Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Decyzja PUODO z dnia 16 lipca 2020 r. (indywidualny przedsiębiorca)

Kara za Brak współpracy z organem nadzorczym

DKE.561.2.2020

16/07/2020

Naruszenie Ochrony Danych Osobowych, Kara Rodo, Rodo W Oświacie,

Prezes UODO nałożył 5 tys. zł kary na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole za brak współpracy z organem nadzorczym. Prowadzona przez ukarany podmiot działalność obejmowała przetwarzanie danych osobowych dzieci, które wymagają szczególnej ochrony, ponieważ mogą być mniej świadome ryzyka, czy konsekwencji związanych z przetwarzaniem danych. Organ nadzorczy trzykrotnie skierował do przedsiębiorcy wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.


Warszawa, dnia 16 lipca 2020 r.

 

DECYZJA

 

DKE.561.2.2020

 

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 7 ust. 1 i ust. 2, art. 60, art. 101, art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 58 ust. 1 lit. e) w związku z art. 83 ust. 1-3 oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł. administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie przez Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł., przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, to jest do oceny naruszenia ochrony danych osobowychna podstawie art. 34 ust. 1 i 2 Rozporządzenia 2016/679 zgłoszonego przez Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł.,

 

nakłada na Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł. administracyjną karę pieniężną w kwocie 5.000 PLN (słownie: pięć tysięcy złotych), co stanowi równowartość 1.168,39 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2020 r.

 

 

UZASADNIENIE

 

Do Urzędu Ochrony Danych Osobowych […]  czerwca 2019 r.  wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] ze stałym miejscem wykonywania działalności w Ł. (zwaną dalej także: „Przedsiębiorcą”). Naruszenie ochrony danych osobowych polegało na utracie przez Przedsiębiorcę dostępu do danych osobowych przechowywanych w siedzibie prowadzonej przez niego placówki tj. Niepublicznego Żłobka i Przedszkola […], mieszczącego się w Ł. Naruszenie nastąpiło na skutek podjęcia bezprawnych  w ocenie Przedsiębiorcy działań przez podmiot zewnętrzny, tj. wtargnięcia osób działających w imieniu podmiotu G. Spółka z ograniczoną odpowiedzialnością" Spółka Komandytowa z siedzibą w R. (dalej także: „Spółka”), do placówki podczas występu dzieci dla rodziców. Osoby te, rozdając ulotki o rzekomym zadłużeniu Przedsiębiorcy, informowały zgromadzonych o zamknięciu placówki i uruchomieniu w tym miejscu nowej. Spółka w nieznanym terminie wymieniła w lokalu wszystkie zamki, w związku z czym Przedsiębiorca nie mógł otworzyć ww. placówki. W środku było zamknięte wyposażenie przedszkola, w tym komputery i dokumentacja zawierająca dane osobowe pracowników, dzieci uczęszczających do przedszkola i żłobka oraz ich opiekunów prawnych. Przedsiębiorca wskazał, że naruszenie dotyczyło około 200 osób a zakres danych osobowych ww. osób obejmował: imiona i nazwiska, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, serię i numer dowodu osobistego, numer telefonu. W ocenie Przedsiębiorcy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym 120 osób (wszyscy opiekunowie prawni dzieci i pracownicy) zostało zawiadomionych telefonicznie lub osobiście o naruszeniu.

 

W związku z brakiem w zgłoszeniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do oceny tego naruszenia, na podstawie art. 58 ust 1 lit. a) i e) Rozporządzenia 2016/679, pismem z […] czerwca 2019 r. (sygn. […] ) skierowanym na adres stałego miejsca wykonywania przez Przedsiębiorcę działalności, tj. […] (adres wskazany w CEiDG), Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezes UODO”) wezwał Przedsiębiorcę do przedstawienia zanonimizowanej treści zawiadomienia skierowanego do osób, których dotyczy naruszenie, celem ustalenia, czy administrator w sposób zgodny z art. 34 ust. 1 i 2 Rozporządzenia 2016/679 zawiadomił osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych.

 

Ponadto, w piśmie tym Prezes UODO wskazał Przedsiębiorcy, że zgodnie z art. 34 ust. 2 Rozporządzenia 2016/679, zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) Rozporządzenia 2016/679 , tj.: 1) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; 2) opis możliwych konsekwencji naruszenia ochrony danych osobowych; 3) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach - środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

Pismo z […] czerwca 2019 r. (sygn. […]  […] lipca 2019 r. zostało zwrócone do nadawcy z adnotacją „zwrot nie podjęto w terminie”. Wobec powyższego, pismem z […] lipca 2019 r., Prezes UODO ponownie zwrócił się do Przedsiębiorcy z wezwaniem do przedstawienia zanonimizowanej treści zawiadomienia skierowanego do osób, których dotyczy naruszenie. Pismo to skierowane zostało do Przedsiębiorcy także na adres stałego miejsca wykonywania działalności: […]. […] korespondencja została zwrócona do nadawcy z adnotacją „zwrot nie podjęto w terminie”.

 

Następne pismo Prezesa UODO z  […]  września 2019 r. skierowane zostało zarówno na adres stałego miejsca wykonywania działalności: […], jak i na adres do doręczeń: […] (adres do doręczeń wskazany w CEiDG). Wezwanie skierowane do Przedsiębiorcy na adres stałego miejsca wykonywania działalności: […], zostało osobiście odebrane przez Przedsiębiorcę […]  września 2019 r. W tym miejscu wskazać należy, że odebrane przez Przedsiębiorcę […] września 2019 r. wezwanie do przedstawienia zanonimizowanej treści zawiadomienia skierowanego do osób, których dotyczy naruszenie, tj. pismo z […] września 2019 r., zawierało informację o „ponownym” skierowaniu do Przedsiębiorcy wezwania. Natomiast wezwanie skierowane na adres do doręczeń, […] października 2019 r. zostało zwrócone do nadawcy z adnotacją „adresat nieznany pod wskazanym adresem”. W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], Prezes UODO kolejny już raz, pismem z […] listopada 2019 r. skierowanym na adres stałego miejsca wykonywania działalności, wezwał Przedsiębiorcę do przedstawienia zanonimizowanej treści zawiadomienia skierowanego do osób, których dotyczy naruszenie. […] grudnia 2019 r. korespondencja została zwrócona do nadawcy z adnotacją „zwrot nie podjęto w terminie”. Administrator do chwili obecnej nie udzielił odpowiedzi na żadne w ww. wezwań.

 

Pismem z […] września 2019 r. Przedsiębiorca pouczony został, że brak odpowiedzi na wezwania Prezesa UODO skutkować może – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – nałożeniem na niego administracyjnej kary pieniężnej.  

 

W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do ustalenia, czy administrator w sposób zgodny z art. 34 ust. 1 i 2 Rozporządzenia 2016/679 zawiadomił osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, Prezes UODO wszczął z urzędu wobec Przedsiębiorcy - w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z  naruszeniem przez niego art. 58 ust. 1 lit a) i e) Rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na niego administracyjnej kary pieniężnej (pod sygnaturą […] ). Pismo informujące o wszczęciu postępowania z […] lutego 2020 r.skierowane zostało do Przedsiębiorcy na adres stałego miejsca wykonywania działalności: […]. Pismem tym Przedsiębiorca wezwany został również – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego dotyczącego prowadzonej przez niego działalności za rok 2019 lub – w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez niego w 2019 r.

 

Pisma z […] lutego 2020 r. Przedsiębiorca także nie odebrał. Dnia […] marca 2020 r. pismo to zostało zwrócone do nadawcy z adnotacją „zwrot nie podjęto w terminie”.  

 

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

 

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO prowadzi m.in. postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. h), w tym postępowania w sprawie zgłoszenia naruszenia organowi nadzorczemu (art. 33 ust. 1). Dla umożliwienia realizacji  zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień  organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.

 

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Przedsiębiorca, jako administrator danych osobowych pracowników, dzieci uczęszczających do przedszkola i żłobka oraz ich opiekunów prawnych, przetwarzanych w Niepublicznym Żłobku i Przedszkolu […] mieszczącym się w Ł., naruszył ciążący na nim obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do oceny, czy administrator w sposób zgodny z art. 34 ust. 1 i 2 Rozporządzenia 2016/679 zawiadomił osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych. Takie działanie Spółki stanowi naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.

 

 

Wyżej opisane postępowanie Przedsiębiorcy polegające na:

  1. trzykrotnym nieodbieraniu korespondencji kierowanej do Przedsiębiorcy przez Prezesa UODO (za pośrednictwem Poczty Polskiej) pomimo, że Przedsiębiorca ten zgłosił naruszenie ochrony danych osobowych i powinien spodziewać się stanowiska organu ochrony danych osobowych w tej sprawie,
  2. nieudzieleniu odpowiedzi na wezwanie Prezesa UODO (pismo z […] września 2019 r. odebrane przez Przedsiębiorcę […] września 2019 r.) do przedstawienia zanonimizowanej treści zawiadomienia o naruszeniu ochrony danych osobowych skierowanego do osób, których dotyczy naruszenie,

 

- wskazuje na brak współpracy z Prezesem UODO w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej rażące lekceważenie swoich obowiązków dotyczących współpracy z Prezesem UODO w ramach wykonywania przez niego zadań określonych Rozporządzeniem 2016/679. Powyższe stwierdzenie uzasadnia dodatkowo okoliczność, że Przedsiębiorca w żaden sposób nie próbował usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na wezwania do niego kierowane.

 

Wskazać w tym miejscu należy, że utrudnianie i uniemożliwianie uzyskania dostępu do informacji, których Prezes UODO żądał i żąda od Przedsiębiorcy, a które niewątpliwie są w posiadaniu Przedsiębiorcy (informacje o zanonimizowanej treści zawiadomienia skierowanego do osób, których dotyczyło naruszenie), stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania.

 

Mając na uwadze powyższe ustalenia, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem przez Przedsiębiorcę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygnaturze […].

 

Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w ust. 2 lit. od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Przedsiębiorcę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:

 

1. Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Działania Przedsiębiorcy w niniejszej sprawie, polegające na uniemożliwieniu dostępu do żądanych przez Prezesa UODO informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez ten organ postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem incydentalnym; działanie Przedsiębiorcy było ciągłe i długotrwałe. Trwa od upływu terminu wyznaczonego na złożenie wyjaśnień w pierwszym piśmie Prezesa UODO z […] czerwca 2019 r., do chwili obecnej.

 

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).

W ocenie Prezesa UODO po stronie Przedsiębiorcy istnieje brak woli współpracy w zapewnieniu organowi wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której organ zwracał się do niej o ich udzielenie. Świadczy o tym w szczególności wielokrotne nieodbieranie korespondencji kierowanej do Przedsiębiorcy oraz brak  odpowiedzi na jedyne odebrane przez Przedsiębiorcę wezwanie Prezesa UODO. W tym miejscu podkreślić należy, że Przedsiębiorca posiadał wiedzę o tym, że nie odbierając korespondencji oraz nie odpowiadając na jedno z  osobiście odebranych pism narusza przepis art. 83 ust. 2 lit. b) Rozporządzenia 2016/679.

 

Wskazać także należy, że odbieranie korespondencji kierowanej do Przedsiębiorcy związanej z działalnością przez niego prowadzoną, stanowi obowiązek , którego należy wymagać od podmiotu prowadzącego działalność gospodarczą, w szczególności, gdy działalność ta obejmuje przetwarzanie danych osobowych dzieci (wymagających szczególnej ochrony, o czym mówi motyw 38 Rozporządzenia 2016/679).

 

Podkreślić również należy, że Przedsiębiorca na żadnym etapie postępowania o sygnaturze […], jak również w niniejszym postępowaniu, nie podjął próby usprawiedliwienia takiego postępowania. Zważywszy, że Przedsiębiorca jest podmiotem profesjonalnie uczestniczącym w obrocie prawno-gospodarczym, którego działalność związana jest z przetwarzaniem danych osobowych (w związku z rodzajem wykonywanej działalności gospodarczej – opieka dzienna nad dziećmi - wymagających pozyskiwania, przechowywania i udostępniania danych osób fizycznych, w tym przypadku będących pracownikami, dziećmi uczęszczającymi do przedszkola i żłobka oraz ich opiekunami prawnymi), uznać  należało, że było to i jest do chwili obecnej  celowym działaniem Przedsiębiorcy uniemożliwiającym Prezesowi UODO dostępu do informacji niezbędnych do realizacji temu organowi jego zadań, co stanowi  naruszenie przepisów Rozporządzenia 2016/679.

 

3. Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679). 

 

W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej brak jest ze strony Przedsiębiorcy jakiejkolwiek współpracy z organem nadzorczym. Przedsiębiorca nie złożył żadnych wyjaśnień do sprawy o sygn. […].   

 

Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).  

 

Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Przedsiębiorcę w niniejszym postępowaniu spełnia te kryteria. Nałożona na Przedsiębiorcę kara powinna zdyscyplinować  go do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania o sygnaturze […], jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Przedsiębiorcy przed Prezesem UODO. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Przedsiębiorcę bez dużego uszczerbku dla prowadzonej przez niego działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Przedsiębiorcy jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu wskazać należy, że nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest – wobec dotychczasowego postępowania Przedsiębiorcy jako strony postępowania […] – niezbędne. Kara pieniężna  jest środkiem znajdującym się w dyspozycji Prezesa UODO, który powinien  umożliwić uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu. 

 

Wobec nieprzedstawienia przez Przedsiębiorcę żądanych przez Prezesa UODO danych finansowych za rok 2019, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), szacunkową wielkość przedsiębiorstwa oraz specyfikę, zakres i skalę prowadzonej działalności.

 

Zgodnie z brzmieniem art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. W niniejszej sprawie zastosowanie ma kurs 4,2794 zł za 1 EUR.

 

Mając powyższe na uwadze Prezes UODO orzekł  jak w sentencji niniejszej decyzji. 

                        

 

Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa).

 

Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

 

W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

 

Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.

 

Decyzja PUODO

 

Naruszenie Ochrony Danych Osobowych, Kara Rodo, Rodo W Oświacie,
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 września 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 września 2022 r.