DOKE.561.18.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023, poz. 775 t. j.), art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 83 ust. 1-2 i art. 83 ust. 6 w związku z art. 58 ust. 2 lit. c) i lit. i) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1; Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej: „Rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia administracyjnej kary pieniężnej na M. Sp. z o.o. z siedzibą w D. przy ul. (…),Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając niewykonanie przez M. Sp. z o.o. z siedzibą w D. przy ul. (…) nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z 15 grudnia 2022 r. o sygn. ZSPR.440.1621.2018 oraz nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z 29 listopada 2022 r. o sygn. ZSPR.440.1530.2019, nakłada na M. Sp. z o.o. z siedzibą w D. przy ul. (…) administracyjną karę pieniężną w kwocie 23 580 PLN (słownie: dwudziestu trzech tysięcy pięciuset osiemdziesięciu złotych).

UZASADNIENIE

Stan faktyczny

  1. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej: „Prezesem UODO”, decyzją administracyjną z 15 grudnia 2022 r. o sygn. ZSPR.440.1621.2018, działając na podstawie art. 58 ust. 2 lit. c) Rozporządzenia 2019/679, nakazał M. Sp. z o.o. z siedzibą w D. przy ul. (…), zwanej dalej: „Spółką”, usunąć dane osobowe Pana T. B., zamieszkałego w W. przy ul. (…). Decyzja ta – skierowana na ujawniony w Krajowym Rejestrze Sądowym adres siedziby Spółki, tj. (…) D., ul. (…) – po dwukrotnej awizacji w dniach: 20 grudnia 2022 r. oraz 28 grudnia 2022 r. została zwrócona do UODO z adnotacją: „ZWROT nie podjęto w terminie”. Pismo to stosownie do treści art. 44 w związku z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023, poz. 775 t. j.), zwanej dalej: „k.p.a.”, zostało uznane za prawidłowo doręczone Spółce z upływem 4 stycznia 2023 r. Decyzja nie została zaskarżona przez strony postępowania do Wojewódzkiego Sądu Administracyjnego w Warszawie, w związku z czym stała się prawomocna z dniem 3 lutego 2023 r.
  2. Celem sprawdzenia czy nałożony ww. decyzją obowiązek został spełniony przez Spółkę – pismami z 5 czerwca 2023 r. – Prezes UODO wezwał ją do złożenia wyjaśnień i przedstawienia dowodów potwierdzających wykonanie nakazu decyzji oraz pouczył Spółkę, że stwierdzenie nieprzestrzegania nakazu orzeczonego przez Prezesa UODO może skutkować nałożeniem administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, zgodnie z art. 83 ust. 6 Rozporządzenia 2016/679. Pisma te – spośród których jedno wysłano na adres rejestrowy, drugie zaś na ustalony przez organ nadzorczy adres biura Spółki, tj. (…) D., ul. (…)  – po dwukrotnej bezskutecznej awizacji w dniach: 12 czerwca 2023 r. i 20 czerwca 2023 r. (w zakresie korespondencji skierowanej na adres rejestrowy) oraz 9 czerwca 2023 r. i 19 czerwca 2023 r. (w zakresie korespondencji skierowanej na adres biura Spółki), zostały zwrócone do UODO z adnotacją: „ZWROT nie podjęto w terminie. Uwzględniając treść art. 44 k.p.a. w związku z art. 45 k.p.a. pisma te uznano za prawidłowo doręczone Spółce z upływem 26 czerwca 2023 r. oraz 23 czerwca 2023 r. w trybie doręczenia zastępczego. Spółka nie podjęła żadnych działań celem wykazania wykonania nakazu decyzji.
  3. Pismem z 14 lipca 2023 r. Prezes UODO skierował do Spółki upomnienie, którym raz jeszcze wezwał ją do wykonania nakazu decyzji oraz do udokumentowania tego faktu w terminie 7 dni od daty doręczenia upomnienia. Pismo to, dwukrotnie awizowane w dniach: 18 lipca 2023 r. oraz 26 lipca 2023 r., zostało zwrócone do UODO z adnotacją: „ZWROT nie podjęto w terminie”. Brak odbioru korespondencji przez Spółkę skutkował uznaniem doręczenia ww. pisma z mocy prawa w dniu 1 sierpnia 2023 r. – na zasadzie doręczenia zastępczego zgodnie z brzmieniem art. 44 k.p.a. w związku z art. 45 k.p.a. Spółka i tym razem nie podjęła żadnych działań w celu spełnienia zadość żądaniu organu nadzorczego.
  4. Z kolei decyzją administracyjną z 29 listopada 2022 r. o sygn. ZSPR.440.1530.2019, Prezes UODO działając na podstawie art. 58 ust. 2 lit. c) Rozporządzenia 2019/679, nakazał Spółce usunąć dane osobowe Pana M. N., zamieszkałego we W. przy ul. (…), w tym jego numer telefonu: (…). Decyzja ta – skierowana na adres rejestrowy Spółki – po dwukrotnej awizacji w dniach: 2 grudnia 2022 r. oraz 12 grudnia 2022 r. została zwrócona do UODO z adnotacją: „ZWROT nie podjęto w terminie”. Stosownie do treści art. 44 k.p.a. w zw. z art. 45 k.p.a. decyzję uznano za prawidłowo doręczoną Spółce z upływem 16 grudnia 2022 r. Wobec braku zaskarżenia ww. rozstrzygnięcia przez strony postępowania do Wojewódzkiego Sądu Administracyjnego w Warszawie, decyzja ta stała się prawomocna z dniem 10 stycznia 2023 r.
  5. Celem sprawdzenia czy nałożony ww. decyzją obowiązek został spełniony przez Spółkę – pismem z 5 lipca 2023 r. – Prezes UODO wezwał ją do złożenia wyjaśnień i przedstawienia dowodów potwierdzających wykonanie nakazu decyzji oraz pouczył Spółkę, że stwierdzenie nieprzestrzegania nakazu orzeczonego przez Prezesa UODO może skutkować nałożeniem administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR lub do 4 % obrotu wykazanego w poprzednim roku obrotowym zgodnie z art. 83 ust. 6 Rozporządzenia 2016/679. Wezwanie to – wysłane na adres rejestrowy Spółki – po dwukrotnej bezskutecznej awizacji w dniach: 11 lipca 2023 r. oraz 18 lipca 2023 r., zostało zwrócone do UODO z adnotacją: „ZWROT nie podjęto w terminie”. Stosownie do brzmienia art. 44 k.p.a. w związku z art. 45 k.p.a. pismo to uznano za prawidłowo doręczone Spółce z upływem 25 lipca 2023 r. w trybie doręczenia zastępczego. Mimo to Spółka nie podjęła żadnych działań celem wykazania wykonania nakazu decyzji.
  6. W związku z tym Prezes UODO – pismem z 9 sierpnia 2023 r. – skierował do Spółki upomnienie, którym raz jeszcze wezwał ją do wykonania nakazu decyzji oraz do przedstawienia dowodów potwierdzających ten fakt w terminie 7 dni od daty doręczenia pisma. Wzmiankowana korespondencja, po dwukrotnej awizacji w dniach: 16 sierpnia 2023 r. oraz 24 sierpnia 2023 r., została zwrócona do UODO z adnotacją: „ZWROT nie podjęto w terminie”. Brak odbioru przedmiotowego pisma przez Spółkę skutkował uznaniem jego doręczenia z mocy prawa w dniu 30 sierpnia 2023 r. – zgodnie z brzmieniem z art. 44 k.p.a. w związku z art. 45 k.p.a. Spółka nie udzieliła żadnej odpowiedzi również i na to pismo.
  7. W związku z powyższym Prezes UODO wszczął z urzędu niniejsze postępowanie administracyjne o sygn. DOKE.561.18.2023 w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za nieprzestrzeganie nakazów orzeczonych przez organ nadzorczy na podstawie art. 58 ust. 2 Rozporządzenia 2016/679. Informacja o wszczęciu niniejszego postępowania została wysłana do Spółki pismem z 19 września 2023 r. Pismem tym Spółka wezwana została, celem ustalenia podstawy wymiaru kary w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”, do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez nią w 2022 r. Ponadto Spółkę pouczono o tym, że jeśli przedstawi ona wyjaśnienia i dowody wykonania obowiązków nałożonych ww. decyzjami Prezesa UODO, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia. Pismo to – skierowane na adres rejestrowy Spółki ujawniony w KRS – po dwukrotnej awizacji w dniach: 21 września 2023 r. oraz 29 września 2023 r. nie zostało odebrane przez Spółkę. Zwrócone do UODO z adnotacją: „ZWROT nie podjęto w terminie”, stosownie do brzmienia art. 44 k.p.a. w związku z art. 45 k.p.a., zostało uznane za doręczone Spółce na zasadzie fikcji doręczenia z upływem 5 października 2023 r.
  8. Do dnia wydania niniejszego rozstrzygnięcia Spółka nie przedstawiła żadnych wyjaśnień czy dowodów dotyczących wykonania nakazu decyzji Prezesa UODO z 15 grudnia 2022 r., sygn. ZSPR.440.1621.2018, ani nakazu decyzji Prezesa UODO z 29 listopada 2022 r., sygn. ZSPR.440.1530.2019.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Uzasadnienie prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) i lit. h) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia oraz prowadzi postępowania w sprawie jego stosowania, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
  2. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust. 2 lit. c) Rozporządzenia 2016/679) oraz uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 tego rozporządzenia (art. 58 ust. 2 lit. i) Rozporządzenia 2016/679).
  3. Naruszenie przepisów Rozporządzenia 2016/679 polegające na nieprzestrzeganiu nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  4. Oceniając czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:

a)    charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)    umyślny lub nieumyślny charakter naruszenia,

c)    działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)    stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)    wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)     stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)    kategorie danych osobowych, których dotyczyło naruszenie,

h)    sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)     jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,

j)     stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)    wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

  1. Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
  2. Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast, w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).
  3. Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
  4. Stosowanie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

  1. Odnosząc wyżej wskazane przepisy do ustalonego w niniejszej sprawie stanu faktycznego w pierwszej kolejności należy podkreślić, że ciężar udowodnienia wykonania nakazu decyzji, dotyczącego przetwarzania danych osobowych w oparciu o przepisy Rozporządzenia 2016/679, spoczywa na administratorze danych osobowych. Norma ta wynika wprost z art. 5 ust. 2 Rozporządzenia 2016/679 statuującego zasadę rozliczalności, zgodnie z którą administrator – będąc odpowiedzialny za przestrzeganie zasad przetwarzania danych osobowych sformułowanych w art. 5 ust. 1 Rozporządzenia 2016/679 (w tym m. in. zasady legalności, w myśl której przetwarzanie danych musi odbywać się „zgodnie z prawem”) – zobowiązany jest przestrzeganie tych zasad wykazać. Zastosowanie zasady rozliczalności w prowadzonym przez organ nadzorczy postępowaniu zmierzającym do ustalenia wykonania nakazu decyzji oznacza, że administrator zobowiązany jest przed Prezesem UODO udowodnić spełnienie obowiązku wskazanego w decyzji, które będzie równoznaczne z przywróceniem przez administratora procesów przetwarzania danych osobowych do stanu zgodnego z prawem. Taka interpretacja zasady rozliczalności znajduje potwierdzenie w doktrynie prawa ochrony danych osobowych, zgodnie z którą: „stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych” (tak: P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018).
  2. Tym samym w sprawie niniejszej to Spółka – jako administrator danych osobowych oraz jednocześnie adresat decyzji Prezesa UODO z 15 grudnia 2022 r., sygn. ZSPR.440.1621.2018 oraz decyzji Prezesa UODO z 29 listopada 2022 r., sygn. ZSPR.440.1530.2019 – zobowiązana była dostarczyć Prezesowi UODO wszelkie dowody i informacje niezbędne do ustalenia przez organ nadzorczy, że spełniła ona żądania Panów T. B. oraz M. N. dotyczące usunięcia ich danych osobowych z baz danych Spółki, co prowadziłoby do wniosku, że przetwarzanie danych osobowych przez Spółkę odbywa się obecnie zgodnie z przepisami Rozporządzenia 2016/679. Spółka tymczasem nie podjęła żadnych działań w celu dowiedzenia wykonania nakazów wynikających z ww. decyzji administracyjnych – i to pomimo kierowanych przez organ nadzorczy pisemnych wezwań, poprzedzających wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. Należy przy tym wskazać, że Spółka nie zgłosiła przed Prezesem UODO żadnych wątpliwości dotyczących sposobu wykonania nałożonych na nią obowiązków, ani nie zasygnalizowała ewentualnych trudności (technicznych czy organizacyjnych) związanych z ich realizacją. Powołane okoliczności prowadzą do stwierdzenia, że Spółka nie wykonała (czy też – zgodnie z terminologią użytą przez prawodawcę unijnego w art. 83 ust. 6 Rozporządzenia 206/679 – „nie przestrzega”) nakazów obu ww. decyzji administracyjnych Prezesa UODO. Mając na uwadze powyższe ustalenia Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej, stosownie do brzmienia art. 83 ust. 6 Rozporządzenia 2016/679.

Przesłanki i zasady wymiaru administracyjnie kary pieniężnej

  1. Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym uwagę na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie administracyjnej kary pieniężnej na Spółkę oraz ustalając jej wysokość, Prezes UODO wziął spośród nich pod uwagę następujące, niżej wskazane okoliczności wpływające obciążająco na ocenę stwierdzonego naruszenia.
  2. Charakter, waga i czas trwania naruszenia, liczba poszkodowanych osób (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). Naruszenie popełnione przez Spółkę w niniejszej sprawie, polegające na nieprzestrzeganiu nakazów decyzji administracyjnych Prezesa UODO, będącego organem właściwym do spraw ochrony danych osobowych i organem nadzorczym w rozumieniu przepisów Rozporządzenia 2016/679, należy uznać za godzące w istotny sposób w system ochrony danych osobowych. Z jednej strony bowiem, zaniechania Spółki wskazują na jej ogólny lekceważący stosunek do obowiązków ustanowionych przepisami Rozporządzenia 2016/679 wobec administratorów danych. Z drugiej strony, brak usunięcia przez Spółkę danych osobowych dwóch zindywidualizowanych osób fizycznych, wskazanych imiennie w orzeczonych nakazach – skutkujący dalszym bezprawnym przetwarzaniem ich danych osobowych – narusza prawa tych osób. Pomimo sprzeciwu wyrażonego przez osoby, których dane dotyczą, wobec przetwarzania ich danych osobowych przez Spółkę, jak również wyraźnej dyspozycji organu nadzorczego co do obowiązku zaprzestania ich przetwarzania, Spółka nadal przechowuje sporne dane w swoich zasobach. Powyższe umożliwia Spółce dalsze ich wykorzystywanie do celów związanych z prowadzoną działalnością gospodarczą (np. w celu przesyłania osobom fizycznym za pośrednictwem wiadomości sms lub e-mail niechcianego spamu bądź wykonywania niechcianych połączeń telefonicznych o charakterze marketingowym). Okoliczność dalszego przetwarzania danych osobowych przez Spółkę rodzi także niebezpieczeństwo ich udostępnienia innym podmiotom, z którymi Spółka współpracuje. Powyższe pociąga za sobą ryzyko dla podmiotów danych, dotkniętych bezpośrednio stwierdzonym w niniejszym postępowaniu naruszeniem, jakim jest utrata kontroli nad swoimi danymi osobowymi. Jednocześnie w przypadku dalszego wykorzystywania tych danych przez Spółkę osoby, których dane dotyczą zmuszone będą znosić niechciane próby kontaktu ze strony Spółki, co niewątpliwie wiąże się z uciążliwością takich działań. Z tego względu, w ocenie Prezesa UODO, naruszeniu popełnionemu przez Spółkę należy przypisać znaczną wagę i naganny charakter. Wagę tę zwiększa dodatkowo okoliczność, że stan naruszenia trwa nieprzerwanie od 4 stycznia 2023 r. (w zakresie nakazu decyzji z 15 grudnia 2022 r. o sygn. ZSPR.440.1621.2018) oraz od 16 grudnia 2022 r. (w zakresie nakazu decyzji z 29 listopada 2022 r. o sygn. ZSPR.440. 1530.2019), tj. od daty uznania wyżej wskazanych ostatecznych decyzji Prezesa UODO za doręczone Spółce.
  3. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b Rozporządzenia 2016/679). W związku z tym, że żadne ze skierowanych przez Prezesa UODO do Spółki pism nie zostało przez nią faktycznie odebrane (co dotyczy zarówno decyzji administracyjnych Prezesa UODO, wezwań do przedstawienia wyjaśnień oraz dowodów ich wykonania, jak i pisemnych upomnień wystosowanych do Spółki), brak jest podstaw do uznania, że działania Spółki podlegające ukaraniu w niniejszej sprawie miały charakter celowy. Jednakże w związku ze stwierdzeniem, że naruszenie, którego dopuściła się Spółka jest następstwem rażącego i długotrwałego zaniedbania przez Spółkę podstawowego jej obowiązku – jakim jest zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji urzędowej odbywał się w sposób ciągły i niezakłócony – okoliczność ta winna być oceniana negatywnie i uznana za obciążającą w kontekście ustalenia zarówno zasadności wymierzenia, jak i wysokości orzeczonej kary pieniężnej. Jednocześnie organ nadzorczy wskazuje, że obowiązek przestrzegania zasad ochrony danych osobowych (w tym wspomnianej już zasady rozliczalności) spoczywa na Spółce z mocy samego prawa. Stąd też okoliczność braku odbioru przez Spółkę kierowanej do niej korespondencji, skutkująca brakiem złożenia wyjaśnień zezwalających na ustalenie przestrzegania nakazów orzeczonych przez Prezesa UODO na mocy art. 58 ust. 2 lit. c) Rozporządzenia 2016/679, w żadnym wypadku nie może zwalniać Spółki z odpowiedzialności za popełnione naruszenie bądź wpływać łagodząco na wymiar orzeczonej wobec niej administracyjnej kary pieniężnej.
  4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679). W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie podjęła żadnej współpracy z Prezesem UODO. W szczególności Spółka nie przedstawiła wyjaśnień i dowodów, o które organ nadzorczy zwracał się do niej w postępowaniach o sygn.: DOKE.560.53.2023 oraz DOKE.560.80.2023 (a zatem informacji, które zezwoliłyby na ustalenie wykonania przez nią nakazów decyzji Prezesa UOOD) – co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Fakt, że Spółka zupełnie zlekceważyła nałożone na nią w drodze decyzji obowiązki i nie podjęła współpracy z Prezesem UODO jest kolejną, wyraźną przesłanką do zastosowania wobec niej sankcji w postaci administracyjnej kary pieniężnej, a jednocześnie przemawia za zwiększeniem jej wymiaru.
  5. W ocenie Prezesa UODO żadna z przesłanek, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej kary.
  6. Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
  • Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679). Prezes UODO nie stwierdził by Spółka dopuściła się wcześniejszych naruszeń przepisów o ochronie danych osobowych, polegających na nieprzestrzeganiu nakazów orzeczonych przez Prezesa UODO na podstawie art. 58 ust. 2 Rozporządzenia 2016/679, a zatem naruszeń przedmiotowo zbliżonych do tego przypisanego Spółce w niniejszym postępowaniu. W związku z powyższym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Spółce obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę okoliczności przedmiotowej sprawy.
  • Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679). Z treści niewykonanych przez Spółkę decyzji  administracyjnych Prezesa UODO bezspornie wynika, że Spółka zobowiązana była usunąć numery telefonów oraz adresy poczty elektronicznej osób, które wystąpiły do organu nadzorczego ze skargą na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Spółkę (z uwagi na brak aktywnego udziału Spółki w postępowaniach skargowych, zakończonych wydaniem decyzji, nie ustalono czy przetwarza ona inne, dodatkowe dane). Uwzględniając wąski zakres przetwarzanych danych, które mogą służyć wyłącznie do komunikacji z podmiotami danych, ale nie pociągają za sobą innych ryzyk, takich jak np. ryzyko utraty tożsamości czy zaciągnięcia zobowiązań finansowych na rzecz osób, których dane dotyczą, organ poczytał tę przesłankę jako niemającą obciążającego wpływu na ostateczną wysokość wymierzonej kary. Jednocześnie jednak, wobec wciąż istniejącej możliwości wykorzystania (nawet tak wąskiego zakresu) danych w ramach działalności gospodarczej prowadzonej przez Spółkę, organ nie mógł potraktować tej okoliczności jako łagodzącą.
  • Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679). Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczących się przed nim postępowań o sygn.: DOKE.560.53.2023 oraz DOKE.560.80.2023, których celem było ustalenie wykonania przez Spółkę nakazów wynikających z prawomocnych decyzji administracyjnych Prezesa UODO. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu, wynikający z kompetencji Prezesa UODO do oceny przebiegu prowadzonych przez niego postępowań. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Spółki; fakt ten nie może być jednak też uwzględniony na korzyść Spółki skoro nie brała ona żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
  • Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
  • Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679). Spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
  • Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO nie stwierdził, żeby Spółka, w związku z nieprzestrzeganiem nakazów orzeczonych przez organ nadzorczy, odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Spółkę takich korzyści, jako stan naturalny wynikający z założenia, że przedsiębiorca prowadzący działalność gospodarczą osiąga z tego tytułu korzyści finansowe (zyski) pod warunkiem stosowania się do obowiązujących rygorów prawnych, jest okolicznością, która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
  • Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
  1. Pozostałe okoliczności wymienione w art. 83 ust. 2 Rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO, jako nie znajdujące zastosowania w niniejszej sprawie. Są to:
  • działania podjęte przez administratora w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie zmaterializowały się żadne szkody po stronie osób fizycznych (a jedynie ryzyko ich wystąpienia), brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie;
  • stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania.
  1. Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść należy się do poglądów doktryny prawa o ochronie danych osobowych. „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji”  (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do wielkości, możliwości finansowych i pozycji ukaranego podmiotu na rynku, a za miernik tych atrybutów ukaranego podmiotu, w przypadku gdy jest nim przedsiębiorstwo, Rozporządzenie 2016/679 pozwala przyjąć całkowity roczny światowy obrót z poprzedniego roku obrotowego (art. 83 ust. 5 Rozporządzenia 2016/679). Uzupełniając tę zasadę, przepis art. 101a ust. 2 u.o.d.o. stanowi, że w przypadku braku takich danych Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w oparciu o szacunki, co do wielkości podmiotu, specyfiki prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu. Odniesienie się do potencjału ekonomicznego ukaranego podmiotu jest konieczne gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz „niezauważalna” dla tego podmiotu) nie będzie skuteczna i odstraszająca dla tego podmiotu; kara zbyt dolegliwa (kara, której uiszczenie zagrozi bytowi podmiotu) nie będzie natomiast karą proporcjonalną.
  2. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu odpowiada zasadom wskazanym w art. 83 ust. 1 Rozporządzenia 2016/679. Jej dolegliwość w wymiarze finansowym zdyscyplinuje Spółkę do przestrzegania zasad ochrony danych osobowych oraz do wywiązywania się z obowiązków wynikających z decyzji administracyjnych Prezesa UODO. W wymiarze dyscyplinującym Spółkę kara będzie więc skuteczna, jako że osiągnie swój cel. Nałożona niniejszą decyzją kara jest też – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Spółki, zobowiązanej na mocy przepisów Rozporządzenia 2016/679 do przestrzegania nakazów orzekanych przez organ nadzorczy na mocy art. 58 ust. 2 wskazanego aktu prawnego, że lekceważenie tego obowiązku stanowi naruszenie o znacznej wadze i jako takie podlegać będzie sankcjom finansowym.
  3. Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2022, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności. Spółka obecna jest na polskim rynku od ponad siedmiu lat (wpis Spółki do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego miał miejsce (…), co świadczy o stabilnym charakterze prowadzonej przez nią działalności. Przedmiotem przeważającej działalności Spółki jest działalność (…). W ocenie Prezesa UODO Spółka prowadzi działalność gospodarczą na niewielką skalę, o czym świadczy wysokość przychodu netto ze sprzedaży usług własnych Spółki w kwocie (…) zł oraz zysk netto w kwocie (…) zł – osiągnięte przez Spółkę w 2022 r. Dane te Prezes UODO pozyskał ze sprawozdania finansowego Spółki, obejmującego okres od 1 stycznia 2022 r. do 31 grudnia 2022 r. Jednocześnie jednak wyniki finansowe osiągnięte przez Spółkę w ciągu ostatnich trzech lat wskazują na tendencję wzrostową, świadczącą o rozwoju jej działalności. Spółka w roku 2020 odnotowała bowiem przychód netto na poziomie (…) zł oraz zysk netto w wysokości (…) zł, z kolei w roku 2021 wartości te wyniosły – odpowiednio – (…) zł oraz (…) zł (dane ujęto w sprawozdaniach finansowych Spółki za lata 2020-2021). Sprzedaż towarów i usług Spółki objęta jest również podatkiem VAT, którego Spółka jest czynnym płatnikiem. Wysokość osiąganych przez Spółkę przychodów nie kwalifikuje jej do zwolnienia z ww. daniny publicznej, co przemawia za uznaniem Spółki za podmiot rentowny i dobrze prosperujący, dla którego kara pieniężna w wysokości orzeczonej przez Prezesa UODO (mimo zaliczenia Spółki do podmiotów prowadzących działalność na niewielką skalę) nie będzie stanowiła nadmiernego obciążenia.
  4. W związku z tym, że ukaraniu w niniejszej sprawie podlega podmiot prowadzący działalność na niewielką skalę, nałożona na niego niniejszą decyzją administracyjna kara pieniężna (w wysokości stanowiącej 0,03 % maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 6 Rozporządzenia 2016/679 Prezes UODO mógł orzec za stwierdzone w niniejszej sprawie naruszenie) będzie dla niego z jednej strony wystarczająco dolegliwą i przez to skuteczną, ale również możliwą do jej poniesienia bez zagrożenia materialnych podstaw jego bytu i prowadzonej przez niego działalności.
  5. Mając na uwadze przepis art. 103 u.o.d.o. Prezes UODO za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 30 stycznia 2023 r. (gdzie 1 EUR = 4,7160 PLN) – administracyjną karę pieniężną w kwocie 23 580 (co stanowi równowartość 5 000 euro).

Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.

Pouczenie

  • Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 t. j.), zwanej dalej „p.p.s.a.”, od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) (dalej „u.o.d.o.”) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
  • W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się oprawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
  • Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP o/o Warszawa nr 28 1010 1010 0028 8622 3100 0000.
  • Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2023 r., poz. 2383 t. j.), od dnia następującego po dniu złożenia wniosku.
Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2023-12-13
Wprowadził informację:
user Mathias Proch
date 2024-01-03 12:06:22
Ostatnio modyfikował:
user Edyta Madziar
date 2024-01-30 13:49:39