniu […] października 2020 roku.
W odpowiedzi na pismo Prezes Zarządu Spółki złożył wyjaśnienia w dniu […] listopada 2020 roku do sprawy, udzielając odpowiedzi na wszystkie pytania zawarte w ww. piśmie, co pozwoliło Prezesowi UODO prowadzenie dalszego postępowania w sprawie […].
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania.
Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust 5 lit e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Ponadto zgodnie z art. 31 Rozporządzenia 2016/679 administrator i podmiot przetwarzający zobowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań.
Motyw 148 Rozporządzenia 2016/679 stanowi, że „aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące”.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – administrator danych osobowych – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. […], poprzez nieudzielenie odpowiedzi niewątpliwe naruszyła obowiązek dostarczenia wszelkich informacji niezbędnych do realizacji zadań oraz obowiązek zapewnienia dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji zadań Prezesowi UODO - do merytorycznego rozstrzygnięcia sprawy. Wskazać w tym miejscu należy także, że niedostarczenie we wskazanym terminie wszystkich informacji, których Prezes UODO żądał od Spółki stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i wpłynęło na jego przedłużenie. Ponadto należy dodać, że zgodnie z art. 41 ust. 1 Kpa „W toku postępowania strony oraz ich przedstawiciele i pełnomocnicy mają obowiązek zawiadomić organ administracji publicznej o każdej zmianie swego adresu”. Nie wskazanie aktualnych danych utrudniło komunikację z osobą reprezentującą Spółkę i sprawne przeprowadzenie postępowania administracyjnego. Prezes Zarządu Spółki złożył wyjaśnienia dopiero w odpowiedzi na pismo Prezesa UODO z dnia […] października 2020 roku, przy czym pierwsze pismo do Spółki o ustosunkowanie do treści skargi oraz o udzielenia odpowiedzi na następujące pytania zostało przesłane do Spółki w dniu […] kwietnia 2019 roku.
Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 lub w art. 83 ust. 5 i 6 Rozporządzenia 2016/679, tj. w tym przypadku art. 58 ust. 1 a) i e) oraz art. 31 Rozporządzenia 2016/679. Wskazać należy, że zgodnie z art. 31 rozporządzenia 2016/679, administrator i podmiot przetwarzający oraz - gdy ma to zastosowanie - ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Obowiązek współpracy polega m.in. dostarczeniu wszelkich niezbędnych informacji potrzebnych organowi do merytorycznego rozpoznania sprawy (art. 58 ust. 1 lit. a) oraz na zapewnieniu organowi nadzorczemu możliwości uzyskania od administratora (i podmiotu przetwarzającego) dostępu do wszystkich danych osobowych oraz wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań (art. 58 ust. 1 lit. e rozporządzenia 2016/679). Zobowiązanie administratora do współpracy jest bowiem skorelowane z zadaniami organu nadzorczego sformułowanymi w art. 57 rozporządzenia 2016/679 oraz uprawnieniami wynikającymi z art. 58 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią lub znaczną), wskazują charakter naruszenia, jak również zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody. Zakreślając czas naruszenia należy wskazać, że było ono długotrwałe, co w konsekwencji przedłużyło dokonanie ustaleń niezbędnych do merytorycznego rozpoznania sprawy (dotyczących legalności przetwarzania danych osobowych), niemniej jednak zostało ono usunięte.
Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora albo podmiot przetwarzający wymaganego prawem obowiązku staranności. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej. W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny, Spółka nie miał zamiaru popełnienia naruszenia. Przyczyną braku odpowiedzi na wezwania Prezesa UODO było nieotrzymywanie korespondencji z powodu niepoinformowania przez Spółkę o zmianie danych adresowych do korespondencji. Ostatecznie jednak ze strony Spółki zaistniała wola współpracy w zapewnieniu organowi wszelkich informacji (dowodów) niezbędnych do dalszego prowadzenia postępowania skargowego o sygn. […]. Spółka złożyła wyjaśnienia ustosunkowując się do treści skargi oraz udzieliła odpowiedzi na wszystkie pytania zawarte w piśmie z dnia […] października 2020 roku. Przedstawione przez Prezesa Zarządu wyjaśnienia nie zwalniają Spółki z odpowiedzialności jako administratora danych za nieudzielenie odpowiedzi na wezwania, stąd też Prezes Urzędu Ochrony Danych Osobowych zdecydował się na nałożenie na Spółkę sankcji.
Biorąc pod uwagę powyższe, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisu art. 31 w związku z art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. W niniejszym postępowaniu nałożone upomnienie ma charakter prewencyjny i ma zapobiec zaistnieniu podobnych naruszeń w przyszłości.
Możliwość zastąpienia kary pieniężnej upomnieniem wynika z motywu 148 Rozporządzenia 12016/679, który stanowi, że sankcje, w tym administracyjne kary pieniężnej należy nakładać „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Wobec powyższego Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy właściwym środkiem naprawczym będzie udzielenie upomnienia.
Jednocześnie należy wskazać, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie będzie brane pod uwagę przy ocenie przesłanek wymiaru kary administracyjnej zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.