Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 735 z późn. zm.), art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 83 ust. 1-2 i art. 83 ust. 6 w związku z art. 58 ust. 2 lit. e) i i) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na D. sp. z o. o. sp. k., z siedzibą w P. przy ul. (…) administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając niewykonanie przez D. sp. z o. o. sp. k., z siedzibą w P. przy ul. (…) nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 listopada 2020 roku (sygn. DS.523.3812.2020) nakłada na D. sp. z o. o. sp. k. z siedzibą w P. przy ul. (…) administracyjną karę pieniężną w kwocie 9.139 PLN (słownie: dziewięć tysięcy sto trzydzieści dziewięć złotych).

UZASADNIENIE

Stan faktyczny 

1. W dniu 26 lipca 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana R. Ż. (zam. ul. (…) E.)), dalej jako Skarżący, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez D. sp. z o.o. sp.k. z siedzibą w P. przy ul. (…) (zwana dalej także „Spółką), polegające na przetwarzaniu jego danych osobowych w celach marketingowych bez podstawy prawnej oraz nieuwzględnieniu sprzeciwu wobec przetwarzania jego danych.
2. Decyzją z 30 listopada 2020 r. (sygn.DS.523.3812.2020) Prezes UODO nakazał Spółce wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych R. Ż. (zam. ul. (…) E.)) poprzez usunięcie jego danych osobowych w zakresie numerów telefonów: (…) i (…). Decyzja została uznana za doręczoną w dniu 18 grudnia 2020 r., na zasadzie art. 44 kpa (pismo było dwukrotnie awizowane, po raz pierwszy 4 grudnia 2022 r., po raz drugi w dniu 14 grudnia 2022 r., nieodebrane w terminie 14 dni od daty pierwszej awizacji, zostało zwrócone do nadawcy).
3. Decyzja wskazana w pkt. 2 uzasadnienia nie została zaskarżona i stała się prawomocna w dniu 18 stycznia 2021 r.
4. Z uwagi na brak potwierdzenia wykonania decyzji wskazanej w pkt. 1, pismem z 12 lutego 2021 r. Prezes UODO wezwał Spółkę do potwierdzenia jej wykonania. Doręczenie pisma nastąpiło w dniu 2 marca 2021 r. (doręczenie zastępcze na zasadzie art. 44 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 735 z późn. zm.) (dalej zwane także „kpa”) - pismo dwukrotnie awizowane, nieodebrane, zwrócone do nadawcy). Spółka nie odpowiedziała na to wezwanie.
5. Pismem z 2 kwietnia 2021 r., skierowanym do D. sp. z o. o., która jest komplementariuszem D. sp. z o. o. sp. k., Prezes UODO wezwał komplementariusza do udzielenia informacji, czy został wykonany nakaz decyzji, o której mowa w pkt. 1. Doręczenie wezwania nastąpiło w dniu 22 kwietnia 2021 r. (doręczenie zastępcze na zasadzie art. 44 kpa - pismo dwukrotnie awizowane, nieodebrane, zwrócone do nadawcy).
6. Do Prezesa UODO nie wpłynęły żadne inne informacje ani dowody potwierdzające wykonanie nakazu decyzji, co stanowiło podstawę do uznania, że nakaz decyzji pozostał niewykonany.
7. W związku z powyższym Prezes UODO wszczął niniejsze postępowanie administracyjne o sygn. DKE.561.15.2021 w przedmiocie nałożenia na D. sp. z o. o. sp. k. administracyjnej kary pieniężnej za niewykonanie decyzji. Doręczenie Spółce pisma z informacją o wszczęciu tego postępowania nastąpiło w dniu 5 sierpnia 2021 r. (doręczenie zastępcze na zasadzie art. 44 kpa - pismo dwukrotnie awizowane, nieodebrane, zwrócone do nadawcy). W treści pisma zawarte było pouczenie, że nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, na podstawie art. 83 ust. 6 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (zwane dalej także „RODO”). Prezes UODO wezwał też Spółkę, celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej w niniejszym do przedstawienia – w terminie 7 dni od dnia doręczenia pisma – sprawozdania finansowego za rok 2020 lub – w przypadku jego braku – oświadczenia o wyniku finansowym osiągniętym przez Spółkę w 2020 roku lub do przesłania innych informacji majątkowych, które Spółka uzna za istotne dla wymierzenia kary w wysokości proporcjonalnej do możliwości jej uiszczenia przez Spółkę. Prezes UODO poinformował przy tym, że nieprzedstawienie ww. danych skutkować będzie ustaleniem przez Prezesa UODO podstawy wymiaru kary w sposób szacunkowy, na podstawie art. 101 a) Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Jednocześnie Prezes UODO ponownie poinformował, że jeżeli Spółka przedstawi wyjaśnienia i dowody wykonania decyzji Prezesa UODO z 30 listopada 2020 roku (sygn. DS.523.3812.2020), okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia. Powyższe pismo pozostało bez odpowiedzi Spółki.
8. Do dnia wydania niniejszej decyzji Spółka nie odpowiedziała na wezwanie do potwierdzenia wykonania decyzji Prezesa UODO z 30 listopada 2020 r. (sygn. DS.523.3812.2020). Do Organu nadal nie wpłynęły też żadne inne informacje, świadczące o wykonaniu decyzji.

Uzasadnienie prawne

9. Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes UODO zważył, co następuje.
10. Zgodnie ze sformułowaną w art. 5 ust. 2 RODO zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 tego przepisu (w tym – zgodnie z tzw. zasadą legalności – za przetwarzanie danych osobowych „zgodnie z prawem”) i musi być w stanie wykazać ich przestrzeganie. Zastosowanie zasady rozliczalności w niniejszej sprawie oznacza, że Przedsiębiorca zobowiązany jest – w szczególności w postępowaniu przed Prezesem UODO – udowodnić wykonanie nakazu decyzji, które to wykonanie byłoby równoznaczne z przywróceniem przetwarzania przez niego danych osobowych do stanu zgodnego z prawem. Takie implikacje zasady rozliczalności potwierdza doktryna prawa ochrony danych osobowych, zgodnie z którą: „Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych.” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018).
11. Zgodnie z art. 83 ust. 6 RODO - nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
12. Zgodnie z art. 45 kpa - jednostkom organizacyjnym i organizacjom społecznym doręcza się pisma w lokalu ich siedziby do rąk osób uprawnionych do odbioru pism. Przepis art. 44 kpa stosuje się odpowiednio. Osoby prawne, do których stosuje się przepisy ustawy o KRS, do których należy Spółka, są obowiązane we wniosku o wpis do rejestru wskazać nie tylko siedzibę, lecz także adres (art. 38 pkt 1 lit. c ustawy o KRS). Należy domniemywać, że siedziba i adres osoby prawnej wpisanej do rejestru są prawdziwe (art. 17 ust. 1 ustawy o KRS). Do momentu ujawnienia w Krajowym Rejestrze Sądowym nowej siedziby i adresu spółki doręczenie korespondencji na dotychczasowy adres, w razie braku informacji o innym adresie doręczeń, jest skuteczne (patrz wyrok NSA z 12.02.2008 r., II FSK 1704/06, LEX nr 470988).
13. Zgodnie z art. 44 kpa, w razie niemożności doręczenia pisma w sposób wskazany w art. 42 i 43 kpa, operator pocztowy w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe przechowuje pismo przez okres 14 dni w swojej placówce pocztowej - w przypadku doręczania pisma przez operatora pocztowego. Zawiadomienie o pozostawieniu pisma wraz z informacją o możliwości jego odbioru w terminie siedmiu dni, licząc od dnia pozostawienia zawiadomienia w miejscu określonym w § 1, umieszcza się w oddawczej skrzynce pocztowej lub, gdy nie jest to możliwe, na drzwiach mieszkania adresata, jego biura lub innego pomieszczenia, w którym adresat wykonuje swoje czynności zawodowe, bądź w widocznym miejscu przy wejściu na posesję adresata. W przypadku niepodjęcia przesyłki w tym terminie, pozostawia się powtórne zawiadomienie o możliwości odbioru przesyłki w terminie nie dłuższym niż czternaście dni od daty pierwszego zawiadomienia. Doręczenie uważa się za dokonane z upływem 14 dnia od daty pierwszej próby doręczenia a pismo pozostawia się w aktach sprawy. Celem instytucji doręczenia zastępczego w trybie art. 44 k.p.a., które miało zastosowanie do pism kierowanych przez Organ do Spółki, jest uniemożliwienie podmiotom uczestniczącym w postępowaniu tamowania tego postępowania przez celowe uchylanie się od odbioru korespondencji. Instytucja doręczenia zastępczego oparta jest na konstrukcji fikcji prawnej polegającej na uznaniu, że nastąpiło doręczenie pisma, które de facto nie miało miejsca (patrz wyrok NSA z dnia 8 lutego 2021 r., sygn.: I OSK 3697/18). Należy podkreślić, że domniemanie prawne doręczenia pisma z zastosowaniem fikcji prawnej doręczenia na zasadzie art. 44 kpa powoduje taki skutek, że nie można skutecznie podnieść argumentu, iż treść pisma nie dotarła do wiadomości adresata (patrz wyrok WSA w Łodzi z dnia 1 lutego 2022 r., sygn. III SA/Łd 897/21), chyba że samo zastosowanie art. 44 k.p.a. było wadliwe przez nieprzestrzeganie poszczególnych wymogów procedury doręczenia zastępczego.
14. Odnosząc wskazane wyżej przepisy do ustalonego w sprawie stanu faktycznego podkreślić należy w pierwszej kolejności, że ciężar udowodnienia wykonania nakazu decyzji, dotyczącego przetwarzania danych osobowych w oparciu o RODO, spoczywa na administratorze danych osobowych - wynika to wprost z zasady rozliczalności ustanowionej w RODO (patrz pkt 10 uzasadnienia decyzji).
15. D. sp. z o. o. sp. k. jako administrator danych osobowych i adresat decyzji Prezesa UODO z 30 listopada 2020 r., sygn. DS.523.3812.2020, nie udowodniła wykonania nakazu decyzji, mimo kierowanych przez organ wezwań, poprzedzających wszczęcie niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, jak i wezwań kierowanych już w toku tego postępowania. Te okoliczności prowadzą do stwierdzenia, że Spółka nie wykonała (czy też – zgodnie z terminologią użytą przez prawodawcę unijnego w art. 83 ust. 6 RODO) – „nie przestrzega”) ww. nakazu decyzji administracyjnej Prezesa UODO.
16. Nie ma przy tym znaczenia fakt, że wezwania kierowane przez Prezesa UODO do Spółki, zostały doręczone na zasadzie doręczenia zastępczego (patrz pkt 13 uzasadnienia decyzji). Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Rezultaty zaniedbań w tym zakresie obciążają tę właśnie jednostkę organizacyjną (vide: wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 r., sygn. akt II SAB/Go 90/18 – LEX nr 2576144).
17. Mając na uwadze powyższe ustalenia, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 6 RODO – administracyjnej kary pieniężnej za niewykonanie decyzji administracyjnej Prezesa UODO z dnia 30 listopada 2020 r., sygn. DS.523.3812.2020.
18. Stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:

• charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) RODO)

Zaniechanie Spółki w niniejszej sprawie, polegające na niewykonaniu decyzji administracyjnej Prezesa UODO, będącego organem właściwym do spraw ochrony danych osobowych i organem nadzorczym w rozumieniu RODO, należy uznać za godzące w istotny sposób w system ochrony danych osobowych. Dodatkowo należy podkreślić - skoro decyzja nakazywała usunięcie danych osobowych – że niewykonanie decyzji świadczy o dalszym, bezprawnym przetwarzaniu tych danych. Z tego względu naruszenie ma wysoką wagę i naganny charakter. Wagę tę zwiększa dodatkowo okoliczność, że stan ten trwa od daty uprawomocnienia decyzji administracyjnej Prezesa UODO z dnia 30 listopada 2020 r., sygn. DS.523.3812.2020, która uprawomocniła się 18 stycznia 2021 r. i w tej dacie winna być już wykonana.

• stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) RODO.

W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO. W szczególności Spółka nie przedstawiła żadnych informacji żądanych przez Prezesa UODO w postępowaniu o wykonanie nakazu decyzji sygn. DS.523.3812.2020.

19. W ocenie Prezesa UODO za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej niniejszą decyzją kary przemawia okoliczność określona w art. 83 ust. 2 lit. b RODO, tj. nieumyślny charakter naruszenia, ponieważ w niniejszej sprawie brak jest dowodów świadczących o umyślnym uchylaniu się Spółki od wykonania decyzji sygn. DS.523.3812.2020.
20. Prezes UODO wziął pod uwagę pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 RODO, jednak nie miały one wpływu (ani obciążającego ani łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia, ponieważ:
21. Ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobami, których dane dotyczą) następujące okoliczności siłą rzeczy nie mogły być wzięte pod uwagę przez Prezesa UODO w niniejszej sprawie:

• działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) RODO) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie;
• stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
• kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO – ze względu na to, że naruszenie nie wiąże się z naruszeniem żadnych danych osobowych.
• sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) RODO);

Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygnaturze DS.523.3812.2020. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy.

22. Pozostałe, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:

• wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) RODO;

Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Spółkę, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Spółce obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.

• przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO (art. 83 ust. 2 lit. i) RODO;

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie, żadnych środków wymienionych w art. 58 ust. 2 RODO, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

• stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) RODO);

Spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 RODO. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy RODO – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

• osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) RODO);

Prezes UODO nie stwierdził, żeby Spółka, w związku z nieprzestrzeganiem nakazu odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów RODO należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Spółkę takich korzyści, jako stan naturalny, niezależny od woli i działania Spółki, jest okolicznością, która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) RODO, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

• inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) RODO);

Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

23. Stosownie do brzmienia art. 83 ust. 1 RODO, nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na D. sp. z o. o. sp. k. w niniejszym postępowaniu spełnia te kryteria. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Spółki, zobowiązanej na mocy przepisów RODO do współpracy z Prezesem UODO, że nie wykonanie decyzji Prezesa UODO stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
24. Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych (patrz pkt. 7 uzasadnienia decyzji), ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności a także ostatnie dostępne sprawozdanie finansowe za 2020 rok, złożone przez Spółkę do KRS.
25. Stosownie do treści art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 RODO, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 3 i art. 83 ust. 4 lit a) oraz art. 83 ust. 5 lit. e) RODO, w związku z art. 103 u.o.d.o., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2022 r. (1 EUR = 4,5697 PLN) – administracyjną karę pieniężną w kwocie 9.139 PLN (co stanowi równowartość 2.000 EUR).

Mając powyższe na uwadze Prezes UODO orzekł jak w  sentencji niniejszej decyzji. 

Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 z późn. zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa).

Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 z późn. zm). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych. 

Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z  2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty.