Decyzja DOKE.561.6.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego^[1] (zwaną dalej: „k.p.a.”) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych^[2] (zwaną dalej: „u.o.d.o.”) oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1-2, art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwanego dalej: „rozporządzeniem 2016/679”)^[3],

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Pana K. S. prowadzącego działalność gospodarczą pod firmą B. (…) z siedzibą w M. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Pana K. S. prowadzącego działalność gospodarczą pod firmą B. (…) z siedzibą w M. przy ul. (…), przepisu art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegającego na niezapewnieniu dostępu do wszelkich danych osobowych i informacji potrzebnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań w postępowaniu o sygn. DKN.5130.5550.2020 oraz w postępowaniu o sygn. DKN.5131.6.2025,

nakłada na Pana K. S. prowadzącego działalność gospodarczą pod firmą B. (…) z siedzibą w M. przy ul. (…), administracyjną karę pieniężną w kwocie 12 964 zł (słownie: dwanaście tysięcy dziewięćset sześćdziesiąt cztery złote).

Uzasadnienie

I. Stan faktyczny.

1.

W dniu 15 lipca 2020 r. do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO”, „organem nadzorczym”) wpłynęła informacja wskazująca na możliwość wystąpienia naruszenia ochrony danych osobowych – w związku z działaniami lekarza pracującego w F. (…) sp. z o.o. z siedzibą w P. – mogącego skutkować wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Informacja dotyczyła pozostawienia w dniu 11 lipca 2020 r. na przednim siedzeniu samochodu niezabezpieczonej dokumentacji medycznej w postaci kart pacjentów, w sposób umożliwiający odczytanie ich danych osobowych (dalej jako „Informacja”). W związku z tą informacją, w postępowaniu o sygn. DKN.5130.5550.2020 Prezes UODO ustalił, że lekarzem odpowiedzialnym za powyższy incydent jest Pan K. S., prowadzący działalność gospodarczą pod firmą B. (…) z siedzibą w M. (zwanego dalej „Administratorem”, „Lekarzem” lub „Przedsiębiorcą”).

2.

Przedsiębiorca jest lekarzem zarejestrowanym w Rejestrze Podmiotów Wykonujących Działalność Leczniczą (zwanym dalej „RPWDL”), pod numerem księgi rejestrowej (…), któremu nadano numer prawa wykonywania zawodu (…). Przedsiębiorca prowadzi działalność leczniczą od 18 maja 2001 r. w zakresie ambulatoryjnych świadczeń zdrowotnych. Określony w RPWDL rodzaj praktyki zawodowej Lekarza to indywidualne praktyka lekarska wyłącznie w miejscu wezwania. Ujawniony w RPWDL adres do korespondencji Lekarza, a jednocześnie adres miejsca przyjmowania wezwań oraz adres miejsca przechowywania dokumentacji medycznej to ul. (…), (…) M.. Przedsiębiorca jest wpisany również do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (zwanej dalej „CEIDG”), a status indywidualnej działalności gospodarczej, polegającej przede wszystkim na praktyce lekarskiej ogólnej, został określony w tym rejestrze jako „aktywny”. W CEIDG ujawniono dane adresowe Przedsiębiorcy, które nie uległy zmianie od 20 maja 2014 r. Stałym miejscem wykonywania działalności gospodarczej Przedsiębiorcy jest ul. (…), (…) M.. Z kolei dodatkowym stałym miejscem wykonywania działalności gospodarczej Przedsiębiorcy jest ul. (…), H.. Lekarz przyjmuje pacjentów także pod adresem poradni Lekarza (…)^[4], tj. ul. (…), (…) A..

3.

W ramach postępowania o sygn. DKN.5130.5550.2020 – działając na podstawie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – Prezes UODO pismami z 25 kwietnia 2022 r., 1 czerwca 2022 r., 8 września 2022 r. oraz 13 października 2022 r. wezwał Przedsiębiorcę do udzielenia informacji, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych potrzebna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia o nim Prezesa UODO oraz osób, których dotyczy naruszenie.

4.

Wezwania z 25 kwietnia 2022 r. i 1 czerwca 2022 r. skierowano na adres wskazany w Centralnej Ewidencji i Informacji o Działalności Gospodarczej jako adres do doręczeń, tj. ul. (…), (…) W.. Z kolei wezwania z 8 września 2022 r. i 13 października 2022 r. skierowano na adres wskazany w CEIDG jako stałe miejsce wykonywania działalności gospodarczej, tj. ul. (…), (…) M. oraz na adres wskazany w CEIDG jako dodatkowe stałe miejsce wykonywania działalności gospodarczej, tj. ul. (…), (…) H.. Po dwukrotnej bezskutecznej awizacji każde z pism zwrócono do UODO, przy czym należy uznać je za doręczone Przedsiębiorcy – zgodnie z art. 44 § 1 i 4 k.p.a. – w trybie doręczenia zastępczego.

5.

W każdym z powyższych pism Przedsiębiorca został pouczony o tym, że brak odpowiedzi na niniejsze wezwania może skutkować nałożeniem na administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.

6.

Wskutek nawiązania kontaktu telefonicznego przez Administratora z Departamentem Kar i Egzekucji UODO, w dniu 30 maja 2023 r. do UODO wpłynęła odpowiedź Przedsiębiorcy na wezwanie w sprawie o sygn. DKN.5130.5550.2020. W odpowiedzi tej Przedsiębiorca wskazał jako swój adres: ul. (…), (…) A..

7.

Pismem z 10 kwietnia 2025 r. Prezes UODO wszczął z urzędu wobec Administratora postępowanie administracyjne o sygn. DKN.5131.6.2025 w sprawie naruszenia obowiązków wynikających z art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679. Wraz z informacją o wszczęciu ww. postępowania Prezes UODO zwrócił się do Przedsiębiorcy z wezwaniem do przedstawienia rocznego sprawozdania finansowego za rok 2024, a w razie jego braku – oświadczenia dotyczącego całkowitego rocznego obrotu za rok 2024 oraz rocznego sprawozdania finansowego za rok 2023, w terminie 30 dni od dnia otrzymania żądania. Jednocześnie Prezes UODO wezwał Przedsiębiorcę do przedstawienia treści zawiadomienia o naruszeniu ochrony danych osobowych skierowanego do osoby, której dane ujawnione zostały osobom nieuprawnionym wraz z informacją o dacie jego realizacji i wykorzystanym w tym celu środku komunikacji.

8.

Pismo z 10 kwietnia 2025 r. skierowano na adres wskazany przez Przedsiębiorcę, tj. ul. (…), (…) A. i zgodnie z informacją na zwrotnym potwierdzeniu odbioru zostało doręczone w dniu 17 kwietnia 2025 r. do rąk pracownika.

9.

Następnie pismem z 1 lipca 2025 r. Przedsiębiorca został wezwany do wykonania działań, o które Prezes UODO zwrócił się do niego w piśmie z 10 kwietnia 2025 r., a które nie zostały zrealizowane w terminie wskazanym w tym piśmie, w terminie 7 dni od dnia otrzymania żądania.

10.

Pismo z 1 lipca 2025 r. również skierowano na adres ul. (…), (…) A. i zgodnie z informacją na zwrotnym potwierdzeniu odbioru zostało doręczone w dniu 7 lipca 2025 r. Panu K. S., który złożył na tym potwierdzeniu swój podpis.

11.

Mimo powzięcia przez Przedsiębiorcę informacji o toczącym się postępowaniu o sygn. DKN.5131.6.2025, nie udzielił on odpowiedzi na wezwania Prezesa UODO z 10 kwietnia 2025 r. i z 1 lipca 2025 r.

12.

Postępowanie o sygn. DKN.5131.6.2025 zakończyło się dnia 2 września 2025 r. wydaniem przez Prezesa UODO decyzji administracyjnej. W decyzji tej Prezes UODO stwierdził naruszenie przez Przedsiębiorcę przepisów art. 33 ust. 1 i 34 ust. 1 i 2 rozporządzenia 2016/679 rozporządzenia 2016/679, udzielił Przedsiębiorcy upomnienia oraz nakazał mu zawiadomienie, w terminie 7 dni od dnia doręczenia decyzji, osoby, której dane zostały udostępnione nieuprawnionemu odbiorcy, o naruszeniu ochrony jej danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 206/679, tj.:

a)

opisu charakteru naruszenia ochrony danych osobowych;

b)

imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c)

opisu możliwych konsekwencji naruszenia ochrony danych osobowych;

d)

opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Decyzja z 2 września 2025 r. jest prawomocna.

13.

Powyższy stan faktyczny Prezes UODO ustalił na podstawie korespondencji urzędowej kierowanej przez Prezesa UODO do Przedsiębiorcy, która znajduje się w aktach sprawy o sygn. DKN.5130.5550.2020 oraz w aktach sprawy o sygn. DKN.5131.6.2025. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji potrzebnych do realizacji jego zadań, tj. do rozpatrzenia wskazanych wyżej spraw i jednocześnie stanowi bezpośredni dowód braku reakcji Przedsiębiorcy na żądania Prezesa UODO.

II. Postępowanie.

14.

W związku z nieudzieleniem przez Przedsiębiorcę informacji potrzebnych do rozstrzygnięcia sprawy o sygn. DKN.5130.5550.2020, Prezes UODO wszczął wobec niego z urzędu – na podstawie 83 ust. 5 lit. e) rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.6.2023.(…) (poprzednio DOKE.561.6.2023.(…)) w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca został poinformowany pismami z 14 kwietnia 2023 r. (znak: DOKE.561.6.2023.(…) oraz DOKE.561.6.2023.(…)), skierowanymi na adres ul. (…), (…) W. (adres do doręczeń ujawniony w CEIDG) oraz na adres M., ul. (…), (…) G. (stałe miejsce wykonywania działalności gospodarczej ujawnione w CEIDG). Pismo skierowane na adres ul. (…), (…) W. zostało doręczone Przedsiębiorcy 27 kwietnia 2023 r. Natomiast pismo skierowane na adres M., ul. (…), (…) G. – po dwukrotnej awizacji – zostało zwrócone do UODO z adnotacją „Zwrot do nadawcy nie podjęto w terminie”. Należy zatem uznać je za prawidłowo doręczone Przedsiębiorcy na podstawie art. 44 § 1 i 4 k.p.a. Niniejszymi pismami Przedsiębiorca został zobowiązany – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 u.o.d.o. – do dostarczenia informacji o osiągniętych przez niego dochodach w 2022 roku. Przedsiębiorcę poinformowano również o tym, że udzielenie wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się do niego w postępowaniu o sygn. DKN.5130.5550.2020, może wpłynąć łagodząco na wymiar wymierzonej administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub spowodować odstąpienie od jej nałożenia. Ponadto, Przedsiębiorca został poinformowany o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

15.

Wskutek kontaktu telefonicznego, zainicjowanego w dniu 5 maja 2023 r. przez Pana K. S. po odebraniu pisma z 14 kwietnia 2023 r., doszło do przekazania na adres e-mail wskazany przez Przedsiębiorcę kopii wezwań z 25 kwietnia 2022 r., 1 czerwca 2022 r., 8 września 2022 r. oraz 13 października 2022 r. oraz kopii informacji z 15 lipca 2020 r.

16.

W dniu 30 maja 2023 r. wpłynęły wyjaśnienia Administratora do sprawy o sygn. DKN.5130.5550.2020. W wyjaśnieniach Przedsiębiorca udzielił następującej informacji: „Dokumentację medyczną przewoziłem w moim prywatnym samochodzie, a po wizycie domowej była w moim prywatnym samochodzie zabezpieczona do czasu zawiezienia jej do macierzystej przychodni i w żaden sposób nieudostępniana osobom trzecim. Nie wiem z jakiego powodu kopia fotograficzna jednej z kart pacjenta dostała się w ręce niezadowolonego pacjenta. Z tego co mi obecnie wiadomo niezadowolony pacjent (…) zrobił bezprawnie zdjęcia mojemu prywatnemu pojazdowi i wszedł w posiadanie danych jednej z moich pacjentek. Nie wiem jakim prawem pacjent zrobił dokumentację fotograficzną mojemu prywatnemu pojazdowi. Po zaistniałym incydencie, kiedy się o tym dowiedziałem, poinformowałem niezwłocznie (…) moją pacjentkę. Poinformowałem ją, że jakaś nieuprawniona osoba jest w posiadaniu jej pesela i nazwiska oraz adresu zamieszkania i w razie jakiegoś z nią kontaktu powinna odpowiednio zareagować i poinformować niezwłocznie Policję”.

17.

Prezes UODO rozszerzył niniejsze postępowanie administracyjne o sygn. DOKE.561.6.2023.(…) w zakresie przedmiotowym i objął nim również niezapewnienie Prezesowi UODO dostępu do potrzebnych mu danych osobowych i informacji w postępowaniu o sygn. DKN.5131.6.2025, które to zachowanie także wypełnia znamiona naruszenia art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca został poinformowany pismem z 17 września 2025 r. (znak: DOKE.561.6.2023.(…)), skierowanym na adres ul. (…), (…) A.. Niniejsze pismo zostało doręczone Przedsiębiorcy 22 września 2025 r. W piśmie tym Przedsiębiorca został zobowiązany – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 u.o.d.o. – do dostarczenia informacji o osiągniętych przez niego dochodach w 2024 roku. Przedsiębiorcę poinformowano również o tym, że udzielenie wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się do niego w postępowaniu o sygn. DKN.5131.6.2025, może wpłynąć łagodząco na wymiar wymierzonej administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub spowodować odstąpienie od jej nałożenia. Ponadto, Przedsiębiorca został poinformowany o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej – co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

18.

W dniu 24 września 2025 r. doszło do rozmowy telefonicznej pracownika Departamentu Kar i Egzekucji UODO z Panem K. S., który poinformował, że złoży pismo do Prezesa UODO w przedmiotowej sprawie. Przedsiębiorca podniósł, że nie otrzymał korespondencji, która została do niego przesłana w postępowaniu o sygn. DKN.5131.6.2025 w dniach 10 kwietnia 2025 r. i 1 lipca 2025 r.

19.

Do dnia wydania niniejszej decyzji Przedsiębiorca nie odpowiedział na żadne z pism kierowanych do niego zarówno w postępowaniu o sygn. DKN.5131.6.2025, jak i w niniejszym postępowaniu o sygn. DOKE.561.6.2023.(…).

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

III. Przepisy prawne.

20.

Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 na swoim terytorium – monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO prowadzi m.in. postępowania mające na celu weryfikację przestrzegania art. 33 i 34 rozporządzenia 2016/679, tj. przepisów dotyczących zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz (art. 33 ust. 5 rozporządzenia 2016/679) oraz przepisów dotyczących zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 ust. 4 rozporządzenia 2016/679). Nadto, prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) rozporządzenia 2016/679).

21.

Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679).

22.

Naruszenie przepisów rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

23.

Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)

umyślny lub nieumyślny charakter naruszenia,

c)

działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)

stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)

wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)

stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)

kategorie danych osobowych, których dotyczyło naruszenie,

h)

sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)

jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,

j)

stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

24.

Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).

25.

Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej, zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy (art. 101a ust. 1 u.o.d.o.). Natomiast, w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).

26.

Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego (art. 103 u.o.d.o.).

27.

Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

28.

Pisma doręcza się osobom fizycznym w ich mieszkaniu lub miejscu pracy albo na adres do korespondencji wskazany w bazie adresów elektronicznych (art. 42 § 1 k.p.a.). Pisma mogą być doręczane również w lokalu organu administracji publicznej, jeżeli przepisy szczególne nie stanowią inaczej (art. 42 § 2 k.p.a.). W razie niemożności doręczenia pisma w sposób określony w § 1 i 2, a także w razie koniecznej potrzeby, pisma doręcza się w każdym miejscu, gdzie się adresata zastanie (art. 42 § 3 k.p.a.).

29.

Z kolei w przypadku nieobecności adresata pismo doręcza się, za pokwitowaniem, dorosłemu domownikowi, sąsiadowi lub dozorcy domu, jeżeli osoby te podjęły się oddania pisma adresatowi. O doręczeniu pisma sąsiadowi lub dozorcy zawiadamia się adresata, umieszczając zawiadomienie w oddawczej skrzynce pocztowej lub, gdy to nie jest możliwe, w drzwiach mieszkania (art. 43 k.p.a.).

30.

W myśl art. 44 k.p.a., w razie niemożności doręczenia pisma w sposób wskazany w art. 42 i 43 k.p.a., operator pocztowy w rozumieniu ustawy z dnia 23 listopada 2012 r. Prawo pocztowe przechowuje pismo przez okres 14 dni w swojej placówce pocztowej – w przypadku doręczenia pisma przez operatora pocztowego (§ 1). Zawiadomienie o pozostawieniu pisma wraz z informacją o możliwości jego odbioru w terminie siedmiu dni, licząc od dnia pozostawienia zawiadomienia w miejscu określonym w § 1, umieszcza się w oddawczej skrzynce pocztowej lub, gdy nie jest to możliwe, na drzwiach mieszkania adresata, jego biura lub innego pomieszczenia, w którym adresat wykonuje swoje czynności zawodowe, bądź w widocznym miejscu przy wejściu na posesję adresata (§ 2). W przypadku niepodjęcia przesyłki w terminie, pozostawia się powtórne zawiadomienie o możliwości odbioru przesyłki w terminie nie dłuższym niż czternaście dni od daty pierwszego zawiadomienia (§ 3). Doręczenie uważa się za dokonane z upływem 14 dnia od daty pierwszej próby doręczenia a pismo pozostawia się w aktach sprawy (§ 4).

31.

Zgodnie z art. 41 k.p.a., w toku postępowania strony oraz ich przedstawiciele i pełnomocnicy mają obowiązek zawiadomić organ administracji publicznej o każdej zmianie swojego adresu (§ 1). W razie zaniedbania obowiązku określonego w § 1 doręczenie pisma pod dotychczasowym adresem ma skutek prawny (§ 2).

32.

Natomiast stosownie do art. 16 ust. 1 ustawy z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy^[5] domniemywa się, że dane wpisane do CEIDG są prawdziwe.

IV. Ocena prawna.

33.

Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 do ustalonego w niniejszej sprawie stanu faktycznego, w pierwszej kolejności należy wskazać, że Przedsiębiorca – jako strona postępowania o sygn. DKN.5130.5550.2020 oraz postępowania o sygn. DKN.5131.6.2025 – jest adresatem obowiązków określonych w art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, których naruszenie podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679. Wskazany przepis nakłada obowiązki na administratorów i podmioty przetwarzające w ramach prowadzonych przez Prezesa UODO postępowań, zaś w postępowaniu o sygn. DKN.5130.5550.2020 oraz postępowaniu o sygn. DKN.5131.6.2025 ustalono, że w procesie przetwarzania danych stanowiącym przedmiot Informacji Przedsiębiorca pełnił rolę administratora.

34.

Przedsiębiorca, nie udzielając odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień, naruszył obowiązek zapewnienia Prezesowi UODO dostępu do wszelkich danych osobowych i informacji potrzebnych do realizacji jego zadań. Dla postępowania wyjaśniającego o sygn. DKN.5130.5550.2020 istotne było, czy w związku ze zgłoszonym do UODO zdarzeniem, dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, potrzebna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia o nim Prezesa UODO oraz osób, których dotyczy naruszenie. Z kolei dla merytorycznego rozpatrzenia sprawy o sygn. DKN.5131.6.2025 istotne było przedstawienie przez administratora treści zawiadomienia o naruszeniu ochrony danych osobowych skierowanego do osoby, której dane ujawnione zostały osobom nieuprawnionym wraz z informacją o dacie jego realizacji i wykorzystanym w tym celu środku komunikacji. Uniemożliwienie Prezesowi UODO uzyskania dostępu do powyższych informacji było sprzeczne z podstawowymi zasadami postępowania administracyjnego, określonymi w art. 12 ust. 1 k.p.a., tj. zasadą wnikliwości oraz zasadą szybkości postępowania.

35.

W postępowaniu o sygn. DKN.5130.5550.2020 w celu weryfikacji zgłoszonego organowi nadzorczemu naruszenia ochrony danych osobowych – działając w oparciu o art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – Prezes UODO czterokrotnie wezwał Przedsiębiorcę do udzielenie potrzebnych informacji w tym zakresie (zob. pkt 3 uzasadnienia decyzji). Wszystkie skierowane do Przedsiębiorcy pisma wysłano na aktualne adresy Przedsiębiorcy ujawnione w CEIDG i doręczono w trybie doręczenia zastępczego (zob. pkt 4 uzasadnienia decyzji). Jednakże Przedsiębiorca udzielił na nie odpowiedzi dopiero wskutek wszczęcia niniejszego postępowania o sygn. DOKE.561.6.2023.(…). i przekazania mu kopii tych pism drogą e-mail (zob. pkt 15 uzasadnienia decyzji). Informacje przedstawione przez Przedsiębiorcę okazały się być dalece niepełne, ponieważ nie zawierały odpowiedzi na pytanie sformułowane przez organ nadzorczy. Przedsiębiorca nie udzielił bowiem informacji, czy w związku z zaistniałym zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych (pkt 6 i pkt 16 uzasadnienia decyzji).

36.

Z kolei w postępowaniu o sygn. DKN.5131.6.2025 – działając w oparciu o art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – Prezes UODO dwukrotnie wezwał Przedsiębiorcę do udzielenia informacji potrzebnych do rozpatrzenia sprawy (zob. pkt 7 i 9 uzasadnienia decyzji). Oba skierowane do Przedsiębiorcy pisma wysłano na wskazany przez niego adres do korespondencji. Pismo z 10 kwietnia 2025 r. zostało doręczone do rąk pracownika w dniu 17 kwietnia 2025 r., zaś pismo z 1 lipca 2025 r. zostało doręczone Przedsiębiorcy do rąk własnych w dniu 7 lipca 2025 r. (zob. pkt 8 i 10 uzasadnienia decyzji). Nie można wobec tego dać wiary twierdzeniom Przedsiębiorcy, że nie otrzymał przedmiotowej korespondencji. Okoliczności związane z datą doręczenia każdej z przesyłek, imieniem i nazwiskiem odbierającego oraz sposobem doręczenia wzmiankowanych pism nie budzą wątpliwości wobec treści adnotacji widniejących na zwrotnych potwierdzeniach odbioru korespondencji, dokonanych przez pracownika operatora pocztowego. Jak zaś wynika z ugruntowanego orzecznictwa sądów administracyjnych, charakter zwrotnego potwierdzenia odbioru przesyłki uzasadnia przyjęcie, że dokument ten korzysta z domniemania prawdziwości^[6]. Ciężar obalenia tego domniemania spoczywa na zainteresowanym, jednakże w niniejszej sprawie Przedsiębiorca nie przedstawił żadnego dowodu w tym zakresie. Powyższe przemawia za uznaniem, że Przedsiębiorca dysponował wiedzą o toczącym się postępowaniu oraz o kierowanych do niego żądaniach organu. Mimo to, nie udzielił informacji, o które zwrócił się do niego Prezes UODO.

37.

Odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Przedsiębiorcy. W tym miejscu wskazać należy, że powinnością każdej osoby prowadzącej jednoosobową działalność gospodarczą jest zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony. Przede wszystkim, w przypadku zmiany adresu stałego miejsca wykonywania działalności gospodarczej lub adresu do korespondencji, Przedsiębiorca powinien dokonać odpowiedniej zmiany w CEIDG. Z kolei w sytuacji niemożności osobistego odbioru pism, Przedsiębiorca powinien do tego celu wyznaczyć osobę upoważnioną. Zaniechanie tego rodzaju działań powinno być poczytywane za rażące niedbalstwo Przedsiębiorcy, wpływające negatywnie na możliwość realizacji uprawnień organu nadzorczego, w tym na terminowość prowadzonych przez niego postępowań.

38.

Powyższe przemawia za uznaniem, że w okolicznościach niniejszej sprawy Przedsiębiorca miał obiektywnie zachowaną możliwość zapoznania się z treścią pism wystosowanych do niego przez organ nadzorczy oraz udzielenia na nie pełnych odpowiedzi. Wobec tego zarówno brak odbioru tych pism, jak również brak złożenia stosownych wyjaśnień obciąża wyłącznie Przedsiębiorcę. Nadto, w ocenie Prezesa UODO bierna postawa Przedsiębiorcy świadczy o jego lekceważącym stosunku zarówno wobec organu, jak i prowadzonych postępowań.

39.

Biernej postawy Przedsiębiorcy nie zmieniły również rozmowy telefoniczne przeprowadzone z nim przez wykwalifikowanych pracowników Urzędu Ochrony Danych Osobowych, działających z upoważnienia Prezesa Urzędu Ochrony Danych Osobowych. Mimo wyczerpania wszelkich środków, służących pozyskaniu informacji potrzebnych do wszechstronnego wyjaśnienia sprawy o sygn. DKN.5130.5550.2020 oraz sprawy o sygn. DKN.5131.6.2025 – które to informacje bez wątpienia pozostają w dyspozycji Przedsiębiorcy – ten do chwili wydania niniejszej decyzji administracyjnej nie podjął współpracy z organem ochrony danych osobowych.

40.

Brak złożenia wyjaśnień, których Prezes UODO żądał od Przedsiębiorcy, był utrudnieniem w rozpatrzeniu sprawy o sygn. DKN.5130.5550.2020 oraz sprawy o sygn. DKN.5131.6.2025. W związku z powyższym należy uznać, że zaistniały przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z naruszeniem przepisu art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegającym na niedostarczeniu informacji oraz niezapewnieniu dostępu wszelkich danych osobowych i informacji potrzebnych Prezesowi UODO do realizacji jego zadań w postępowaniu o sygn. DKN.5130.5550.2020 oraz postępowaniu o sygn. DKN.5131.6.2025. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Przedsiębiorcy, było nieuzasadnione przedłużenie czasu trwania powyższych postępowań, co stało z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a., to jest zasadami wnikliwości i szybkości postępowania.

V. Administracyjna kara pieniężna.

Przesłanki wymiaru administracyjnej kary pieniężnej.

41.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjną karę pieniężną nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Decydując o nałożeniu na Przedsiębiorcę administracyjnej kary pieniężnej Prezes UODO – zgodnie z art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

42.

Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji potrzebnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za ich naruszenie karę wyższą z dwóch określonych przepisami rozporządzenia 2016/679 – karę do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Postępowanie Przedsiębiorcy w niniejszej sprawie, polegające na uniemożliwieniu dostępu do żądanych przez Prezesa UODO informacji i danych osobowych należy uznać za godzące w cały system ochrony danych osobowych, a w związku z tym mające znaczną wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone naruszenie było ciągłe i długotrwałe, trwało bowiem od upływu 7-dniowego terminu na udzielenie informacji, wyznaczonego w pierwszym wezwaniu skierowanym do Przedsiębiorcy w postępowaniu o sygn. DKN.5130.5550.2020, to jest od 20 maja 2022 r., następnie przez cały czas trwania postępowania o sygn. DKN.5131.6.2025, aż do dnia wydania decyzji kończącej niniejsze postępowanie – a zatem ponad 3 lata.

43.

Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).

W ocenie Prezesa UODO po stronie Przedsiębiorcy zaistniał świadomy i celowy brak woli współpracy w zapewnieniu organowi nadzorczemu dostępu do wszelkich informacji potrzebnych do rozstrzygnięcia sprawy o sygn. DKN.5130.5550.2020 oraz sprawy o sygn. DKN.5131.6.2025, o które Prezes UODO zwracał się do niego wielokrotnie. Przedsiębiorca, mimo zapoznania się z wezwaniami przesłanymi mu w postępowaniu o sygn. DKN.5130.5550.2020 nie udzielił pełnych informacji, których oczekiwał od niego Prezes UODO. Z kolei w postępowaniu o sygn. DKN.5131.6.2025 Przedsiębiorca w ogóle nie udzielił odpowiedzi na skierowane do niego pisma, mimo przesłania ich na wskazany przez niego adres, a także mimo osobistego odbioru jednego z nich. Podkreślenia wymaga, że Przedsiębiorca każdorazowo – w przypadku wszczęcia i rozszerzenia niniejszego postępowania – kontaktował się telefonicznie z pracownikami UODO. Jednak żadna z odbytych rozmów nie zmotywowała go do podjęcia pełnej współpracy z Prezesem UODO. Działanie Przedsiębiorcy Prezes UODO odbiera zatem jako celowe i zmierzające do utrudnienia mu lub nawet uniemożliwienia rozpoznania spraw o sygn. DKN.5130.5550.2020 oraz DKN.5131.6.2025. Okoliczność ta winna być oceniana negatywnie i uznana za obciążającą w kontekście ustalenia zarówno zasadności wymierzenia, jak i wysokości orzeczonej kary pieniężnej.

44.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).

Zarówno w postępowaniu w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, jak również w postępowaniu o sygn. DKN.5131.6.2025, Przedsiębiorca nie podjął w żadnym stopniu współpracy z Prezesem UODO. W szczególności Przedsiębiorca nie przedstawił informacji żądanych przez Prezesa UODO, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Z kolei w postępowaniu o sygn. DKN.5130.5550.2020 Przedsiębiorca odpowiedział na kierowaną do niego korespondencję w sprawie, ale nie przedstawił żądanej przez Prezesa UODO informacji. Taki brak współpracy z Prezesem UODO skutkował utrudnieniem i nieuzasadnionym przedłużeniem prowadzonych przez Prezesa UODO postępowań o sygn. DKN.5130.5550.2020 i sygn. DKN.5131.6.2025. Trwanie Przedsiębiorcy w stanie naruszenia (brak woli przywrócenia stanu zgodnego z prawem polegającego na wywiązywaniu się z ciążących na nim obowiązków procesowych w postępowaniu przed Prezesem UODO) wpływa – w ocenie Prezesa UODO – obciążająco na ocenę stwierdzonego naruszenia.

45.

W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary orzeczonej niniejszą decyzją administracyjną.

46.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:

a)

Wszelkie stosowne wcześniejsze naruszenia ze strony Przedsiębiorcy (art. 83 ust. 2 lit. e) rozporządzenia 2016/679). Prezes UODO nie stwierdził, aby Przedsiębiorca dokonał wcześniej jakichkolwiek naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (wywiązywanie się z obowiązków wynikających z przepisów o ochronie danych osobowych) jest stanem naturalnym w otoczeniu prawnym, w którym Przedsiębiorca funkcjonuje, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.

b)

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) rozporządzenia 2016/679). Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygn. o sygn. DKN.5130.5550.2020 oraz postępowania o sygn. DKN.5131.6.2025. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu, wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny, jakie informacje są mu potrzebne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Przedsiębiorcy; fakt ten nie może być jednak też uwzględniony na korzyść Przedsiębiorcy skoro nie brał on żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.

c)

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Przedsiębiorcy w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Przedsiębiorca nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

d)

Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) rozporządzenia 2016/679). Przedsiębiorca nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Przedsiębiorcy. Na korzyść Przedsiębiorcy natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

e)

Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Prezes UODO nie stwierdził, żeby Przedsiębiorca, w związku z nieudzieleniem żądanych przez niego informacji, odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Przedsiębiorcę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Przedsiębiorcę takich korzyści, jako stan naturalny, niezależny od jej woli i jej działania, jest okolicznością, która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

f)

Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

47.

Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na charakter naruszenia, który dotyczy relacji administratora lub podmiotu przetwarzającego z organem nadzorczym, a nie z osobami, których dane dotyczą. Są to:

a)

liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie (nieudzielenie przez Przedsiębiorcę Prezesowi UODO dostępu do potrzebnych informacji) nie wiąże się z naruszeniem danych osobowych żadnej osoby, w konsekwencji nie można stwierdzić, że w sprawie wystąpiły szkody po stronie osób fizycznych;

b)

działania podjęte przez Przedsiębiorcę w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679) – ze względu na to, że w sprawie nie można stwierdzić by wystąpiły szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Przedsiębiorcę jakichkolwiek działań mających na celu ich zminimalizowanie;

c)

stopień odpowiedzialności Przedsiębiorcy z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nią na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Przedsiębiorcę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;

d)

kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niedostarczeniu informacji oraz niezapewnieniu dostępu do danych osobowych i informacji potrzebnych Prezesowi UODO do realizacji jego zadań nie wiąże się z naruszeniem żadnych danych osobowych.

Ustalenie wysokości administracyjnej kary pieniężnej według Wytycznych 04/2022[7].

48.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Przedsiębiorcę Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych (zwaną dalej: „EROD”) w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji wysokości kary.

49.

W związku z tym, że Przedsiębiorca nie przedstawił na żądanie Prezesa UODO danych finansowych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej, to jest informacji o osiągniętych dochodach w 2024 roku (zob. pkt 14 i 17 uzasadnienia decyzji), podstawę tę Prezes UODO ustalił w sposób szacunkowy (zob. pkt 25 uzasadnienia decyzji). Prezes UODO wziął pod uwagę okoliczność, że Przedsiębiorca jest czynny zawodowo, osiąga stałe dochody z prowadzonej działalności lekarskiej (zob. pkt 2 uzasadnienia decyzji), a tym samym będzie w stanie uiścić nałożoną na niego administracyjną karę pieniężną. Tym samym w ocenie Prezesa UODO zasadne jest przyjęcie w ramach szacowania podstawy wymiaru kary, że przychody te odpowiadają przeciętnemu wynagrodzeniu w gospodarce narodowej. Zgodnie z komunikatem Prezesa Głównego Urzędu Statystycznego z dnia 11 lutego 2025 r. przeciętne wynagrodzenie w gospodarce w 2024 roku wyniosło 8181,72 zł miesięcznie^[8]. Zważywszy na powyższe Prezes UODO przyjmuje na potrzeby niniejszej decyzji – jako szacowaną kwotę przychodu osiągniętego przez Przedsiębiorcę w roku 2024 i stanowiącą w związku z tym podstawę obliczenia administracyjnej kary pieniężnej – kwotę 98 180 zł (równowartość kwoty 23 325 euro wg średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 euro = 4,2092 zł, który to kurs przyjęty został dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) (zob. pkt 26 uzasadnienia decyzji).

50.

Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisu rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 euro lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za poważniejsze niż naruszenie wskazane w art. 83 ust. 4 rozporządzenia 2016/679.

51.

Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Przedsiębiorcy w niniejszej sprawie – zob. Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 6 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia, czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % szacowanego obrotu (przychodu) Przedsiębiorcy za poprzedni rok obrotowy (przyjętego w kwocie 98 180 zł – zob. pkt 49 uzasadnienia decyzji) to kwota 3927 zł (równowartość 933 euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum, którego nie może przekroczyć orzekając wobec Przedsiębiorcy administracyjną karę pieniężną, tej drugiej kwoty – 20 000 000 euro (równowartość 84 184 000 zł) – jako kwoty wyższej.

52.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia (dotyczącego relacji administratora lub podmiotu przetwarzającego z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 42 i 43 uzasadnienia decyzji). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec Przedsiębiorcy (zob. Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 8 418 400 zł stanowiącą równowartość 2 000 000,00 euro (10% prawnie określonej maksymalnej wysokości kary możliwej do orzeczenia wobec Przedsiębiorcy).

53.

Prezes UODO dostosował kwotę wyjściową, odpowiadającą średniej powadze stwierdzonego naruszenia, do przychodu osiągniętego przez Przedsiębiorcę jako miernika wielkości i siły gospodarczej jego przedsiębiorstwa (zob. Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do 2 mln euro, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2% do 0,4% kwoty wyjściowej. Zważywszy, że obrót (przychód) Przedsiębiorcy w roku 2024 oszacowany został przez Prezesa UODO na kwotę 98 180 zł, Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 0,20% kwoty wyjściowej, to jest do kwoty 16 836,80 zł (równowartość 4000 euro).

54.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 46-47 uzasadnienia decyzji). Prezes UODO mając na względzie powagę naruszenia uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy w celu usunięcia naruszenia (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie okoliczności obciążającej, Prezes UODO oceniając jej wpływ na stwierdzone naruszenie, uznał za zasadne zwiększenie o 10% ustalonej wyżej kwoty kary (zob. pkt 53 uzasadnienia decyzji) – do kwoty 4400 euro (równowartość 18 520,48 zł).

55.

Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary wymaga dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary. Niewątpliwie kara pieniężna w wysokości 18 520,48 zł byłaby karą skuteczną, gdyż przez swą dolegliwość osiągnęłaby cel represyjny, jakim jest ukaranie Przedsiębiorcy za bezprawne zachowanie. Byłaby również karą odstraszającą, stanowiącą jasny sygnał dla Przedsiębiorcy oraz innych podmiotów, zobowiązanych na mocy przepisów rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do danych osobowych i informacji potrzebnych do realizacji jego zadań) stanowi naruszenie podlegające sankcjom finansowym. Nadto, wskazana kara zdyscyplinowałaby Przedsiębiorcę do prawidłowej współpracy z Prezesem UODO w ewentualnych innych postepowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. Określona powyżej kara mogłaby jednak być – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją być może nadmierną dolegliwość w indywidualnych okolicznościach niniejszej sprawy. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (zob. pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku”^[9]. Ukaraną w niniejszej sprawie jest osoba fizyczna prowadząca działalność gospodarczą na niewielką skalę. Biorąc pod uwagę niniejszą okoliczność i mając na względzie, by orzeczona kara nie wykraczała stopniem swojej dolegliwości poza stopień wystarczający do osiągnięcia pozostałych celów kary – represyjnego i prewencyjnego – Prezes UODO dokonał obniżenia jej wysokości aż do 70% kwoty uzyskanej po uwzględnieniu powagi naruszenia, wielkości przedsiębiorstwa oraz wszelkich okoliczności obciążających i łagodzących (zob. pkt 52-54 uzasadnienia decyzji), tj. do kwoty 12 964,34 zł (stanowiącej równowartość 3080 euro). W ocenie Prezesa UODO takie ustalenie ostatecznej wysokości orzeczonej kary – proporcjonalnej w pełni w określonych, indywidualnych okolicznościach tej sprawy – nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru.

56.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego jej naruszenia art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Przedsiębiorca w przyszłości nie dopuści się kolejnych zaniedbań.

57.

Mając na uwadze przepis art. 103 u.o.d.o., Prezes UODO za naruszenie opisane w sentencji niniejszej decyzji administracyjnej, nałożył na Przedsiębiorcę – stosując średni kurs euro z dnia 28 stycznia 2025 r., zgodnie z którym 1 EUR = 4,2092 PLN – administracyjną karę pieniężną w kwocie 12 964 zł (słownie: dwunastu tysięcy dziewięćset sześćdziesięciu czterech złotych), co stanowi równowartość 3 080 euro.

Mając powyższe na uwadze, Prezes UODO orzekł jak w sentencji niniejszej decyzji.