Decyzja

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 1 lit. a) i lit. e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią B. Ż. prowadzącą działalność gospodarczą pod firmą „J” we W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych, 

udziela upomnienia Pani B. Ż., prowadzącej działalność gospodarczą pod firmą „J” we W. przy ul. (…), za naruszenie przepisów art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani M. S. zam. w O. przy ul. (…) (zwaną dalej „Skarżącą”) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Panią B. Ż. prowadzącą działalność gospodarczą pod firmą „J” we W. przy ul. (…) (zwaną dalej: „Przedsiębiorcą”) polegające na niezrealizowaniu wobec Skarżącej jej prawa wynikającego z art. 15 ust. 3 RODO, tj. nieudostępnieniu kopii danych osobowych Skarżącej utrwalonych w karcie klienta, zgodzie na zabieg, reklamacji oraz trzech paragonach.

Wobec konieczności pozyskania informacji dodatkowych, niezbędnych do oceny okoliczności związanych z prawdopodobnym naruszeniem ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO”) w ramach wszczętego postępowania administracyjnego o sygnaturze DS.523.850.2021 zwrócił się do Przedsiębiorcy pismem z 15 lutego 2021 r. o ustosunkowanie się – w terminie 7 dni od dnia doręczenia przedmiotowej korespondencji - do treści skargi oraz złożenie szczegółowych wyjaśnień:

1) czy, a jeżeli tak to na jakiej podstawie prawnej w jakim celu Przedsiębiorca przetwarza dane osobowe Skarżącej;

2) czy Skarżąca zwracała się do Przedsiębiorcy o realizację jej prawa wynikającego z art. 15 ust. 3 RODO poprzez udostępnienie kopii danych osobowych podlegających przetwarzaniu przez Przedsiębiorcę zawartych w karcie klienta, zgodzie na zabieg, reklamacji oraz trzech paragonach, jeśli tak, to w jaki sposób Przedsiębiorca ustosunkował się do tych żądań (przesłanie kopii ewentualnej korespondencji).

Wzmiankowane pismo, przesłane za pośrednictwem polskiego operatora pocztowego na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane. Podwójnie awizowane w dniach 19 lutego 2021 r. oraz 1 marca 2021 r., a następnie opatrzone adnotacją „ZWROT nie podjęto w terminie”, zostało zwrócone w dniu 12 marca 2021 r. do Urzędu Ochrony Danych Osobowych.

Wobec powyższego Prezes UODO ponownie pismem z 31 marca 2021 r. zwrócił się do Przedsiębiorcy o złożenie stosownych wyjaśnień wyznaczając 7-dniowy termin na ustosunkowanie się do tak sformułowanego żądania. Jednocześnie Przedsiębiorcę pouczono o tym, że brak udzielenia wyczerpującej odpowiedzi na wezwanie skutkować może nałożeniem administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.

Wyżej wymienione pismo, dwukrotnie awizowane w dniach 7 kwietnia 2021r. oraz 15 kwietnia 2021r., niepodjęte przez odbiorcę w terminie, zostało zwrócone do nadawcy 7 maja 2021 r.

Mając na uwadze obowiązujące brzmienie art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.), zwanej dalej „k.p.a.”, oba ww. pisma uznano za prawidłowo doręczone Przedsiębiorcy.

W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DS.523.850.2021 Prezes Urzędu Ochrony Danych Osobowych wszczął wobec niego z urzędu – na podstawie art. 83 ust. 5 lit. e)  Rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 11 czerwca 2021 r. Korespondencja ta, skierowana do Przedsiębiorcy za pośrednictwem Poczty Polskiej, została przez niego odebrana w dniu 22 czerwca 2021 r.

W odpowiedzi na pismo informujące o wszczęciu postępowania administracyjnego o sygnaturze DKE.561.10.2021., Przedsiębiorca pismem z 29 czerwca 2021 r. złożył wyjaśnienia pozwalające na dalsze prowadzenie postępowania DS.523.850.2021 oraz wniósł o odstąpienie od nałożenia administracyjnej kary pieniężnej wskazując przyczyny braku dostarczenia żądanych przez Prezesa UODO informacji w terminie pierwotnie wyznaczonym przez organ ochrony danych. Przedsiębiorca oświadczył, iż brak odbioru korespondencji wynikał z faktu ograniczeń prowadzenia działalności w 2021 r., trudności z przemieszczaniem się, sytuacji osobistej i zdrowotnej. Ponadto korespondencja była wysyłana na nieprecyzyjnie opisany adres. W adresie odbiorcy brakowało numeru lokalu co mogło przesądzić o niedostarczeniu awizo. Przedsiębiorca poinformował o aktualizacji adresu korespondencyjnego dokonując odpowiedniego wpisu w CEIDG.

Z uwagi na powyższe, Przedsiębiorca nie był świadom tego, iż przed Prezesem UODO toczy się wobec niego postępowanie administracyjne w przedmiocie naruszenia ochrony danych osobowych, w którym wzywany jest on do dostarczenia informacji niezbędnych do zbadania okoliczności związanych ze zgłoszonym organowi nadzorczemu incydentem. Pierwszą wiadomość o postępowaniu prowadzonym przez Prezesa UODO Przedsiębiorca pozyskał dopiero w dniu 22 czerwca 2021 r. odbierając pismo w sprawie wszczęcia postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej.

 Mając na uwadze, że zaniechanie Przedsiębiorcy nie miało charakteru celowego, a jedynie wynikało z jego zaniedbania – gdyż za takie należy uznawać brak doprecyzowania adresu do doręczeń w CEIDG – jak również fakt złożenia wymaganych od Przedsiębiorcy wyjaśnień niezwłocznie po uzyskaniu informacji o toczących się wobec niego postępowaniach oraz dostarczenie zeznania podatkowego za rok 2020, Przedsiębiorca wniósł o odstąpienie od wymierzenia sankcji finansowej deklarując chęć dalszej współpracy z Prezesem UODO w ramach realizacji jego zadań.  

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów omawianego aktu prawnego (art. 57 ust. 1 lit. h)), w tym postępowań związanych z oceną naruszeń ochrony danych osobowych, zgłaszanych Prezesowi UODO przez administratorów stosownie do treści art. 33 Rozporządzenia 2016/679. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Ponadto Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, może uznać za uzasadnione udzielenie administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy, że Przedsiębiorca, jako strona postępowania o sygnaturze DS.523.850.2021 poprzez brak udzielenia merytorycznej odpowiedzi na wezwania organu nadzorczego do złożenia wyjaśnień, naruszył obowiązek zapewnienia Prezesowi UODO dostępu do informacji i danych osobowych niezbędnych do realizacji jego zadań, wynikający z art. 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679. W tym przypadku informacją istotną dla dalszego kierunku postępowania było ustalenie na jakiej podstawie prawnej i w jakim celu Przedsiębiorca przetwarza dane osobowe Skarżącej, czy Skarżąca zwracała się do Przedsiębiorcy o realizację jej prawa wynikającego z art. 15 ust. 3 RODO poprzez udostępnienie kopii danych osobowych podlegających przetwarzaniu przez Przedsiębiorcę zawartych w karcie klienta, zgodzie na zabieg, reklamacji, trzech paragonach oraz to w jaki sposób Przedsiębiorca ustosunkował się do tych żądań.

Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 745 ze zm.) zasadami wnikliwości i szybkości postępowania.

Prezes UODO, celem ustalenia stanu faktycznego sprawy o sygn. DS.523.850.2021 dwukrotnie zwrócił się do Przedsiębiorcy z żądaniem nadesłania wyjaśnień. Żadne z wystosowanych do Przedsiębiorcy pism datowanych na 15 lutego 2021 r. oraz 31 marca 2021 r., skierowanych na ujawniony w CEIDG adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy, nie zostało przez niego odebrane pomimo dwukrotnego awizowania. W związku z powyższym, pisma te uznane zostały za prawidłowo doręczone Przedsiębiorcy zgodnie z art. 44 § 4 k.p.a. Powyższe spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, w rezultacie czego Przedsiębiorca podjął współpracę z Prezesem UODO poprzez nadesłanie szczegółowych wyjaśnień w postępowaniu o sygnaturze DS.523.850.2021, co pozwoliło Prezesowi UODO na dalsze prowadzenie czynności w ww. sprawie.

Uwzględniając powyższe ustalenia, nie budzi wątpliwości fakt, że Przedsiębiorca swoim zachowaniem dopuścił się naruszenia przepisów Rozporządzenia 2016/679. Przedstawione przez Przedsiębiorcę uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego bowiem odpowiedzialności za stwierdzone zaniechanie. Równolegle jednak, wskazane przez Przedsiębiorcę przyczyny początkowego braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Przedsiębiorcy w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji. W ocenie Prezesa UODO, brak reakcji Przedsiębiorcy na kierowane do niego wezwania do złożenia wyjaśnień wynikał z zaniedbania Przedsiębiorcy sprowadzającego się do nieprecyzyjnego określenia w CEIDG adresu korespondencyjnego prowadzonej działalności, jak również trudnej jego sytuacji osobistej i zdrowotnej co w istocie zaważyło na skutecznym nawiązaniu z przedsiębiorcą kontaktu celem wyjaśnienia istoty sprawy.

W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień, który to brak został uzupełniony przez Przedsiębiorcę w rezultacie wszczęcia niniejszego postępowania – nie stwierdzono jednak innych przesłanek wskazujących na brak woli współpracy Przedsiębiorcy z Prezesem UODO. Okoliczności sprawy, a w szczególności późniejsza postawa Przedsiębiorcy pozwalają wnioskować, że jego początkowa opieszałość nie wynikała ze złej woli, ani nie miała na celu świadomego utrudnienia postępowania. Przeciwnie – następcza, aktywna postawa Przedsiębiorcy wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Przedsiębiorcy wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.
W tym miejscu, celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje również, że o wszelkich przeszkodach uniemożliwiających Przedsiębiorcy terminowe wywiązywanie się z obciążających go względem organu ochrony danych osobowych obowiązków Przedsiębiorca powinien informować niezwłocznie, w chwili ich zaistnienia.

Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisów art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.