PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 31 sierpnia 2021 r.

Decyzja

DKE.561.17.2021

Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) w związku z art. 7 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 31, art. 58 ust. 1 lit. a) i lit. e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz
w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Miejski Ośrodek Edukacji (...)  z siedzibą w B. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych, 

udziela upomnienia Miejskiemu Ośrodkowi Edukacji (...)  z siedzibą w B. przy ul. (…), za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego swoich zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.

 

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani A. B., zamieszkałej w Ł. przy ul. (…) (zwanej dalej „Skarżącą”), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Miejski Ośrodek Edukacji (...) z siedzibą w B. przy ul. (…) (zwany dalej „Administratorem”), polegające na udostępnieniu danych dotyczących zdrowia Skarżącej w korespondencji skierowanej do Fundacji (…) z siedzibą w W. przy  (…) oraz braku realizacji obowiązku informacyjnego na podstawie art. 15 Rozporządzenia 2016/679.

Prezes Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO”) w ramach wszczętego postępowania administracyjnego, prowadzonego celem rozpatrzenia wniesionej skargi (sygn. DS.523.6121.2020) zwrócił się do Administratora pismem z 10 lutego 2021 r. o ustosunkowanie się – w terminie 7 dni od dnia doręczenia przedmiotowej korespondencji – do treści skargi oraz udzielenie odpowiedzi na następujące pytania dotyczące sprawy:

1)      czy, a jeśli tak to na jakich podstawach prawnych, w jakich celach oraz w jakim zakresie Administrator przetwarza dane osobowe Skarżącej;

2)      czy, a jeśli tak to jakim osobom lub podmiotom, na jakiej podstawie prawnej, w jakim zakresie i celu Administrator udostępnił dane osobowe Skarżącej w tym dane dotyczące zdrowia;

3)      czy Administrator poprzez przesłanie korespondencji do Fundacji (…) udostępnił (ujawnił) dane osobowe Skarżącej, w zakresie informacji o przebywaniu przez nią na zwolnieniach lekarskich. Jeżeli tak, jaki był cel i podstawa prawna takiego działania oraz przyczyny tego zdarzenia. Czy Administrator stwierdził naruszenie ochrony danych osobowych Skarżącej i jakie podjął w tym temacie działania, m.in. czy dokonał zgłoszenia naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych;

4)      czy do Administratora wpłynął wniosek Skarżącej o realizację jej prawa, o którym mowa w art. 15 Rozporządzenia 206/679, a jeżeli tak to kiedy to nastąpiło;

5)      czy Administrator udzielił Skarżącej odpowiedzi na ww. wniosek, a jeżeli tak to kiedy to nastąpiło oraz jaka była treść udzielonej odpowiedzi.

Wzmiankowane pismo, przesłane za pośrednictwem elektronicznej Platformy Usług Administracji Publicznej (ePUAP) na adres indywidualnej skrzynki podawczej Administratora, tj. skrytkę (…), zostało prawidłowo doręczone Administratorowi 10 lutego 2021 r. o godz. 11:47, co potwierdza wygenerowane automatycznie przez system urzędowe poświadczenie przedłożenia (UPP) przedmiotowej korespondencji.

Pomimo prawidłowości doręczenia wezwania, Administrator nie udzielił na nie żadnej odpowiedzi, wobec czego Prezes UODO ponownie pismem z 21 maja 2021 r., zwrócił się do niego o złożenie stosownych wyjaśnień, zakreślając 7-dniowy termin na ustosunkowanie się do tak sformułowanego żądania. Jednocześnie, Administratora pouczono o tym, że brak udzielenia wyczerpującej odpowiedzi na przedmiotowe wezwanie skutkować może, nałożeniem administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 1 lit. a) lub w art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Przedmiotowe pismo, doręczone Administratorowi za pośrednictwem platformy ePUAP w dniu nadania o godz. 13:26, pozostało bez reakcji ze strony Administratora.

W związku z nieudzieleniem przez Administratora informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze DS.523.6121.2020, Prezes Urzędu Ochrony Danych Osobowych wszczął wobec niego z urzędu – w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Administrator poinformowany został pismem z 28 lipca 2021 r., doręczonym mu prawidłowo za pośrednictwem platformy ePUAP.

W reakcji na informację o wszczęciu postępowania administracyjnego o sygn. DKE.561.17.2021, Administrator skierował do Prezesa UODO pismo z 2 sierpnia 2021 r., w którym złożył obszerne wyjaśnienia do sprawy o sygn. DS.523.6121.2020, zezwalające Prezesowi UODO na dalsze procedowanie w postępowaniu wszczętym ze skargi Pani A. B. Administrator wyjaśnił również przyczyny braku dostarczenia wyczerpujących wyjaśnień w terminie pierwotnie zakreślonym przez organ ochrony danych. Jak wskazał, opóźnienie wynikało z faktu, iż postępowanie skargowe prowadzone przez Prezesa UODO, nie było jedynym postępowaniem przeciwko Administratorowi zainicjowanym przez Skarżącą. Skarżąca, pozostająca uprzednio z Administratorem w stosunku zatrudnienia, swoje zastrzeżenia dotyczące jego działalności zgłosiła również do innych organów (w tym organów ścigania), efektem czego stały się liczne postępowania sprawdzające oraz kontrole przeprowadzane w siedzibie Administratora. Charakter czynności przeprowadzanych z udziałem Administratora wymagał osobistego zaangażowania osoby uprawnionej do jego reprezentowania (tj. Dyrektora Miejskiego Ośrodka Edukacji Nauczycieli w B.), co bezpośrednio przełożyło się na dezorganizację pracy w strukturach Administratora oraz spowodowało opóźnienie w przekazaniu wyjaśnień, do złożenia których Administrator został wezwany przez Prezesa UODO.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym, o czym stanowi art. 31 Rozporządzenia 2016/679. Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – administracyjnej karze pieniężnej w wysokości do 100 000 złotych.

Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Prezes UODO, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, może uznać za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Administrator, jako strona postępowania o sygn. DS.523.6121.2020, poprzez brak udzielenia merytorycznej odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień, naruszył obowiązek współpracy z organem nadzorczym oraz obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań wynikający z art. 31 oraz 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679. W tym przypadku informacją istotną dla dalszego kierunku postępowania było potwierdzenie zasadności skargi – w tym ustalenie podstaw prawnych, celu oraz zakresu przetwarzania danych osobowych Skarżącej przez Administratora, okoliczności udostępnienia danych osobowych Skarżącej na rzecz innych osób lub podmiotów oraz spełnienia wobec ww. obowiązku informacyjnego. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Administratora, a które niewątpliwie były w jego posiadaniu, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 745 ze zm.) zasadami wnikliwości i szybkości postępowania.

Prezes UODO dwukrotnie wezwał Administratora do złożenia wyjaśnień. Pierwsze z tych wezwań zostało doręczone Administratorowi 10 lutego 2021 r., drugie zaś 21 maja 2021 r. Żadne z pism nie doczekało się odpowiedzi w zakreślonych terminach 7 dni od daty ich doręczenia. To zaniechanie Administratora spowodowało konieczność wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. W rezultacie powyższego, Administrator wznowił współpracę z Prezesem UODO, poprzez nadesłanie 2 sierpnia 2021 r. szczegółowych wyjaśnień w postępowaniu o sygn. DS.523.6121.2020, co pozwoliło Prezesowi UODO na dalsze prowadzenie czynności w ww. sprawie.

Uwzględniając powyższe ustalenia, nie budzi wątpliwości fakt, że Administrator swoim zachowaniem dopuścił się naruszenia przepisów Rozporządzenia 2016/679. Przedstawione przez Administratora uzasadnienie braku odpowiedzi na wezwania Prezesa UODO nie zdejmuje z niego bowiem odpowiedzialności za stwierdzone zaniechanie. Równolegle jednak, wskazane przez Administratora przyczyny początkowego braku współpracy z organem nadzorczym należało uwzględnić jako wiarygodne oraz mające istotny wpływ na ocenę zachowania Administratora, w kontekście wyboru zastosowanej wobec niego w niniejszym postępowaniu sankcji. W ocenie Prezesa UODO, brak reakcji Administratora na kierowane do niego wezwania do złożenia wyjaśnień, mógł wynikać z dezorganizacji pracy Administratora, powodowanej pośrednio działaniami samej Skarżącej, co potwierdzają przedstawione przez Administratora dowody. Ponadto, Administrator kierował się chęcią kompleksowego wyjaśnienia sprawy oraz zgromadzenia dokumentacji niezbędnej na poparcie jego twierdzeń, co spowodowało znaczne wydłużenie czasu potrzebnego do udzielenie odpowiedzi, na stawiane przez Prezesa UODO pytania.

W przedmiotowym stanie faktycznym, oprócz braku odpowiedzi na wezwania do złożenia wyjaśnień – który to brak został uzupełniony przez Administratora w rezultacie wszczęcia niniejszego postępowania – nie stwierdzono innych przesłanek wskazujących na brak woli współpracy Administratora z Prezesem UODO. Okoliczności sprawy, a w szczególności późniejsza postawa Administratora pozwalają wnioskować, że jego początkowa opieszałość nie wynikała ze złej woli osób uprawnionych do reprezentowania Administratora, ani nie miała na celu świadomego utrudnienia postępowania. Następcza, aktywna postawa Administratora wskazuje na gotowość do dalszego współdziałania z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Administratora wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji. W tym miejscu, celem uniknięcia podobnych sytuacji w przyszłości, Prezes UODO wskazuje, że o wszelkich przeszkodach uniemożliwiających Administratorowi terminowe wywiązywanie się z obciążających go względem organu ochrony danych osobowych obowiązków, Administrator powinien informować niezwłocznie, w chwili ich zaistnienia.

Mając powyższe na uwadze, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 przyjmując, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2021-08-31
Wprowadził informację:
user Mathias Proch
date 2023-08-09 10:53:51
Ostatnio modyfikował:
user Edyta Madziar
date 2023-10-19 07:25:27