Decyzja
DKE.561.9.2021
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256), art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 31 i art. 58 ust. 1 lit. a) i e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Stowarzyszenie (…) z siedzibą we W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia Stowarzyszeniu (…) z siedzibą we W. przy ul. (…) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniem dostępu do danych osobowych i informacji w postępowaniu o sygn. DKN.5130.6734.2020 niezbędnych Prezesowi UODO do realizacji jego zadań.
Uzasadnienie
W prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej także „Prezesem UODO”) postępowaniu o sygn. DKN.5130.6734.2020, wszczętym z urzędu na podstawie dokonanego przez Stowarzyszenie (…) z siedzibą we W. przy ul. (…) (zwanym dalej także: „Stowarzyszeniem”), zgłoszenia naruszenia ochrony danych osobowych polegającego na kradzieży laptopa zawierającego dane osobowe, Prezes UODO, działając na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej jako: (,,Rozporządzenie 2016/679”), pismem z 22 lutego 2021 r. wezwał Stowarzyszenie do złożenia wyjaśnień w sprawie poprzez:
- Przesłanie szczegółowego opisu zabezpieczeń skradzionego laptopa.
- Wskazanie zakresu ujawnionych danych w odniesieniu do każdej kategorii osób, tj.: pracowników, użytkowników, studentów, uczniów, dzieci, osób o szczególnych potrzebach (np. osoby starsze, niepełnosprawne itp.), wymienionych w punkcie 7 formularza zawiadomienia o naruszeniu ochrony danych osobowych (wyjaśnienia różnic kategorii danych osobowych zawartych w zgłoszeniu naruszenia ochrony danych osobowych z dnia 1 grudnia 2020 r. oraz kategorii danych zawartych w piśmie z dnia 28 stycznia 2021 r.).
- Udzielenia odpowiedzi czy po incydencie dokonano analizy naruszenia praw lub wolności osób fizycznych, a jeżeli tak, to czy wynikła z niej konieczność zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych.
Pismo zostało doręczone 16 marca 2021 roku. Mimo pouczenia o tym, że brak odpowiedzi na wezwanie może skutkować nałożeniem kary na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, Stowarzyszenie nie udzieliło odpowiedzi na to pismo. Wobec braku odpowiedzi, pismem z 14 kwietnia 2021 roku Prezes UODO działając na podstawie art. 58 ust. 1 lit. a) i e) ponownie zwrócił się do Stowarzyszenia o udzielenie odpowiedzi na wyżej wymienione pytania i pouczył, że brak odpowiedzi na wezwanie może skutkować nałożeniem kary na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Pismo to było dwukrotnie awizowane i ostatecznie zwrócone nadawcy 5 maja 2021 r. Stowarzyszenie nie udzieliło odpowiedzi na wezwanie Prezesa UODO.
Wobec braku odpowiedzi na wezwania Prezesa UODO wszczęte zostało niniejsze postępowanie administracyjne pod sygnaturą DKE.561.9.2021. – w przedmiocie nałożenia na Stowarzyszenie administracyjnej kary pieniężnej za naruszenie art. 31 i art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez ten organ jego zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
Pismo z 10 czerwca 2021 r. w sprawie wszczęcia przedmiotowego postępowania administracyjnego i zebrania materiału dowodowego w sprawie, nie zostało podjęte przez Stowarzyszenie, jednakże zostało uznane za doręczone 28 czerwca 2021 roku na zasadzie doręczenia zastępczego na podstawie art. 44 Kpa (przesyłka dwukrotnie awizowana, niepodjęta w terminie). Stowarzyszenie nie udzieliło odpowiedzi także na to pismo. W piśmie tym wskazano, że jeżeli Stowarzyszenie udzieli wyczerpujących wyjaśnień, o udzielenie których zwrócił się Prezes UODO w pismach z 22 lutego 2021 r. oraz z 14 kwietnia 2021 r., okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.
W dniu 15 września 2021 r. wpłynęło do Urzędu Ochrony Danych Osobowych pismo Prezesa Zarządu Stowarzyszenia – Pana T. K. W treści pisma Pan T. K. udzielił odpowiedzi na pytania skierowane do Stowarzyszenia w sprawie o sygn. DKN.5130.6734.2020. Jednocześnie w piśmie tymwyjaśnił, że brak odpowiedzi na pismo z 10 czerwca 2021 r. w terminie (sygn. DKE.561.9.2021) spowodowany był jego zaangażowaniem w projekt mistrzostw piłkarskich dla dzieci odbywających się poza stałym miejscem siedziby Stowarzyszenia. Wskazał że w tych terminach był często w podróży między lokalizacjami rozgrywek w całej Polsce, jak również w W. i że jest jedyną osobą uprawnioną do odbioru korespondencji, a to w połączeniu z nagromadzeniem obowiązków, niejednokrotnie wyjazdowych, powoduje brak możliwości terminowego odbioru korespondencji. Wyjaśnił, że w miesiącu lipcu i sierpniu był zaabsorbowany organizacją obozów piłkarskich, które również odbywały się poza siedzibą Stowarzyszenia, co spowodowało kolejne opóźnienie. Z uwagi na braki kadrowe jest zobowiązany do wykonywania dodatkowych obowiązków wynikających z osobistego prowadzenia i koordynowania wyżej wymienionych projektów w tym podejmuje prace osób, które z powodu złej kondycji finansowej Stowarzyszenia z niego odeszły. Dodał, że cyt.: ,,Wobec powyższego miałem bardzo utrudnione możliwości współpracy z Państwa Urzędem. Fakt ten nie wynika z mojego zaniedbania czy złej woli, a jedynie z braku czasu i dostępności mojej osoby odpowiedzialnego za tak wiele (...). Proszę o wyrozumiałość i odstąpienie od wymierzenia kary pieniężnej (...). Liczę na to, iż moje wyjaśnienia okażą się wystarczające, jednocześnie informację, że cały czas pozostaję do Państwa dyspozycji”.
Następnie w piśmie z 21 września 2021 r. Prezes Zarządu Stowarzyszenia – Pan T. K., uzupełnił swoje poprzednie wyjaśnienia w zakresie odpowiedzi na pytania skierowane do Stowarzyszenia w sprawie o sygn. DKN.5130.6734.2020 poprzez doprecyzowanie kwestii zabezpieczeń komputera oraz wskazanie konkretnych danych kontrahentów (klientów) zgromadzonych w skradzionym komputerze. W piśmie tym ponadto wyjaśnił, że powodem braku odpowiedzi na pisma kierowane w sprawie o sygn. DKN.5130.6734.2020 były problemy z funkcjonowaniem Stowarzyszenia, zwolnienia pracowników oraz zaangażowanie w trwającą 3 miesiące procedurę odraczania płatności podatku VAT.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania.
Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie Stowarzyszeniu upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 i 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Stowarzyszenie – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. DKN.5130.6734.2020
, niewątpliwe naruszyło obowiązek współpracy z Prezesem UODO oraz obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy.
Prezes UODO dwukrotnie wezwał Stowarzyszenie do złożenia wyjaśnień. Pierwsze z tych wezwań zostało doręczone Stowarzyszeniu 16 marca 2021 roku., drugie zaś było dwukrotnie awizowane i ostatecznie zwrócone nadawcy 5 maja 2021 r. Żadne z pism nie doczekało się odpowiedzi w zakreślonych terminach 7 dni od daty ich doręczenia. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Stowarzyszenia, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy o sygn. DKN.5130.6734.2020. i skutkowało przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 Kpa. zasadami wnikliwości i szybkości postępowania. To zaniechanie Stowarzyszenia spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. Jednakże w odpowiedzi na informację o wszczęciu niniejszego postępowania, Stowarzyszenie wznowiło współpracę z Prezesem UODO, poprzez nadesłanie 13 września 2021 r. oraz 21 września 2021 r. szczegółowych wyjaśnień w postępowaniu o sygn. DKN.5130.6734.2020, co umożliwiło Prezesowi UODO na dalsze prowadzenie postępowania w sprawie o sygn. DKN.5130.6734.2020. Ponadto Stowarzyszenie złożyło wyjaśnienia uzasadniające przyczyny braku współpracy z Prezesem UODO.
Jak wyżej wspomniano, nie budzi wątpliwości fakt, że Stowarzyszenie swoim zachowaniem dopuściło się naruszenia przepisów Rozporządzenia 2016/679. Przedstawione przez Stowarzyszenie uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego odpowiedzialności za stwierdzone zaniechanie. Równolegle jednak, wskazane przez Stowarzyszenie przyczyny początkowego braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Stowarzyszenia, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji. W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień – który to brak został uzupełniony przez Stowarzyszenia w rezultacie wszczęcia niniejszego postępowania – nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Stowarzyszenia z Prezesem UODO. W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny. Okoliczności sprawy, a w szczególności późniejsza postawa Stowarzyszenia pozwalają wnioskować, że jego początkowa opieszałość nie wynikała ze złej woli osoby uprawnionej do reprezentowania Stowarzyszenia, ani nie miała na celu świadomego utrudnienia postępowania. Brak reakcji Stowarzyszenia na skierowane do niego wezwania do złożenia wyjaśnień w sprawie o sygn. DKN.5130.6734.2020, w ocenie Prezesa UODO, spowodowany był realnymi problemami związanymi z funkcjonowaniem Stowarzyszenia. Ponadto następcza, aktywna postawa Stowarzyszenia, w szczególności udzielenie wyjaśnień do sprawy o sygn. DKN.5130.6734.2020, w tym wyjaśnienie powodów braku odpowiedzi na wezwania do złożenia wyjaśnień, wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Stowarzyszenia wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji. Niemniej jednak, celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje, że o wszelkich przeszkodach uniemożliwiających Stowarzyszeniu terminowe wywiązywanie się z obciążających go względem organu ochrony danych osobowych obowiązków, Stowarzyszenie powinno informować niezwłocznie, w chwili ich zaistnienia.
Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Stowarzyszeniu upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Stowarzyszenia będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.