Decyzja DOKE.561.11.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2024 r., poz. 572) w związku z art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także na podstawie art. 57 ust. 1 lit. a) i h), 58 ust. 2 lit. b) w związku z art. 31 i art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na N (…) sp. z o.o. z siedzibą w L. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia N (…) sp. z o.o. z siedzibą w L. przy ul. (…) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego swoich zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych oraz informacji niezbędnych do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygn. DS.523.6523.2022.(…).

Uzasadnienie

Stan faktyczny

1.

N (…) sp. z o.o. z siedzibą w L. przy ul. (…) (zwana dalej „Spółką”) jest spółką prawa handlowego zarejestrowaną w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego (zwanym dalej „KRS”) 30 września 2019 r. pod numerem (…). Zgodnie ze Sprawozdaniem Zarządu z działalności Spółki za rok 2021 (ostatnim złożonym w KRS na dzień wydania niniejszej decyzji) jej podstawową działalnością jest „(…)”

2.

Na skutek skargi pana B. G., zamieszkałego w P. przy ul. (…), Prezes UODO wszczął wobec Spółki postępowanie – o sygn. DS.523.6523.2022.(…) – dotyczące nieprawidłowości w procesie przetwarzania przez Spółkę jego – jako jej pracownika – danych osobowych.

3.

W ramach postępowania, o którym mowa wyżej, Prezes UODO – pismem z 1 lutego 2023 r. (znak: DS.523.6523.2022.(…)) – zwrócił się do Spółki z wezwaniem do złożenia dodatkowych wyjaśnień (uzupełniających informacje przedstawione przez Spółkę na poprzednim etapie postępowania) oraz przedstawienia dowodów (dokumentów) dotyczących przedmiotu postępowania. Prezes UODO zażądał w tym piśmie wskazania i przedstawienia:

„

1.

konkretnej podstawy prawnej przetwarzania poszczególnych danych Skarżącego przez Spółkę;

2.

kopii dokumentu, który by potwierdzał okoliczność chęci zmiany przez Skarżącego pracodawcy z W (…) Sp. z o.o. na N (…) Sp. z o.o., w tym zgody na udostępnienie jego danych na rzecz Spółki;

3.

w jakim zakresie Spółka pozyskała dane od W (…) Sp. z o.o;

4.

kopii umowy powierzenia danych pomiędzy Spółką a W (…) Sp. z o.o., na podstawie której Spółka pozyskała dane Skarżącego.”

4.

Wezwanie z 1 lutego 2023 r. doręczone zostało Spółce 8 lutego 2023 r., co potwierdzone zostało podpisem jej pracownika umieszczonym na zwrotnym potwierdzeniu odbioru przesyłki. Spółka w żaden sposób nie zareagowała na wezwanie Prezesa UODO.

5.

Pismem z 21 marca 2023 r. (znak: DS.523.6523.2022.(…)) Prezes UODO ponownie skierował do Spółki wezwanie do złożenia wyjaśnień i dowodów – o treści tożsamej do treści pisma z 1 lutego 2023 r. Wezwanie to doręczone zostało Spółce 24 marca 2023 r., co potwierdzone zostało na zwrotnym potwierdzeniu odbioru przesyłki podpisem jej pracownika. Również to wezwanie pozostało bez jakiejkolwiek odpowiedzi ze strony Spółki.

6.

Skierowane do Spółki wezwanie z 21 marca 2023 r. zawierało pouczenie, że „brak wyczerpującej odpowiedzi […] skutkować może , w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem […] – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.”

7.

Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie korespondencji urzędowej, prowadzonej pomiędzy Spółką a Prezesem UODO, a znajdującej się w aktach postępowania o sygn. DS.523.6523.2022.(…). Korespondencja ta (prowadzona w całości w formie pisemnej) odzwierciedla próby uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań, to jest do rozpatrzenia sprawy o sygn. DS.523.6523.2022.(…). Z drugiej zaś strony obrazuje ona reakcję Spółki (a właściwie – na tym etapie postępowania – brak jakiejkolwiek reakcji) na kierowane do niej żądania Prezesa UODO.

Postępowanie

8.

W związku z nieudzieleniem przez Spółkę – w postępowaniu o sygn. DS.523.6523.2022.(…) – informacji niezbędnych Prezesowi UODO do realizacji jego zadań, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygn. DOKE.561.11.2023.RZ) w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka została poinformowana pismem z 4 lipca 2023 r. (znak: DOKE.561.11.2023.(…)), doręczonym Spółce 7 lipca 2023 r. Pismem tym Spółka zobowiązana została także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2022 r. Spółkę poinformowano również, że udzielenie pisemnych wyczerpujących wyjaśnień, o udzielenie których Prezes UODO zwrócił się do Spółki pismami z 1 lutego 2023 r. oraz 21 marca 2023 r., może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.

9.

W reakcji na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Spółka złożyła do akt postępowania DS.523.6523.2022.(…) – pismem z 21 lipca 2023 r. – obszerne wyjaśnienia stanowiące odpowiedź na skierowane do niej w tej sprawie wezwania Prezesa UODO z 1 lutego 2023 r. oraz 21 marca 2023 r. Spółka odpowiedziała na wszystkie cztery zadane jej przez Prezesa UODO pytania; załączyła ponadto do swojego pisma – w odpowiedzi na wezwanie do przedstawienia kopii umowy powierzenia danych zawartej ze spółką W (…) Sp. z o.o. – kopię łączącej ją z tą spółką umowy o współpracy w zakresie administracyjnej obsługi biura.

10.

Jednocześnie – pismem z 21 lipca 2023 r., złożonym w niniejszym postępowaniu – Spółka wskazała, iż „deklaruje pełną współpracę z Prezesem UODO w przyszłości” oraz wyraziła „ubolewanie z powodu dotychczasowych przypadków braku właściwej współpracy, spowodowanych brakami kadrowymi w zakresie administracyjnej obsługi Spółki”. Spółka – w związku z wykonaniem obowiązku współpracy – zwróciła się do Prezesa UODO o odstąpienie od nałożenia administracyjnej kary pieniężnej.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

11.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).

12.

Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).

13.

Naruszenie przepisów Rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

14.

Dodatkowo zarówno administrator jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego swoich zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest, zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679, administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

15.

Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania (art. 58 ust. 2 lit. b) Rozporządzenia 2016/679). Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

16.

Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2024 r., poz. 572, zwanej dalej: „k.p.a.”). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

17.

Odnosząc wyżej przytoczone przepisy do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy w pierwszej kolejności, że Spółka – będąc stroną postępowania (sygn. DS.523.6523.2022.(…)) zainicjowanego skargą złożoną na jej działanie przez jej byłego pracownika – jest administratorem danych osobowych tej osoby (zwanej dalej „Skarżącym”). Skoro zaś Spółka posiada status administratora Prezes UODO uprawniony jest – na mocy art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – do nakazania jej dostarczenia informacji potrzebnych do realizacji jego zadania, to jest informacji potrzebnych w postępowaniu mającym na celu zbadanie zasadności skargi złożonej przez Skarżącego. Drugą stroną powyższego uprawnienia Prezesa UODO jest – przewidziany w art. 58 ust.1 lit. e) Rozporządzenia 2016/679 – obowiązek zapewnienia Prezesowi UODO przez administratora (w tym wypadku przez Spółkę) dostępu do danych osobowych i informacji niezbędnych mu do realizacji wskazanego wyżej zadania.

18.

W niniejszej sprawie Prezes UODO – korzystając z uprawnienia, o którym mowa w art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – skierował do Spółki żądanie udzielenia informacji niezbędnych mu w postępowaniu o sygn. DS.523.6523.2022.(…), a – co jest okolicznością obiektywną i przyznaną przez samą Spółkę (w piśmie z 21 lipca 2023 r. – vide pkt 10 uzasadnienia niniejszej decyzji) – Spółka takich informacji mu nie udzieliła – wbrew ciążącemu na niej na mocy art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 obowiązkowi – aż do chwili wszczęcia niniejszego postępowania. Uzasadnia to ocenę, że miało miejsce w niniejszej sprawie naruszenie obu wskazanych wyżej przepisów Rozporządzenia 2016/679 – art. 58 ust. 1 lit. a) oraz lit. e).

19.

Prezes UODO dwukrotnie skutecznie wezwał Spółkę do złożenia wyjaśnień w sprawie o sygn. DS.523.6523.2022.(…) (vide pkt 3-5 uzasadnienia niniejszej decyzji). Zarówno wezwanie z 1 lutego 2023 r., jak i wezwanie z 21 marca 2023 r., zostały odebrane przez Spółkę – odpowiednio 8 lutego 2023 r. oraz 24 marca 2023 r. – co uzasadnia stwierdzenie, że Spółka miała obiektywną możliwość zapoznania się z treścią kierowanych do niej pism oraz udzielenia na nie odpowiedzi w zakreślonym przez Prezesa UODO terminie. Bezspornym jest więc, że Prezes UODO – realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – skierował do Spółki – w formie zgodnej z przepisami k.p.a. regulującymi wezwania (Rozdział 9 k.p.a.) – żądanie dostarczenia informacji potrzebnych do realizacji swoich zadań – w tym przypadku do merytorycznego rozstrzygnięcia prowadzonej przez siebie sprawy.

20.

Bezspornym jest też, że w postępowaniu o sygn. DS.523.6523.2022.(…) Prezes UODO nie uzyskał od Spółki – do chwili wszczęcia niniejszego postępowania –informacji potrzebnych mu do rozstrzygnięcia tej sprawy. W związku z tym natomiast, że informacje te dotyczą działań Spółki dokonywanych na jej wewnętrznych zasobach (na danych osobowych, których była ona administratorem), Spółka była podstawowym i jedynym wiarygodnym źródłem informacji i dowodów pozwalających na wnikliwe i obiektywne zbadanie sprawy. Stąd też uprawnione jest stwierdzenie, że informacje i dokumenty, których żądał od Spółki Prezes UODO były mu nie tylko potrzebne, ale wręcz niezbędne do realizacji jego zadania. Na tę „niezbędność” wskazuje art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, mówiący o obowiązku Spółki (jako administratora i strony postępowania prowadzonego przez Prezesa UODO) naruszonym w postępowaniu o sygn. DS.523.6523.2022.(…).

21.

Działanie Spółki (a właściwie jej zaniechanie) polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych mu w postępowaniu o sygn. DS.523.6523.2022.(…) wyczerpuje jednocześnie znamiona naruszenia art. 31 Rozporządzenia 2016/679. Współpraca administratora z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie, obejmuje również, a może nawet przede wszystkim, obowiązek przedstawienia organowi – na jego żądanie – wszelkich posiadanych przez siebie informacji związanych z przedmiotem prowadzonego z jego udziałem postępowania administracyjnego. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Spółki, może być bowiem przeszkoda w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy, a także nieuzasadnione przedłużenie czasu trwania postępowania zainicjowanego skargą Skarżącego poszukującego ochrony swoich praw przewidzianych przepisami Rozporządzenia 2016/679.

22.

W związku z brakiem reakcji Spółki na kierowaną do niej korespondencję Prezes UODO zmuszony był wszcząć postępowania administracyjnego w przedmiocie nałożenia na nią administracyjnej kary pieniężnej. Dopiero na skutek tej czynności Spółka podjęła współpracę z Prezesem UODO i złożyła wyjaśnienia w sprawie o sygn. DS.523.6523.2022.(…).

23.

Przedstawione przez Spółkę w piśmie z 21 lipca 2023 r. uzasadnienie braku odpowiedzi na jego wezwania (vide pkt 10 uzasadnienia niniejszej decyzji), niezależnie od oceny jego wiarygodności, nie stanowi przesłanki wyłączającej odpowiedzialność Spółki. Za „braki kadrowe” w Spółce – niezależnie od przyczyn ich wystąpienia – odpowiada bowiem Spółka. Podkreślić należy w tym miejscu, że do obowiązków podmiotu prowadzącego działalność w otoczeniu prawnym i gospodarczym należy zapewnienie takiej organizacji pracy (w tym zapewnienie zasobów ludzkich i finansowych), która pozwoli na sprawne i terminowe wypełnianie ciążących na nim obowiązków prawnych, w tym tych wynikających z przepisów Rozporządzenia 2016/679. Spółka z obowiązku współpracy z Prezesem UODO, w szczególności polegającym na udzielaniu mu wszelkich potrzebnych mu w postępowaniu administracyjnym informacji, niewątpliwie nie wywiązała się.

24.

Stwierdzając bezsporny fakt niezapewnienia przez Spółkę Prezesowi UODO żądanych przez niego informacji, Prezes UODO stanął jednak na stanowisku, że naruszenie to nie miało charakteru umyślnego – wynikło z zaistniałego po stronie Spółki zaniedbania, a nie z jej celowego, intencjonalnego działania (a właściwie działania osób piastujących funkcje jej organów). Potwierdza to następcza postawa Spółki, która niezwłocznie po powzięciu informacji o toczącym się postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej usunęła naruszenie – w piśmie z 21 lipca 2023 r., złożonym do akt sprawy o sygn. DS.523.6523.2022.(…), udzieliła obszernej odpowiedzi na wszystkie cztery pytania zadane jej przez Prezesa UODO. Złożone przez nią wyjaśnienia, nawet jeśli na chwilę obecną nie wystarczą do rozstrzygnięcia sprawy o sygn. DS.523.6523.2022.(…), to pozwolą z pewnością na jej dalsze, sprawne procedowanie. Spółka składając te wyjaśnienia wykazała aktywną i otwartą na współpracę z Prezesem UODO w przyszłości postawę.

25.

Mając więc na uwadze, że w niniejszej sprawie niewątpliwie doszło do naruszenia przepisów Rozporządzenia 2016/679, Prezes UODO za konieczne uznał zastosowanie wobec Spółki sankcji, która byłaby wyrazem jego negatywnej oceny naruszenia, i która spełniałaby funkcje kary: represyjną (ukaranie za popełnione naruszenie), dyscyplinującą (zapewnienie prawidłowej współpracy Spółki w postępowaniu) oraz prewencyjną (zapobieżenie podobnym naruszeniom w przyszłości). W ocenie Prezesa UODO sankcja w postaci administracyjnej kary pieniężnej byłaby jednak w tych konkretnych okolicznościach sprawy nieproporcjonalna do wagi naruszenia. Za adekwatne – uzasadnione okolicznościami sprawy – Prezes UODO uznał natomiast udzielenie Spółce – w oparciu o art. 58 ust. 2 lit. b) Rozporządzenia – upomnienia, która to sankcja – zachowując proporcjonalność do wagi naruszenia – będzie jednocześnie skuteczna i odstraszająca.

26.

W ocenie Prezesa UODO naruszenie oceniane w niniejszej sprawie jest – używając sformułowania użytego w motywie 148 Rozporządzenia (vide pkt 15 uzasadnienia niniejszej decyzji) – „niewielkie”, lub też inaczej mówiąc ma niewielką – ze względu na całokształt okoliczności ustalonych w niniejszym postępowaniu – wagę. Za taką oceną przemawiają następujące okoliczności:

a)

Bezzwłoczne usunięcie przez Spółkę naruszenia.

Spółka udzieliła Prezesowi UODO żądanych przez niego informacji niezwłocznie po otrzymaniu informacji o wszczęciu postępowania w przedmiocie nałożenia na nią administracyjnej kary pieniężnej, a więc po stwierdzeniu, że Prezes UODO dostępu do nich nie uzyskał pomimo wcześniejszego dwukrotnego skierowanego do Spółki żądania (vide pkt 9 uzasadnienia niniejszej decyzji).

b)

Charakter naruszenia.

Stwierdzone w niniejszej sprawie naruszenie (nieudzielenie Prezesowi UODO informacji niezbędnych do realizacji jego zadań oraz brak współpracy z Prezesem UODO w ramach ich wykonywania) nie godziło bezpośrednio w prawa i wolności osób fizycznych – podmiotów danych osobowych, których to danych Spółka jest administratorem. Naruszenie to ze swojej istoty dotyczyło relacji między administratorem (Spółką) a organem nadzorczym (Prezesem UODO), a nie stosunku między administratorem a osobami, których dane administrator przetwarza.

c)

Nieumyślność naruszenia.

Stwierdzone w niniejszej sprawie naruszenie nie jest – w ocenie Prezesa UODO – skutkiem świadomego i celowego działania nakierowanego na dopuszczenie się naruszenia przepisów Rozporządzenia 2016/679. Jest efektem zaniedbania, którego dopuściła się Spółka w sferze takiego zorganizowania pracy, aby zapewniony był odpowiedni kontakt z Prezesem UODO, w tym pełny i niczym niezakłócony udział w prowadzonym przez niego postępowaniu (vide pkt 24 uzasadnienia niniejszej decyzji).

d)

Brak szkód po stronie osób fizycznych.

Prezes UODO nie stwierdził, żeby na skutek wydłużenia czasu trwania postępowania o sygn. DS.523.6523.2022.(…), będącego skutkiem rozpatrywanego w niniejszej sprawie naruszenia, jakakolwiek osoba fizyczna poniosła szkodę – majątkową bądź niemajątkową (krzywdę).

e)

Brak stwierdzonych wcześniejszych naruszeń przepisów Rozporządzenia 2016/679.

Prezes UODO nie stwierdził – przed datą wydania niniejszej decyzji – popełnienia przez Spółkę jakichkolwiek naruszeń w zakresie ochrony danych osobowych. Okoliczność ta pozwala przypuszczać, że stwierdzone w niniejszym postępowaniu naruszenie jest zdarzeniem jednorazowym i incydentalnym – nie jest wyrazem polityki Spółki, w którą wpisane byłoby lekceważenie zagadnienia ochrony danych osobowych.

f)

Sytuacja finansowa Spółki.

Odstąpienie od zastosowania w odniesieniu do Spółki sankcji o charakterze finansowym uzasadnione jest w ocenie Prezesa UODO również niepewną sytuacją finansową Spółki, która w dwóch pierwszych pełnych latach swojej działalności (2020-2021) odnotowała – co zostało uwidocznione w złożonym przez nią w KRS sprawozdaniu finansowym za 2021 rok – łączną stratę w wysokości ok. (…) mln zł. W takich okolicznościach nałożenie na Spółkę administracyjnej kary pieniężnej byłoby w ocenie Prezesa UODO działaniem nieproporcjonalnym – nadmiernie surowym, podczas gdy sankcja mniej dolegliwa – upomnienie – również pozwoli osiągnąć wszystkie cele kary (vide pkt 25 uzasadnienia niniejszej decyzji).

27.

Podsumowując powyższe Prezes UODO stwierdza, że uzasadnionym w niniejszej sprawie jest udzielenie Spółce upomnienia za naruszenie przez nią przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. W jego ocenie, w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679, sankcja ta będzie w odniesieniu do Spółki skuteczna, proporcjonalna i odstraszająca na przyszłość. Walor skuteczności i odstraszającego charakteru tego rodzaju sankcji orzeczonej w niniejszej sprawie wzmacnia okoliczność, że w przypadku naruszenia przez Spółkę w przyszłości przepisów Rozporządzenia 2016/679, będzie ona (a w zasadzie sam fakt stwierdzenia w niniejszej sprawie naruszenia) uwzględniona – zgodnie z art. 83 ust. 2 lit. e) Rozporządzenia 2016/679 – jako okoliczność wpływająca obciążająco na wymiar orzeczonej ewentualnie wobec Spółki administracyjnej kary pieniężnej

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.