Ikonka home dla okruszków Prawo Decyzje Prezesa UODO
return Decyzje Prezesa
PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 31 maja 2023 r.

Decyzja

DKE.561.37.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm.) w związku z art. 7 ust. 1 i ust. 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j.) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 04 marca 2021, str. 35, zwanego dalej: „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na G. Sp. z o.o. z siedzibą w K. przy ul. […], Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez G. Sp. z o.o. z siedzibą w K. przy ul. […] przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego swoich zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji swoich zadań, nakłada na G. Sp. z o.o. z siedzibą w K. przy ul. […] administracyjną karę pieniężną w kwocie 14 148 PLN (słownie: czternaście tysięcy sto czterdzieści osiem złotych).

 

UZASADNIENIE

Stan faktyczny

  1. W dniu 17 września 2021 r. do Urzędu Ochrony Danych Osobowych (zwanego dalej: „UODO”) wpłynęła skarga Pani J. P., zam. w K. przy ul. […] (zwana dalej: „Skarżącą”) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez G. Sp. z o.o. z siedzibą w K. przy ul. […] (zwaną dalej: „Spółką”), polegające na udostępnieniu jej danych osobowych w postaci imienia i nazwiska na rzecz pozostałych członków Wspólnoty Mieszkaniowej Nieruchomości przy ul. […] w K. (zwanej dalej: „Wspólnotą Mieszkaniową”) w piśmie Spółki z 22 marca 2021 r. oraz w karcie do głosowania nad uchwałami z 4 czerwca 2021 r. W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej: „Prezesem UODO”, „Organem”) wszczął postępowanie wyjaśniające o sygn. DS.523.5931.2021.
  2. W ramach wyżej wskazanego postępowania, Prezes UODO zwrócił się do Spółki – pismami z 8 kwietnia 2022 r. oraz 27 maja 2022 r. – z wezwaniem do odpowiedzi na poniższe pytania:

1)    „czy Spółka przetwarza dane osobowe Skarżącej, a jeśli tak, to na jakiej podstawie prawnej, w jakim celu i w jakim zakresie, w szczególności w zakresie imienia i nazwiska;

2)    czy Spółka udostępniła dane osobowe Skarżącej w postaci imienia i nazwiska w piśmie Spółki z dnia 22 marca 2021 r. oraz w karcie do głosowania nad uchwałami z dnia 4 czerwca 2021 r. przekazanej pozostałym członkom Wspólnoty Mieszkaniowej przy ul.[…] w K., a jeśli tak, to kiedy, w jakim celu i na jakiej podstawie prawnej”. Wezwania, wysłane na adres siedziby Spółki, tj. ul. […],K., zostały skutecznie doręczone odpowiednio w dniach: 14 kwietnia 2022 r. oraz 1 czerwca 2022 r. Niniejsze wezwania zostały odebrane przez osobę dysponującą pieczęcią firmy Spółki. Ponadto, wezwanie z 27 maja 2022 r. zawierało pouczenie wskazujące, że niezłożenie wyczerpujących wyjaśnień może skutkować nałożeniem na Spółkę administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, lub w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 lit. a) lub 83 ust. 5 lit. e) Rozporządzenia 2016/679).

 

  1. W dniu 3 czerwca 2022 r. wpłynęły do UODO wyjaśnienia Spółki z 19 maja 2022 r. Spółka wskazała, że podstawą przetwarzania danych osobowych Skarżącej jest pełnienie przez Spółkę roli zarządcy, polegającej na zarządzaniu nieruchomością wspólną Wspólnoty Mieszkaniowej. Umocowanie to wynika z umowy o administrowanie nieruchomością, zawartej w dniu 1 września 2012 r. w Krakowie pomiędzy Wspólnotą Mieszkaniową a Spółką, która została przez Spółkę załączona do wyjaśnień wraz z aneksem o nr  (...). Spółka nie udzieliła odpowiedzi na pytanie nr 2 (zob. pkt 2 uzasadnienia niniejszej decyzji), lecz przedłożyła korespondencję mailową prowadzoną ze Skarżącą, z której to wynika kontakt Skarżącej ze Spółką oraz jej żądania w przedmiocie udostępnienia przez Spółkę skanów dokumentacji Wspólnoty Mieszkaniowej.
  2. W związku z powyższym, Prezes UODO zwrócił się do Spółki – pismem z 23 czerwca 2022 r. – o ponowne udzielenie wyjaśnień w sprawie, w szczególności udzielenia odpowiedzi na następujące pytania:

1)    „czy pomiędzy Spółką a Wspólnotą Mieszkaniową została zawarta umowa powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 Rozporządzenia 2016/679, a jeśli tak, proszę o przesłanie kopii umowy;

2)    jednoznaczne wskazanie, czy Spółka udostępniła dane osobowe Skarżącej w postaci imienia i nazwiska, zawarte w piśmie Spółki z dnia 22 marca 2021 r. oraz w karcie do głosowania nad uchwałami z dnia 4 czerwca 2021 r. przekazanej pozostałym członkom Wspólnoty Mieszkaniowej, a jeśli tak, to kiedy, w jakim celu i na jakiej podstawie prawnej oraz w jaki sposób zostały udostępnione ww. pisma zawierające dane osobowe Skarżącej”. Ponadto, niniejsze pismo zawierało pouczenie, wskazujące, że niezłożenie wyjaśnień może skutkować nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 lit. a) lub 83 ust. 5 lit. e) Rozporządzenia 2016/679 (zob. pkt 2 uzasadnienia niniejszej decyzji). Wezwanie to, również wysłane na adres siedziby Spółki, zostało odebrane w dniu 29 czerwca 2022 r. przez osobę dysponującą pieczęcią firmy Spółki.

 

  1. Z uwagi na brak odpowiedzi Spółki na powyższe pytania, Prezes UODO pismem z 18 sierpnia 2022 r. ponownie zwrócił się do Spółki o udzielnie wyjaśnień w niniejszej sprawie, jednocześnie doprecyzowując pytanie nr 2 (zob. pkt 4 uzasadnienia niniejszej decyzji), w następujący sposób:

2)    „jednoznaczne wskazanie czy Spółka udostępniła dane osobowe Skarżącej w postaci imienia i nazwiska pozostałym członkom Wspólnoty Mieszkaniowej, a jeśli tak, to:

a)    kiedy i komu (ilu członkom Wspólnoty) zostały udostępnione ww. dane osobowe Skarżącej, zawarte w piśmie Spółki z dnia 22 marca 2021 r. oraz w karcie do głosowania nad uchwałami z dnia 4 czerwca 2021 r.;

b)    w jakim celu i na jakiej podstawie prawnej, a także w jaki sposób”.

Wezwanie to, również zawierało pouczenie w przedmiocie nałożenia administracyjnej kary pieniężnej (zob. pkt 2 i 4 uzasadnienia niniejszej decyzji) oraz zostało wysłane na adres siedziby Spółki lecz nie zostało odebrane przez Spółkę i wróciło do UODO z adnotacją „ZWROT nie podjęto w terminie”.

 

  1. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się w aktach sprawy postępowania o sygn. DS.523.5931.2021. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest w tym przypadku – do rozpatrzenia sprawy o sygn. DS.523.5931.2021, a z drugiej strony – reakcji Spółki na żądania Prezesa UODO.

Postępowanie

  1. W związku z nieudzieleniem przez Spółkę wiążących i mających moc dowodową informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.5931.2021, Prezes UODO pismem z 24 listopada 2022 r. wszczął z urzędu – na podstawie art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DKE.561.37.2022, w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka została poinformowana pismem z 24 listopada 2022 r. (znak: DKE.561.37.2022), doręczonym Spółce 2 grudnia 2022 r., a osoba, która odebrała niniejszą informację o wszczęciu postępowania – Pani M. Z. – dysponowała pieczęcią firmy Spółki. Pismem tym, Spółka została zobowiązana – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j., zwanej dalej: „u.o.d.o.”) – do doręczenia informacji o osiągniętych dochodach za rok 2021 r. Spółka została poinformowana na czym polega zarzucane jej naruszenie, pouczona o sankcjach grożących za niniejsze naruszenie oraz została zobowiązana do udzielenia wyczerpujących wyjaśnień w postępowaniu o sygn. DS.523.5931.2021 (zob. pkt 4 – 5 uzasadnienia niniejszej decyzji), które mogłyby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto, Spółka została poinformowana o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
  2. Spółka nie podjęła żądanych działań w reakcji na informację o wszczęciu niniejszego postępowania do dnia wydania niniejszej decyzji.
  3. W dniu 15 listopada 2022 r. do UODO wpłynęło zgłoszenie Spółki w przedmiocie innego naruszenia ochrony danych osobowych w sprawie o sygn. DKN.5130.11423.2022. Naruszenie to polegało na nieuprawnionym uzyskaniu dostępu do informacji przez Spółdzielnię Mieszkaniową […] z siedzibą w K., w postaci imienia i nazwiska oraz adresu zamieszkania lub pobytu obecnych i potencjalnych klientów i użytkowników. Powyższe zgłoszenie Spółki nie jest przedmiotowo związane z postępowaniem o sygn. DKE.561.37.2022.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes UODO zważył, co następuje.

 

Przepisy prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679).
  2. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji swoich zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
  3. Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  4. Dodatkowo zarówno administrator jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjną karą pieniężną w wysokości do 10  000  000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  5. Zgodnie z art. 83 ust. 3 Rozporządzenia 2016/679, w przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.
  6. Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:

a)     charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)     umyślny lub nieumyślny charakter naruszenia,

c)     działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)     stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)     wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)      stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)     kategorie danych osobowych, których dotyczyło naruszenie,

h)     sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)       jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków,

j)       stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)     wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

  1. Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
  2. Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, dane niezbędne do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast, w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).
  3. Równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego (art. 103 u.o.d.o.).
  4. Stosowanie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Art. 7 ust. 1 u.o.d.o. stanowi zaś, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm., zwanej dalej: „k.p.a.”). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
  5. Art. 44 § 4 k.p.a. w związku z art. 44 § 1 k.p.a. w związku z art. 45 k.p.a. stanowią, że fikcja doręczenia zachodzi z upływem ostatniego dnia okresu, to jest 14 dni w przypadku doręczenia pisma na adres siedziby osoby prawnej przez operatora pocztowego, a pismo pozostawia się w aktach sprawy.

Ocena prawna

  1. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności, czy Spółka jest adresatem obowiązków, o których mowa w art. 31 i art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 lit. a) i ust. 5 lit. e) Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i podmioty przetwarzające. Z treści skargi, odpowiedzi Spółki z 19 maja 2022 r., a także z treści dowodów do nich załączonych wynika, że Spółka sprawuje funkcję zarządcy nieruchomości przy ul. […] w K., zatem jest podmiotem przetwarzającym dane osobowe członków Wspólnoty Mieszkaniowej, w tym Skarżącej w zakresie – co najmniej – jej imienia i nazwiska oraz adresu zamieszkania.
  2. W postępowaniu o sygn. DS.523.5931.2021, w celu uzyskania informacji niezbędnych do rozpatrzenia skargi i w oparciu o art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, Prezes UODO czterokrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy (zob. pkt 2, 4 – 5 uzasadnienia niniejszej decyzji). Spółka ustosunkowała się w sposób niewyczerpujący do pierwszych dwóch wezwań, udzielając pełnej odpowiedzi jedynie na pierwsze pytanie, trzecie wezwanie zostało skutecznie odebrane i pozostało bez odpowiedzi Spółki. Natomiast czwarte wezwanie nie zostało przez Spółkę odebrane, pomimo dwukrotnego jego awizowania, w związku z czym uznane zostało za doręczone Spółce w ramach fikcji doręczenia w dniu 6 września 2022 r. (zob. pkt 2 – 5 uzasadnienia niniejszej decyzji). Powyższe pozwala przyjąć, że do wiadomości Spółki dotarła informacja o toczącym się przed Prezesem UODO postępowaniu z jej udziałem oraz o kierowanych do niej żądaniach Organu.  Również wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej o sygn. DKE.561.37.2022 nie doprowadziło do udzielenia przez Spółkę informacji niezbędnych Prezesowi UODO do prowadzenia postępowania o sygn. DS.523.5931.2021 (zob. pkt 8 uzasadnienia niniejszej decyzji).
  1. Bezsporny jest zatem fakt, że Prezes UODO – realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – skierował do Spółki – w formie zgodnej z przepisami k.p.a. regulującymi wezwania – żądanie dostarczenia informacji potrzebnych do realizacji swoich zadań. Bezsporny jest też fakt, że Prezes UODO nie uzyskał od Spółki wszystkich żądanych informacji, co stanowi naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.
  2. Działania Spółki, polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych mu w postępowaniu o sygn. DS.523.5931.2021 wyczerpuje jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie, obejmuje również obowiązek przedstawienia Prezesowi UODO – na jego żądanie – wszelkich posiadanych przez podmiot przetwarzający informacji związanych z prowadzonym przez niego postępowaniem oraz udzielenie – w jego ramach – dostępu do wszelkich danych osobowych i informacji niezbędnych dla niniejszego postępowania. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Spółki, jest przeszkoda w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy.
  3. W sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine oraz art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 Rozporządzenia 2016/679) oraz w związku z niezapewnieniem przez Spółkę dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygn. DS.523.5931.2021 (art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679).
  4. Jednocześnie, wobec stwierdzenia naruszenia przez Spółkę przepisów, tj. art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, stosownie do treści art. 83 ust. 3 tego aktu prawnego, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu Prezesowi UODO przez Spółkę dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań, tj. naruszenie przepisu art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, zagrożone karą do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. O powadze tego naruszenia świadczy to, że brak dostępu do danych osobowych i informacji, których Prezes UODO żądał i żąda od Spółki, stoi na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy.

Przesłanki i zasady wymiaru administracyjnie kary pieniężnej

  1. Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg przesłanek wymienionych w punktach od a) do k) wskazanego wyżej przepisu (zob. pkt 15 uzasadnienia niniejszej decyzji). Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
  2. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Postępowanie Spółki w niniejszej sprawie, polegające na uchylaniu się od odpowiedzi na odebraną przez Spółkę korespondencję, kierowaną do niej przez Prezesa UODO, skutkujące niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań w postępowaniu o sygn. DS.523.5931.2021, należy uznać za godzące w system ochrony danych osobowych, mający dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo fakt, że dokonane przez Spółkę naruszenie trwa od 7 lipca 2022 r. (to jest data upływu 7-dniowego terminu, wyznaczonego na złożenie wyjaśnień w trzecim wezwaniu Prezesa UODO, to jest z 23 czerwca 2022 r., liczonego od momentu odbioru tego wezwania) do dnia wydania niniejszej decyzji.

  1. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).

W ocenie Prezesa UODO postępowanie Spółki w sprawie o sygn. DS.523.5931.2021, polegające na braku współpracy w zapewnieniu organowi dostępu do informacji niezbędnych do jej rozstrzygnięcia jest świadome i celowe. Pisma, kierowane na adres siedziby Spółki, były odbierane przez pracownika, który dysponował pieczęcią firmową Spółki, a w przypadku doręczenia informacji o wszczęciu postępowania o sygn. DKE.561.37.2022 imię i nazwisko osoby odbierającej pismo jest tożsame z osobą prowadzącą korespondencję mailową ze Skarżącą, która to stanowiła załącznik do odpowiedzi Spółki z dnia 19 maja 2022 r. (zob. pkt 3 uzasadnienia niniejszej decyzji). Powyższe, dostatecznie uprawdopodabnia, że niniejsza osoba świadczy pracę, bądź współpracuje ze Spółką, a jednocześnie potwierdza to świadomość Spółki w kwestii toczącego się postępowania. W związku z czym, nie ulega wątpliwości, że żądania Prezesa UODO dotarły do świadomości Spółki (zob. pkt 2 – 5, 7 uzasadnienia niniejszej decyzji). Warto zauważyć, że informacja o wszczęciu niniejszego postępowania (pismo Prezesa UODO z 24 listopada 2022 r.) – oprócz informacji o dokonanym przez Spółkę naruszeniu oraz o zagrożeniu za to naruszenie sankcją w postaci administracyjnej kary pieniężnej – informowało również Spółkę o istniejącej nadal możliwości przedstawienia informacji, których żądał od niej Prezes UODO w postępowaniu o sygn. DS.523.5931.2021. Ponadto, Spółka zgłosiła naruszenie ochrony danych osobowych w innej sprawie, które wpłynęło do UODO w dniu 15 listopada 2022 r. (zob. pkt 9 uzasadnienia niniejszej decyzji), a nie udzieliła odpowiedzi na wyżej wskazaną informację o wszczęciu postępowania, która została doręczona Spółce w dniu 2 grudnia 2022 r. Oznacza to, że działanie Spółki w niniejszej sprawie ma charakter celowy, a przede wszystkim Spółka jest w pełni świadoma swojego postępowania, w sytuacji gdy nie udziela wyjaśnień w toczącym się postępowaniu, a wykazuje postawę aktywną w innej sprawie o sygn. DKN.5130.11423.2022       .

  1. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).

W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO. W szczególności Spółka nie przedstawiła informacji żądanych przez Prezesa UODO w trzecim oraz czwartym wezwaniu do złożenia wyjaśnień w postępowaniu o sygn. DS.523.5931.2021, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków.

  1. W ocenie Prezesa UODO, w odniesieniu do niniejszej sprawy, żadna z okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej niniejszą decyzją kary.
  2. Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzenie w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
  • Wszelkie stosowane wcześniej naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679). Prezes UODOnie stwierdził, aby Spółka dokonała wcześniej jakichkolwiek naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ przestrzeganie przepisów o ochronie danych osobowych jest stanem neutralnym, wynikającym z ciążących na Spółce obowiązków prawnych, nie można mieć również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
  • Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679). Informację o stwierdzeniu w niniejszej sprawie naruszeniu, Prezes UODO uzyskał z urzędu, analizując przebieg toczącego się przed Prezesem UODO postępowania o sygn. DS.523.5931.2021. Jest to typowy sposób powzięcia informacji o tego rodzaju naruszeniu wynikający z kompetencji Prezesa UODO do oceny przebiegu postępowania i oceny jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Okoliczności tej nie można przypisać zatem ani łagodzącego ani obciążającego wpływu na ocenę stwierdzonego naruszenia.
  • Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji, Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania takich działań związanych ze stosowaniem takich środków i jest to okoliczność neutralna dla oceny naruszenia.
  • Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679). Spółka nie stosujeinstrumentów, o których mowa w art. 40 i 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów lub podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
  • Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO nie stwierdził, żeby Spółka w związku z nieudzieleniem żądanych przez niego informacji odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Spółkę takich korzyści, jako stan neutralny, niezależnie od woli i działania Spółki, jest okolicznością która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” przez podmiot dokonujący naruszenia.
  • Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności, mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
  1. Pozostałe okoliczności z art. 83 ust. 2 Rozporządzenia 2016/679 nie miały wpływu na dokonaną przez Prezesa UODO ocenę naruszenia, ze względu na specyficzny charakter naruszenia, dotyczący stosunku podmiotu przetwarzającego z organem nadzorczym, a nie stosunku administratora lub podmiotu przetwarzającego z osobami, których dane dotyczą. Siłą rzeczy okoliczności te nie wystąpiły w sprawie, a są to:
  • Liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w postaci nieudzielenia przez Spółkę Prezesowi UODO dostępu do niezbędnych informacji oraz braku współpracy Spółki z Prezesem UODO, nie wiąże się z naruszeniem danych osobowych żadnej osoby, a w konsekwencji w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych;
  • Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie;
  • Ocena stopnia odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
  • Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezapewnieniu dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań nie wiąże się bezpośrednio z naruszeniem ochrony jakichkolwiek danych osobowych.
  1. Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść się należy do poglądów doktryny prawa o ochronie danych osobowych. „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji” (zob. P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz. Legalis). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do sytuacji i majątkowej ukaranego podmiotu. Takie odniesienie się jest konieczne, gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz „niezauważalna” dla niego) nie będzie wobec niego skuteczna i odstraszająca. Natomiast, kara zbyt dolegliwa (kara, której uiszczenie zagrozi podstawom bytu materialnego ukaranego) nie będzie stanowić kary proporcjonalnej.
  2. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu odpowiada zasadom wskazanym w art. 83 ust. 1. Jej dolegliwość w wymiarze finansowym zdyscyplinuje Spółkę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygn. DS.523.5931.2021, jak i ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. W wymiarze dyscyplinującym Spółkę kara będzie więc skuteczna (osiągnie swój cel). W tym miejscu wskazać należy, że nałożenie na Spółkę administracyjnej kary pieniężnej jest – wobec dotychczasowego jego postępowania jako strony w sprawie o sygn. DS.523.5931.2021 – niezbędne. Należy wskazać, że jest jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi mu uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu.
  3. Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za 2021 rok (zob. pkt 7 uzasadnienia niniejszej decyzji), ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., ogólnie dostępne dane finansowe dotyczące Spółki. Według sprawozdania finansowego za 2020 rok, złożonego do Krajowego Rejestru Sądowego, Spółka osiągnęła przychody netto w wysokości 654 367,45 zł.
  4. Prezes UODO na podstawie art. 83 ust. 3 oraz art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 w związku z art. 103 u.o.d.o., za naruszenie opisane w sentencji niniejszej decyzji administracyjnej, nałożył na Spółkę – stosując średni kurs euro z dnia 30 stycznia 2023 r. (gdzie 1 EUR = 4,7160 PLN) – administracyjną karę pieniężną w kwocie 14 148 zł (słownie: czternaście tysięcy sto czterdzieści osiem złotych, co stanowi równowartość 3 000 EUR – słownie: trzy tysiące euro).

Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.

 

 

Pouczenie

      • Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 259 ze zm., zwanej dalej: „p.p.s.a.”), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 – 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 u.o.d.o. wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w  zakresie administracyjnej kary pieniężnej.
      • W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
      • Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP 0/0 Warszawa nr 28 1010 1010 0028 8622 3100 0000.
      • Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2022 r. poz. 2651 ze zm.), od dnia następującego po dniu złożenia wniosku.
print Drukuj artykuł
Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2023-05-31
Wprowadził informację:
user Mathias Proch
date 2023-07-21 14:15:08
Ostatnio modyfikował:
user Łukasz Kuligowski
date 2023-07-27 10:56:11