Decyzja
DKE.561.22.2020
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.) w związku z art. 7 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 31, art. 58 ust. 1 lit. a) i lit. e) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2.), po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Pana T. Z., prowadzącego działalność gospodarczą pod firmą T.Z., Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia Panu T. Z. prowadzącemu działalność gospodarczą pod firmą T. Z., za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2.), polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana K. M., zwanego dalej „Skarżącym”, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Pana T. Z. prowadzącego działalność gospodarczą pod firmą T. Z. (poprzednio również pod firmą: A.), zwanego dalej „Przedsiębiorcą”. Wskazane naruszenie polegało na przesyłaniu do Skarżącego wiadomości e-mail o charakterze marketingowym, niespełnieniu wobec niego obowiązku informacyjnego oraz niezrealizowaniu żądania Skarżącego dotyczącego usunięcia jego danych osobowych. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej także „Prezesem UODO”, w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. […]), zwrócił się do Przedsiębiorcy pismem z […] lutego 2020 r. o ustosunkowanie się – w terminie 7 dni od chwili doręczenia wezwania – do treści skargi oraz o odpowiedź na następujące, szczegółowe pytania dotyczące sprawy:
- czy, a jeśli tak, to kiedy, na jakiej podstawie prawnej, z jakiego źródła, w jakim celu i zakresie Przedsiębiorca pozyskał dane osobowe Skarżącego, w tym jego adres e-mail: […];
- czy aktualnie Przedsiębiorca przetwarza dane osobowe Skarżącego, w tym jego adres e-mail: […], a jeśli tak, to w jakim zakresie, na jakiej podstawie prawnej, w jakich celach oraz jak długo dane te będą przetwarzane;
- czy, kiedy oraz w jakim zakresie Przedsiębiorca wypełnił wobec Skarżącego obowiązek informacyjny, o którym mowa w art. 13 lub 14 Rozporządzenia 2016/679, a jeśli tego obowiązku nie wypełnił – to z jakich powodów;
- czy, kiedy oraz w jaki sposób Przedsiębiorca odniósł się do wiadomości e-mail Skarżącego z dnia […] grudnia 2018 r., […] grudnia 2018 r., […] grudnia 2018 r. oraz […] stycznia 2019 r., dotyczących wykonania wobec Skarżącego obowiązku informacyjnego wynikającego z art. 15 Rozporządzenia 2016/679, przesłanych przez niego na adresy email: […], […], […], […], […] i […];
- czy, kiedy oraz w jaki sposób Przedsiębiorca odniósł się do wiadomości e-mail Skarżącego z dnia […] grudnia 2018 r., […] grudnia 2018 r. oraz […] stycznia 2019 r., przesłanych przez niego na adresy e-mail: […], […], […], […], […] i […], zawierających żądanie usunięcia danych osobowych Skarżącego, w tym jego adresu e-mail: […].
Przedsiębiorca pouczony został również o tym, że brak nadesłania wyjaśnień w wyżej wskazanym zakresie skutkować może nałożeniem administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Przedmiotowe pismo, skierowane na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej adres stałego miejsca wykonywania działalności gospodarczej Przedsiębiorcy (tj. […]) zostało mu prawidłowo doręczone […] lutego 2020 r. Mimo powyższego, Przedsiębiorca nie udzielił na wezwanie żadnej odpowiedzi.
W związku z powyższym, pismem z […] czerwca 2020 r. Prezes UODO ponownie wezwał Przedsiębiorcę do ustosunkowania się do treści skargi oraz do złożenia szczegółowych wyjaśnień w sprawie, zakreślając mu przy tym 7-dniowy termin na udzielenie odpowiedzi. Pomimo doręczenia przedmiotowej korespondencji […] czerwca 2020 r., Przedsiębiorca nie odniósł się w żaden sposób do żądania sformułowanego przez organ ochrony danych osobowych.
Wobec nieudzielenia przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], zainicjowanej skargą Pana K. M., Prezes UODO wszczął z urzędu wobec Przedsiębiorcy – w związku z naruszeniem przez niego art. 31 oraz 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej (pod sygn. DKE.561.22.2020). O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z […] października 2020 r., prawidłowo doręczonym adresatowi […] października 2020 r.
Jednocześnie, decyzją z […] października 2020 r. o sygn. […], doręczoną prawidłowo Przedsiębiorcy […] października 2020 r., Prezes UODO rozpoznał merytorycznie złożony przez Skarżącego wniosek i nakazał Przedsiębiorcy usunięcie danych osobowych Skarżącego, a nadto, w związku ze stwierdzeniem naruszenia przez Przedsiębiorcę art. 12 ust. 1, 3 i 4 w związku z art. 15 ust. 1 lit. b) i g) Rozporządzenia 2016/679, polegającego na niezrealizowaniu żądania Skarżącego dotyczącego dostępu do jego danych osobowych, udzielił Przedsiębiorcy stosownego upomnienia. Tym samym organ nadzoru ustalił, w oparciu o informacje przekazane przez Skarżącego i poczynione w toku postępowania ustalenia własne, okoliczności faktyczne wystarczające dla rozstrzygnięcia sprawy.
Wobec uprawomocnienia się […] listopada 2020 r. ww. decyzji administracyjnej, Prezes UODO wszczął z urzędu postępowanie w przedmiocie ustalenia jej wykonania (pod sygn. […]). W tym celu pismem z […] lutego 2021 r. Prezes UODO zwrócił się do Przedsiębiorcy z żądaniem przedstawienia wyjaśnień i dowodów potwierdzających usunięcie danych osobowych Skarżącego z wszelkich posiadanych nośników danych.
W odpowiedzi na wezwanie, pismem z […] marca 2021 r. Przedsiębiorca poinformował, że przeprowadzona analiza zasobów własnych wykazała, iż nie przetwarza on obecnie danych osobowych Pana K. M., w szczególności zaś jego imienia, nazwiska bądź adresu e-mail, co jednoznaczne jest z wykonaniem orzeczonego nakazu. W swych wyjaśnieniach Przedsiębiorca odniósł się ponadto do uprzedniego braku współpracy z Prezesem UODO wskazując, że z uwagi na charakter wykonywanej działalności gospodarczej, jaką jest prowadzenie gospodarstwa rolnego, przez znaczną część roku przebywa poza miejscem zamieszkania (którego adres tożsamy jest z adresem stałego miejsca wykonywania działalności gospodarczej wyszczególnionym w CEiDG). Stąd też Przedsiębiorca nie miał faktycznej możliwości osobistego odbioru, ani też terminowego ustosunkowania się do kierowanej do niego korespondencji, mającej związek z postępowaniem skargowym o sygn. […]. Wszelkie pisma wystosowane do Przedsiębiorcy przez organ ochrony danych osobowych odbierali jego domownicy. Wiedzę o toczącym się postępowaniu Przedsiębiorca posiadł dopiero w chwili otrzymania pisemnej informacji o zgromadzeniu materiału dowodowego, wystarczającego do wydania decyzji administracyjnej w ww. sprawie. Mając powyższe na względzie, Przedsiębiorca wyraził żal z powodu zaistniałej sytuacji.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie administratorowi lub podmiotowi przetwarzającemu upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, stwierdzić należy, że Przedsiębiorca jako administrator danych osobowych i jednocześnie strona postępowania o sygn. […], poprzez brak udzielenia merytorycznej odpowiedzi na wezwania Prezesa UODO z […] lutego 2020 r. oraz […] czerwca 2020 r. do złożenia wyjaśnień, naruszył obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań, wynikający z art. 31 oraz 58 ust. 1. lit. a) i lit. e) Rozporządzenia 2016/679. W tym przypadku informacją istotną dla dalszego kierunku postępowania było potwierdzenie zasadności skargi – w tym ustalenie okoliczności związanych z kierowaniem przez Przedsiębiorcę treści marketingowych na adres e-mail Skarżącego, pomimo braku zgody Skarżącego na przetwarzanie jego danych osobowych do wyżej wymienionych celów. Uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy, a które niewątpliwie były w jego posiadaniu, stało na przeszkodzie wnikliwemu, a przede wszystkim terminowemu rozpatrzeniu sprawy i skutkowało przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256) zasadami wnikliwości i szybkości postępowania.
W ocenie Prezesa UODO, samo stwierdzenie naruszenia przepisów Rozporządzenia 2016/679 – podlegającego administracyjnej karze pieniężnej – nie uzasadnia jednak w niniejszej sprawie zastosowania wobec Przedsiębiorcy najsurowszej z sankcji przewidzianych przez system ochrony danych osobowych. Jakkolwiek bowiem przedmiotowe naruszenie ma dużą wagę i poważny charakter, zdaniem Prezesa UODO, postawa Przedsiębiorcy wskazuje na brak celowości w jego działaniu. Zaznaczyć należy, że Przedsiębiorca wyjaśnił przyczyny początkowego braku współpracy z organem nadzorczym. Przedstawiona przez niego argumentacja uzasadnia twierdzenie, że brak odpowiedzi na kierowane do Przedsiębiorcy wezwania do złożenia wyjaśnień nie wynikał ze złej woli Przedsiębiorcy, ani nie zmierzał do celowego utrudnienia postępowania. Przedsiębiorca nie posiadał świadomości co do korespondencji wystosowanej do niego w sprawie o sygn. […] (której odbioru podjęli się domownicy ww.), w czym należy upatrywać powodów, dla których nie dostarczył on Prezesowi UODO informacji niezbędnych do realizacji jego zadań.
Nie bez znaczenia w niniejszym postępowaniu jest również fakt, że Przedsiębiorca nawiązał kontakt z Urzędem Ochrony Danych Osobowych i poinformował o fakcie wykonania nakazu usunięcia danych osobowych Pana K. M., nałożonego na Przedsiębiorcę decyzją administracyjną Prezesa UODO z […] października 2020 r. (sygn. […]). Tym samym należy uznać, że cele postępowania administracyjnego prowadzonego przed Prezesem UODO zostały osiągnięte. Aktywna postawa Przedsiębiorcy jednoznacznie wskazuje, na gotowość do dalszej współpracy z Prezesem UODO. W ocenie organu nadzorczego, samo już wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej oraz realna perspektywa wymierzenia kary finansowej stały się dla Przedsiębiorcy wyraźnym sygnałem tego, iż dalsze uchylanie się od obowiązków nałożonych przepisami Rozporządzenia 2016/679, nieuchronnie prowadziło będzie do zastosowania wobec niego najsurowszych, przewidzianych tymi przepisami sankcji.
W ocenie Prezesa UODO wszystkie okoliczności sprawy, rozpatrywane łącznie, pozwalają wnioskować, że brak merytorycznej odpowiedzi na wezwania Prezesa UODO w postępowaniu o sygn. […] nie miał charakteru celowego. W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) Rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. Dopuszczalność zastąpienia kary pieniężnej upomnieniem uzasadnia także motyw 148 Rozporządzenia 2016/679 stanowiący, że sankcje, w tym administracyjne kary pieniężne należy nakładać, „aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze”. Prezes UODO uznał, że w przedmiotowej sprawie, w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 wystarczające będzie udzielenie upomnienia. Należy jednakże zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.