DOKE.561.5.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm.) w związku z art. 7 ust. 1 i 2, art. 60, art. 101 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j.) oraz na podstawie art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. l, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35, zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na N. Sp. z o.o. z siedzibą w W przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez N. Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, nakłada na N. Sp. z o.o. z siedzibą w W. przy ul. (…) administracyjną karę pieniężną w kwocie 11 790 PLN (słownie: jedenaście tysięcy siedemset dziewięćdziesiąt złotych).

 

UZASADNIENIE

Stan faktyczny

  1. Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej „Prezesem UODO”, „Organem”) w dniu 14 listopada 2022 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych w N. Sp. z o.o. z siedzibą w W. przy ul. (…) (zwaną dalej „Spółką”), polegającym na ujawnieniu przez pracownika Spółki danych osobowych pracowników i klientów Spółki osobie trzeciej. Niniejsze zgłoszenie naruszenia ochrony danych osobowych zostało przekazane drogą elektroniczną za pośrednictwem elektronicznej Platformy Usług Administracji Publicznej (zwanej dalej „ePUAP”), a pismo zostało podpisane podpisem elektronicznym przez Panią E. Z. – Prezesa Zarządu Spółki. W związku z koniecznością pozyskania informacji, które są niezbędne Prezesowi UODO do oceny okoliczności związanych z naruszeniem ochrony danych osobowych w Spółce, Prezes UODO wszczął postępowanie wyjaśniające o sygn. DKN.5130.11394.2022.

  2. W ramach wyżej wskazanego postępowania – działając na podstawie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – Prezes UODO pismem z 17 listopada 2022 r. wezwał Spółkę do wskazania:

1)   „dlaczego administrator zawiadomił jedynie 17 osób, gdy tymczasem incydent dotyczył naruszenia ochrony danych osobowych 18 osób;

2)   czy administrator zamierza zgłosić możliwość popełnienia przestępstwa odpowiednim organom ścigania;

3)   analizy ryzyka na podstawie której administrator stwierdził brak wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych;

4)   szczegółowych informacji w zakresie środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Wskazany przez administratora środek zaradczy odnosi się raczej do zapobiegania występowaniu analogicznych naruszeń w przyszłości, nie stanowi zaś propozycji minimalizacji negatywnych skutków dla osób, których dane uległy już naruszeniu;

5)   powodów, dla których administrator zdecydował się na telefoniczne zawiadomienie podmiotów danych o naruszeniu ochrony danych osobowych, biorąc pod uwagę treść art. 12 ust. 1 Rozporządzenia 2016/679, zgodnie z którym administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15 – 22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosowanych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. W tym miejscu należy odwołać się do wytycznych Grupy Roboczej Art. 29 w sprawie zgłaszania naruszeń ochrony danych osobowych zgodnie z Rozporządzeniem 2016/679 (WP250rev.01), z których wynika, że osoby, których dane dotyczą „(…) należy zawiadamiać o naruszeniu za pomocą specjalnie do tego przeznaczonych wiadomości (…). Dzięki temu zawiadomienie o naruszeniu będzie jasne i przejrzyste”. Takie zawiadomienie musi być też skuteczne i umożliwiać osobom, których dane zostały naruszone, wielokrotną możliwość zapoznania się z informacją dotyczącą naruszenia ochrony danych osobowych. Telefoniczne przekazanie zawiadomienia o naruszeniu ochrony danych osobowych wyklucza taką możliwość;

6)   ilu spośród 18 osób było pracownikami administratora, a ilu klientami firmy. W przypadku danych osobowych „klientów firmy”, proszę o informację, kto decydował o celach i środkach przetwarzania tych danych – N. Sp. z o.o. (jako samodzielny administrator), czy też klienci, powierzający N. Sp. z o.o. przetwarzanie swoich danych;

7)   w przypadku gdyby N. Sp. z o.o. (dalej Spółka), w stosunku do danych osobowych „klientów firmy”, przysługiwał status procesora proszę o informację, czy Spółka zawiadomiła klientów o wycieku ich danych osobowych? Jeżeli tak, proszę o wskazanie danych teleadresowych tych administratorów. Jeżeli nie, proszę wskazać dlaczego Spółka zaniechała zawiadomienia ww. podmiotów o wystąpieniu naruszenia ochrony danych osobowych;

8)   jakie środki organizacyjne lub techniczne wprowadzono przed wystąpieniem naruszenia w Spółce, aby przeciwdziałać wystąpieniu naruszenia, które miało miejsce. Proszę o przekazanie szczegółowych informacji;

9)   jak środek bezpieczeństwa, o którym mowa w pkt 9B formularza zgłoszenia naruszenia, tj. „Większe szyfrowanie danych osób”, w ocenie administratora będzie zapobiegał incydentom polegającym na „(…) przekazywał bez zgody pracodawcy informacje oraz wysłał dane wrażliwe firmy osobie trzeciej (…)”;

10)proszę o wskazanie, jakie konkretnie informacje, o których mowa w art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. b), c), d) Rozporządzenia 2016/679, przekazano osobom, których dane dotyczą. Proszę o przekazanie szczegółowych informacji;

11)ilu osób dotyczyło naruszenie takich kategorii danych jak imię, nazwisko, numer PESEL oraz seria i numer dowodu osobistego”.

 

Wezwanie to, skierowane zostało na adres wskazany przez Prezesa Zarządu Spółki w zgłoszeniu naruszenia ochrony danych osobowych, tj. ul. (…), W. i zostało doręczone Prezesowi Zarządu Spółki w dniu 23 listopada 2022 r. Pomimo powzięcia informacji przez Prezesa Zarządu Spółki o toczącym się postępowaniu o sygn. DKN.5130.11394.2022, Spółka nie udzieliła odpowiedzi na wezwanie Prezesa UODO z 17 listopada 2022 r.

  1. W związku z powyższym Prezes UODO ponownie – pismem z 23 stycznia 2023 r. – zwrócił się do Spółki o udzielenie wyjaśnień w sprawie o sygn. DKN.5130.11394.2022, załączając jednocześnie kopię wezwania Prezesa UODO w przedmiotowej sprawie z 17 listopada 2022 r. (zob. pkt 2 uzasadnienia niniejszej decyzji). Analogicznie jak w przypadku pierwszego wezwania, wezwanie z 23 stycznia 2023 r. zostało doręczone Prezesowi Zarządu Spółki w dniu 1 lutego 2023 r., na adres wskazany w zgłoszeniu naruszenia ochrony danych osobowych (zob. pkt 2 uzasadnienia niniejszej decyzji) i nie doprowadziło do udzielenia odpowiedzi przez Spółkę na zadane pytania w postępowaniu o sygn. DKN.5130.11394.2022.
  2. Wezwania kierowane do Spółki w postępowaniu o sygn. DKN.5130.11394.2022 – tj. zarówno pismo z 17 listopada 2022 r., jak i pismo z 23 stycznia 2023 r. – zawierały pouczenie wskazujące, że brak złożenia wyjaśnień w sprawie, skutkować może nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679.
  3. Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, którą Prezes UODO kierował do Spółki, która znajduje się w aktach sprawy o sygn. DKN.5130.11394.2022. Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji potrzebnych do realizacji swoich zadań – w tym przypadku do rozpatrzenia sprawy o sygn. DKN.5130.11394.2022, a z drugiej strony odzwierciedla brak reakcji Spółki na żądania Prezesa UODO.

Postępowanie

  1. W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DKN.5130.11394.2022, Prezes UODO wszczął wobec niej z urzędu – na podstawie art. 83 ust. 4 lit. a) oraz 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.5.2023 w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a)  i  e)  Rozporządzenia 2016/679. O wszczęciu postępowania Spółka poinformowana została pismem z 7 kwietnia 2023 r. (znak: DOKE.561.5.2023. Korespondencja ta, skierowana na adres wskazany w zgłoszeniu naruszenia ochrony danych osobowych z 14 listopada 2022 r. (zob. pkt 2 uzasadnienia niniejszej decyzji) została doręczona pełnomocnikowi adresata w dniu 19 kwietnia 2023 r. Pismem tym Spółka wezwana została, celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 t.j., zwanej dalej „u.o.d.o.”), do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez nią w roku 2022. Spółka poinformowana została, na czym polega zarzucane jej naruszenie; została również pouczona o sankcjach grożących za to naruszenie, a także o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niej Prezes UODO w postępowaniu o sygn. DKN.5130.11394.2022, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie. Ponadto Spółka poinformowana została o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
  2. Spółka nie podjęła żądanych działań w reakcji na informację o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z dnia 7 kwietnia 2023 r., tj. nie przedłożyła sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego w 2022 r., a także nie złożyła wyjaśnień do sprawy o sygn. DKN.5130.11394.2022. W związku z powyższym, Prezes UODO dając Spółce dodatkową możliwość podjęcia współpracy z Organem przed zakończeniem postępowania, skierował do niej w dniu 19 maja 2023 r. pismo przewodnie wraz z kopią informacji o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 7 kwietnia 2023 r. o sygn. DOKE.561.5.2023 na aktualny adres siedziby Spółki, tj. (…), W. Korespondencja ta została doręczona Prezesowi Zarządu Spółki w dniu 6 czerwca 2023 r.
  3. Wobec braku odpowiedzi Spółki na informację o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z dnia 7 kwietnia 2023 r. i na korespondencję z 19 maja 2023 r., Prezes UODO wysłał ponownie na aktualny adres siedziby Spółki (zob. pkt 7 uzasadnienia niniejszej decyzji) w dniu 11 lipca 2023 r. pismo z prośbą o złożenie odpowiedzi na pytania zawarte w informacji o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 7 kwietnia 2023 r. wraz z wezwaniem do przedstawienia sprawozdania finansowego za rok 2022, a w przypadku jego braku dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Spółkę w 2022 r. (zob. pkt 6 uzasadnienia niniejszej decyzji). Korespondencja ta została doręczona Prezesowi Zarządu Spółki w dniu 28 lipca 2023 r.
  4. W dniu 15 września 2023 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Prezesa Zarządu Spółki w sprawie o sygn. DOKE.561.5.2023. W jego treści Prezes Zarządu Spółki wskazała, że „[…] wezwania do złożenia wyjaśnień z 17 listopada 2022 r. i 23 stycznia 2023 r. nie zostały […] [przez nią] odebrane, jak również przez […] [jej] pracowników, nie […] [jest] w ich posiadaniu i nie […] mogła się z nimi zapoznać”, a dopiero pismem z 19 maja 2023 r. mogła zapoznać się z treścią pytań kierowanych do Spółki w związku ze zgłoszeniem naruszenia z 14 listopada 2022 r. Pismem tym Prezes Zarządu Spółki usprawiedliwiała brak odpowiedzi na kierowaną do Spółki korespondencję w niniejszym postępowaniu swoimi problemami zdrowotnymi oraz poddaniem się licznym badaniom związanym z diagnostyką choroby. Na tę okoliczność Prezes Zarządu Spółki wskazała, że „[…] w razie potrzeby […] [posiada] dokumentację medyczną, którą […] [jest] w stanie przedstawić”. Do niniejszego pisma Prezes Zarządu Spółki przedłożyła zeznanie o wysokości osiągniętego dochodu (poniesionej straty) i należnego podatku dochodowego od osób prawnych (CIT-8) za rok obrotowy 2022 w celu spełnienia wobec Organu obowiązku wynikającego z art. 101a ust. 1 u.o.d.o. oraz zobowiązała się do złożenia wyjaśnień w niniejszej sprawie w przeciągu 7 dni. Do dnia wydania niniejszej decyzji administracyjnej Spółka nie złożyła wyjaśnień, a tym samym nie podjęła żądanych działań w reakcji na informację o wszczęciu postępowania o sygn. DOKE.561.5.2023.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

  1. Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO prowadzi m.in. postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679), w tym postępowania mającego na celu weryfikowanie przestrzegania przepisów art. 33 Rozporządzenia 2016/679 dotyczącego zgłoszenia Organowi naruszenia ochrony danych osobowych (art. 33 ust. 5 zdanie drugie Rozporządzenia 2016/679).
  2. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji swoich zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).
  3. Naruszenie przepisów Rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 tego aktu prawnego, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  4. Dodatkowo zarówno administrator jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
  5. Zgodnie z art. 83 ust. 3 Rozporządzenia 2016/679, w przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.
  6. Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 Rozporządzenia 2016/679:

a)     charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)     umyślny lub nieumyślny charakter naruszenia,

c)     działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)     stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)     wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)      stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)     kategorie danych osobowych, których dotyczyło naruszenie,

h)     sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)       jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,

j)       stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)     wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

  1. Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 Rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).
  2. Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.).
  3. Równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego (art. 103 u.o.d.o.).
  4. Stosowanie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm., zwanej dalej „k.p.a.”). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
  5. Jednostkom organizacyjnym i organizacjom społecznym organ administracji publicznej doręcza pisma w lokalu ich siedziby do rąk osób uprawnionych do odbioru pism (art. 45 k.p.a.). W myśl art. 40 § 2 k.p.a. organ administracji publicznej doręcza pisma upoważnionemu do dokonania tej czynności pełnomocnikowi pod wskazanym przez stronę postępowania adresem.
  6. Zgodnie z art. 201 § 1 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. z 2022 r. poz. 1467 ze zm.) (zwanej dalej „k.s.h.”) zarząd prowadzi sprawy spółki i reprezentuje spółkę. Prawo członka zarządu do prowadzenia spraw spółki i jej reprezentowania dotyczy wszystkich czynności sądowych i pozasądowych spółki (art. 204 §1 k.s.h.).

 

Ocena prawna

  1. Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności czy Spółka jest adresatem obowiązków, o których mowa w art. 31 i art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 4 lit. a) i ust. 5 lit. e) Rozporządzenia 2016/679. Oba wskazane wyżej przepisy Rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i na podmioty przetwarzające. W związku z tym, że postępowanie o sygn. DKN.5130.11394.2022 zainicjowane zostało przekazanym przez Spółkę zgłoszeniem naruszenia ochrony danych osobowych polegającym na ujawnieniu przez pracownika Spółki danych osobowych pracowników i klientów Spółki osobie trzeciej, stwierdzić należy, że Spółka w niniejszym postępowaniu występuje w roli administratora (zob. pkt 1 uzasadnienia niniejszej decyzji).
  2. W postępowaniu o sygn. DKN.5130.11394.2022 w celu uzyskania informacji niezbędnych do oceny niniejszego naruszenia ochrony danych osobowych pracowników i klientów Spółki, w oparciu o art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 Prezes UODO uprawniony był do nakazania Spółce przedstawienia takich informacji, natomiast Spółka w niniejszej sprawie była zobowiązana do ich przedstawienia. W związku z powyższym, w postępowaniu o sygn. DKN.5130.11394.2022, Prezes UODO dwukrotnie wezwał Spółkę do złożenia wyjaśnień. Zarówno wezwanie z dnia 17 listopada 2022 r., jak i wezwanie z dnia 23 stycznia 2023 r. zostały odebrane przez Prezesa Zarządu Spółki odpowiednio: 23 listopada 2022 r. i 1 lutego 2023 r., co zaprzecza odpowiedzi Prezesa Zarządu Spółki z 13 września 2023 r., w której to oświadczyła, że nie odebrała wyżej wskazanej korespondencji, a co za tym idzie nie mogła się z nią zapoznać (zob. pkt 9 uzasadnienia niniejszej decyzji). Ponadto uzasadnienie braku odpowiedzi na wezwania Prezesa UODO, również zawarte w piśmie Prezesa Zarządu Spółki (zob. pkt 9 uzasadnienia niniejszej decyzji), jakkolwiek wiarygodne, nie stanowi przesłanki wyłączającej odpowiedzialność Spółki za stwierdzone naruszenie. Okoliczność, że Prezes Zarządu Spółki boryka się z problemami zdrowotnymi, z powodu których Spółka nie złożyła wyjaśnień w niniejszej sprawie, nie zwalnia Spółki z obowiązku dostarczenia Prezesowi UODO, na jego żądanie, wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań. Bowiem obowiązkiem zarządu spółki z ograniczoną odpowiedzialnością jest prowadzenie spraw i reprezentacja spółki, co również odnosi się do czynności sądowych i pozasądowych (zob. pkt 21 uzasadnienia niniejszej decyzji). Należy w tym miejscu zauważyć, że Spółkę reprezentuje zarząd, w którego skład wchodzi Prezes Zarządu – Pani E. Z. oraz Członek Zarządu – Pan J. Z. Oznacza to, że w powyższym stanie faktycznym zarząd Spółki mógł ustanowić pełnomocnika do reprezentowania jej w niniejszym postępowaniu administracyjnym (nawet w postaci Członka Zarządu Spółki – zob. Uchwała SN z 23.08.2006 r., III CZP 68/06, OSNC 2007, nr 6, poz. 82), aby zapewnić terminowe sporządzanie odpowiedzi na wezwania Prezesa UODO, co mogłoby zapobiec naruszeniu obowiązku współpracy z organem nadzorczym.
  3. W postępowaniu w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej o sygn. DOKE.561.5.2023 Organ skierował do Spółki informację o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 7 kwietnia 2023 r. na adres wskazany w zgłoszeniu Spółki naruszenia ochrony danych osobowych (zob. pkt 6 uzasadnienia niniejszej decyzji), pismo przewodnie z 19 maja 2023 r. wraz z kopią informacji o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 7 kwietnia 2023 r oraz pismo z 11 lipca 2023 r. z prośbą o złożenie wyjaśnień w sprawie wraz z wezwaniem do przedłożenia dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez Spółkę w 2022 r. na aktualny adres siedziby Spółki (zob. pkt 7 – 8 uzasadnienia niniejszej decyzji). Powyższa korespondencja, rozpoznawana pod sygnaturą DOKE.561.5.2023 została odebrana przez Spółkę odpowiednio: 19 kwietnia 2023 r., 6 czerwca 2023 r. oraz 28 lipca 2023 r., w tym przez Prezesa Zarządu Spółki w dniach 6 czerwca i 28 lipca 2023 r. Mimo oświadczenia Prezesa Zarządu Spółki w przedmiocie odpowiedzi na zadane przez Organ pytania w postępowaniu o sygn. DKN.5130.11394.2022 (zob. pkt 9 uzasadnienia niniejszej decyzji), do dnia wydania niniejszej decyzji administracyjnej Spółka nie podjęła żądanych działań. W konsekwencji opisywanego zaniechania Spółki, Prezes UODO nie uzyskał dostępu do danych osobowych i informacji potrzebnych do realizacji jego zadań – w tym przypadku do oceny okoliczności związanych z naruszeniem ochrony danych osobowych w Spółce.
  4. Bezspornym wobec powyższego jest zatem fakt, że Prezes UODO, realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, skierował do Spółki żądanie dostarczenia informacji potrzebnych do realizacji swoich zadań. Bezsporny jest też fakt, że Prezes UODO nie uzyskał od Spółki żądanych informacji, co stanowi naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679.
  5. Działania Spółki polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych mu w postępowaniu o sygn. DKN.5130.11394.2022 wyczerpują jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie obejmuje również obowiązek przedstawienia Prezesowi UODO – na jego żądanie – wszelkich posiadanych przez administratora informacji związanych z prowadzonym przez niego postępowaniem oraz udzielenie – w jego ramach – dostępu do wszelkich danych osobowych i informacji niezbędnych dla niniejszego postępowania. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Spółki jest przeszkodą w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy o sygn. DKN.5130.11394.2022.
  6. W sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine oraz art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 Rozporządzenia 2016/679) oraz w związku z niezapewnieniem przez Spółkę dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygn. DKN.5130.11394.2022.
  7. Jednocześnie wobec stwierdzenia naruszenia przez Spółkę przepisów, to jest art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, stosowanie do treści art. 83 ust. 3 tego aktu prawnego, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez Spółkę Prezesowi UODO dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań, to jest naruszenie przepisu art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, zagrożone karą do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. O powadze tego naruszenia świadczy to, że brak dostępu do danych osobowych i informacji, których Prezes UODO żądał i żąda od Spółki, stoi na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy.

Przesłanki i zasady wymiaru administracyjnie kary pieniężnej

  1. Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku uwagę na szereg przesłanek wymienionych w punktach od a) do k) wskazanego wyżej przepisu (zob. pkt 15 uzasadnienia niniejszej decyzji). Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął spośród nich pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
  2. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami Rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za ich naruszenie karę wyższą z dwóch określonych przepisami Rozporządzenia 2016/679 – karę do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Postępowanie Spółki w niniejszej sprawie, polegające na braku złożenia wszystkich żądanych przez Prezesa UODO wyjaśnień oraz dowodów – skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, mający dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo fakt, że dokonane przez Spółkę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone zaniechanie Spółki było ciągłe i długotrwałe, trwało bowiem od chwili upływu 7-dniowego terminu na złożenie wyjaśnień, wyznaczonego w pierwszym wezwaniu skierowanym do Spółki w postępowaniu o sygn. DKN.5130.11394.2022 – liczonego od 23 listopada 2022 r., tj. od dnia, w którym pismo zostało doręczone Spółce – a zatem od 1 grudnia 2022 r. do dnia wydania decyzji administracyjnej kończącej niniejsze postępowanie.

  1. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).

W ocenie Prezesa UODO po stronie Spółki zaistniał świadomy i celowy brak współpracy w zapewnieniu Organowi dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DKN.5130.11394.2022, o które Prezes UODO zwracał się do niej wielokrotnie. Spółka powinna być świadoma, że czynność zgłoszenia naruszenia ochrony danych osobowych może zainicjować podjęcie działań Prezesa UODO, które są przewidziane przepisami Rozporządzenia 2016/679 i które będą wymagać kontaktu z nią. Osoby zarządzające Spółką były świadome treści żądań Prezesa UODO, o czym świadczy podejmowana przez Spółkę korespondencja Prezesa UODO oraz odpowiedź Prezesa Zarządu Spółki z 13 września 2023 r. (zob. pkt 9 uzasadnienia niniejszej decyzji), którego reakcja nastąpiła wskutek wszczętego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej o sygn. DOKE.561.5.2023. Warto w tym miejscu zaznaczyć, że Prezes Zarządu Spółki w ww. piśmie oświadczyła w imieniu Spółki, że złoży wyjaśnienia w terminie 7 dni, lecz do dnia wydania niniejszej decyzji administracyjnej takie pismo nie wpłynęło do Urzędu Ochrony Danych Osobowych. Oznacza to, że Spółka miała pełną świadomość popełnionego naruszenia i wiedzę, w jaki sposób stan tego naruszenia należy zakończyć, lecz jej postępowanie świadczy o braku woli współpracy z Organem lub stanowi co najmniej rażące lekceważenie swoich obowiązków związanych z tą współpracą. Mając na uwadze powyższe, w ocenie Prezesa UODO dokonane przez Spółkę naruszenie miało charakter umyślny, a zatem okoliczność ta winna być oceniana negatywnie i uznana za obciążającą w kontekście ustalenia zarówno zasadności wymierzenia, jak i wysokości orzeczonej kary.

  1. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).

W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, pomimo deklaracji złożonej w piśmie z 13 września 2023 r. (zob. pkt 9 i 31 uzasadnienia niniejszej decyzji), Spółka nie podjęła współpracy z Prezesem UODO. W szczególności nie przedstawiła informacji żądanych przez Prezesa UODO w postępowaniu o sygn. DKN.5130.11394.2022, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Taki brak współpracy z Prezesem UODO w dalszym ciągu uniemożliwia Organowi dokonania szybkiej i wnikliwej oceny naruszenia ochrony danych osobowych w Spółce. W związku z tym trwanie Spółki w stanie naruszenia (braku woli przywrócenia stanu zgodnego z prawem polegającego na wywiązywaniu się z ciążących na niej obowiązków procesowych w postępowaniu przed Prezesem UODO) wpływa obciążająco na ocenę stwierdzonego naruszenia.

  1. W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary orzeczonej niniejszą decyzją administracyjną.
  2. Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 Rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
  • Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679). Prezes UODO nie stwierdził, aby Spółka dokonała wcześniej jakichkolwiek naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (wywiązywanie się z obowiązków wynikających z przepisów o ochronie danych osobowych) jest stanem naturalnym w otoczeniu prawnym, w którym Spółka funkcjonuje, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
  • Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) Rozporządzenia 2016/679). Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygn. DKN.5130.11394.2022. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu, wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny, jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Spółki; fakt ten nie może być jednak też uwzględniony na korzyść Spółki skoro nie brała ona żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.
  • Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) Rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
  • Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) Rozporządzenia 2016/679). Spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 Rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy Rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
  • Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO nie stwierdził, żeby Spółka, w związku z nieudzieleniem żądanych przez niego informacji, odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów Rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Spółkę takich korzyści, jako stan naturalny wynikający z założenia, że przedsiębiorca prowadzący działalność gospodarczą osiąga z tego tytułu korzyści finansowe (zyski) pod warunkiem stosowania się do obowiązujących rygorów prawnych, jest okolicznością, która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) Rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
  • Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679). Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
  1. Pozostałe okoliczności wymienione w art. 83 ust. 2 Rozporządzenia 2016/679 siłą rzeczy nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na specyficzny charakter naruszenia (dotyczącego relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Są to:
  • liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679) – ze względu na to, że naruszenie (nieudzielenie przez Spółkę Prezesowi UODO dostępu do niezbędnych informacji) nie wiąże się z naruszeniem danych osobowych żadnej osoby i w konsekwencji nie wystąpiły w sprawie żadne szkody po stronie osób fizycznych;
  • działania podjęte przez administratora w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) Rozporządzenia 2016/679) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie;
  • stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 Rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;
  • kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) Rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niezapewnieniu dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań nie wiąże się z naruszeniem żadnych danych osobowych.
  1. Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść należy się do poglądów doktryny prawa o ochronie danych osobowych. „Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji”  (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do wielkości, możliwości finansowych i pozycji ukaranego podmiotu na rynku, a za miernik tych atrybutów ukaranego podmiotu, w przypadku gdy jest nim przedsiębiorstwo, Rozporządzenie 2016/679 pozwala przyjąć całkowity roczny światowy obrót z poprzedniego roku obrotowego (art. 83 ust. 5 Rozporządzenia 2016/679).
  2. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu odpowiada zasadom wskazanym w art. 83 ust. 1 Rozporządzenia 2016/679. Jej dolegliwość w wymiarze finansowym zdyscyplinuje Spółkę do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych z jej udziałem przed Prezesem UODO. W wymiarze dyscyplinującym Spółkę kara będzie więc skuteczna (osiągnie swój cel). Nałożona niniejszą decyzją kara jest też – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Spółki, zobowiązanej na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
  3. W toku niniejszego postępowania Spółka przedstawiła kopię swojego zeznania o wysokości osiągniętego dochodu (poniesionej straty) i należnego podatku dochodowego od osób prawnych (CIT-8) za rok podatkowy od 1 stycznia 2022 r. do 31 grudnia 2022 r., celem spełnienia obowiązku wynikającego z art. 101a ust. 1 u.o.d.o. (zob. pkt 9 uzasadnienia niniejszej decyzji). W ocenie Prezesa UODO Spółka prowadzi działalność gospodarczą na niewielką skalę, o czym świadczą wyżej wskazane dane finansowe Spółki, a zakres jej działalności skupia się przede wszystkim na działalności rachunkowo-księgowej oraz na doradztwie podatkowym. Z danych wskazanych w kopii zeznania Spółki o wysokości osiągniętego dochodu (poniesionej straty) i należnego podatku dochodowego od osób prawnych (CIT-8) przychód za rok podatkowy 2022 został oszacowany na kwotę (…) zł.
  4. W związku z tym, że ukaraniu w niniejszej sprawie podlega podmiot prowadzący działalność na niewielką skalę, nałożona na niego niniejszą decyzją administracyjna kara pieniężna w stosunkowo niewielkiej wysokości (stanowiącej 0,0125 % maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 Prezes UODO mógł orzec za stwierdzone w niniejszej sprawie naruszenie) będzie dla Spółki karą dolegliwą i przez to skuteczną, ale również możliwą do jej poniesienia bez zagrożenia materialnych podstaw jej bytu i prowadzonej przez nią działalności.
  5. Mając na uwadze przepis art. 103 u.o.d.o.  Prezes UODO za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 30 stycznia 2023 r. (gdzie 1 EUR = 4,7160 PLN) – administracyjną karę pieniężną w kwocie 11 790 PLN (słownie: jedenaście tysięcy siedemset dziewięćdziesiąt złotych), co stanowi równowartość 2 500 EUR – słownie: dwa tysiące pięćset euro).

Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.

Pouczenie

  • Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.), (zwanej dalej „p.p.s.a.”), od decyzji Stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 p.p.s.a. Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j.) (zwanej dalej „u.o.d.o.”) wniesienie przez Stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w  zakresie administracyjnej kary pieniężnej.
  • W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
  • Zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP o/o Warszawa nr 28 1010 1010 0028 8622 3100 0000.
  • Ponadto, zgodnie z art. 105 ust. 2 u.o.d.o., Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2023 r. poz. 2383 ze zm.), od dnia następującego po dniu złożenia wniosku.
Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2023-12-07
Wprowadził informację:
user Mathias Proch
date 2024-01-26 10:40:21
Ostatnio modyfikował:
user Edyta Madziar
date 2024-01-30 13:50:12