Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 1 grudnia 2021r.
brak współpracy z Prezesem Urzędu Ochrony Danych Osobowych polegający na braku odpowiedzi ze strony spółki
DKE.561.16.2021
03/03/2022
Warszawa, dnia 01 grudnia 2021 r.
DECYZJA
DKE.561.16.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.), art. 7 ust 1 i ust. 2, art. 60, art. 101, art. 101a ust. 2, art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 83 ust. 1-3, art. 83 ust. 5 lit. e) w związku z art. 31, art. 58 ust 1 lit. e), art. 58 ust. 2 lit. i) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Pactum Poland Sp. z o.o. z siedzibą we Wrocławiu przy ul. Długiej 11 lok. 13 administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Pactum Poland Sp. z o.o. z siedzibą we Wrocławiu przepisów art. 31 i art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, nakłada na Pactum Poland Sp. z o.o. z siedzibą we Wrocławiu przy ul. Długiej 11 lok. 13 administracyjną karę pieniężną w kwocie 18 192 PLN (słownie: osiemnaście tysięcy sto dziewięćdziesiąt dwa złote).
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana S. M. (zwanego dalej „Skarżącym”), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Pactum Poland Sp. z o.o. z siedzibą we Wrocławiu przy ul. Długiej 11 lok. 13, wpisaną do rejestru przedsiębiorców KRS pod nr 0000296808, (zwaną dalej „Spółką”). Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi (pod sygn. […]), pismem z […] lipca 2020 r. zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na następujące szczegółowe pytania dotyczące sprawy:
- kiedy (proszę wskazać dokładną datę), z jakiego źródła, na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu i zakresie (proszę wymienić kategorie danych) Spółka pozyskała dane osobowe Skarżącego;
- czy Spółka aktualnie przetwarza dane osobowe Skarżącego, a jeśli tak, to, na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu/-ów prawa), w jakim celu, w jakim zakresie oraz jak długo Spółka będzie przetwarzała dane osobowe Skarżącego;
- czy Spółka wypełniła wobec Skarżącego obowiązek informacyjny, a jeśli tak, to kiedy, w jakiej formie i w jakim zakresie;
- czy Skarżący zwracał się do Spółki z żądaniem zaprzestania przetwarzania jego danych osobowych lub z żądaniem spełnienia wobec niego obowiązku informacyjnego, a jeśli tak, to jak Spółka ustosunkowała się do przedmiotowych żądań;
- czy Spółka udostępniła dane osobowe Skarżącego na rzecz innych podmiotów, jeżeli tak, to komu, kiedy, na jakiej podstawie prawnej (proszę wskazać konkretny przepis prawa, jeżeli Spółka zawarła umowę powierzenia przetwarzania danych osobowych należy przesłać jej kopię), w jakim celu i zakresie.
Pismo z […] lipca 2020 r. o sygn. […] skierowane zostało na ujawniony w Krajowym Rejestrze Sądowym adres siedziby Spółki, tj. ul. Długa 11, 53-657 Wrocław – aktualny w dacie nadania korespondencji. Do Urzędu Ochrony Danych Osobowych wpłynął zwrot ww. pisma z adnotacją „zwrot nie podjęto w terminie”. W związku z tym, […] grudnia 2020 r., skierowano do Spółki pismo z ponownym wezwaniem do niezwłocznego złożenia wyjaśnień w sprawie. Pismo to zostało odebrane przez Spółkę […] stycznia 2021 r. Pomimo prawidłowego doręczenia ww. pisma, Spółka nie udzieliła na nie żadnej odpowiedzi. Zatem, […] marca 2021 r, Spółka ponownie została wezwana do złożenia wyjaśnień w sprawie. Dnia […] kwietnia 2021 r. pismo to zostało zwrócone do organu ochrony danych osobowych z adnotacją „zwrot nie podjęto w terminie”. W związku z faktycznym nieodebraniem przez Spółkę tego pisma, kolejnym pismem z […] maja 2021 r. Spółka wezwana została do złożenia wyjaśnień w sprawie. Pismo to także zostało zwrócone do Urzędu Ochrony Danych Osobowych z adnotacją „zwrot nie podjęto w terminie. W pismach z: […] grudnia 2020 r., […] marca 2021 r., z […] maja 2021 r. Spółka pouczona została, że brak wyczerpującej odpowiedzi na wezwanie Prezesa UODO skutkować może – zgodnie z art. 83 ust. 5 lit. e) w zw. z art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – nałożeniem na Spółkę administracyjnej kary pieniężnej.
Jak wyżej wykazano, pismo z […] grudnia 2020 r. zostało odebrane przez Spółkę, natomiast pisma z: […] lipca 2020 r., […] marca 2021 r. i […] maja 2021 r. po dwukrotnym awizowaniu wróciły do Urzędu Ochrony Danych Osobowych z adnotacją „zwrot nie podjęto w terminie”, w związku, z czym zostały uznane za doręczone Spółce zgodnie z art. 44 § 4 w związku z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.) (dalej także: „k.p.a.”).
W tym miejscu wskazać należy, że odpowiedzialność za nieudzielenie Prezesowi Urzędu Ochrony Danych Osobowych żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że trzy z pośród czterech wezwań kierowanych przez organ nadzorczy do Spółki nie zostały ostatecznie przez nią odebrane. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną (vide np. wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 r., sygn. akt II SAB/Go 90/18 – LEX nr 2576144).
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], zainicjowanej skargą Skarżącego, Prezes UODO wszczął z urzędu wobec Spółki – w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z naruszeniem przez Spółkę art. 31 oraz art. 58 ust. 1 lit a) i e) Rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (pod sygn. […]). O wszczęciu postępowania Spółka poinformowana została pismem z […] lipca 2021 r., które […] sierpnia 2021 r. zostało zwrócone do nadawcy z adnotacją „zwrot nie podjęto awizowanej przesyłki w terminie”. Pismem tym Spółka wezwana została również – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – do przedstawienia sprawozdania finansowego Spółki za rok 2020 lub – w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2020 r.
Do dnia wydania niniejszej decyzji Spółka nie udzieliła informacji niezbędnych do rozpatrzenia sprawy o sygn. […]. Spółka nie ustosunkowała się także do pisma informującego o wszczęciu postępowania o sygn. […] w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO - jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 - na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. t)). Dla umożliwienia egzekwowania tak określonych kompetencji, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niedostarczeniu informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu nadzorczego określonych w art. 58 ust. 1, podlega zaś - zgodnie z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 - administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – administrator danych osobowych Skarżącego Pana S. M., – jako strona prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych postępowania o sygn. […], naruszyła ciążący na niej obowiązek zapewnienia organowi nadzorczemu dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia tej sprawy. Takie działanie Spółki stanowi naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.
Zważyć należy, że w postępowaniu o sygn. […] Prezes Urzędu Ochrony Danych Osobowych czterokrotnie wzywał Spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Wszystkie pisma wystosowane przez Prezesa Urzędu Ochrony Danych Osobowych, tj. zarówno pismo z […] grudnia 2020 r. odebrane przez Spółkę, jak i pisma z: […] lipca 2020 r., […] marca 2021 r., […] maja 2021 r. uznane za doręczone Spółce zgodnie z art. 44 § 4k.p.a., pozostały bez odpowiedzi. Powyższego stanu rzeczy nie zmienił fakt następczego wszczęcia niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. Spółka, prawidłowo zawiadomiona przez organ nadzorczy o zamiarze podjęcia wobec niej określonych w art. 58 ust. 2 lit. i) Rozporządzenia 2016/679 działań, a nadto pouczona o przysługującym jej - jako stronie niniejszego postępowania - prawie do wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań, nie podjęła żadnych czynności zmierzających do wyjaśnienia zaistniałej po jej stronie bezczynności ani usprawiedliwienia braku współpracy z Prezesem UODO. Osoby uprawnione do reprezentacji Spółki nie kontaktowały się również z Urzędem Ochrony Danych Osobowych celem zasygnalizowania ewentualnych wątpliwości, które Spółka mogłaby powziąć odnośnie zakresu informacji, których udzielenia żądał Prezes UODO.
Wyżej opisane postępowanie Spółki w sprawie o sygn. […], tj. nieudzielenie odpowiedzi na - zawarte w odebranym przez Spółkę piśmie z […] grudnia 2020 r. - konkretne, niezbyt skomplikowane i niewymagające specjalistycznej wiedzy z zakresu ochrony danych osobowych, pytania Prezesa UODO, a także nieodbieranie pozostałych wezwań Prezesa UODO, wskazuje na brak woli Spółki współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej na rażące lekceważenie obowiązków dotyczących współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego zadań określonych Rozporządzeniem 2016/679.
Wskazać w tym miejscu należy, że utrudnianie i uniemożliwianie uzyskania dostępu do informacji, których organ nadzorczy żądał i żąda od Spółki, a które niewątpliwie są w posiadaniu Spółki (np. informacja o aktualnym przetwarzaniu przez Spółkę danych osobowych Skarżącego, o podstawie prawnej, celu, zakresie tego przetwarzania, ewentualnym udostępnieniu tych danych), stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) zasadami wnikliwości i szybkości postępowania. Ponadto, Spółka zobowiązana jest współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine oraz art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31) oraz w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań (art. 58 ust. 1 lit. e), to jest do rozstrzygnięcia sprawy o sygn. […].
Jednocześnie, wobec stwierdzenia naruszenia przez Spółkę dwóch przepisów Rozporządzenia 2016/679 (art. 31 oraz art. 58 ust. 1 lit. e), stosownie do treści art. 83 ust. 3 tego aktu prawnego, zgodnie z którym, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez Spółkę dostępu do wszelkich informacji niezbędnych do realizacji jego zadań, tj. naruszenie przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679. O powadze tego naruszenia świadczy to, że brak dostępu do informacji, których Prezes UODO żądał i żąda od Spółki, nie tylko stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes Urzędu Ochrony Danych Osobowych wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Działania Spółki w niniejszej sprawie, polegające na zaniechaniu dostarczenia wszelkich żądanych przez Prezesa Urzędu Ochrony Danych Osobowych informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy, więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Przeciwnie, działanie Spółki miało charakter ciągły i długotrwały, co bezsprzecznie potwierdza fakt, iż stwierdzone w niniejszym postępowaniu naruszenie trwa od chwili upływu terminu wyznaczonego na złożenie wyjaśnień, zakreślonego w pierwszym piśmie Prezesa UODO, tj. od […] lipca 2020 r., do chwili obecnej.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
W ocenie Prezesa Urzędu Ochrony Danych Osobowych po stronie Spółki istnieje wyraźny brak woli współpracy w zapewnieniu organowi wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której organ zwracał się do niej o ich udzielenie. Świadczy o tym w szczególności brak odpowiedzi na wezwania Prezesa Urzędu Ochrony Danych Osobowych kierowane do Spółki, w szczególności na wezwanie z […] grudnia 2020 r., które to Spółka odebrała. Zatem, Spółka wiedziała jaki organ skierował do niej wezwanie i o jakie informacje organ ten zwraca się do Spółki. W związku z takim działaniem Spółka podjęła świadomą decyzję o nieudzieleniu organowi ochrony danych osobowych informacji. Nawet pouczenie zamieszczone w ww. piśmie o nałożeniu na Spółkę administracyjnej kary pieniężnej w przypadku braku odpowiedzi na wezwanie Prezesa UODO nie skłoniło Spółki do współpracy z nim w sprawie udzielenia informacji.Jest to zatem brak woli współpracy z organem lub co najmniej świadome, rażące lekceważenie swoich obowiązków związanych z tą współpracą. Podkreślić należy, że Spółka na żadnym etapie postępowania o sygn. […], jak również w niniejszym postępowaniu, nie podjęła próby usprawiedliwienia takiego postępowania. Zważywszy, że Spółka jest przedsiębiorcą, podmiotem profesjonalnie uczestniczącym w obrocie prawno-gospodarczym, przyjąć należy ponadto, że miała ona (i ma do chwili obecnej) świadomość, że jej działanie polegające na niepodejmowaniu korespondencji organu nadzorczego (przy posiadanej wiedzy o tym, że toczy się przed Prezesem Urzędu Ochrony Danych Osobowych postępowanie administracyjne o sygn. […], którego Spółka jest stroną) stanowi naruszenie podstawowych obowiązków przedsiębiorcy, w szczególności obowiązków wynikających z Rozporządzenia 2016/679.
Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).
W toku niniejszego postępowania ([…]) w przedmiocie nałożenia administracyjnej kary pieniężnej Spółka nie złożyła jakichkolwiek wyjaśnień, które zezwoliłyby na ustalenie przyczyn jej bezczynności a także dalsze procedowanie w sprawie o sygn. […]. Brak jakichkolwiek wyjaśnień ze strony Spółki nadal utrudnia Prezesowi Urzędu Ochrony Danych Osobowych wydanie rozstrzygnięcia w sprawie o sygn. […].
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).
Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa Urzędu Ochrony Danych Osobowych kara nałożona na Spółkę w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje Spółkę do prawidłowej współpracy z organem nadzorczym, zarówno w dalszym toku postępowania o sygn. […], jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Prezesem Urzędu Ochrony Danych Osobowych. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Spółki jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem Urzędu Ochrony Danych Osobowych, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu wskazać należy, że nałożenie na Spółkę administracyjnej kary pieniężnej jest – wobec dotychczasowego postępowania Spółki, jako strony postępowania […] – niezbędne; jest jedynym środkiem znajdującym się w dyspozycji Prezesa Urzędu Ochrony Danych Osobowych, który umożliwi uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu.
Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2020, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 3 i art. 83 ust. 4 lit a) oraz art. 83 ust. 5 lit. e) rozporządzenia 2016/679, w związku z art. 103 ustawy o ochronie danych osobowych z 2018 r., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2021 r. (1 EUR = 4.5479 PLN) – administracyjną karę pieniężną w kwocie 18.192 PLN (co stanowi równowartość 4.000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2021 r.
Wobec powyższego, Prezes Urzędu Ochrony Danych Osobowych orzekł jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2021 r. poz. 1540 ze zm.), od dnia następującego po dniu złożenia wniosku.