Decyzja DOKE.561.11.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego^[1] (zwaną dalej: „k.p.a.”) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych^[2] (zwaną dalej: „u.o.d.o.”) oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1-2, art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwanego dalej: „rozporządzeniem 2016/679”)^[3],

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na S. (…) sp. z o.o. z siedzibą w K. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez S. (…) sp. z o.o. z siedzibą w K. przy ul. (…), przepisu art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegającego na niezapewnieniu dostępu do wszelkich danych osobowych i informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań w postępowaniu o sygn. DS.523.2359.2024,

nakłada na S. (…) sp. z o.o. z siedzibą w K. przy ul. (…) administracyjną karę pieniężną w kwocie 14 816 PLN (słownie: czternastu tysięcy ośmiuset szesnastu złotych).

Uzasadnienie

I. Stan faktyczny.

1.

Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO”, „organem nadzorczym”) w dniu 8 lutego 2022 r. wpłynęła skarga pani L. S., zam. w H. przy ul. (…) (zwana dalej: „Skarżącą”), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez S. (…) sp. z o.o. z siedzibą w K. przy ul. (…) (zwaną dalej: „Spółką”), polegające na przetwarzaniu danych osobowych Skarżącej bez podstawy prawnej oraz ich udostępnianiu na rzecz osób trzecich. W związku z powyższym, celem rozpatrzenia zarzutów podnoszonych przez Skarżącą, Prezes UODO wszczął postępowanie wyjaśniające o sygn. DS.523.2359.2024.

2.

W ramach wyżej wskazanego postępowania – działając na podstawie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – Prezes UODO pismami z 22 maja 2024 r. i 10 lipca 2024 r. wezwał Spółkę do wskazania:

„

1)

czy Spółka przetwarza dane osobowe Skarżącej, a jeśli tak, to w jakim celu, na jakiej podstawie prawnej, a także w jakim zakresie,

2)

czy Spółka udostępniła dane osobowe Skarżącej w postaci: imienia i nazwiska, adresu, numeru PESEL, numeru rachunku bankowego, numeru telefonu, adresu email, danych dot. lokali wynikające z aktów notarialnych na rzecz osób trzecich, a jeśli tak, to w jakim celu i na jakiej podstawie prawnej, a także kiedy i komu,

3)

czy Skarżąca zwracała się do Spółki z wnioskiem o usunięcie jej danych osobowych, a jeśli tak, to kiedy – proszę o przesłanie kopii wniosku Skarżącej i wyjaśnienie w jaki sposób ustosunkowano się do jej żądania”.

Wezwania te, skierowane zostały na aktualny adres siedziby Spółki, ujawniony w rejestrze przedsiębiorców Krajowego Rejestru Sądowego, to jest ul. (…), (…) K. i po dwukrotnej awizacji – odpowiednio w dniach: 28 maja 2024 r. i 5 czerwca 2024 r. oraz 18 lipca 2024 r. i 26 lipca 2024 r. – zostały zwrócone do Urzędu Ochrony Danych Osobowych z adnotacją „ZWROT nie podjęto w terminie”. Należy przy tym uznać je za prawidłowo doręczone Spółce, stosownie do brzmienia art. 44 § 1 i 4 k.p.a. w związku z art. 45 k.p.a.

3.

Pismem z 10 lipca 2024 r. Spółka została pouczona o tym, że brak wyczerpującej odpowiedzi na niniejsze wezwania skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 4 lit. a) lub art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

4.

Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, którą Prezes UODO kierował do Spółki, i która znajduje się w aktach sprawy o sygn. DS.523.2359.2024. Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji potrzebnych do realizacji swoich zadań – w tym przypadku do rozpatrzenia sprawy o sygn. DS.523.2359.2024, a z drugiej strony odzwierciedla brak reakcji Spółki na żądania Prezesa UODO.

II. Postępowanie.

5.

W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.2359.2024, Prezes UODO wszczął wobec niej z urzędu – na podstawie 83 ust. 5 lit. e) rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.11.2024.(…) w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Spółka poinformowana została pismem z 20 listopada 2024 r. (znak: DOKE.561.11.2024.(…)). Pismem tym Spółka została wezwana, celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej w oparciu o art. 101a ust. 1 u.o.d.o., do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez nią w 2023 roku. Spółka poinformowana została, na czym polega zarzucane jej naruszenie. Została również pouczona o sankcjach grożących za to naruszenie, a także o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niej Prezes UODO w postępowaniu o sygn. DS.523.2359.2024, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie, bądź spowodować odstąpienie od jej nałożenia. Pismo to, zostało skierowane na aktualny adres siedziby Spółki (zob. pkt 2 uzasadnienia niniejszej decyzji) i – po dwukrotnej awizacji w dniach 25 listopada 2024 r. i 3 grudnia 2024 r. – zostało zwrócone do Urzędu Ochrony Danych Osobowych z adnotacją „ZWROT nie podjęto w terminie”. Należy zatem uznać je za prawidłowo doręczone Spółce z mocy prawa, na podstawie art. 44 § 1 i 4 w związku z art. 45 k.p.a.

6.

W związku z brakiem odbioru korespondencji przez Spółkę, Prezes UODO w celu uzyskania niezbędnych informacji dla dokonania oceny zasadności skargi w postępowaniu administracyjnym o sygn. DS.523.2359.2024, zwrócił się do Prezesa Zarządu Spółki – pana Z. T. – pismem z 19 marca 2025 r., które zostało wysłane na adres, który przedstawiła Skarżąca w skardze jako „Biuro Zarządcy”, pod którym „sporadycznie przebywa” Zarząd Spółki, to jest ul. (…), (…) W.. Pismem tym Prezes UODO zwrócił się do Prezesa Zarządu Spółki z prośbą o kontakt, w celu złożenia wyjaśnień, a także załączył kopię pisma informującego o wszczęciu postępowania i o zgromadzeniu materiału dowodowego (zob. pkt 5 uzasadnienia niniejszej decyzji). Powyższa korespondencja po dwukrotnej awizacji została zwrócona do Urzędu Ochrony Danych Osobowych z adnotacją „ZWROT nie podjęto w terminie”.

7.

Wobec powyższego, Prezes UODO ponownie skierował do Spółki pismo z prośbą o kontakt w sprawie, w celu złożenia wyjaśnień, a także załączył kopię pisma informującego o wszczęciu postępowania i o zgromadzeniu materiału dowodowego (zob. pkt 5 uzasadnienia niniejszej decyzji). Pismo to zostało skierowane na aktualny adres jej siedziby (zob. pkt 2 uzasadnienia niniejszej decyzji) i po dwukrotnej awizacji w dniach: 17 lipca 2025 r. i 25 lipca 2025 r., zostało zwrócone do Urzędu Ochrony Danych Osobowych z adnotacją „ZWROT nie podjęto w terminie”. Należy zatem uznać je za prawidłowo doręczone Spółce z mocy prawa, na podstawie art. 44 § 1 i 4 k.p.a. w związku z art. 45 k.p.a.

8.

Mając powyższe na uwadze, należy stwierdzić, że Spółka nie podjęła żadnych działań w reakcji na informację o wszczęciu niniejszego postępowania oraz prośby organu nadzorczego o kontakt w sprawie.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

III. Przepisy prawne.

9.

Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) rozporządzenia 2016/679) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) rozporządzenia 2016/679).

10.

Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji swoich zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679).

11.

Naruszenie przepisów rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 tego aktu prawnego, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

12.

Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)

umyślny lub nieumyślny charakter naruszenia,

c)

działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)

stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)

wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)

stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)

kategorie danych osobowych, których dotyczyło naruszenie,

h)

sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)

jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,

j)

stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

13.

Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).

14.

Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej, zgodnie z art. 101a u.o.d.o., podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy. W przypadku niedostarczenia danych przez podmiot, o którym mowa w tym przepisie, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.

15.

Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego, o czym stanowi art. 103 u.o.d.o.

16.

Stosowanie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

17.

W myśl art. 44 k.p.a., w razie niemożności doręczenia pisma w sposób wskazany w art. 42 i 43 k.p.a., operator pocztowy w rozumieniu ustawy z dnia 23 listopada 2012 r. Prawo pocztowe przechowuje pismo przez okres 14 dni w swojej placówce pocztowej – w przypadku doręczenia pisma przez operatora pocztowego (§ 1). Zawiadomienie o pozostawieniu pisma wraz z informacją o możliwości jego odbioru w terminie siedmiu dni, licząc od dnia pozostawienia zawiadomienia w miejscu określonym w § 1, umieszcza się w oddawczej skrzynce pocztowej lub, gdy nie jest to możliwe, na drzwiach mieszkania adresata, jego biura lub innego pomieszczenia, w którym adresat wykonuje swoje czynności zawodowe, bądź w widocznym miejscu przy wejściu na posesję adresata (§ 2). W przypadku niepodjęcia przesyłki w terminie, pozostawia się powtórne zawiadomienie o możliwości odbioru przesyłki w terminie nie dłuższym niż czternaście dni od daty pierwszego zawiadomienia (§ 3). Doręczenie uważa się za dokonane z upływem 14 dnia od daty pierwszej próby doręczenia a pismo pozostawia się w aktach sprawy (§ 4).

18.

Zgodnie z art. 41 k.p.a., w toku postępowania strony oraz ich przedstawiciele i pełnomocnicy mają obowiązek zawiadomić organ administracji publicznej o każdej zmianie swojego adresu (§ 1). W razie zaniedbania obowiązku określonego w § 1 doręczenie pisma pod dotychczasowym adresem ma skutek prawny (§ 2).

19.

W myśl art. 45 k.p.a. jednostkom organizacyjnym i organizacjom społecznym doręcza się pisma w lokalu ich siedziby do rąk osób uprawnionych do odbioru pism, a przepis art. 44 stosuje się odpowiednio.

20.

Natomiast stosownie do art. 17 oraz art. 47 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym^[4] domniemywa się, że dane wpisane do rejestru przedsiębiorców są prawdziwe, a podmiot podlegający obowiązkowi wpisu do rejestru przedsiębiorców jest obowiązany zgłaszać swój adres i siedzibę oraz ich zmiany, niezależnie od obowiązków wynikających z odrębnych przepisów, chyba że ustawa stanowi inaczej.

21.

Stosownie do art. 113 ust. 1 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług^[5] zwalnia się od podatku sprzedaż dokonywaną przez podatnika posiadającego siedzibę działalności gospodarczej na terytorium kraju, u którego wartość sprzedaży, z wyłączeniem podatku, nie przekroczyła w poprzednim ani bieżącym roku podatkowym kwoty 200 000 PLN.

IV. Ocena prawna.

22.

Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 oraz innych aktów prawa krajowego do ustalonego w niniejszej sprawie stanu faktycznego rozważyć należy w pierwszej kolejności, czy Spółka jest adresatem obowiązków, o których mowa w art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, naruszenie którego podlega administracyjnej karze pieniężnej na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679. Wskazany wyżej przepis rozporządzenia 2016/679 nakłada obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i na podmioty przetwarzające. Z akt sprawy o sygn. DS.523.2359.2024 wynika, że Spółka pełniła funkcję zarządcy nieruchomości wspólnej przy ul. (…) w F., czyli pełniła rolę podmiotu przetwarzającego dane osobowe członków Wspólnoty Mieszkaniowej „G.” przy ul. (…) w F. (zwanej dalej: „Wspólnotą Mieszkaniową”). Natomiast Skarżąca jest członkiem Wspólnoty Mieszkaniowej. Z przedstawionego w skardze stanu faktycznego wynika, że Spółka, pomimo wypowiedzenia jej umowy o zarządzaniu nieruchomością wspólną przy ul. (…) w F., nadal przetwarza dane osobowe Skarżącej w postaci jej imienia i nazwiska, adresu, numeru PESEL, numeru rachunku bankowego, numeru telefonu, adresu e-mail i dane dot. jej lokalu oraz udostępnia powyższy zakres danych na rzecz osób trzecich. Spółka w tym procesie przetwarzania danych osobowych Skarżącej może występować jako podmiot przetwarzający (nadal działając w imieniu Wspólnoty Mieszkaniowej) albo jako administrator przetwarzający dane Skarżącej – już we własnym imieniu – zgodnie z prawem (w oparciu o jedną z podstaw określonych w art. 6 ust. 1 rozporządzenia 2016/679), bądź też jako administrator działający niezgodnie z prawem (nie legitymizując się w przetwarzaniu danych Skarżącej żadną z podstaw określonych w art. 6 ust. 1 rozporządzenia 2016/679). Ustalenie roli Spółki w procesie przetwarzania danych osobowych Skarżącej jest przedmiotem postępowania o sygn. DS.523.2359.2024; do jego rozstrzygnięcia niezbędne są właśnie informacje, których – pomimo żądań Prezesa UODO – Spółka nie udziela. W niniejszym postępowaniu ustalenie takie jest nieistotne; każdy administrator i każdy podmiot przetwarzający zobowiązany jest bowiem dostarczyć organowi wszelkich informacji potrzebnych mu do realizacji jego zadań, w tym do rozstrzygania toczących się przed nim spraw. Nieudzielenie zaś dostępu do takich informacji zagrożone jest, niezależnie od tego czy posiadacz takich informacji jest podmiotem przetwarzającym czy też administratorem, taką samą sankcją – administracyjną karą pieniężną orzekaną na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679 i na zasadach określonych w art. 83 ust. 1 i 2 tego aktu prawnego.

23.

W postępowaniu o sygn. DS.523.2359.2024 w celu uzyskania informacji potrzebnych do rozpatrzenia zarzutów podnoszonych przez Skarżącą, Prezes UODO dwukrotnie zwracał się do Spółki z wezwaniem do złożenia wyjaśnień, formułując w tym kontekście konkretne, szczegółowe pytania dotyczące sprawy (zob. pkt 2 uzasadnienia niniejszej decyzji). Wezwania te nie zostały odebrane przez Spółkę, lecz z uwagi na treść art. 44 i 45 k.p.a., Prezes UODO uznał je za prawidłowo doręczone. Stanu tego (niepodejmowana kierowanej do Spółki korespondencji urzędowej) nie zmieniło wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (sygn. DOKE.561.11.2024.(…)). Pismo z 20 listopada 2024 r. skierowane na aktualny adres siedziby Spółki w ramach tego postępowania (zob. pkt 5 uzasadnienia niniejszej decyzji), pomimo dwukrotnej, prawidłowej awizacji nie zostało podjęte w terminie, przy czym należy uznać je za doręczone Spółce w trybie doręczenia zastępczego, o którym mowa w art. 44 i 45 k.p.a. Powyższe przemawia za uznaniem, że Spółka miała obiektywnie zachowaną możliwość zapoznania się z treścią pism wystosowanych do niej przez organ nadzorczy, a okoliczność braku ich odbioru – skutkująca brakiem złożenia wyjaśnień, o które organ nadzorczy zwracał się do Spółki – obciąża wyłącznie ją samą.

24.

Argumentację tę wzmacnia dodatkowo okoliczność, że do obowiązków Spółki należy zapewnienie prawidłowej organizacji obiegu korespondencji, a w przypadku niepoinformowania Prezesa UODO o nowym adresie korespondencyjnym, organ nadzorczy jest związany adresem siedziby, widniejącym w rejestrze przedsiębiorców. Powyższe wynika z przedstawionych powyżej przepisów (zob. pkt 18 – 20 uzasadnienia niniejszej decyzji), a w szczególności z domniemania prawdziwości danych wpisanych do rejestru przedsiębiorców. Należy podkreślić, że w interesie Spółki jest podjęcie takich działań, które doprowadzą do właściwego zorganizowania przyjmowania pism i obiegu korespondencji, która powinna odbywać się w sposób ciągły i niezakłócony^[6]. W toku określonych wyżej postępowań administracyjnych (zob. pkt 2 i 5 uzasadnienia niniejszej decyzji) organ nadzorczy kierował korespondencję na aktualny adres siedziby Spółki, wskazany wówczas w rejestrze przedsiębiorców Krajowego Rejestru Sądowego, tj. ul. (…), (…) K.^[7].

25.

Podkreślić należy, że w toku postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, rozpoznawanego pod sygn. DOKE.561.11.2024.(…), oprócz informacji o wszczęciu postępowania, organ nadzorczy skierował do Spółki w dniu 14 lipca 2025 r. pismo z prośbą o kontakt, w celu złożenia wyjaśnień (zob. pkt 7 uzasadnienia niniejszej decyzji) oraz w dniu 19 marca 2025 r. pismo do Prezesa Zarządu Spółki z prośbą o kontakt w sprawie (zob. pkt 6 uzasadnienia niniejszej decyzji). Powyższe czynności nie doprowadziły do uzyskania wyjaśnień potrzebnych do rozstrzygnięcia sprawy o sygn. DS.523.2359.2024. Oznacza to, że Prezes UODO wyczerpał wszelkie środki, służące pozyskaniu informacji niezbędnych do wszechstronnego wyjaśnienia sprawy zainicjowanej skargą pani L. S., które to informacje bez wątpienia pozostają w dyspozycji Spółki. Spółka do chwili wydania niniejszej decyzji administracyjnej nie przedstawiła Prezesowi UODO żadnych żądanych przez niego informacji.

26.

Brak złożenia wyjaśnień, których Prezes UODO żądał od Spółki jest przeszkodą w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy o sygn. DS.523.2359.2024. W związku z powyższym należy uznać, że zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z naruszeniem przepisu art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegającym na niezapewnieniu dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań w postępowaniu o sygn. DS.523.2359.2024. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Spółki, było także nieuzasadnione przedłużenie czasu trwania postępowania zainicjowanego skargą, co stało z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a., to jest zasadami wnikliwości i szybkości postępowania.

V. Administracyjna kara pieniężna.

Przesłanki wymiaru administracyjnej kary pieniężnej.

27.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjną karę pieniężną nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – zgodnie z art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

28.

Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za ich naruszenie karę wyższą z dwóch określonych przepisami rozporządzenia 2016/679 – karę do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Postępowanie Spółki w niniejszej sprawie, polegające na uniemożliwieniu dostępu do żądanych przez Prezesa UODO informacji i danych osobowych należy uznać za godzące w cały system ochrony danych osobowych, a w związku z tym mające znaczną wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone zaniechanie Spółki było ciągłe i długotrwałe, trwało bowiem od upływu 7-dniowego terminu na złożenie wyjaśnień, wyznaczonego w pierwszym wezwaniu skierowanym do Spółki w postepowaniu o sygn. DS.523.2359.2024, to jest od 19 czerwca 2024 r. do dnia wydania decyzji kończącej niniejsze postępowanie.

29.

Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).

W związku z tym, że żadne ze skierowanych przez Prezesa UODO do Spółki wezwań do złożenia wyjaśnień nie zostało faktycznie przez nią odebrane, brak jest podstaw do uznania, że działanie Spółki podlegające ukaraniu w niniejszej sprawie, miało charakter celowy. W ocenie Prezesa UODO, dokonane przez Spółkę naruszenie miało charakter nieumyślny, jednakże w związku z tym, ze było ono następstwem rażącego i długotrwałego zaniedbania przez Spółkę podstawowego jej obowiązku, to jest zapewnienia takiej organizacji odbioru pism, aby obieg korespondencji odbywał się w sposób ciągły i niezakłócony, okoliczność ta winna być oceniona negatywnie i uznana za obciążającą w kontekście ustalenia zarówno zasadności wymierzenia, jak i wysokości orzeczonej kary.

30.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).

W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO. W szczególności Spółka nie przedstawiła informacji żądanych przez niego w postępowaniu o sygn. DS.523.2359.2024, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenia jego skutków. Taki brak współpracy z Prezesem UODO skutkował utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania skargowego. Trwanie Spółki w stanie naruszenia (brak woli przywrócenia stanu zgodnego z prawem polegającego na wywiązywaniu się z ciążących na niej obowiązków procesowych w postępowaniu przed Prezesem UODO) wpływa – w ocenie Prezesa UODO – obciążająco na ocenę stwierdzonego naruszenia.

31.

W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary orzeczonej niniejszą decyzją administracyjną.

32.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:

a)

wszelkie stosowne wcześniejsze naruszenia ze strony Spółki (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).

Prezes UODO nie stwierdził, aby Spółka dokonała wcześniej jakichkolwiek naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (wywiązywanie się z obowiązków wynikających z przepisów o ochronie danych osobowych) jest stanem naturalnym w otoczeniu prawnym, w którym Spółka funkcjonuje, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.

b)

sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).

Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygn. DS.523.2359.2024. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu, wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny, jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Spółki; fakt ten nie może być jednak też uwzględniony na korzyść Spółki skoro nie brała ona żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.

c)

przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

d)

stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).

Spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

e)

osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).

Prezes UODO nie stwierdził, żeby Spółka, w związku z nieudzieleniem żądanych przez niego informacji, odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Spółkę takich korzyści, jako stan naturalny, niezależny od jej woli i jej działania, jest okolicznością, która z istoty rzeczy nie może być dla niej łagodzącą. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

f)

inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).

Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

33.

Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO ze względu na charakter naruszenia, który dotyczy relacji administratora lub podmiotu przetwarzającego z organem nadzorczym, a nie z osobami, których dane dotyczą. Są to:

a)

liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie (nieudzielenie przez Spółkę Prezesowi UODO dostępu do niezbędnych informacji) nie wiąże się z naruszeniem danych osobowych żadnej osoby, w konsekwencji nie można stwierdzić, że w sprawie wystąpiły szkody po stronie osób fizycznych;

b)

działania podjęte przez Spółkę w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679) – ze względu na to, że w sprawie nie można stwierdzić by wystąpiły szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Spółkę jakichkolwiek działań mających na celu ich zminimalizowanie;

c)

stopień odpowiedzialności Spółki z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nią na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Spółkę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;

d)

kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na niedostarczeniu informacji oraz niezapewnieniu dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań nie wiąże się z naruszeniem żadnych danych osobowych.

Ustalenie wysokości administracyjnej kary pieniężnej zgodnie z Wytycznymi 04/2022[8].

34.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Spółkę Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych (zwaną dalej: „EROD”) w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji.

35.

W związku z tym, że Spółka nie przedstawiła na żądanie Prezesa UODO danych finansowych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej, to jest informacji o osiągniętym przychodzie w 2023 r. (zob. pkt 5 uzasadnienia niniejszej decyzji), podstawę tę Prezes UODO ustalił w sposób szacunkowy (zob. pkt 14 uzasadnienia niniejszej decyzji). Prezesa UODO wziął pod uwagę okoliczność, że aktualnie Spółce przysługuje status podatnika zwolnionego od obowiązku zapłaty podatku od towarów i usług^[9]. Oznacza to, że wartość sprzedaży, z wyłączeniem podatku, nie przekroczyła w poprzednim ani bieżącym roku podatkowym kwoty 200 000 PLN (zob. pkt 21 uzasadnienia niniejszej decyzji). W tym miejscu należy również powołać się na najnowsze ogólnodostępne dane finansowe Spółki, które wykazują, że w 2022 r. Spółka osiągnęła przychód netto ze sprzedaży na poziomie (…) PLN^[10]. Ponadto Spółka w 2022 r. szukała nowych rozwiązań dotyczących możliwości rozwoju, współpracowała z (…) zleceniobiorcami oraz posiadała (…) komórki lokatorskie (zob. Sprawozdanie Zarządu z działalności Spółki za rok 2022^[11]). Powyższe informacje dają podstawy do przyjęcia na potrzeby niniejszej decyzji, że obrót Spółki w 2024 r. był na poziomie podobnym do roku (…), lecz nie mógł przekroczyć kwoty 200 000 PLN, czyli progu zwolnienia z podatku od towarów i usług. Z ogólnodostępnych informacji nie wynika, aby Spółka stała się niewypłacalna lub groziła jej niewypłacalność^[12]. W związku z tym, jako szacowaną kwotę przychodu osiągniętego przez Spółkę w 2024 r. i stanowiącą w związku z tym podstawę obliczenia administracyjnej kary pieniężnej, Prezes UODO przyjął kwotę (…) PLN (równowartość kwoty (…) EUR według średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 EUR = 4,2092 PLN, który to kurs przyjęty został dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.) (zob. pkt 15 uzasadnienia niniejszej decyzji).

36.

Zgodnie z przedstawionymi w Wytycznych 04/2022 wskazówkami Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisu rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisu art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za poważniejsze niż naruszenia należące do grupy wskazanych w art. 83 ust. 4 rozporządzenia 2016/679 (z maksymalną wysokością do 10 000 000 EUR lub 2 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego).

37.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) oraz nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679). Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) nie zostały wzięte pod uwagę ze względu na charakter naruszenia (dotyczącego relacji administratora lub podmiotu przetwarzającego z organem nadzorczym, a nie z osobami, których dane dotyczą). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 28, 29 i 33 lit. d) uzasadnienia niniejszej decyzji). W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest niski. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki (zob. Podrozdział 4.2.4 Wytycznych 04/2022), to jest od 0 do 2 000 000 EUR. Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 1 600 000 EUR (równowartość 6 734 720 PLN).

38.

Prezes UODO dostosował kwotę wyjściową, odpowiadającą niskiej powadze stwierdzonego naruszenia, do obrotu Spółki jako miernika jej wielkości i siły gospodarczej (zob. Rozdział 4.3 Wytycznych 04/2022). Stosownie do wskazówek EROD przedstawionych w pkt 65 Wytycznych 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi od (…) do (…) EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od (…) do (…)% kwoty wyjściowej. Biorąc pod uwagę oszacowany na potrzeby niniejszej decyzji obrót (przychód) Spółki w 2024 r. (zob. pkt 35 uzasadnienia niniejszej decyzji), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…)% kwoty wyjściowej, to jest do kwoty (…) EUR (równowartość (…) PLN).

39.

Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. pkt Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 30, 32 i 33 lit. b) i c) uzasadnienia niniejszej decyzji). Spośród nich Prezes UODO mając na względzie powagę naruszenia uznał, że okolicznością obciążającą w niniejszej sprawie jest stopień współpracy w celu usunięcia naruszenia (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Ze względu na zaistnienie w sprawie jednej okoliczności obciążającej, Prezes UODO, oceniając jej wpływ na ocenę stwierdzonego naruszenia, uznał za zasadne zwiększenie o (…)% ustalonej wyżej kwoty kary (zob. pkt 38 uzasadnienia niniejszej decyzji) – do kwoty 3 520 EUR (równowartość 14 816 PLN).

40.

Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na jej skuteczność, proporcjonalność i odstraszający charakter (art. 83 ust. 1 rozporządzenia 2016/679). Stosownie do brzmienia art. 83 ust. 1 rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji^[13]. W ocenie Prezesa UODO kara nałożona na Spółkę w niniejszym postępowaniu odpowiada zasadom wskazanym w art. 83 ust. 1 rozporządzenia 2016/679. Jej dolegliwość w wymiarze finansowym zdyscyplinuje Spółkę do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych z jej udziałem wyrażającej się w szczególności udzielaniem informacji niezbędnych organowi nadzorczemu do realizacji jego zadań. W wymiarze dyscyplinującym Spółkę kara będzie więc skuteczna (osiągnie swój cel). Kara ta spełni ponadto funkcję odstraszającą, ponieważ będzie jasnym sygnałem dla Spółki oraz dla innych podmiotów zobowiązanych na mocy przepisów rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o znacznej wadze i jako takie podlegać będzie sankcjom finansowym. Nałożona niniejszą decyzją kara będzie też – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez nadmiernego uszczerbku dla jej sytuacji finansowej i dla prowadzonej przez nią działalności. Wysokość orzeczonej kary pieniężnej stanowi bowiem jedynie 0,0176% maksymalnej wysokości kary, którą Prezes UODO mógł, zgodnie z art. 83 ust. 5 rozporządzenia 2016/679, nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie. W ocenie Prezesa UODO kwota 14 816 PLN (równowartość 3 520 EUR) stanowi ponadto pewien próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie już wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru; będzie mogło natomiast prowadzić do nieproporcjonalnej dolegliwości sankcji dla Spółki.

41.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie na Spółkę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego jej naruszenia art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się kolejnych zaniedbań.

42.

Mając na uwadze przepis art. 103 u.o.d.o., Prezes UODO za naruszenie opisane w sentencji niniejszej decyzji administracyjnej, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2025 r., zgodnie z którym 1 EUR = 4,2092 PLN – administracyjną karę pieniężną w kwocie 14 816 PLN (słownie: czternastu tysięcy ośmiuset szesnastu złotych), co stanowi równowartość 3 520 EUR.

Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.