Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Decyzja PUODO z dnia 10 lipca 2020 r. (East Power)

Kara za niezapewnienie organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań

DKE.561.1.2020

10/07/2020

Naruszenie Ochrony Danych Osobowych, Kara Rodo, Administrator Danych,

Prezes UODO nałożył nałożył 15 tys. zł. kary na spółkę East Power z Jeleniej Góry, która zajmuje się pośrednictwem pracy na terenie Polski i Niemiec. Skargę na jej działania złożył obywatel Niemiec, gdyż przetwarzała ona jego dane osobowe w celach marketingowych


 

 

Warszawa, dnia 10 lipca 2020 r.

 

DECYZJA

 

DKE.561.1.2020

 

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 7 ust 1 i ust. 2, art. 60, art. 101, art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 58 ust 1 lit. e) w związku z art. 83 ust. 1-3 oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na East Power Sp. z o.o. z siedzibą w Jeleniej Górze przy ul. Wiejskiej 29a/17 administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie przez East Power Sp. z o.o. z siedzibą w Jeleniej Górze przy ul. Wiejskiej 29a/17, przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, to jest do rozpatrzenia skargi Pana D. S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez East Power Sp. z o.o. z siedzibą w Jeleniej Górze jego danych osobowych,

nakłada na East Power Sp. z o.o. z siedzibą w Jeleniej Górze przy ul. Wiejskiej 29a/17 administracyjną karę pieniężną w  kwocie 15.000 PLN (słownie: piętnaście tysięcy złotych), co stanowi równowartość 3.505,16 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2020 r.

 

UZASADNIENIE

 

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana D. S., obywatela Niemiec, zamieszkałego w N. (zwanego dalej „Skarżącym”), na przetwarzanie przez East Power Sp. z o.o. z siedzibą w Jeleniej Górze przy ul. Wiejskiej 29a/17 (zwaną dalej „Spółką”), właściciela serwisu internetowego www. […].de, jego danych osobowych w celach marketingowych pomimo zgłoszonego sprzeciwu. Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygnaturą […]), zwrócił się do Spółki pismem z […] marca 2019 r. o ustosunkowanie się do treści skargi oraz o odpowiedź na następujące szczegółowe pytania dotyczące sprawy:

 

  1. na jakiej podstawie prawnej, w jakim celu i zakresie Spółka aktualnie przetwarza dane osobowe Skarżącego oraz z jakiego źródła dane te pozyskała,
  2. czy Skarżący zwrócił się z żądaniem usunięcia jego danych osobowych przez Spółkę,
  3. dlaczego i na jakiej podstawie prawnej, w przypadku zwrócenia się Skarżącego o usunięcie jego danych osobowych, dotychczas nie zastosowano się do jego żądania.

Pismo powyższe, prawidłowo doręczone Spółce […] marca 2019 r., pozostało bez odpowiedzi.

 

W związku z powyższym, pismem z […] maja 2019 r., Prezes UODO ponownie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści skargi oraz do udzielenia odpowiedzi na szczegółowe pytania sformułowane już w poprzednim piśmie. Pismo to doręczone zostało Spółce […] maja 2019 r. W piśmie z […] czerwca 2019 r. stanowiącym odpowiedź na powyższe wezwanie Prezesa UODO, Prezes Zarządu Spółki oświadczył, że „Spółka nie przetwarzała, ówcześnie ani aktualnie, danych osobowych Skarżącego” oraz że „Spółka nie udostępniała, ówcześnie ani aktualnie, danych osobowych Skarżącego”. Jednocześnie Prezes Zarządu Spółki oświadczył, że „Spółka uzyskała dane osobowe Skarżącego z sieci Internet”, gdzie „są one udostępnione w wyszukiwarce Google”.

Uznając powyższe wyjaśnienia Spółki za niewystarczające Prezes UODO, pismem z […] września 2019 r., zwrócił się do Spółki o udzielenie dodatkowych wyjaśnień w sprawie, w szczególności o wyjaśnienie:

 

  1. na jakiej podstawie prawnej, w jakim celu i zakresie Spółka aktualnie przetwarzała bądź aktualnie przetwarza dane osobowe Skarżącego,
  2. relacji łączącej w dniu […] czerwca 2018 r. Spółkę z Panem P. K., który działając w imieniu Spółki skierował tego dnia na adres email Skarżącego wiadomość o charakterze - w ocenie Skarżącego – marketingowym,
  3. czy, a jeśli tak, to w jaki sposób Spółka ustosunkowała się do żądania Skarżącego z […] czerwca 2018 r. o usunięcie jego danych osobowych i zaprzestanie wysyłania do niego treści marketingowych,
  4. jeśli Spółka nie zastosowała się do żądania Skarżącego – dlaczego i na jakiej podstawie prawnej to nastąpiło.

 

Na powyższe pismo, prawidłowo doręczone Spółce […] września 2019 r., Spółka nie udzieliła odpowiedzi.

Pismami z […] maja 2019 r. oraz z […] września 2019 r. Spółka pouczona została, że brak odpowiedzi na wezwania Prezesa UODO skutkować może – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – nałożeniem na Spółkę administracyjnej kary pieniężnej.

 

W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygnaturze […], zainicjowanej skargą Skarżącego, Prezes UODO wszczął z urzędu wobec Spółki – w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z naruszeniem przez Spółkę art. 58 ust. 1 lit a) i e) Rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (pod sygnaturą DKE.561.1.2020.RZ). O wszczęciu postępowania Spółka poinformowana została pismem z […] lutego 2020 r., doręczonym Spółce […] lutego 2020 r. Pismem tym Spółka wezwana została również – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego Spółki za rok 2019 lub – w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2019 r.

 

W reakcji na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, Prezes Zarządu Spółki skierował do Prezesa UODO pismo z […] lutego 2020 r., w którym wniósł o odstąpienie od nałożenia administracyjnej kary pieniężnej w postępowaniu DKE.561.1.2020.RZ oraz o umorzenie postępowania w sprawie […]. Jednocześnie, tym samym pismem, Prezes Zarządu Spółki złożył wyjaśnienia do sprawy […]. Wskazał w szczególności, że:

 

  1. Spółka aktualnie nie przetwarza danych osobowych Skarżącego, a wcześniej pozyskane zostały „z powszechnie dostępnych baz danych” i przetwarzane były w zakresie imienia, nazwiska oraz adresu e-mail Skarżącego „w celu jednorazowego doręczenia Skarżącemu wiadomości e-mail”;
  2. P. K. był pracownikiem Spółki a „czynności wykonywane przez P. K. wykonywane były zatem przez niego jako pracownika Spółki, w ramach przedstawionego mu zakresu czynności”. W nawiązaniu do tej części wyjaśnień Prezes Zarządu Spółki przedstawił w załączeniu do swojego pisma kopie trzech umów o pracę (z […] kwietnia 2018 r., z […] sierpnia 2018 r. oraz z […] kwietnia 2019 r.) zawartych pomiędzy Spółką a Panem Pi. Ko.;
  3. na żądanie Skarżącego z […] czerwca 2018 r. Spółka „zaprzestała jakiejkolwiek korespondencji, nie przesyłała do Skarżącego dalszych wiadomości e-mail z uwagi na zgłoszone żądanie oraz usunęła dane osobowe Skarżącego”.

 

Spółka nie przedstawiła w załączeniu swojego pisma z […] lutego 2020 r. sprawozdania finansowego za rok 2019, informując, że „nie przygotowała jeszcze” takiego dokumentu. Spółka nie złożyła również oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego w 2019 roku, którego Prezes UODO zażądał na wypadek niemożności przedstawienia sprawozdania finansowego.

 

Spółka prowadzi – na terenie Polski i Niemiec – działalność m.in. w zakresie pośrednictwa pracy (w tym pracy tymczasowej) oraz zarządzania zasobami ludzkimi w przedsiębiorstwach.

 

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

 

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że  administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.

 

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – administrator danych osobowych Skarżącego D. S. – jako strona prowadzonego przez Prezesa UODO postępowania o sygnaturze […], naruszyła ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia tej sprawy. Takie działanie Spółki stanowi naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.

 

W postępowaniu o sygnaturze […] Prezes UODO trzykrotnie wezwał Spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy.

Pierwsze pismo wystosowane w sprawie przez Prezesa UODO […] marca 2019 r., (prawidłowo doręczone Spółce […] marca 2019 r.) pozostało bez odpowiedzi.

Odpowiedź na drugie wezwanie Prezesa UODO (z […] maja 2019 r., prawidłowo doręczone Spółce […] maja 2019 r.) była dalece niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań zadanych w piśmie Prezesa UODO), wewnętrznie sprzeczna (Spółka z jednej strony stwierdziła, że uzyskała dane osobowe Skarżącego z sieci Internet, a z drugiej oświadczyła, że „nie przetwarzała, ówcześnie ani aktualnie, danych osobowych Skarżącego”) i – w ocenie Prezesa UODO – lekceważąca zarówno organ jak i sprawę, w toku której organ zażądał wyjaśnień.

Trzecie pismo wystosowane przez Prezesa UODO do Spółki (z […] września 2019 r., prawidłowo doręczone Spółce […] września 2019 r.), zawierające wyjaśnienie podstawowych kwestii związanych z przetwarzaniem danych (w tym samego pojęcia „przetwarzania danych”) oraz dodatkowe pytania mające na celu ustalenie stanu faktycznego sprawy, ponownie pozostało bez odpowiedzi.

 

Bardziej obszerne wyjaśnienia Spółka złożyła dopiero w piśmie z […] lutego 2020 r. stanowiącym odpowiedź na pismo prezesa UODO informujące o wszczęciu niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z niezapewnieniem dostępu do żądanych przez Prezesa UODO informacji. Jednakże nawet i te wyjaśnienia są niepełne i wymagać będą prowadzenia dalszego postępowania wyjaśniającego w sprawie o sygnaturze […]. W szczególności dotyczy to odpowiedzi na pytanie o relację łączącą w dniu […] czerwca 2018 r. Spółkę z Panem P. K., który działając w imieniu Spółki skierował tego dnia na adres email Skarżącego wiadomość o charakterze - w ocenie Skarżącego – marketingowym. Spółka oświadczyła w odpowiedzi na to pytanie, że P. K. zatrudniony był w Spółce na podstawie umowy o pracę. Jednocześnie załączyła do swojego pisma kopie trzech umów o pracę, które nie tylko nie potwierdziły wyjaśnień Spółki, ale spowodowały dodatkowe wątpliwości co do stanu faktycznego sprawy. Po pierwsze, zgodnie z treścią wszystkich trzech umów o pracę, ich stroną był Pan Pi. Ko., a nie Pan P. K. (Spółka w swoim piśmie nie wyjaśniła skąd ta rozbieżność). Po drugie, okresy obowiązywania przedstawionych umów dotyczyły okresów czasu zarówno przed jak i po dniu, o który wyraźnie pytał Prezes UODO (dniu, w którym Pan P. K. skierował do Skarżącego wiadomość e-mail czyli […] czerwca 2018 r.); nie obejmowały zaś akurat tego konkretnego dnia (umowa o pracę na czas określony z […] kwietnia 2018 r. zawarta była na czas od […] kwietnia 2018 r. do […] maja 2018 r., umowa o pracę na czas określony z […] sierpnia 2018 r. zawarta była na czas od […] września 2018 r. do […] kwietnia 2019 r., a umowa o pracę na czas nieokreślony z […] kwietnia 2019 r. obowiązywała od […] maja 2019 r.). Również tej rozbieżności Spółka nie wyjaśniła w swoim piśmie.

 

Wyżej opisane postępowanie Spółki w sprawie o sygnaturze […] (brak odpowiedzi na wezwania Prezesa UODO oraz udzielanie niepełnych, niekonkretnych, wymijających i sprzecznych odpowiedzi na konkretne, niezbyt skomplikowane i niewymagające specjalistycznej wiedzy z zakresu ochrony danych osobowych pytania Prezesa UODO) wskazuje na brak woli współpracy z Prezesem UODO w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej rażące lekceważenie swoich obowiązków dotyczących współpracy z Prezesem UODO w ramach wykonywania przez niego zadań określonych Rozporządzeniem 2016/679. Powyższe stwierdzenie uzasadnia dodatkowo okoliczność, że Spółka w żaden sposób nie próbowała usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na dwa wezwania do złożenia wyjaśnień, nie kontaktowała się również z Urzędem Ochrony Danych Osobowych celem zasygnalizowania ewentualnych wątpliwości, które mogłaby powziąć odnośnie zakresu informacji, których udzielenia żądał Prezes UODO.

 

Wskazać w tym miejscu należy, że utrudnianie i uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał i żąda od Spółki, a które niewątpliwie są w posiadaniu Spółki (np. informacje o relacji łączącej Spółkę z Panem P. K.), stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) zasadami wnikliwości i szybkości postępowania.

 

Mając na uwadze powyższe ustalenia, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygnaturze […]. Odnosząc się zaś do zawartego w piśmie Spółki z […] lutego 2020 r. wniosku o odstąpienie od nałożenia administracyjnej kary pieniężnej w niniejszym postępowaniu, Prezes UODO wskazuje, że nie widzi podstaw do pozytywnego jego rozpatrzenia. Spółka w żaden sposób nie uzasadniła swojego wniosku, w szczególności nie podjęła próby usprawiedliwienia swojego działania naruszającego przepisy Rozporządzenia 2016/679 i nie usunęła samego naruszenia przez udzielenie pełnych i wyczerpujących wyjaśnień pozwalających na wydanie rozstrzygnięcia w sprawie […].

 

Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:

 

1. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).

 

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Działania Spółki w niniejszej sprawie, polegające na utrudnieniu i uniemożliwieniu dostępu do żądanych przez Prezesa UODO informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem jednorazowym i incydentalnym; działanie Spółki było ciągłe i długotrwałe. Trwa od upływu terminu wyznaczonego na złożenie wyjaśnień w pierwszym piśmie Prezesa UODO, tj. od […] kwietnia 2019 r., do chwili obecnej (w odniesieniu do części informacji żądanych przez Prezesa UODO).

 

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).

 

W ocenie Prezesa UODO po stronie Spółki istnieje brak woli współpracy w zapewnieniu organowi wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której organ zwracał się do niej o ich udzielenie. Świadczy o tym w szczególności brak jakiejkolwiek odpowiedzi na dwa spośród trzech skierowanych do niej, i odebranych przez nią, wezwań Prezesa UODO. Również wyjaśnienia, które Spółka ostatecznie złożyła Prezesowi UODO (niepełne, wymijające, wewnętrznie sprzeczne) świadczą o braku woli współpracy z organem lub co najmniej rażącym lekceważeniu swoich obowiązków związanych z tą współpracą, niedopuszczalnym szczególnie w przypadku podmiotu przetwarzającego dane osobowe profesjonalnie (w związku z rodzajem świadczonych usług  - pośrednictwem pracy – wymagających pozyskiwania, przechowywania i udostępniania danych osób fizycznych będących potencjalnymi pracownikami). Podkreślić należy, że Spółka na żadnym etapie postępowania o sygnaturze […], jak również w niniejszym postępowaniu, nie podjęła próby usprawiedliwienia takiego postępowania. Zważywszy, że Spółka jest przedsiębiorcą, podmiotem profesjonalnie uczestniczącym w obrocie prawno-gospodarczym, którego działalność związana jest z przetwarzaniem danych osobowych (w związku ze świadczonymi usługami pośrednictwa pracy), przyjąć należy ponadto, że miała ona (i ma do chwili obecnej) świadomość, że jej postępowanie stanowi naruszenie przepisów Rozporządzenia 2016/679.

 

3. Niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).

 

W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Spółka złożyła (pismem z […] lutego 2020 r.) dodatkowe wyjaśnienia do sprawy o sygnaturze […], jednakże jak zostało to szczegółowo wykazane powyżej, wyjaśnień tych Prezes UODO również nie może uznać za pełne, wyczerpujące i umożliwiające wydanie rozstrzygnięcia w sprawie.

 

Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).

 

Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje Spółkę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygnaturze […], jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Prezesem UODO. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Spółki jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu wskazać należy, że nałożenie na Spółkę administracyjnej kary pieniężnej jest – wobec dotychczasowego postępowania Spółki jako strony postępowania […] – niezbędne; jest jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu. Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2019, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności.

Zgodnie z brzmieniem art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. W niniejszej sprawie zastosowanie ma kurs 4,2794 zł za 1 EUR.

 

Mając powyższe na uwadze Prezes UODO orzekł  jak w  sentencji niniejszej decyzji. 

 

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

 

W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

 

Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.

 

 

Decyzja PUODO

 

Naruszenie Ochrony Danych Osobowych, Kara Rodo, Administrator Danych,
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 września 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 września 2022 r.