Decyzja DOKE.561.12.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2023 r., poz. 775 ze zm.) w związku z art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także na podstawie art. 57 ust. 1 lit. a) i h), 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na M. (…) sp. z o.o. z siedzibą w K. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia M. (…) sp. z o.o. z siedzibą w K. przy ul. (…) za naruszenie przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych oraz informacji niezbędnych do realizacji jego zadań, to jest do rozstrzygnięcia sprawy o sygn. DKN.5130.555.2021.

Uzasadnienie

Stan faktyczny

1.

M. (…) sp. z o.o. z siedzibą w K. (zwana dalej „Spółką”), zarejestrowana w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego (zwanym dalej „KRS”) pod numerem (…), jest przedsiębiorcą prowadzącym działalność gospodarczą w zakresie (…). Do dnia (…) lutego 2021 r. jako adres siedziby Spółki w KRS ujawniony był adres: ul. (…), (…)-(…) K.. W tym dniu sąd rejestrowy (Sąd Rejonowy w Katowicach, Wydział VIII Gospodarczy KRS) dokonał w KRS wpisu zmiany adresu siedziby Spółki na nowy: ul. (…), (…)-(…) K.. (…) marca 2023 r. Sąd Rejonowy Katowice-Wschód w Katowicach, X Wydział Gospodarczy, wszczął wobec Spółki postępowanie restrukturyzacyjne – przyspieszone postępowanie układowe.

2.

W dniu 25 stycznia 2021 r. do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez Spółkę. Spółka zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej „Prezesem UODO”), że w dniach (…) stycznia 2021 r. „[w]łamano się do serwera oraz zaszyfrowano wszystkie pliki znajdujące się na nim. W tym program kadrowy, księgowy”.

3.

Mając na uwadze potrzebę przeprowadzenia dodatkowych czynności weryfikujących okoliczności związane ze zgłoszonym naruszeniem ochrony danych osobowych oraz sprawdzających wywiązanie się przez Spółkę z obowiązków wynikających ze stwierdzonego naruszenia Prezes UODO wszczął wobec Spółki postępowanie wyjaśniające o sygn. DKN.5130.555.2021.

4.

Pismem z 10 grudnia 2021 r. (znak: DKN.5130.555.2021.(…)) Prezes UODO zwrócił się do Spółki z wezwaniem do przedstawienia wyjaśnień i dowodów dotyczących okoliczności związanych z zaistniałym naruszeniem ochrony danych osobowych. W piśmie tym zawarte zostało 11 pytań precyzujących i uszczegóławiających skierowane do Spółki żądanie udzielenia wyjaśnień w sprawie. Wezwanie doręczone zostało Spółce 12 grudnia 2021 r., co potwierdzone zostało odciskiem pieczęci firmowej Spółki oraz podpisem jej pełnomocnika umieszczonymi na zwrotnym potwierdzeniu odbioru przesyłki.

5.

W odpowiedzi na powyższe wezwanie Spółka zwróciła się do Prezesa UODO – pismem z 22 grudnia 2021 r. (data wpływu do UODO – 27 grudnia 2021 r.) z wnioskiem o „wydłużenie terminu odpowiedzi, co spowodowane jest nieobecnością od (…) br. pracownika odpowiedzialnego za sprawy informatyczne spółki w związku z zakażeniem COVID-19”. W ślad za wnioskiem o wydłużenie terminu udzielenia odpowiedzi na wezwanie Prezesa UODO Spółka nie złożyła żądanych w tym wezwaniu wyjaśnień i dowodów.

6.

6 kwietnia 2022 r. Prezes UODO skierował do Spółki ponowne, o treści tożsamej z treścią pisma z 10 grudnia 2021 r., wezwanie do złożenia wyjaśnień w sprawie (znak: DKN.5130.555.2021.(…)). Prezes UODO nie dysponuje jednakże zwrotnym potwierdzeniem odbioru przez Spółkę tego pisma. W związku z tym ponadto, że zostało ono skierowane na nieaktualny – nieodpowiadający wpisowi w KRS – adres siedziby Spółki (ul. (…), (…)-(…) K.) brak jest podstaw do uznania, że zostało ono Spółce doręczone.

7.

Wobec braku odpowiedzi na wezwania Prezesa UODO prowadzący sprawę pracownik UODO skierował 18 października 2022 r. na adresy e-mail Spółki i jej pracownika ((…) oraz (…)) prośbę o kontakt w sprawie związanej z dokonanym przez Spółkę zgłoszeniem naruszenia ochrony danych osobowych. Wiadomość ta pozostała bez reakcji ze strony Spółki.

8.

Pismem z 3 listopada 2022 r. (znak: DKN.5130.555.2021.(…)) Prezes UODO ponownie skierował do Spółki wezwanie do złożenia wyjaśnień i dowodów – o treści analogicznej do treści pisma z 10 grudnia 2021 r. Wezwanie to doręczone zostało Spółce 7 listopada 2022 r., co potwierdzone zostało na zwrotnym potwierdzeniu odbioru przesyłki odciskiem pieczęci firmowej Spółki oraz podpisem jej pełnomocnika. Wezwanie to pozostało również bez jakiejkolwiek odpowiedzi ze strony Spółki.

9.

Oba doręczone prawidłowo Spółce wezwania (z 10 grudnia 2021 r. oraz 3 listopada 2022 r.) zawierały pouczenie, że brak złożenia wyjaśnień „może skutkować nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) RODO”

10.

Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, prowadzonej pomiędzy Spółką a Prezesem UODO, znajdującej się w aktach postępowania o sygn. DKN.5130.555.2021. Korespondencja ta (prowadzona w całości w formie pisemnej i – pomocniczo – w formie elektronicznej – e-mail) odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – to jest do rozpatrzenia sprawy o sygn. DKN.5130.555.2021. Z drugiej zaś strony obrazuje ona reakcję Spółki na kierowane do niej żądania Prezesa UODO – sprowadzającą się do złożenia jednego pisma zawierającego jedynie wniosek o wydłużenie terminu na złożenie wyjaśnień w sprawie.

Postępowanie

11.

W związku z nieudzieleniem przez Spółkę – w postępowaniu o sygn. DKN.5130.555.2021 – informacji niezbędnych Prezesowi UODO do realizacji jego zadań, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – niniejsze postępowanie administracyjne (o sygn. DOKE.561.12.2023.RZ) w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej w związku z naruszeniem art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. O wszczęciu postępowania Spółka została poinformowana pismem z 5 lipca 2023 r. (znak: DOKE.561.12.2023.(…)), doręczonym Spółce 11 lipca 2023 r. Pismem tym Spółka zobowiązana została także – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2022 r. Spółkę poinformowano również, że udzielenie pisemnych wyczerpujących wyjaśnień, o udzielenie których Prezes UODO zwrócił się do Spółki pismami z 10 grudnia 2021 r. oraz 3 listopada 2022 r., może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.

12.

W reakcji na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Spółka złożyła – pismem z 24 lipca 2023 r. (data wpływu do UODO: 27 lipca 2023 r.) – obszerne wyjaśnienia w sprawie.

13.

W powyższym piśmie Spółka wskazała, że przeprowadziła postępowanie mające na celu wyjaśnienie przyczyn nieudzielenia Prezesowi UODO żądanych przez niego informacji. W jego rezultacie ustalono, że w odpowiedzi na żądanie Prezesa UODO przygotowane zostało pismo zawierające odpowiedź na to żądanie, jednakże „[…] nie zostało [ono] omyłkowo nadane do Prezesa UODO, pomimo przekonania, że nadanie miało miejsce, a postępowanie jest w toku”. Zgodnie z wyjaśnieniami Spółki „[p]rzyczyną zaniechania jest wyłącznie błąd ludzki spowodowany zmianą siedziby naszego przedsiębiorstwa. Nie bez znaczenia była również zmiana organizacji pracy (praca zdalna), w związku z epidemią COVID-19.” Do wyjaśnień Spółki załączone zostało pismo Spółki, adresowane na prowadzącego postępowanie o sygn. DKN.5130.555.2021, a datowane na 21 lutego 2022 r. Pismo to zawiera wyjaśnienia Spółki mające formę odpowiedzi na każde z 11 pytań skierowanych do niej przez Prezesa UODO w wezwaniach z 10 grudnia 2021 r. i 3 listopada 2022 r. W załączeniu do niego Spółka przedstawiła też dowody (dokumenty) na potwierdzenie swoich wyjaśnień.

14.

W odpowiedzi na wezwanie Prezesa UODO zawarte w piśmie z 5 lipca 2023 r. informującym o wszczęciu niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Spółka – jako załącznik do swojego pisma z 24 lipca 2023 r. – przedstawiła swoje sprawozdanie finansowe za rok obrotowy 2022 wykazujące przychody ze sprzedaży w wysokości (…) mln zł (spadek w stosunku do roku 2021 – z (…) mln zł) oraz stratę netto w kwocie (…) mln zł (przy stracie netto w roku 2021 w wysokości (…) mln zł).

15.

Spółka wyraziła ubolewanie spowodowane zaistniałą sytuacją i zobowiązała się do „podjęcia wszelkich działań naprawczych, mających na celu wyeliminowanie podobnych sytuacji w przyszłości”. Spółka ponadto zobowiązała się do „nadania sprawie najwyższego priorytetu oraz pełnej współpracy z Urzędem w sprawie dotyczącej możliwego naruszenia danych osobowych”. Na koniec Spółka wniosła o odstąpienie od wymierzenia kary oraz „uwzględnienie faktu, że Spółka zawiadomiła Urząd o potencjalnym naruszeniu danych, co potwierdza odpowiedzialne podejście do problematyki ochrony danych osobowych”.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

16.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia (art. 57 ust. 1 lit. h) Rozporządzenia 2016/679).

17.

Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) Rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) Rozporządzenia 2016/679).

18.

Naruszenie przepisów Rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

19.

Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 Rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania (art. 58 ust. 2 lit. b) Rozporządzenia 2016/679). Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów Rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy Rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

20.

Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2023 r., poz. 775 ze zm., zwanej dalej: „k.p.a.”). Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

21.

Odnosząc wyżej przytoczone przepisy do ustalonego w niniejszej sprawie stanu faktycznego stwierdzić należy w pierwszej kolejności, że Spółka jest administratorem danych osobowych osób, których dane osobowe naruszone zostały na skutek incydentu mającego miejsce w jej organizacji w dniach (…) stycznia 2021 r. Prawidłowo więc wypełniła spoczywający na niej, a przewidziany w art. 33 ust. 1 Rozporządzenia 2016/679 (i właściwy jedynie dla administratora), obowiązek zgłoszenia tego naruszenia Prezesowi UODO. Skoro zaś Spółka posiada status administratora, Prezes UODO uprawniony jest – na mocy art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – do nakazania jej dostarczenia informacji potrzebnych do realizacji jego zadań, w tym informacji potrzebnych w postępowaniu mającym na celu zbadanie naruszenia ochrony danych osobowych zaistniałego w jej organizacji. Drugą stroną powyższego uprawnienia Prezesa UODO jest – przewidziany w art. 58 ust.1 lit. e) Rozporządzenia 2016/679 – obowiązek zapewnienia Prezesowi UODO przez administratora (w tym wypadku przez Spółkę) dostępu do danych osobowych i informacji niezbędnych mu do realizacji wskazanego wyżej zadania.

22.

W niniejszej sprawie Prezes UODO – korzystając z uprawnienia, o którym mowa w art. 58 ust. 1 lit. a) Rozporządzenia 2016/679 – skierował do Spółki żądanie udzielenia informacji niezbędnych mu w postępowaniu o sygn. DKN.5130.555.2021, a – co jest okolicznością obiektywną i przyznaną przez samą Spółkę – Spółka takich informacji mu nie udzieliła – wbrew ciążącemu na niej na mocy art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 obowiązkowi – aż do chwili wszczęcia niniejszego postępowania. Uzasadnia to w ocenie Prezesa UODO bezsprzecznie, że miało miejsce w niniejszej sprawie naruszenie obu wskazanych wyżej przepisów Rozporządzenia 2016/679.

23.

Prezes UODO skutecznie wezwał Spółkę do złożenia wyjaśnień w sprawie o sygn. DKN.5130.555.2021 dwukrotnie (vide pkt 4 i 8 uzasadnienia niniejszej decyzji). Zarówno wezwanie z 10 grudnia 2021 r., jak i wezwanie z 3 listopada 2022 r., zostały odebrane przez Spółkę – odpowiednio 12 grudnia 2021 r. oraz 7 listopada 2022 r. – co uzasadnia stwierdzenie, że Spółka miała obiektywną możliwość zapoznania się z treścią kierowanych do niej pism oraz udzielenia na nie odpowiedzi w zakreślonym przez organ ochrony danych osobowych terminie. Co więcej, zarówno fakt skierowania przez Spółkę do Prezesa UODO wniosku o wydłużenie terminu na złożenie wyjaśnień (vide pkt 5 uzasadnienia niniejszej decyzji), jak i wyjaśnienia samej Spółki złożone w niniejszym postępowaniu (vide pkt 13 uzasadnienia niniejszej decyzji), potwierdzają jednoznacznie, że żądanie udzielenia informacji sformułowane przez Prezesa UODO we wskazanych wyżej pismach dotarło do świadomości osób zarządzających i reprezentujących Spółkę, a więc osób właściwych do udzielenia takich informacji.

24.

Wobec faktu, że – jak wykazano wyżej – dwa wezwania Prezesa UODO zostały Spółce doręczone skutecznie, nieistotna jest okoliczność, że wezwanie Prezesa UODO z 6 kwietnia 2022 r. mogło – ze względu na jego błędne zaadresowanie – nie zostać doręczone Spółce (vide pkt 6 uzasadnienia niniejszej decyzji).

25.

Bezspornym jest, że w postępowaniu o sygn. DKN.5130.555.2021 Prezes UODO nie uzyskał od Spółki informacji potrzebnych mu do rozstrzygnięcia tej sprawy. W związku z tym natomiast, że informacje te dotyczą zdarzenia, które miało miejsce wewnątrz jej organizacji (dotyczyło jej zasobów informatycznych, naruszyło ochronę danych osobowych, których Spółka była administratorem, wymagało zbadania wdrożonych wewnątrz jej organizacji środków technicznych i organizacyjnych), Spółka była jedynym źródłem informacji pozwalających na wnikliwe i obiektywne zbadanie sprawy. Stąd też uprawnione jest stwierdzenie, że informacje, których żądał od Spółki Prezes UODO były mu nie tylko potrzebne, ale wręcz niezbędne do realizacji jego zadań. Na tę „niezbędność” wskazuje art. 58 ust. 1 lit. e)  Rozporządzenia 2016/679, mówiący o obowiązku Spółki (jako administratora i strony postępowania prowadzonego przez Prezesa UODO) naruszonym w postępowaniu o sygn. DKN 5130.555.2021.

26.

Brak reakcji Spółki na korespondencję Prezesa UODO, bezsporny wobec zgromadzonego w niniejszej sprawie materiału dowodowego (i przyznany przez Spółkę już w trakcie niniejszego postępowania – w piśmie z 24 lipca 2023 r.), poskutkował koniecznością wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. Dopiero na skutek wszczęcia tego postępowania Spółka podjęła współpracę z Prezesem UODO i złożyła wyczerpujące wyjaśnienia w sprawie o sygn. DKN 5130.555.2021.

27.

W ocenie Prezesa UODO przedstawione przez Spółkę w piśmie z 24 lipca 2023 r. uzasadnienie braku odpowiedzi na jego wezwania (vide pkt 13 uzasadnienia niniejszej decyzji), jakkolwiek wiarygodne, nie stanowi przesłanki wyłączającej odpowiedzialność Spółki. Za „błąd ludzki” pracownika Spółki odpowiada Spółka, tym bardziej jeśli ten błąd powtórzył się w tej samej sprawie. Błędem było bowiem nie tylko niewysłanie do Prezesa UODO przygotowanego pisma z odpowiedzią na jego pierwsze wezwanie (z 10 grudnia 2021 r.), ale i zaniechanie – po ponowieniu przez Prezesa UODO wezwania pismem z 3 listopada 2022 r. – sprawdzenia czy wyjaśnienia te zostały Prezesowi UODO rzeczywiście przedłożone.

28.

Podkreślić należy w tym kontekście, że do obowiązków podmiotu prowadzącego działalność w otoczeniu prawnym i gospodarczym należy zapewnienie takiej organizacji pracy (w tym obiegu korespondencji), która pozwala na sprawne i terminowe wypełnianie ciążących na niej obowiązków prawnych, w tym tych wynikających z przepisów Rozporządzenia 2016/679. „Obowiązkiem każdej jednostki jest takie zorganizowanie odbioru pism, aby czynności tej dokonywała osoba upoważniona i to właśnie ta jednostka ponosi odpowiedzialność za właściwe zorganizowanie przyjmowania pism i obiegu korespondencji, która powinna odbywać się w sposób ciągły i niezakłócony” (zob. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 grudnia 2020 r. sygn. akt VI SA/Wa 1697/20, LEX nr 3162004).Spółka z tego obowiązku nie wywiązała się, mimo iż istnieje szereg środków i narzędzi to umożliwiających – od wewnętrznych regulaminów, instrukcji i innych tego rodzaju wewnętrznych regulacji, przez odpowiednie sformułowanie zakresu obowiązków pracowników i ich szkolenia, aż po procedury kontroli i nadzoru pracy pracowników oraz środki dyscyplinarne przysługujące pracodawcy.

29.

Jednakże – oceniając złożone przez Spółkę wyjaśnienia jako wiarygodne – Prezes UODO stanął na stanowisku, że stwierdzone w niniejszym postępowaniu naruszenie, polegające niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, miało charakter nieumyślny – wynikło z zaistniałego po stronie Spółki zaniedbania, a nie z jej celowego, intencjonalnego działania (a właściwie działania osób piastujących funkcje jej organów). Potwierdza to następcza postawa Spółki, która niezwłocznie po powzięciu informacji o toczącym się postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej usunęła naruszenie – udzieliła obszernej odpowiedzi na wszystkie 11 pytań zadanych jej przez Prezesa UODO. Złożone przez nią wyjaśnienia, nawet jeśli na chwilę obecną nie wystarczą do rozstrzygnięcia sprawy o sygn. DKN.5130.555.2021, to pozwolą z pewnością na jej dalsze, sprawne procedowanie. Spółka składając te wyjaśnienia wykazała aktywną i otwartą na współpracę z Prezesem UODO w przyszłości postawę. Dodatkowo, co również Prezes UODO ocenia pozytywnie, Spółka zobowiązała się wdrożyć środki naprawcze (w szczególności szkolenia pracowników) mające na celu wyeliminowanie możliwości zaistnienia takich jak stwierdzone w niniejszej sprawie sytuacji.

30.

Mając więc na uwadze, że w niniejszej sprawie niewątpliwie doszło do naruszenia przepisów Rozporządzenia 2016/679, Prezes UODO za konieczne uznał zastosowanie wobec Spółki sankcji, która byłaby wyrazem jego negatywnej oceny naruszenia, i która spełniałaby funkcje kary: represyjną (ukaranie za popełnione naruszenie), dyscyplinującą (zapewnienie prawidłowej współpracy Spółki w postępowaniu) oraz prewencyjną (zapobieżenie podobnym naruszeniom w przyszłości). W ocenie Prezesa UODO sankcja w postaci administracyjnej kary pieniężnej byłaby jednak w tych konkretnych okolicznościach sprawy nieproporcjonalna do wagi naruszenia. Za adekwatne – uzasadnione okolicznościami sprawy – Prezes UODO uznał natomiast udzielenie Spółce – w oparciu o art. 58 ust. 2 lit. b) Rozporządzenia – upomnienia, która to sankcja również będzie skuteczna i odstraszająca.

31.

W ocenie Prezesa UODO naruszenie oceniane w niniejszej sprawie jest – używając sformułowania użytego w motywie 148 Rozporządzenia (vide pkt 19 uzasadnienia niniejszej decyzji) – „niewielkie”, lub też inaczej mówiąc ma niewielką – ze względu na całokształt okoliczności ustalonych w niniejszym postępowaniu – wagę. Za taką oceną przemawiają następujące okoliczności:

a)

Bezzwłoczne usunięcie przez Spółkę naruszenia.

Spółka udzieliła Prezesowi UODO żądanych przez niego informacji niezwłocznie po stwierdzeniu, że w wyniku „błędu ludzkiego” Prezes UODO dostępu do nich nie uzyskał pomimo wcześniejszego – co najmniej dwukrotnego – żądania skierowanego do Spółki (vide pkt 14 uzasadnienia niniejszej decyzji).

b)

Charakter naruszenia.

Stwierdzone w niniejszej sprawie naruszenie (nieudzielenie Prezesowi UODO informacji niezbędnych do realizacji jego zadań) nie godziło bezpośrednio w prawa i wolności osób fizycznych – podmiotów danych osobowych, których to danych Spółka jest administratorem. Naruszenie to ze swojej istoty dotyczyło relacji między administratorem (Spółką) a organem nadzorczym (Prezesem UODO), a nie stosunku między administratorem a osobami, których dane administrator przetwarza.

c)

Nieumyślność naruszenia.

Stwierdzone w niniejszej sprawie naruszenie jest – w ocenie Prezesa UODO – efektem zaniedbania, którego dopuściła się Spółka w sferze właściwego zorganizowania procedur kontaktu z Prezesem UODO i udziału w prowadzonym przez niego postępowaniu, a nie skutkiem świadomego i celowego działania nakierowanego na dopuszczenie się naruszenia przepisów Rozporządzenia 2016/679 (vide pkt 29 uzasadnienia niniejszej decyzji).

d)

Brak szkód po stronie osób fizycznych.

Prezes UODO nie stwierdził, żeby na skutek wydłużenia czasu trwania postępowania o sygn. DKN.5130.555.2021, będącego skutkiem rozpatrywanego w niniejszej sprawie naruszenia, jakakolwiek osoba fizyczna poniosła szkodę – majątkową bądź niemajątkową (krzywdę).

e)

Stopień odpowiedzialności Spółki za wdrożone środki organizacyjne.

Spółka przeprowadziła dochodzenie mające na celu wyjaśnienie przyczyn naruszenia. Za stwierdzone uchybienia organizacyjne, efektem których było naruszenie, Spółka wzięła odpowiedzialność i zobowiązała się do wdrożenia odpowiednich środków naprawczych (vide pkt 13 uzasadnienia niniejszej decyzji). Takie działanie Spółki daje podstawę do stwierdzenia, że Spółka nie lekceważy swoich obowiązków wynikających z przepisów Rozporządzenia 2016/679.

f)

Brak stwierdzonych wcześniejszych naruszeń przepisów Rozporządzenia 2016/679.

Prezes UODO nie stwierdził – przed datą wydania niniejszej decyzji – popełnienia przez Spółkę jakichkolwiek naruszeń w zakresie ochrony danych osobowych. Okoliczność ta pozwala przypuszczać, że stwierdzone w niniejszym postępowaniu naruszenie jest zdarzeniem jednorazowym i incydentalnym; nie jest wyrazem polityki Spółki marginalizującej zagadnienia ochrony danych osobowych, czy też skutkiem błędu systemowego – wpisanego w system środków technicznych i organizacyjnych wdrożonych przez Spółkę. Potwierdza ona również wyjaśnienia Spółki, usprawiedliwiającej fakt zaistnienia naruszenia „błędem ludzkim”.

g)

Sytuacja finansowa Spółki.

Odstąpienie od zastosowania w odniesieniu do Spółki sankcji o charakterze finansowym uzasadnione jest w ocenie Prezesa UODO również złą i pogarszającą się w latach 2021-2022 sytuacją finansową Spółki uwidocznioną w przedstawionym przez nią sprawozdaniu finansowym (vide pkt 14 uzasadnienia niniejszej decyzji). W latach tych Spółka odnotowywała ujemny wynik finansowy (łączna strata netto w wysokości ok. (…) mln zł) przy spadających przychodach ze sprzedaży (z (…) mln zł do (…) mln zł). O problemach finansowych Spółki świadczy również toczące się wobec niej postępowanie układowe, którego celem jest uniknięcie ogłoszenia upadłości Spółki w drodze zawarcia układu z jej wierzycielami (vide pkt 1 uzasadnienia decyzji). W takich okolicznościach nałożenie na Spółkę administracyjnej kary pieniężnej byłoby w ocenie Prezesa UODO działaniem nieproporcjonalnym – nadmiernie surowym, podczas gdy sankcja mniej dolegliwa – upomnienie – również pozwoli osiągnąć wszystkie cele kary (vide pkt 30 uzasadnienia niniejszej decyzji)

32.

Podsumowując powyższe Prezes UODO stwierdza, że uzasadnionym w niniejszej sprawie jest udzielenie Spółce upomnienia za naruszenie przez nią przepisów art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679. W jego ocenie, w świetle kryteriów określonych w art. 83 ust. 2 Rozporządzenia 2016/679, sankcja ta będzie w odniesieniu do Spółki skuteczna, proporcjonalna i odstraszająca na przyszłość. Walor skuteczności i odstraszającego charakteru tego rodzaju sankcji orzeczonej w niniejszej sprawie wzmacnia okoliczność, że w przypadku naruszenia przez Spółkę w przyszłości przepisów Rozporządzenia 2016/679, będzie ona (a w zasadzie sam fakt stwierdzenia w niniejszej sprawie naruszenia) uwzględniona – zgodnie z art. 83 ust. 2 lit. e) Rozporządzenia 2016/679 – jako okoliczność wpływająca obciążająco na wymiar orzeczonej ewentualnie wobec Spółki administracyjnej kary pieniężnej

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.