DKE.561.25.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na TIMSHEL Spółkę z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Dolnej 30 lok. 3, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez TIMSHEL Spółkę z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy ul. Dolnej 30 lok. 3 przepisów art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji jego zadań, nakłada na TIMSHEL Spółkę z ograniczoną odpowiedzialnością z siedzibą w Warszawie administracyjną karę pieniężną w kwocie 31 988 PLN (słownie: trzydzieści jeden tysięcy dziewięćset osiemdziesiąt osiem złotych).
Uzasadnienie
Stan faktyczny
- W dniu […] grudnia 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęło, dokonane przez TIMSHEL Spółkę z ograniczoną odpowiedzialnością z siedzibą w Warszawie (zwaną dalej „Spółką”) – na postawie art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”) – zgłoszenie naruszenia ochrony danych osobowych. Zgłoszenie dokonane zostało drogą elektroniczną za pośrednictwem platformy biznes.gov.pl; podpisane zostało podpisem elektronicznym przez Panią A. T. – członka zarządu Spółki (zgodnie z danymi ujawnionymi w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego zwanym dalej „KRS”). Zgłoszenie o treści „zgłoszenie naruszenia ochrony danych osobowych w załączniku” nie zawierało jednak załącznika w postaci dedykowanego tego rodzaju zgłoszeniom formularza.
- W związku z brakiem informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej „Prezesem UODO”) do oceny naruszenia ochrony danych osobowych, stanowiącego przedmiot zgłoszenia Spółki z […] grudnia 2019 r., Prezes UODO wszczął postępowanie o sygnaturze […] i w jego ramach zwrócił się do Spółki – pismem z […] grudnia 2020 r. – z wezwaniem do „przedstawienia treści zgłoszenia naruszenia ochrony danych osobowych”. Pismo to, skierowane do Spółki za pośrednictwem Poczty Polskiej na ujawniony w KRS adres siedziby Spółki, awizowane dwukrotnie – w dniach […] grudnia 2020 r. i […] stycznia 2021 r. – nie zostało przez Spółkę odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. W związku z powyższym Prezes UODO – na podstawie art. 44 § 4 w zw. z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.), zwanej dalej „k.p.a.” – uznał je za doręczone Spółce z dniem […] stycznia 2021 r. i pozostawił w aktach sprawy. Wezwanie to pozostało bez odpowiedzi ze strony Spółki.
- W dniu […] lutego 2021 r. Prezes UODO zwrócił się do Spółki z ponownym wezwaniem do udzielenia informacji niezbędnych do oceny naruszenia ochrony danych osobowych, stanowiącego przedmiot zgłoszenia Spółki z […] grudnia 2019 r. Wezwanie to, skierowane do Spółki za pośrednictwem Poczty Polskiej na ujawniony w KRS adres siedziby Spółki, awizowane dwukrotnie – w dniach […] lutego i […] marca 2021 r., również nie zostało przez Spółkę odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. W związku z powyższym Prezes UODO – w oparciu o przepis art. 44 § 4 w zw. z art. 45 k.p.a. – uznał je za doręczone Spółce z dniem […] marca 2021 r. i pozostawił w aktach sprawy. Spółka nie udzieliła odpowiedzi na to wezwanie Prezesa UODO.
- W piśmie Prezesa UODO z […] lutego 2021 r. zawarte zostało pouczenie, że brak złożenia przez Spółkę wyjaśnień w zakresie zgłoszonego przez Spółkę w dniu […] grudnia 2019 r. naruszenia ochrony danych osobowych, skutkować może nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, którą Prezes UODO prowadził ze Spółką, a która to korespondencja zgromadzona jest w aktach postępowania o sygnaturze […]. Korespondencja ta dokumentuje całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze […], a z drugiej strony odzwierciedla brak reakcji Spółki na żądania Prezesa UODO.
- Spółka – według informacji przedstawionych na jej stronie internetowej www.[...].pl – świadczy usługi w zakresie profesjonalnej rekrutacji i coachingu biznesowego. Natomiast zgodnie z wpisem do KRS jej przeważająca działalność to działalność związana z wyszukiwaniem miejsc pracy i pozyskiwaniem pracowników (kod PKD 78.10.Z).
- Ujawniony w KRS adres siedziby Spółki to: […]. Na ten adres kierowana była do Spółki korespondencja w postępowaniu o sygnaturze […]. W związku z tym, że korespondencja kierowana na adres siedziby Spółki wracała do Urzędu Ochrony Danych Osobowych jako niepodjęta w terminie przez Spółkę, a Spółka – zgodnie z informacjami uzyskanymi przez Prezesa UODO – prowadzi faktycznie działalność, Prezes UODO zwrócił się do sądu rejestrowego właściwego dla Spółki z wnioskiem o udzielenie informacji, czy w sądzie tym nie znajduje się nierozpoznany wniosek Spółki o ujawnienie zmiany adresu jej siedziby. Pismem z […] sierpnia 2021 r. Sąd Rejonowy dla m.st. Warszawy, XIII Wydział Gospodarczy KRS, potwierdził, że w aktach rejestrowych Spółki nie znajduje się żaden nierozpoznany wniosek Spółki o wpis do rejestru, w tym w szczególności wniosek o ujawnienie zmiany adresu jej siedziby.
Postępowanie
- W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze […], Prezes UODO wszczął wobec niej z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygnaturze […]) w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.
- Prezes UODO ustalił, że na swojej stronie internetowej (www.[...].pl), a w szczególności w zamieszczonym na tej stronie dokumencie „PRIVACY POLICY” ([…]), Spółka podaje inny niż ujawniony w KRS adres swojej siedziby, a to: […].
- Informację o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (o sygnaturze DKE.561.25.2021.[…]) Prezes UODO skierował – pismami z […] września 2021 r. – zarówno na adres jej siedziby ujawniony w KRS jak i na ustalony dodatkowy adres. Pismami tymi Spółka wezwana została – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez nią w roku 2020. Spółka poinformowana została o istniejącej nadal możliwości złożenia wyjaśnień (przedstawienia treści zgłoszenia naruszenia ochrony danych osobowych z […] grudnia 2019 r.), których żądał od niej Prezes UODO w postępowaniu o sygnaturze […], co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Spółka poinformowana została o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
- Pismo z […] września 2021 r., skierowane do Spółki za pośrednictwem Poczty Polskiej na adres jej siedziby ujawniony w KRS, awizowane dwukrotnie – w dniach […] i […] września 2021 r. – nie zostało przez Spółkę odebrane. W związku z powyższym Prezes UODO – na podstawie art. 44 § 4 w zw. z art. 45 k.p.a. – uznał je za doręczone Spółce z dniem […] października 2021 r. i pozostawił w aktach sprawy.
- Pismo z […] września 2021 r., skierowane do Spółki za pośrednictwem Poczty Polskiej na jej dodatkowy, ustalony przez Prezesa UODO, adres […], zostało przez Spółkę odebrane […] września 2021 r., co zostało potwierdzone podpisem pracownika Spółki (Pani M. W.) na potwierdzeniu odbioru przesyłki.
- Pisma Prezesa UODO z […] września 2021 r. pozostały bez jakiejkolwiek odpowiedzi ze strony Spółki.
- Kolejnymi pismami – z […] maja 2022 r. – skierowanymi za pośrednictwem Poczty Polskiej na oba adresy Spółki (vide pkt 7 i 9 uzasadnienia niniejszej decyzji), Spółka wezwana została – celem uaktualnienia informacji niezbędnych do ustalenia wymiaru administracyjnej kary pieniężnej – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez nią w 2021 r. Spółka poinformowana została o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niej Prezes UODO pismami z […] grudnia 2020 r. oraz […] lutego 2021 r. (w postępowaniu o sygnaturze […]), co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Spółka poinformowana została o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
- Oba opisane wyżej pisma Prezesa UODO z […] maja 2022 r., pomimo dwukrotnego awizowania, nie zostały przez Spółkę odebrane. W związku z powyższym Prezes UODO – stosując przepis art. 44 § 4 w zw. z art. 45 k.p.a. – uznał je za doręczone Spółce z dniem […] maja 2022 r. i pozostawił w aktach sprawy.
- Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przepisy prawne
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO prowadzi m.in. postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. h), w tym postępowania mające na celu weryfikowanie przestrzegania przepisu art. 33 Rozporządzenia 2016/679 dotyczącego zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych (art. 33 ust. 5 zdanie drugie Rozporządzenia 2016/679).
- Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
- Nakazanie dostarczenia informacji potrzebnych do realizacji zadań Prezesa UODO, o którym mowa w art. 58 ust. 1 lit. a) Rozporządzenia 2016/679, realizowane jest na gruncie polskiego administracyjnego prawa procesowego drogą wezwania uregulowanego w Rozdziale 9 k.p.a.
- Wezwania, podobnie jak wszelkie inne pisma kierowane przez organ administracji publicznej do stron postępowania, doręczane są, zgodnie z zasadami określonymi w Rozdziale 8 k.p.a. Przepisy te stanowią m.in., że jednostkom organizacyjnym i organizacjom społecznym doręcza się pisma w lokalu ich siedziby do rąk osób uprawnionych do odbioru pism (art. 45 k.p.a.). Natomiast w przypadku niemożności doręczenia adresatowi pisma w sposób określony w art. 45 k.p.a., operator pocztowy przechowuje pismo przez okres 14 dni w swojej placówce pocztowej (art. 44 § 1 pkt 1 k.p.a.) umieszczając wcześniej w oddawczej skrzynce pocztowej (lub w innym widocznym miejscu) zawiadomienie o pozostawieniu pisma wraz z informacją o możliwości jego odbioru w terminie 7 dni (art. 44 § 2 k.p.a.). W przypadku niepodjęcia przesyłki w tym terminie, pozostawia się powtórne zawiadomienie o możliwości odbioru przesyłki w terminie nie dłuższym niż 14 dni od daty pierwszego zawiadomienia (art. 44 § 3 k.p.a.). Jeśli, pomimo dwukrotnego zawiadomienia o możliwości odbioru przesyłki w placówce pocztowej, adresat pisma nie dokona jej odbioru, zastosowanie znajdzie art. 44 § 4 k.p.a. stanowiący, że doręczenie uważa się za dokonane z upływem 14-dniowego terminu, o którym mowa w art. 44 § 1 k.p.a., a pismo pozostawia się w aktach sprawy.
- Osoby prawne, do których stosuje się przepisy ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z 2022 r., poz. 1683) (zwanej dalej „u.k.r.s.”), w tym spółki z ograniczoną odpowiedzialnością, zobowiązane są dokonać w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego wpisu m.in. swojej siedziby i swojego adresu (art. 38 ust. 1 lit. c) u.k.r.s.). W przypadku zmiany tych danych, podmioty podlegające wpisowi do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, zobowiązane są zgłosić tę zmianę do Rejestru Przedsiębiorców (art. 47 ust. 1 u.k.r.s.). Z kolei, zgodnie z art. 17 ust. 1 u.k.r.s., domniemywa się, że dane wpisane do Rejestru Przedsiębiorców KRS są prawdziwe.
- Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji niezbędnych organowi nadzorczemu do realizacji jego zadań, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- kategorie danych osobowych, których dotyczyło naruszenie,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
- jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków,
- stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
- Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
- Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast, w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).
- Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Ocena prawna
- Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności czy Spółka jest adresatem obowiązków, o których mowa w art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i podmioty przetwarzające. W związku z tym, że postępowanie o sygnaturze […] zainicjowane zostało dokonanym przez Spółkę zgłoszeniem naruszenia ochrony danych osobowych, czyli czynnością dokonywaną – w wykonaniu obowiązku, o którym mowa w art. 33 ust. 1 Rozporządzenia 2016/679 – w przypadku stwierdzenia naruszenia ochrony danych osobowych, stwierdzić należy, że Spółka w niniejszej sprawie występuje w roli administratora. Obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych – mocą przywołanego wyżej przepisu art. 33 ust. 1 Rozporządzenia 2016/679 – spoczywa bowiem jedynie na administratorze – podmiocie, który stwierdzi naruszenie bezpieczeństwa przetwarzanych przez siebie danych (danych, w odniesieniu do których ustala cele i sposoby przetwarzania). W związku z tym więc, że Spółka jest administratorem (skoro dokonała zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych), Prezes UODO uprawniony był – zgodnie z art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – do nakazania jej przedstawienia informacji niezbędnych do oceny tego naruszenia, a Spółka – na mocy art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 – zobowiązana była takie informacje przedstawić.
- W postępowaniu o sygn. […], w celu uzyskania informacji niezbędnych do oceny zgłoszonego naruszenia i w oparciu o art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, Prezes UODO dwukrotnie zwrócił się do Spółki z wezwaniem do przedstawienia treści tego zgłoszenia, to jest do wypełnienia i przesłania do Urzędu Ochrony Danych Osobowych formularza przeznaczonego do zamieszczenia w nim wszelkich istotnych informacji związanych z naruszeniem. Żadne z tych pism, skierowanych przez Prezesa UODO na adres siedziby Spółki ujawniony w KRS, nie zostało przez Spółkę odebrane, pomimo dwukrotnego ich awizowania, w związku z czym uznane zostały za doręczone Spółce zgodnie z art. 44 § 4 w zw. z art. 45 k.p.a. (vide pkt 2 i 3 uzasadnienia niniejszej decyzji). W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji Prezes UODO nie uzyskał w postępowaniu o sygn. […] informacji niezbędnych do oceny zgłoszonego przez Spółkę naruszenia ochrony danych osobowych.
- Stanu tego nie zmieniło wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygnatura DKE.561.25.2021.[…]). Skierowane do Spółki, na ujawniony w KRS adres lokalu jej siedziby, pismo Prezesa UODO z […] września 2021 r., informujące o wszczęciu tego postępowania, nie zostało przez Spółkę odebrane (vide pkt 10 i 11 uzasadnienia niniejszej decyzji) i pozostało bez odpowiedzi. Bez odpowiedzi pozostało również to samo pismo skierowane przez Prezesa UODO równolegle na dodatkowy, ujawniony przez Spółkę na swojej stronie internetowej, adres (vide pkt 10 i 12 uzasadnienia niniejszej decyzji). Z tym ostatnim pismem nie wiąże się – w ocenie Prezesa UODO – skutek doręczenia Spółce informacji o wszczęciu postępowania, w związku z tym, że skierowane zostało na adres nie będący – zgodnie z domniemaniem prawdziwości danych wpisanych do Krajowego Rejestru Sądowego, w tym danych o siedzibie i adresie siedziby (vide pkt 20 uzasadnienia niniejszej decyzji) – adresem siedziby Spółki. Skutek doręczenia Spółce informacji o wszczęciu niniejszego postępowania Prezes UODO wiąże z doręczeniem jej (w oparciu o art. 44 § 4 w związku z art. 45 k.p.a.) pisma skierowanego […] września 2021 r. na adres siedziby Spółki ujawniony w KRS, który to adres objęty jest wyżej przywołanym domniemaniem.
- Pismo Prezesa UODO z […] września 2021 r., skierowane na dodatkowy adres Spółki nie będący adresem jej siedziby, miało charakter informacyjny. Zostało wysłane do Spółki, pomimo braku prawno-procesowego jego znaczenia dla sprawy, celem umożliwienia jej przedstawienia jeszcze na tym etapie informacji żądanych przez Prezesa UODO w postępowaniu o sygn. […], usunięcia tym samym stanu naruszenia przepisów Rozporządzenia 2016/679 polegającego na niezapewnieniu Prezesowi UODO dostępu do niezbędnych mu informacji, a w konsekwencji złagodzenia lub nawet uniknięcia sankcji w postaci administracyjnej kary pieniężnej nałożonej w niniejszej sprawie. Pismo to zostało odebrane przez pracownika Spółki, co zostało potwierdzone odpowiednią adnotacją na zwrotnym potwierdzeniu jego odbioru. To pozwala przyjąć, że stwierdzone naruszenie (obiektywny fakt nieuzyskania przez Prezesa UODO od Spółki żadnych informacji) ma charakter umyślny (vide szerzej pkt 35 uzasadnienia niniejszej decyzji).
- W tym miejscu wskazać należy, że odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że wezwania kierowane przez Prezesa UODO do Spółki w ramach postępowania o sygn. […] (vide pkt 2 i 3 uzasadnienia niniejszej decyzji) nie zostały ostatecznie przez nią odebrane. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną (vide np. wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 r., sygn. akt II SAB/Go 90/18 – LEX nr 2576144). Podobnie Naczelny Sąd Administracyjny w wyroku z dnia 24 maja 2004 r., wydanym w sprawie o sygn. FSK 40/04 (LEX nr 137872), stwierdził, że obowiązkiem osób prawnych i jednostek organizacyjnych jest taka organizacja pracy, by doręczenie pism w godzinach pracy i w lokalu ich siedziby było zawsze możliwe. W niniejszej sprawie Spółka niewątpliwie nie wywiązała się z tego obowiązku.
- W związku z powyższym, zważywszy, że Spółka – jako administrator zgłaszający naruszenie ochrony danych osobowych – jest niewątpliwie w posiadaniu informacji dotyczących tego naruszenia, stwierdzić należy, że naruszyła ona ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do dokonania oceny tego naruszenia w postępowaniu o sygn. […]. Takie działanie Spółki stanowi naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Spółki, jest przeszkoda w obiektywnej, wnikliwej i wszechstronnej ocenie naruszenia, która to ocena mogłaby być ewentualnie podstawą do podjęcia przez Prezesa UODO i przez Spółkę dalszych działań mających na celu usunięcie zgłoszonego naruszenia oraz zminimalizowanie jego negatywnych dla osób dotkniętych naruszeniem skutków. Dokonana przez Prezesa UODO ocena naruszenia ochrony danych osobowych przetwarzanych przez Spółkę miałaby też na celu zweryfikowanie, czy na Spółce, w związku ze zgłoszonym naruszeniem, ciąży przewidziany w art. 34 ust. 1 Rozporządzenia 2016/679 obowiązek zawiadomienia o tym naruszeniu osób nim dotkniętych, i czy Spółka – jeśli taki obowiązek powstał – wywiązała się z niego.
- Mając na uwadze powyższe, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem przez nią dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do dokonania w postępowaniu o sygn. […] oceny zgłoszonego przez Spółkę naruszenia ochrony danych osobowych .
Przesłanki i zasady wymiaru administracyjnej kary pieniężnej
- Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg przesłanek wymienionych w punktach od a) do k) wskazanego wyżej przepisu (vide pkt 22 uzasadnienia niniejszej decyzji). Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
- Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
- Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za ich naruszenie karę wyższą z dwóch określonych przepisami Rozporządzenia 2016/679 – karę do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4 % jego obrotu z poprzedniego roku obrotowego. Postępowanie Spółki w niniejszej sprawie, polegające na nieodbieraniu kierowanych do niej wezwań Prezesa UODO i ignorowaniu podjętej już korespondencji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem incydentalnym. Działanie Spółki jest ciągłe i długotrwałe. Trwa od upływu 3-dniowego terminu wyznaczonego na przedstawienie treści zgłoszenia naruszenia w pierwszym wezwaniu skierowanym przez Prezesa UODO do Spółki w postępowaniu o sygnaturze […], to jest od […] stycznia 2021 r., do dnia wydania niniejszej decyzji.
- Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
- W ocenie Prezesa UODO po stronie Spółki zaistniał świadomy i celowy brak współpracy w zapewnieniu organowi dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której Prezes UODO zwracał się do niej o ich udzielenie. Podkreślić należy, że sprawa ta zainicjowana została przez samą Spółkę (vide pkt 1 uzasadnienia niniejszej decyzji). Członek zarządu Spółki, składając w Urzędzie Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych (nawet jeśli brak w nim było treści – formularza zawierającego informacje o naruszeniu), musiał mieć świadomość, że czynność ta zainicjuje podjęcie przewidzianych przepisami Rozporządzenia 2016/679 działań Prezesa UODO, a działania te wymagać będą kontaktu ze Spółką. Nieodbieranie więc korespondencji Prezesa UODO już po dacie złożenia zawiadomienia Prezes UODO odbiera jako celowe działanie mające na celu utrudnienie mu lub nawet uniemożliwienie dokonania oceny zgłoszonego naruszenia. Powyższe potwierdza fakt, że Spółka nie udzieliła żadnej odpowiedzi na jedyne odebrane przez nią wezwanie, które (chociaż nie wiąże się z nim skutek doręczenia – vide pkt 28 uzasadnienia niniejszej decyzji) dotarło, jak należy domniemywać, do świadomości osób zarządzających Spółką. Brak odpowiedzi na nie musiało więc być w takiej sytuacji efektem świadomej i celowej decyzji osób działających w imieniu Spółki. Warto zauważyć, że wezwanie to – oprócz informacji o dokonanym przez Spółkę naruszeniu polegającym na nieudzieleniu Prezesowi UODO żądanych informacji oraz o zagrożeniu za to naruszenie sankcją w postaci administracyjnej kary pieniężnej – informowało również Spółkę o istniejącej nadal możliwości przedstawienia informacji, których żądał od niej Prezes UODO w postępowaniu o sygn. […]. Spółka miał więc pełną świadomość popełnionego naruszenia i wiedzę w jaki sposób stan tego naruszenia zakończyć (przedstawić Prezesowi UODO żądane informacje). Spółka tego nie uczyniła po otrzymaniu pisma Prezesa UODO, o którym mowa wyżej, co należy potraktować jako działanie świadome i celowe, wpływające obciążająco na ocenę naruszenia stwierdzonego w niniejszej sprawie.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679.
- W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (sygn. DKE.561.25.2021.[…]) Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO. W szczególności Spółka nie przedstawiła żadnych informacji żądanych przez Prezesa UODO w postępowaniu o sygn. […], co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Taki całkowity brak współpracy z Prezesem UODO skutkuje w dalszym ciągu uniemożliwieniem Prezesowi UODO dokonania szybkiej i wnikliwej oceny naruszenia ochrony danych osobowych stanowiącego przedmiot zgłoszenia Spółki z […] grudnia 2019 r.
- W ocenie Prezesa UODO żadna z przesłanek, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej niniejszą decyzją kary.
- Ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobami, których dane dotyczą) następujące okoliczności siłą rzeczy nie mogły być wzięte pod uwagę przez Prezesa UODO w niniejszej sprawie:
- liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679) – ze względu na to, że naruszenie (nieudzielenie przez Spółkę Prezesowi UODO dostępu do niezbędnych informacji) nie wiąże się z naruszeniem danych osobowych żadnej osoby i w konsekwencji nie wystąpiły w sprawie żadne szkody po stronie osób fizycznych;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
- kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679) – ze względu na to, że naruszenie nie wiąże się z naruszeniem żadnych danych osobowych.
- Pozostałe, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679);
- Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Spółkę, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Spółce obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
- sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679);
- Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygnaturze […]. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu (to jest o niezapewnieniu dostępu do niezbędnych informacji) wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Spółki; fakt ten nie może być jednak też uwzględniony na korzyść spółki skoro nie brała ona żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679);
- Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie, żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679);
- Spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
- osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679)
- Prezes UODO nie stwierdził, żeby Spółka, w związku z nieudzieleniem żądanych przez niego informacji, odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Spółkę takich korzyści, jako stan naturalny, niezależny od woli i działania Spółki, jest okolicznością, która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
- inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679).
- Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
- Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść się należy do poglądów doktryny prawa o ochronie danych osobowych. „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do wielkości, możliwości finansowych i pozycji ukaranego podmiotu na rynku, a za miernik tych atrybutów ukaranego podmiotu, w przypadku gdy jest nim przedsiębiorstwo, Rozporządzenie 2016/679 pozwala przyjąć całkowity roczny światowy obrót z poprzedniego roku obrotowego (art. 83 ust. 4 i 5 Rozporządzenia 2016/679). Uzupełniając tę zasadę przepis art. 101a ust. 2 u.o.d.o. stanowi, że w przypadku braku takich danych Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w oparciu o szacunki co do wielkości podmiotu, specyfiki prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu. Odniesienie się do potencjału ekonomicznego ukaranego podmiotu jest konieczne gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz „niezauważalna” dla tego podmiotu) nie będzie skuteczna i odstraszająca dla tego podmiotu; kara zbyt dolegliwa (kara, której uiszczenie zagrozi bytowi podmiotu) nie będzie natomiast karą proporcjonalną.
- W związku z powyższym, wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2021, ocena wielkości Spółki i jej potencjału ekonomicznego, jako podstawy wymiaru wymierzonej jej administracyjnej kary pieniężnej, dokonana została przez Prezesa UODO w sposób szacunkowy – w oparciu o ogólnie dostępne, dotyczące jej, dane finansowe za lata 2018-2020.
- Ustalając wymiar administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę dane finansowe dotyczące Spółki dostępne w serwisie Krajowego Rejestru Sądowego (www.gov.pl/web/sprawiedliwosc/przegladarka-dokumentow-finansowych). Z danych tych wynika, że obrót (przychód netto ze sprzedaży) Spółki w trzech ostatnich latach, za które Spółka złożyła sprawozdania finansowe w KRS, wynosił: w 2018 r. – […], w 2019 r. – […], w 2020 r. – […]. Natomiast zysk netto, który Spółka osiągnęła w tych samych latach, wyglądał następująco: w 2018 r. – […], w 2019 r. – […], w 2020 r. – […]. Dane te pozwalają wnioskować, że Spółka prowadzi działalność na niewielką skalę. Zbliżony do siebie poziom przychodów osiągnięty w trzech kolejnych latach obrotowych świadczy jednak o stabilnej sytuacji finansowej Spółki, a wykazywany w każdym z tych okresów zysk netto – o dużej rentowności prowadzonej przez Spółkę działalności.
- Ustalając wysokość orzeczonej niniejszą decyzją administracyjnej kary pieniężnej Prezes UODO zważył wszystkie trzy zasady wskazane w art. 83 ust. 1 Rozporządzenia 2016/679 w kontekście wyżej przedstawionych danych opisujących wielkość i skalę działalności Spółki oraz jej sytuację finansową. W jego ocenie kara w wysokości 31 988 zł odpowiada tym zasadom. Jej dotkliwość w wymiarze finansowym (odczuwalność polegająca na nawet kilkunastoprocentowym zmniejszeniu się jej zysku netto) zdyscyplinuje Spółkę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygn. […], jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jej udziałem przed Prezesem UODO. W wymiarze dyscyplinującym Spółkę kara będzie więc skuteczna. Przez swoją dolegliwość spełni też funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Spółki, jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych z zapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. Nałożona na Spółkę kara w tej konkretnej, określonej w sentencji niniejszej decyzji wysokości, jest również – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę (nie zagrozi bytowi Spółki i możliwości dalszego prowadzenia przez nią dotychczasowej działalności).
- Określona w sentencji niniejszej decyzji kwota administracyjnej kary pieniężnej, stanowiąca równowartość 7 000 euro, ustalona została w złotych – zgodnie z art. 103 u.o.d.o. (vide pkt 25 uzasadnienia niniejszej decyzji) – przy zastosowaniu średniego kursu euro z dnia 28 stycznia 2022 r. (gdzie 1 EUR = 4,5697 PLN).
- W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.
- Pouczenie
- Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.) (dalej „p.p.s.a.”), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) (dalej „u.o.d.o.”) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
- W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
- Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000.
- Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2021 r. poz. 1540 ze zm.), od dnia następującego po dniu złożenia wniosku.