PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 10 sierpnia 2023 r.

Decyzja

DOKE.561.9.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2023 r., poz. 775 t.j.) w związku z art. 7 ust. 1 i 2 i art. 60ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na R. Sp. z o.o. z siedzibą w O. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia R. Sp. z o.o. z siedzibą w O. przy ul. (…) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DS.523.6522.2022.

UZASADNIENIE

Stan faktyczny

  1. Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO”) wpłynęła skarga Pana M. N., zam. w O. przy ul. (…) (zwanego dalej: „Skarżącym”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez R. Sp. z o.o. z siedzibą w O. przy ul. (…) (zwaną dalej: „Spółką”), polegające na niespełnieniu wobec Skarżącego obowiązku informacyjnego wynikającego z art. 15 Rozporządzenia 2016/679 oraz na udostępnieniu danych osobowych Skarżącego na rzecz B. Sp. z o.o. z siedzibą w O. przy ul. (…).

W związku z powyższym, celem rozpatrzenia zarzutów podnoszonych przez Skarżącego, Prezes UODO wszczął postępowanie wyjaśniające o sygn. DS.523.6522.2022.

  1. W ramach wyżej wskazanego postępowania – działając na podstawie art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 – Prezes UODO pismem z 7 lutego 2023 r. wezwał Spółkę do złożenia wyjaśnień w sprawie poprzez wskazanie / przedłożenie:

1)     „konkretnej podstawy prawnej przetwarzania poszczególnych danych osobowych Skarżącego przez Spółkę,

2)     kopii dokumentu, który by potwierdzał okoliczność chęci zmiany przez Skarżącego pracodawcy z R. Sp. z o.o. na B. Sp. z o.o., w tym zgody na udostępnienie jego danych na rzecz B. Sp. z o.o.,

3)     w jakim zakresie Spółka udostępniła dane Skarżącego na rzecz B. Sp. z o.o.,

4)     kopii umowy powierzenia danych pomiędzy Spółką a B. Sp. z o.o., na podstawie której Spółka udostępniła dane Skarżącego.”

Wezwanie to, wysłane na ujawniony w Krajowym Rejestrze Sądowym adres siedziby Spółki, tj. ul. (…), (…) O., zostało odebrane przez Spółkę 10 lutego 2023 r. Mimo odbioru korespondencji, Spółka nie ustosunkowała się w żaden sposób do żądania organu ochrony danych osobowych.

  1. Wobec powyższego – pismem z 19 kwietnia 2023 r. – Prezes UODO ponownie zwrócił się do Spółki z wezwaniem do złożenia wyjaśnień niezbędnych dla dokonania oceny zasadności skargi. Spółkę pouczono jednocześnie, że brak wyczerpującej odpowiedzi na niniejsze wezwanie skutkować może nałożeniem na Spółkę administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Pomimo odbioru pisma 24 kwietnia 2023 r., Spółka nie przedłożyła żądanych wyjaśnień.
  2. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, wystosowanej przez Prezesa UODO do Spółki, znajdującej się w aktach postępowania o sygn. DS.523.6522.2022. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – to jest do rozpatrzenia sprawy o sygn. DS.523.6522.2022. Z drugiej zaś strony, stanowi bezpośredni dowód braku współpracy Spółki z Prezesa UODO w ramach wykonywania przez niego jego zadań.

Postępowanie

  1. W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.6522.2022, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.9.2023, w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka została poinformowana pismem z 1 czerwca 2023 r. (znak:DOKE.561.9.2023), doręczonym Spółce 6 czerwca 2023 r. Pismem tym, Spółka została zobowiązana – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2022 r. Spółkę poinformowano również, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się do Spółki w postępowaniu o sygn. DS.523.6522.2022, może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej bądź spowodować odstąpienie od jej nałożenia.
  2. W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej – pismem z 20 czerwca 2023 r. – Spółka, reprezentowana przez r. pr. D. A. z Kancelarii Radcy Prawnego z siedzibą w O. przy ul. (…), złożyła obszerne wyjaśnienia w sprawie. W kwestii skargi Pana M. N. Spółka wskazała, że „(…) przetwarzała i przetwarza następujące dane osobowe Skarżącego: „imiona i nazwisko, imię ojca i matki, datę i miejsce urodzenia, numer PESEL, miejsce zameldowania, miejsce zamieszkania, adres do korespondencji, dane kontaktowe, tj.: numer telefonu oraz adres e-mail, serię i numer dowodu osobistego, datę i miejsce wydania dowodu osobistego, organ, który wydał dowód osobisty, informację o właściwym dla Skarżącego Urzędzie Skarbowym, informację czy Skarżący jest, czy nie jest rencistą, informację czy Skarżący jest, czy nie jest emerytem, informację czy Skarżący jest, czy nie jest zatrudniony w innym zakładzie pracy, informację czy Skarżący posiada, czy nie posiada orzeczenia o stopniu niepełnosprawności, informację o poprzednich miejscach zatrudnienia, informację o osobie, którą należy zawiadomić w razie wypadku wraz z podaniem imienia i nazwiska, adresu oraz numerów telefonu tej osoby, informację, że Skarżący jest rodzicem – opiekunem dziecka do lat 14 wraz z podaniem imienia i nazwiska dziecka Skarżącego oraz daty i miejsca urodzenia, informację o Funduszu Zdrowia do którego należy Skarżący, informację o numerze rachunku bankowego Skarżącego i nazwie banku do wypłaty wynagrodzenia, dane dotyczące zdolności do pracy, dane o wykształceniu i doświadczeniu zawodowym Skarżącego oraz dane dotyczące stanowiska pracy i realizacji umowy o pracę." Jednocześnie Spółka powołała szczegółowe podstawy prawne przetwarzania wyżej wymienionych kategorii danych osobowych. Jak wynikało z wyjaśnień Spółki, dane osobowe Skarżącego udostępniła ona na rzecz B. Sp. z o.o. – pomimo braku zawarcia z tymże podmiotem umowy powierzenia danych. Spółka przyznała także, iż nie dysponuje dokumentem, który potwierdzałby okoliczność chęci zmiany przez Skarżącego pracodawcy ze Spółki na B. Sp. z o.o., bądź wyrażenia przez Skarżącego zgody na udostępnienie jego danych osobowych na rzecz B. Sp. z o.o.
  3. W kwestii naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, Spółka oświadczyła, iż brak właściwej współpracy z Prezesem UODO, spowodowany był „(…) brakami kadrowymi w zakresie administracyjnej obsługi Spółki”. Ponadto, Spółka wyraziła żal z powodu zaistnienia okoliczności statuujących naruszenie oraz zadeklarowała pełną wolę współpracy z Prezesem UODO w przyszłości.
  4. W związku z koniecznością uzupełnienia materiału dowodowego zgromadzonego dotychczas w sprawie o sygn. DS.523.6522.2022, Prezes UODO raz jeszcze – pismem z 11 lipca 2023 r. – zwrócił się do Spółki z żądaniem przedstawienia dodatkowych informacji, w tym wskazania, czy Spółka udostępniła dane osobowe Skarżącego, zawarte w skierowaniu na badania oraz orzeczeniu lekarskim (które to dokumenty stanowiły część akt pracowniczych Skarżącego, prowadzonych przez Spółkę) na rzecz B. Sp. z o.o. W przypadku udzielenia odpowiedzi twierdzącej, Spółka została zobowiązana do podania daty, podstawy prawnej oraz celu udostępnienia tych danych.
  5. W odpowiedzi na powyższe wezwanie, Spółka – pismem z 20 lipca 2023 r. – złożyła dodatkowe wyjaśnienia, w których udzieliła szczegółowych odpowiedzi na pytania sformułowane przez organ ochrony danych osobowych.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679). Rozporządzenia 2016/679) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).
  2. Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
  3. Naruszenie przepisów Rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  4. Dodatkowo zarówno administrator, jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest, zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679, administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  5. Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
  6. Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2022 r., poz. 2000 ze zm., zwanej dalej: „k.p.a.”). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

  1. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności czy Spółka jest adresatem obowiązków, o których mowa w art. art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 i 5 Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają bowiem obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i podmioty przetwarzające. Z treści skargi Pana M. N. oraz załączonych do niej dokumentów wynika, że w okresie od 19 kwietnia 2022 r. do 30 czerwca 2022 r. Skarżący świadczył pracę na rzecz Spółki na podstawie zawartej umowy o pracę na czas nieokreślony. Spółka, działając jako pracodawca Skarżącego, udostępniła jego dane osobowe zgromadzone w aktach pracowniczych na rzecz podmiotu trzeciego – B. Sp. z o.o., w którego strukturach Skarżący został następczo zatrudniony. Okoliczność ta nie budzi żadnych wątpliwości, w szczególności wobec wyjaśnień Spółki złożonych w niniejszym postępowaniu, spójnych w wyżej wskazanym zakresie z twierdzeniami Pana M. N. W kontekście powyższego wskazać należy, iż stosownie do obowiązujących przepisów prawa, a zwłaszcza zapisów Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej, to na pracodawcy spoczywa obowiązek prowadzenia oddzielnie dla każdego pracownika akt osobowych (§2 rozporządzenia), z uwagi na co to właśnie pracodawca, w odniesieniu do danych osobowych zawartych w aktach osobowych pracownika, występuje w roli administratora tych danych. W tym stanie rzeczy należy przyjąć, iż w takim właśnie charakterze działała Spółka, w stanie faktycznym opisanym przez Pana M. N., w odniesieniu do danych osobowych Skarżącego, udostępnionych na rzecz B. Sp. z o.o. W związku z tym więc, że Spółka jest administratorem w rozumieniu art. 4 pkt 7 Rozporządzenia 2016/679, Prezes UODO uprawniony był – zgodnie z art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679 – do żądania od Spółki dostarczenia danych osobowych i informacji, niezbędnych do realizacji jego zadań, w tym przypadku do merytorycznego rozpatrzenia sprawy o sygn. DS.523.6522.2022, a Spółka – na tej samej podstawie prawnej – zobowiązana była takie informacje przedstawić.
  2. Prezes UODO dwukrotnie wezwał Spółkę do złożenia wyjaśnień w sprawie o sygn. DS.523.6522.2022. Zarówno wezwanie z 7 lutego 2023 r., jak i wezwanie z 19 kwietnia 2023 r. zostały odebrane przez Spółkę – odpowiednio 10 lutego 2023 r. oraz 24 kwietnia 2023 r. – co uzasadnia przekonanie, że Spółka miała obiektywną możliwość zapoznania się z treścią kierowanych do niej pism oraz udzielenia na nie odpowiedzi w zakreślonym przez organ ochrony danych osobowych terminie. Brak reakcji Spółki na przedmiotową korespondencję, bezsporny wobec zgromadzonego w niniejszej sprawie materiału dowodowego, poskutkował koniecznością wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, w efekcie którego dopiero Spółka podjęła współpracę z Prezesem UODO oraz złożyła wyczerpujące wyjaśnienia w sprawie o sygn. DS.523.6522.2022.
  3. W ocenie Prezesa UODO przedstawione przez Spółkę w piśmie z 20 czerwca 2023 r. uzasadnienie braku odpowiedzi na jego wezwania (zob. pkt 7 uzasadnienia niniejszej decyzji), jakkolwiek może być uznane za wiarygodne, nie stanowi przesłanki wyłączającej odpowiedzialność Spółki. Do obowiązków Spółki należało bowiem zapewnienie takiej organizacji obiegu korespondencji, która zezwoliłaby na terminowe wypełnienie przez Spółkę obowiązków nałożonych przepisami Rozporządzenia 2016/679. Spółka, jako podmiot profesjonalnie prowadzący działalność gospodarczą, powinna określić – w wewnętrznym regulaminie organizacyjnym, bądź poprzez odpowiednie sformułowanie zakresu obowiązków jej pracowników – osobę upoważnioną do odbioru wpływającej do Spółki korespondencji. W takim stanie rzeczy „doręczenie [korespondencji] następuje w dacie potwierdzenia przez tę osobę odbioru pisma. Na jej ustalenie nie ma natomiast wpływu to, czy osoba ta przekazała następnie pismo osobom powołanym do dokonania czynności, których pismo dotyczyło. Jest to już sprawa wewnętrznej organizacji pracy jednostki organizacyjnej będącej adresatem pisma. Obowiązkiem każdej jednostki jest takie zorganizowanie odbioru pism, aby czynności tej dokonywała osoba upoważniona i to właśnie ta jednostka ponosi odpowiedzialność za właściwe zorganizowanie przyjmowania pism i obiegu korespondencji, która powinna odbywać się w sposób ciągły i niezakłócony” (zob. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 grudnia 2020 r. sygn. akt VI SA/Wa 1697/20, LEX nr 3162004). Uwzględniając powyższe należy skonstatować, że w sytuacji braków kadrowych w zakresie administracyjnej obsługi Spółki (które to braki powołała Spółka w piśmie z 20 czerwca 2023 r. jako przyczynę braku odpowiedzi na kierowane do niej wezwania Prezesa UODO), powinna ona w trybie doraźnym oddelegować do realizacji czynności związanych z obsługą wpływających do Spółki pism jakiegokolwiek innego pracownika – co najmniej co czasu uzupełnienia nieobsadzonych wakatów. Doręczenie korespondencji wystosowanej do Spółki w postępowaniu o sygn. DS.523.6522.2022, dokonane 10 lutego 2023 r. oraz 24 kwietnia 2023 r., spowodowało rozpoczęcie biegu terminów na dokonanie czynności, do których Spółka została wezwana przez Prezesa UODO – w tym wypadku do złożenia wyjaśnień i dowodów niezbędnych organowi nadzorczemu do realizacji jego zadań. Brak jakiejkolwiek aktywności Spółki w tym zakresie niewątpliwie obciąża Spółkę.
  4. Mimo oczywistego zaniedbania po stronie Spółki, Prezes UODO stanął na stanowisku, że stwierdzone naruszenie, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – jakkolwiek wysoce naganne – zostało przez Spółkę usunięte niezwłocznie po powzięciu informacji o niniejszym postepowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 26 czerwca 2023 r. wyjaśnień Spółki. Składając szczegółowe wyjaśnienia, Spółka wykazała aktywną postawę oraz gotowość do dalszej współpracy z organem nadzorczym, zarówno w niniejszym postępowaniu, jak i w ewentualnych przyszłych postępowaniach wszczętych przez Prezesa UODO, których Spółka byłaby stroną. Prowadzi to do wniosku, że brak odpowiedzi Spółki na wezwania Prezesa UODO miał charakter wyłącznie incydentalny. Za dowód umacniający tę tezę należy uznać okoliczność, iż w postępowaniu o sygn. DS.523.6522.2022 Spółka – wezwana pismem Prezesa UODO z 11 lipca 2023 r. do przedstawienia dodatkowych wyjaśnień – udzieliła w piśmie z 20 lipca 2023 r. (a zatem w terminie zakreślonym przez organ nadzorczy) wszelkich, żądanych od niej informacji. Powyższe wskazuje, że deklaracja Spółki, co do zamiaru należytego wywiązywania się z obowiązku współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań, nie miała charakteru pozornego, ukierunkowanego wyłącznie na uniknięcie sankcji ustanowionych w przepisach Rozporządzenia 2016/679, lecz stanowiła wyraz realnej woli Spółki, gotowej do dalszej kooperacji z organem ochrony danych osobowych.
  5. Mając na uwadze powyższe, Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679 i poczytywane będzie na jej niekorzyść.
  6. W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.

Pouczenie

Decyzja jest ostateczna. Od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 zł. W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2023-08-10
Wprowadził informację:
user Mathias Proch
date 2023-11-08 11:43:28
Ostatnio modyfikował:
user Edyta Madziar
date 2024-01-16 14:00:44