ZSPR.421.19.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 7 ust 1 i ust. 2, art. 60, art. 101, art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 58 ust 1 lit. e oraz lit. f w związku z art. 83 ust. 1-3 oraz art. 83 ust. 5 lit. e rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), po przeprowadzeniu postępowania wszczętego z urzędu w sprawie Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach przy ul. Zygmunta Krasińskiego 29 lok. 9 Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie przez Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach przy ul. Zygmunta Krasińskiego 29 lok. 9, przepisów art. 31 i art. 58 ust. 1 lit. e oraz lit. f ogólnego rozporządzenia o ochronie danych, poprzez niezapewnienie dostępu do danych osobowych i innych informacji oraz pomieszczeń, skutkujące uniemożliwieniem Prezesowi Urzędu Ochrony Danych Osobowych przeprowadzenia czynności kontrolnych niezbędnych do realizacji jego zadań,
nakłada na Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach przy ul. Zygmunta Krasińskiego 29 lok. 9 karę pieniężną w kwocie 20.000 PLN (słownie: dwadzieścia tysięcy złotych), co stanowi równowartość 4.673.56 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2020 r.
Uzasadnienie
Na podstawie art. 58 ust. 1 lit. b, lit. e oraz lit. f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej rozporządzeniem 2016/679, Prezes Urzędu Ochrony Danych Osobowych zaplanował przeprowadzenie w Vis Consulting Sp. z o.o. z siedzibą w Katowicach przy ul. Zygmunta Krasińskiego 29 lok. 9 (zwaną dalej też „Spółką”) kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Kontrola miała być przeprowadzona w dniach od 29 lipca 2019 r. do dnia 2 sierpnia 2019 r.
Pismem z dnia […] lipca 2019 r. (znak: […]) Urząd Ochrony Danych Osobowych za pośrednictwem Poczty Polskiej zawiadomił Spółkę o terminie i zakresie planowanej kontroli. Pismo doręczone zostało w dniu […] lipca 2019 r. na adres siedziby Vis Consulting Sp. z o.o. (Katowice, ul. Zygmunta Krasińskiego 29 lok. 9), wskazany w Krajowym Rejestrze Sądowym.
W dniu […] lipca 2019 r., w celu przeprowadzenia czynności kontrolnych (sygn. kontroli ZSPR.421.19.2019) kontrolujący udali się do miejsca wskazanego w KRS jako adres Spółki, ale osób reprezentujących Spółkę tam nie zastali. Na miejscu okazało się, że pod tym adresem znajduje się Biuro […] (zwane dalej „Biurem”) prowadzone przez […]. Jak ustalono Spółka podnajmuje lokal użytkowy położony w Katowicach przy ul. Zygmunta Krasińskiego 29 lok. 9 na tzw. „wirtualne biuro”. W przedmiotowym lokalu zastano tylko pracownika Biura. Po przedstawieniu tej osobie celu przybycia kontrolujących, pracownik Biura po sprawdzeniu zawartości poczty elektronicznej, w celu ustalenia, czy wpłynęła jakaś wiadomość od Spółki w tym zakresie, poinformował, że do Biura wpłynęło pismo z dnia […] lipca 2019 r. od Spółki podpisane przez Pana P.. Z treści pisma wynikało, że Spółka wypowiada umowę najmu na lokal nr 9 położony w Katowicach przy ul. Zygmunta Krasińskiego 29 oraz, że od dnia […] lipca 2019 r. pod ww. adresem podmiot ten nie będzie prowadził działalności. Kopia powołanego pisma została przekazana kontrolującym.
Ponadto, pracownik Biura poinformował kontrolujących, że po odebraniu pisma z dnia […] lipca 2019 r. z Urzędu Ochrony Danych Osobowych, w sprawie zawiadomienia o planowanej kontroli w Spółce, treść przedmiotowego pisma w formie skanu przekazał do Spółki. Celem udokumentowania podjętych ustaleń, o których mowa powyżej kontrolujący w dniu […] lipca 2019 r. sporządzili notatkę służbową.
W związku z zaistniałą sytuacją kontrolujący poprosili by pracownik Biura skontaktował się ze Spółką w sprawie ustalenia, czy czynności kontrolne będą mogły być przeprowadzone. Kontaktu ze Spółką nie udało się jednak nawiązać. W związku z tym kontrolujący poprosił o podanie numeru telefonu do Spółki. Pracownik Biura oświadczył, że dopiero na pisemny wniosek Prezesa Urzędu Ochrony Danych Osobowych może udostępnić informacje w sprawie tego podmiotu (w tym również numer telefonu). Kontrolujący pozostawili numer telefonu do kontaktu. Tego samego dnia około godziny 14 do kontrolującego zatelefonował mężczyzna, który przedstawił się jako „adwokat […]” i przekazał informację, iż kontaktuje się w imieniu Spółki, ale nie wie, czy kontrola będzie mogła być przeprowadzona. W toku rozmowy ww. osoba zobowiązała się, że w terminie do […] lipca 2019 r. postara się ustalić, czy kontrola będzie mogła się odbyć.
Jednocześnie, w dniu […] lipca 2019 r. na adres poczty elektronicznej Biura, został przesłany wniosek Prezesa Urzędu Ochrony Danych Osobowych o udostepnienie kopii umowy najmu na przedmiotowy lokal oraz o przekazanie informacji kontaktowych do Spółki.
W dniu […] lipca 2019 r. kontrolujący ponownie udali się pod adres Spółki, ale również w tym dniu osób reprezentujących Spółkę nie zastano. W związku z tym czynności kontrolne nie odbyły się. Pracownik Biura przekazał kontrolującym kopię umowy podnajmu na przedmiotowy lokal. O godz. 11 do kontrolujących zatelefonowała osoba przedstawiająca się jako „adwokat […]” i przekazał informację, że kontrola się nie odbędzie.
W związku z powyższym, pismem z […] sierpnia 2019 r. znak: […] Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z uniemożliwieniem przeprowadzenia kontroli w zakresie przestrzegania przez Spółkę przepisów o ochronie danych osobowych. Ww. korespondencja została zwrócona z adnotacją „adres nieaktualny”.
Na podstawie sprawozdania finansowego za okres od 1 stycznia 2018 r. do 31 grudnia 2018 r. (dostępnego na stronie internetowej Ministerstwa Sprawiedliwości o adresie: ekrs.ms.gov.pl) ustalono, że w ww. okresie wysokość przychodów netto Spółki ze sprzedaży i zrównanych z nimi wyniosła 426 261,14 PLN.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Jak wynika z informacji zawartej w Krajowym Rejestrze Sądowym, 30 lipca 2019 r. podjęto uchwałę o rozwiązaniu Spółki i postawieniu jej w stan likwidacji. Sąd Rejonowy Katowice – Wschód, Wydział VIII Gospodarczy w dniu 23 sierpnia 2019 r. dokonał wpisu do Krajowego Rejestru Sądowego o postawieniu Spółki w stan likwidacji. Od tego momentu Spółka funkcjonuje pod firmą Vis Consulting Sp. z o.o. w likwidacji.
Zgodnie z art. 57 ust. 1 lit. a rozporządzenia 2016/679, każdy organ nadzorczy na swoim terenie monitoruje i egzekwuje stosowanie rozporządzenia 2016/679. Ponadto, stosownie do art. 58 ust. 1 lit. e oraz lit. f rozporządzenia 2016/679, organowi nadzorczemu przysługuje uprawnienie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego. Wskazać należy, że w myśl art. 58 ust. 6 rozporządzenia 2016/679, każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują, poza uprawnieniami określonymi
w ust. 1, 2 i 3, także inne uprawnienia. Jak stanowi art. 31 rozporządzenia 2016/679, administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań.
Na podstawie art. 78 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „ustawą”, Prezes Urzędu Ochrony Danych Osobowych przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych. Zgodnie z art. 79 ust. 1 pkt 1 ustawy, kontrolę przeprowadza upoważniony przez Prezesa Urzędu pracownik Urzędu.
Jak stanowi art. 84 ust. 1 ustawy, kontrolujący ma prawo: a) wstępu w godzinach od 600 do 2200 na grunt oraz do budynków, lokali lub innych pomieszczeń; b) wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli; c) przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych; d) żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego; e) zlecać sporządzanie ekspertyz i opinii.
Istotne znaczenie w niniejszej sprawie ma fakt, że Prezes Urzędu Ochrony Danych Osobowych zaplanował przeprowadzenie kontroli w Spółce, w związku z ustaleniami jakie zostały dokonane w toku kontroli przeprowadzonej w V. Sp. z o.o. sp. k. z siedzibą w […]. W toku kontroli przeprowadzonej w ww. podmiocie ustalono, że prowadzi on działalność telemarketingową. W związku z tą działalnością przetwarza dane osobowe (numery telefonów stacjonarnych i komórkowych) za pomocą systemu teleinformatycznego dostarczonego przez Spółkę. Przedmiotowy system użytkowany jest na podstawie umowy o współpracy w zakresie outsorcingu usług telemarketingowych. Umowa została zawarta ze Spółką […] lutego 2017 r. Istotną kwestią jest to, że V. Sp. z o.o. sp. k. nie posiada własnej bazy danych, a wszystkie połączenia telefoniczne generowane są wyłącznie przez system informatyczny udostępniony przez Spółkę.
Z treści powołanej umowy wynika m.in., że Spółka posiada rozwiązanie techniczne – system teleinformatyczny w formie programu komputerowego, którego użycie pozwala na wykonywanie połączeń telefonicznych na numery telefonów stacjonarnych i komórkowych według kryterium lokalizacji. Ponadto, w umowie tej wskazane jest również, że funkcjonalność przedmiotowego systemu uniemożliwia V. Sp. z o.o. sp. k. dostęp do jakichkolwiek informacji, w tym do wybieranego numeru telefonu. Ponadto, w umowie tej Spółka oświadcza, że w przypadku wykorzystania z jakichkolwiek danych osobowych na potrzeby wykonania ww. umowy będzie administrowała „ww. danymi zgodnie z obowiązującymi przepisami prawa polskiego”. W § 3 pkt 2 ww. umowy zawarte jest postanowienie o następującej treści: „VIS oświadcza, iż w przypadku jakichkolwiek roszczeń osób trzecich kierowanych wobec V. […] związanych z funkcjonalnością SYSTEMU […], zwalnia V. z tej odpowiedzialności w zakresie dopuszczalnym przez obowiązujące przepisy prawa i zobowiązuje się pokryć wszelkie koszty związane z ochroną V. przed takimi roszczeniami”.
Z uwagi na fakt, że V. Sp. z o.o. sp. k. nie posiada dostępu do danych osobowych przetwarzanych w tym systemie (tj. do informacji o wybieranych numerach telefonów), Prezes Urzędu Ochrony Danych Osobowych uznał za konieczne przeprowadzenie czynności kontrolnych również w Spółce (tj. w podmiocie, który na podstawie powołanej umowy uznaję się za administratora danych). Celem kontroli miało być zbadanie legalności przetwarzania danych osobowych przy użyciu przedmiotowego systemu.
Uniemożliwienie przeprowadzenia kontroli w Spółce w znaczny sposób utrudniło Prezesowi Urzędu Ochrony Danych Osobowych zbadanie procesu przetwarzania danych osobowych przez V. Sp. z o.o. sp. k.
Zebrany w sprawie materiał dowodowy wskazuje na to, że działania podjęte przez osoby reprezentujące Spółkę zdecydowanie świadczą o braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych.
Na potwierdzenie powyższego stanowiska przywołać należy następujące okoliczności:
1) po uzyskaniu informacji o planowanej kontroli Prezesa Urzędu Ochrony Danych Osobowych (pismo z […] lipca 2019 r.), w dniu […] lipca 2019 r. (dwa dni przed rozpoczęciem planowanej kontroli) Spółka skierowała do wynajmującego wniosek o rozwiązanie umowy najmu na lokal położony w Katowicach przy ul. Zygmunta Krasińskiego 29 lok. 9 (adres Spółki wskazany w KRS);
2) zarówno […] lipca 2019 r. jak i […] lipca 2019 r. Spółka udaremniła przeprowadzenie czynności kontrolnych, albowiem pod adresem Spółki nie zastano żadnej osoby umocowanej do reprezentowania Spółki w toku kontroli;
3) 30 lipca 2019 r. podjęto uchwałę o rozwiązaniu Spółki i rozpoczęciu postępowania likwidacyjnego (informacja ta zawarta jest w Krajowym Rejestrze Sądowym).
Reasumując, stwierdzić należy, że działania Spółki, o których mowa powyżej, świadczą niewątpliwie o tym, że nie realizuje ona obowiązków związanych z przetwarzaniem danych osobowych albo co najmniej w sposób zamierzony unika poddania się kontroli organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych. Tym samym uznać należy, że poprzez uniemożliwienie Prezesowi Urzędu Ochrony Danych Osobowych przeprowadzenia kontroli Spółka naruszyła art. 31 w związku z art. 58 ust. 1 lit. e oraz lit. f rozporządzenia 2016/679. Wskazać należy, że zgodnie z art. 31 rozporządzenia 2016/679, administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Obowiązek współpracy polega m.in. na zapewnieniu organowi nadzorczemu możliwości uzyskania od administratora (i podmiotu przetwarzającego) dostępu do wszystkich danych osobowych oraz wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań (art. 58 ust. 1 lit. e rozporządzenia 2016/679), uzyskania dostępu do wszelkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 ust. 1 lit. f rozporządzenia 2016/679). To zobowiązanie administratora do współpracy jest bowiem skorelowane z zadaniami organu nadzorczego sformułowanymi w art. 57 rozporządzenia 2016/679 oraz uprawnieniami wynikającymi z art. 58 rozporządzenia 2016/679.
Prezes Urzędu Ochrony Danych Osobowych działając na podstawie art. 108 ust. 1 ustawy o ochronie danych osobowych powiadomił Prokuraturę Rejonową w […] o podejrzeniu popełnienia przestępstwa polegającego na udaremnieniu przez Spółkę przeprowadzenia czynności kontrolnych. W dniu […] stycznia 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęło zawiadomienie (sygn. akt […]) Prokuratury Rejonowej […] […] o przesłaniu aktu oskarżenia przeciwko […] […], oskarżonemu o popełnienie przestępstwa z art. 108 ustawy o ochronie danych osobowych.
Ponadto, mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 83 rozporządzenia 2016/679, stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na Spółkę administracyjnej kary pieniężnej.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku.
Zgodnie z art. 83 rozporządzenia 2016/679 – określającym ogólne warunki nakładania administracyjnych kar pieniężnych - każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (ust. 1). Stosownie zaś do art. 83 ust. 2 lit. b rozporządzenia 2016/679, organ decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę na umyślny lub nieumyślny charakter naruszenia.
W myśl art. 83 ust. 2 lit. k rozporządzenia 2016/679, organ decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę na wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Prezes Urzędu Ochrony Danych Osobowych decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z 83 ust. 2 lit. a-k rozporządzenia 2016/679, wziął pod uwagę następujące okoliczności obciążające:
1. Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, gdyż brak współpracy Spółki z Prezesem Urzędu Ochrony Danych Osobowych spowodowało uniemożliwienie temu organowi przeprowadzania kontroli przestrzegania przez Spółkę przepisów o ochronie danych osobowych. Działanie Spółki jest naganne. Spółka swoim zaniechaniem uniemożliwiła dokonanie przez Prezesa Urzędu Ochrony Danych Osobowych bardzo istotnych ustaleń (dotyczących legalności przetwarzania danych osobowych), których wyniki niewątpliwie miałyby duży wpływ na ocenę materiału dowodowego zebranego w toku innej kontroli, która została przeprowadzona przez Prezesa Urzędu Ochrony Danych Osobowych w V. Sp. z o.o. sp. k. (charakter, waga i czas naruszenia).
2. Spółka w sposób świadomy udaremniła przeprowadzenie kontroli, a tym samym uniemożliwiła Prezesowi Urzędu Ochrony Danych Osobowych wykonanie zadań ustawowych wynikających z art. 58 ust. 1 lit. e oraz lit. f rozporządzenia 2016/679. Zaistniała sytuacja rodzi podejrzenie, że udaremnienie przez Spółkę przeprowadzenia kontroli miało na celu uniemożliwienie zebrania przez Prezesa Urzędu Ochrony Danych Osobowych dowodów potwierdzających niezgodne z prawem przetwarzanie przez Spółkę danych osobowych (umyślny lub nieumyślny charakter naruszenia).
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 lit. c – k, ze względu na przedmiot postępowania nie mają zastosowania w niniejszym postępowaniu. W konsekwencji nie miały wpływu na ocenę naruszenia i wymiar nałożonej kary administracyjnej.
Ustalając wysokość administracyjnej kary pieniężnej Prezes Urzędu Ochrony Danych Osobowych nie dopatrzył się żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary.
Ustalenie wysokości nałożonej kary pieniężnej wymagało również zdefiniowania celów, jakie kara ta pozwoli osiągnąć. Wskazać należy, że kara pieniężna nałożona na Spółkę w związku z brakiem współpracy z Prezesem Urzędu Ochrony Danych Osobowych ma charakter represyjny (ma spowodować by Spółka poniosła karę finansową za unikanie kontroli) oraz prewencyjny (ma zapobiec naruszaniu prawa w przyszłości przez Spółkę, ale i przez inne podmioty). Ponadto, kara pieniężna nałożona na Spółkę ma również charakter odstraszający i wiąże się z zapobieganiem popełniania naruszeń. Kara ma odstraszać zarówno Spółkę przed ponownym naruszeniem, jak i inne podmioty.
Ponadto Prezes Urzędu Ochrony Danych Osobowych niewątpliwie nie może godzić się z sytuacjami, w których podmioty poprzez udaremnienie działań kontrolnych uniemożliwiają realizację jego zadań ustawowych.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na powagę stwierdzonego naruszenia wynikającego z art. 31 w związku z art. 58 ust. 1 lit. e oraz lit. f rozporządzenia 2016/679, jakim jest niewątpliwie brak współpracy z organem nadzorczym w zakresie wykonania jego ustawowych uprawnień, w tym uniemożliwienie przeprowadzenia czynności kontrolnych.
Zgodnie z tymi przepisami naruszenie obowiązku administratora, o którym mowa w art. 31 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Naruszenie zaś obowiązków administratora, o których mowa w art. 58 ust. 1 lit. e oraz lit. f rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, które Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 83 ust. 3 rozporządzenia 2016/679 uznaje za najpoważniejsze naruszenie, a wysokość nałożonej niniejszą decyzją kary pieniężnej nie przekracza tej wysokości.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018, poz. 1302, z późn. zm.). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.
Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.