DKE.561.23.2021
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Pana G. J., prowadzącego działalność gospodarczą pod firmą F. z siedzibą w P. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Pana G. J., prowadzącego działalność gospodarczą pod firmą F. z siedzibą w P. przy ul. (…), przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji jego zadań, nakłada na niego administracyjną karę pieniężną w kwocie 4.569 PLN (słownie: cztery tysiące pięćset sześćdziesiąt dziewięć złotych).
Uzasadnienie
Stan faktyczny
- Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana D. S., zamieszkałego w W. przy ul. (…), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Pana G. J., prowadzącego działalność gospodarczą pod firmą F. z siedzibą w P. przy ul. (…) (zwanego dalej „Przedsiębiorcą”), polegające na przetwarzaniu tych danych osobowych bez podstawy prawnej. Skarżący wniósł do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej „Prezesem UODO”) wniosek o nakazanie Przedsiębiorcy usunięcia jego danych osobowych i zastosowanie wobec niego administracyjnej kary pieniężnej z uwagi na naruszenie przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35) (zwanego dalej „Rozporządzeniem 2016/679”).
- Celem rozpatrzenia skargi Pana D. S. Prezes UODO wszczął postępowanie administracyjne o sygnaturze DS.523.5697.2020, w ramach którego – na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – wezwał Przedsiębiorcę pismem z 24 lutego 2021 r. – do ustosunkowania się do treści skargi, do złożenia wyjaśnień w sprawie, w szczególności do udzielenia odpowiedzi na trzy szczegółowe pytania w istotnych dla sprawy kwestiach, a także do przedstawienia dowodów potwierdzających złożone wyjaśnienia. Wezwanie to – skierowane na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (zwanej dalej „CEIDG”) adres stałego miejsca wykonywania przez Przedsiębiorcę działalności gospodarczej będący jednocześnie jego adresem do doręczeń (P., ul. (…)) – odebrane zostało 1 marca 2021 r. przez Panią A. J. – pełnomocnika Przedsiębiorcy (zgodnie z adnotacją zamieszczoną na potwierdzeniu odbioru przesyłki). Na pismo to Przedsiębiorca nie udzielił żadnej odpowiedzi.
- Wobec braku odpowiedzi na wezwanie z 24 lutego 2021 r. Prezes UODO ponownie – pismem z 21 maja 2021 r. – zwrócił się do Przedsiębiorcy z wezwaniem o treści co do istoty tożsamej z treścią wezwania z 24 lutego 2021 r. Wezwanie to – skierowane również na adres Przedsiębiorcy ujawniony w CEIDG – odebrane zostało 25 maja 2021 r. przez Panią A. J., która na potwierdzeniu odbioru przesyłki określona została jako „dorosły domownik” adresata. Również to wezwanie Prezesa UODO pozostało bez odpowiedzi ze strony Przedsiębiorcy.
- W piśmie Prezesa UODO z 21 maja 2021 r. zawarte zostało pouczenie, że brak odpowiedzi na wezwanie skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Przedsiębiorcę – zgodnie z art. 83 ust. 4 lit. a) lub art. 83 ust 5 lit. e) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Pan G. J. – zgodnie z wpisem do CEIDG – jest przedsiębiorcą prowadzącym działalność gospodarczą pod firmą F. w zakresie konserwacji i naprawy pojazdów samochodowych oraz sprzedaży detalicznej części i akcesoriów do pojazdów samochodowych. Jego działalność gospodarcza prowadzona jest od 1 lipca 2016 r. i w CEIDG na dzień wydania niniejszej decyzji ma status „aktywny”. Działalność prowadzona jest pod adresem: P., ul. (…). Adres ten jest jednocześnie zadeklarowanym przez Przedsiębiorcę, i jako taki ujawnionym w CEIDG, adresem do doręczeń korespondencji.
- Powyższe okoliczności stanu faktycznego Prezes UODO ustalił m.in. na podstawie całokształtu korespondencji urzędowej, którą Prezes UODO prowadził z Przedsiębiorcą, a która to korespondencja zgromadzona jest w aktach postępowania o sygnaturze DS.523.5697.2020. Korespondencja ta, w której brak jest jakiejkolwiek odpowiedzi Przedsiębiorcy na wezwania Prezesa UODO, dokumentuje całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygnaturze DS.523.5697.2020, a z drugiej strony odzwierciedla brak reakcji Przedsiębiorcy na żądania Prezesa UODO.
Postępowanie
- W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DS.523.5697.2020, Prezes UODO wszczął wobec niego z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygnaturze DKE.561.23.2021) w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 2 września 2021 r., doręczonym Przedsiębiorcy 6 września 2021 r. Pismo odebrała Pani A. J. – pełnomocnik Przedsiębiorcy (zgodnie z adnotacją zamieszczoną na potwierdzeniu odbioru przesyłki). Pismem tym Przedsiębiorca wezwany został także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.” – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w 2020 r. Pismo powyższe pozostało bez odpowiedzi ze strony Przedsiębiorcy.
- Kolejnym pismem – z 8 kwietnia 2022 r. – Przedsiębiorca wezwany został – celem uaktualnienia informacji niezbędnych do ustalenia wymiaru administracyjnej kary pieniężnej – do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Przedsiębiorcę w roku 2021. Przedsiębiorca poinformowany został o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niego Prezes UODO w postępowaniu o sygnaturze DS.523.5697.2020, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Przedsiębiorca poinformowany został o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań. Wezwanie to doręczone zostały Przedsiębiorcy 12 kwietnia 2022 r. Pismo odebrała Pani A. J. – „dorosły domownik” Przedsiębiorcy zgodnie z adnotacją umieszczoną na potwierdzeniu odbioru przesyłki. Również na to wezwanie Prezesa UODO Przedsiębiorca nie udzielił żadnej odpowiedzi.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przepisy prawne
- Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)).
- Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).
- Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Dodatkowo zarówno administrator jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest - zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Zgodnie z art. 83 ust. 3 Rozporządzenia 2016/679, w przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający naruszenia w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze zagrożenie.
- Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
b) umyślny lub nieumyślny charakter naruszenia,
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
g) kategorie danych osobowych, których dotyczyło naruszenie,
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków,
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
- Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
- Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).
- Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Ocena prawna
- Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności czy Przedsiębiorca jest adresatem obowiązków, o których mowa w art. 58 ust. 1 lit. e) oraz art. 31 Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 i 5 Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i podmioty przetwarzające. Ocena czy Przedsiębiorca pełni w procesie przetwarzania danych, stanowiącym przedmiot skargi Pana D. S., rolę administratora czy też podmiotu przetwarzającego dane osobowe Skarżącego, stanowi element stanu faktycznego, który ma zostać ustalony w postępowaniu o sygnaturze DS.523.5697.2020. Celem ustalenia tej m.in. okoliczności Prezes UODO kierował do Przedsiębiorcy – w ramach tego postępowania – wezwania do złożenia wyjaśnień. Wobec braku wyjaśnień ze strony Przedsiębiorcy ustalenie tej okoliczności jest utrudnione. Natomiast na potrzeby niniejszego postępowania wystarczające jest dokonane w postępowaniu o sygn. DS.523.5697.2020 ustalenie, że Przedsiębiorca przetwarzał dane osobowe Pana D. S. celem przedstawienia mu oferty ubezpieczenia odpowiedzialności cywilnej (…). Powyższe ustalone zostało w oparciu o informacje przedstawione przez Pana D. S. w jego skardze oraz o przedstawione w załączeniu tej skargi dowody. W związku z powyższym stwierdzić należy, że Przedsiębiorca przetwarzał dane osobowe Skarżącego albo jako administrator albo jako podmiot przetwarzający. To, w której z tych ról występował i występuje aktualnie Przedsiębiorca przetwarzając dane osobowe Pana D. S., nie ma żadnego wpływu na rozstrzygnięcie niniejszej sprawy. Obowiązki, o których mowa w art. 31 oraz art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, oraz odpowiedzialność za ich naruszenie (realizowana w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej), są bowiem identyczne dla administratora i podmiotu przetwarzającego.
- W postępowaniu o sygn. DS.523.5697.2020, celem ustalenia stanu faktycznego sprawy zainicjowanej skargą Pana D. S., Prezes UODO dwukrotnie zwrócił się do Przedsiębiorcy z wezwaniem do ustosunkowania się do treści skargi oraz złożenia wyjaśnień poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Oba pisma (vide pkt 2 i 3 uzasadnienia niniejszej decyzji), skierowane na ujawniony w CEIDG adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, odebrane zostały przez Panią A. J. – dorosłego domownika Przedsiębiorcy i/lub jego pełnomocnika – w związku z czym, zgodnie z dyspozycją art. 43 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) zwanej dalej „k.p.a.”, uznać należy że zostały one prawidłowo i skutecznie doręczone Przedsiębiorcy. Przedsiębiorca nie udzielił żadnej odpowiedzi na oba skierowane do niego wezwania, co jednoznacznie i bezspornie wynika z akt sprawy DS.523.5697.2020.
- Stanu tego nie zmieniło wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej (sygnatura DKE.561.23.2021). Skierowane do Przedsiębiorcy w ramach tego postępowania oba pisma – pismo Prezesa UODO z 2 września 2021 r. (vide pkt 7 uzasadnienia niniejszej decyzji) oraz wezwanie z 8 kwietnia 2022 r. (vide pkt 8 uzasadnienia niniejszej decyzji) – odebrane również przez Panią A. J. – dorosłego domownika Przedsiębiorcy i/lub jego pełnomocnika – pozostały bez jakiejkolwiek odpowiedzi ze strony Przedsiębiorcy. Powyższe potwierdza całokształt korespondencji zgromadzony w aktach niniejszej sprawy.
- W związku z powyższym, zważywszy, że Przedsiębiorca przetwarzał – jako administrator lub podmiot przetwarzający – dane osobowe Skarżącego, a więc jest niewątpliwie w posiadaniu informacji niezbędnych do rozpatrzenia skargi Pana D. S., stwierdzić należy, że naruszył on ciążący na nim obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy o sygn. DS.523.5697.2020. Takie działanie Przedsiębiorcy stanowi naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. Działanie to wyczerpuje jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie, obejmuje również (a nawet przede wszystkim) obowiązek przedstawienia organowi – na jego żądanie – wszelkich posiadanych przez administratora lub podmiot przetwarzający informacji związanych z prowadzonym przez niego postępowaniem. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy, jest przeszkoda w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy a także nieuzasadnione przedłużanie czasu trwania postępowania zainicjowanego skargą Pana D. S., co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
- Mając na uwadze powyższe, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 5 lit. e) in fine oraz art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31) oraz w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań (art. 58 ust. 1 lit. e), to jest do rozstrzygnięcia sprawy o sygn. DS.523.5697.2020.
- Jednocześnie, wobec stwierdzenia naruszenia przez Przedsiębiorcę dwóch przepisów Rozporządzenia 2016/679 (art. 31 oraz art. 58 ust. 1 lit. e), stosownie do treści art. 83 ust. 3 tego aktu prawnego (vide pkt 13 uzasadnienia niniejszej decyzji), Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez Przedsiębiorcę dostępu do wszelkich informacji niezbędnych do realizacji jego zadań, tj. naruszenie przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, zagrożone karą o wysokości wyższej z dwóch przewidzianych w Rozporządzeniu 2016/679 – do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. O powadze tego naruszenia świadczy to, że brak dostępu do informacji, których Prezes UODO żądał i żąda od Przedsiębiorcy, nie tylko stoi na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. - wnikliwości i szybkości postępowania.
Przesłanki i zasady wymiaru administracyjnej kary pieniężnej
- Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg przesłanek wymienionych w punktach od a) do k) wskazanego wyżej przepisu (vide pkt 14 uzasadnienia niniejszej decyzji). Decydując o nałożeniu w niniejszej sprawie na Przedsiębiorcę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
- Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Postępowanie Przedsiębiorcy w niniejszej sprawie, polegające na całkowitym ignorowaniu kierowanej do niego przez Prezesa UODO korespondencji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem incydentalnym. Działanie Przedsiębiorcy było ciągłe i długotrwałe. Trwa od upływu 7-dniowego terminu wyznaczonego na złożenie wyjaśnień w pierwszym wezwaniu skierowanym przez Prezesa UODO do Przedsiębiorcy w postępowaniu o sygnaturze DS.523.5697.2020, tj. od 9 marca 2021 r. do dnia wydania niniejszej decyzji.
- Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
W ocenie Prezesa UODO po stronie Przedsiębiorcy zaistniał brak woli współpracy w zapewnieniu organowi wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której Prezes UODO zwracał się do niego o ich udzielenie. Zgodnie z domniemaniem wynikającym z art. 43 k.p.a., a także zgodnie z zasadami doświadczenia życiowego, wskazującymi na to, że doręczenie pisma do rąk pełnomocnika adresata lub jego dorosłego domownika podejmującego się oddania tego pisma adresatowi jest równoznaczne z doręczeniem go adresatowi pisma, należy uznać, że kolejne żądania Prezesa UODO udzielenia informacji niezbędnych w postępowaniu o sygnaturze DS.523.5697.2020, i dalej informacje o toczącym się postępowaniu w przedmiocie nałożenia na niego administracyjnej kary pieniężnej, musiały dotrzeć do świadomości Przedsiębiorcy. Przedsiębiorca musiał więc wiedzieć jaki organ kierował do niego wezwania, o udzielenie jakich informacji organ ten zwraca się do niego oraz – w związku z pouczeniami udzielanymi Przedsiębiorcy w kierowanych do niego pismach – jakie konsekwencje wiążą się z niezastosowaniem się do wezwań Prezesa UODO. Powyższe prowadzi do wniosku, że Przedsiębiorca podjął świadomą decyzję o nieudzieleniu Prezesowi UODO żądanych przez niego informacji.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679.
W toku niniejszego postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej (sygn. DKE.561.23.2021) Przedsiębiorca nie podjął w żadnym stopniu współpracy z Prezesem UODO. W szczególności Przedsiębiorca nie przedstawił żadnych informacji żądanych przez Prezesa UODO w postępowaniu o sygn. DS.523.5697.2020, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Taki całkowity brak współpracy z Prezesem UODO skutkuje w dalszym ciągu utrudnianiem Prezesowi UODO szybkiego i wnikliwego rozpatrzenia skargi Pana D.S. w postępowaniu o sygnaturze DS.523.5697.2020.
- W ocenie Prezesa UODO żadna z przesłanek, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej niniejszą decyzją kary.
- Ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobami, których dane dotyczą) następujące okoliczności siłą rzeczy nie mogły być wzięte pod uwagę przez Prezesa UODO w niniejszej sprawie:
- liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679) – ze względu na to, że naruszenie nie wiąże się z naruszeniem danych osobowych żadnej osoby i w konsekwencji nie wystąpiły w sprawie żadne szkody po stronie osób fizycznych;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Przedsiębiorcę jakichkolwiek działań mających na celu ich zminimalizowanie;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Przedsiębiorcę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
- kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679) – ze względu na to, że naruszenie nie wiąże się z naruszeniem żadnych danych osobowych.
- Pozostałe, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679);
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Przedsiębiorcę, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Przedsiębiorcy obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
- sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679);
Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygnaturze DS.523.5697.2020. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu (to jest o braku współpracy z organem i niezapewnieniu dostępu do informacji niezbędnych do realizacji jego zadań) wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Przedsiębiorcy; fakt ten nie może być jednak też uwzględniony na korzyść Przedsiębiorcy skoro nie brał on żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679);
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Przedsiębiorcy w rozpatrywanej sprawie, żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Przedsiębiorca nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679);
Przedsiębiorca nie stosuje instrumentów, o których mowa w art. 40 i art. 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Przedsiębiorcy. Na korzyść Przedsiębiorcy natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
- osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679)
Prezes UODO nie stwierdził, żeby Przedsiębiorca, w związku z brakiem współpracy z organem i z nieudzieleniem żądanych przez ten organ informacji, odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Przedsiębiorcę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Przedsiębiorcę takich korzyści, jako stan naturalny, niezależny od woli i działania Przedsiębiorcy jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Przedsiębiorcy. Potwierdza to samo sformułowanie przepisu art. 83
ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
- inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
- Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 (vide pkt 13 uzasadnienia niniejszej decyzji), nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Przedsiębiorcę w niniejszym postępowaniu odpowiada tym zasadom. Jej dotkliwość w wymiarze finansowym zdyscyplinuje Przedsiębiorcę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygn. DS.523.5697.2020, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. W wymiarze dyscyplinującym Przedsiębiorcę kara będzie więc skuteczna. Nałożona niniejszą decyzją kara jest również – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Przedsiębiorcę bez nadmiernego uszczerbku dla jego prywatnego statusu materialnego jak i dla prowadzonej przez niego działalności gospodarczej. Decydując o wysokości kary Prezes UODO uwzględnił bowiem z jednej strony naganność postępowania Przedsiębiorcy i wagę dokonanego przez niego naruszenia, a z drugiej strony niewielką skalę prowadzonej przez niego jednoosobowej działalności gospodarczej. Ocena skali i zakresu działalności Przedsiębiorcy, wobec nieprzedstawienia przez niego danych finansowych za rok 2021, dokonana została przez Prezesa UODO w sposób szacunkowy (vide pkt 16 uzasadnienia niniejszej decyzji). Ponadto, zdaniem Prezesa UODO, nałożona na Przedsiębiorcę kara w tej konkretnej, określonej w sentencji niniejszej decyzji, wysokości spełni również funkcję odstraszającą; będzie jasnym sygnałem dla Przedsiębiorcy, zobowiązanego na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych z zapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu wskazać należy, że nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest – wobec dotychczasowego jego postępowania jako strony w sprawie o sygn. DS.523.5697.2020 – niezbędne; jest bowiem jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu.
- Mając na uwadze przepis art. 103 u.o.d.o. (vide pkt 17 uzasadnienia niniejszej decyzji) Prezes UODO za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Przedsiębiorcę — stosując średni kurs euro z dnia 28 stycznia 2022 r. (gdzie 1 EUR = 4,5697 PLN) - administracyjną karę pieniężną w kwocie 4.569 PLN (co stanowi równowartość 1.000 EUR).
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.
Pouczenie
- Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm.) (dalej „p.p.s.a.”), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) (dalej „u.o.d.o.”) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
- W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
- Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000.
- Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2021 r. poz. 1540 ze zm.), od dnia następującego po dniu złożenia wniosku.