Warszawa, 14 kwietnia 2025nieprawomocna

Decyzja DOKE.561.2.2024

: Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz.572), art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i) oraz art. 83 ust. 1-2 i art. 83 ust. 6 w związku z art. 58 ust. 2 lit. d) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35),

: po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Pana J. S., prowadzącego działalność gospodarczą pod firmą U. (…) z siedzibą w B. przy ul. (…), administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych,

: stwierdzając niewykonanie przez Pana J. S., prowadzącego działalność gospodarczą pod firmą U. (…) w B. przy ul. (…), nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z 18 stycznia 2024 roku o sygn. ZSPR.440.1234.2018.(…),

: nakłada na niego administracyjną karę pieniężną w kwocie 25 255 zł (słownie: dwadzieścia pięć tysięcy dwieście pięćdziesiąt pięć złotych).

Uzasadnienie

I. Stan faktyczny

1.: Prezes Urzędu Ochrony Danych Osobowych, zwany dalej: „Prezesem UODO”, decyzją administracyjną z 18 stycznia 2024 roku o sygn. ZSPR.440.1234.2018.(…), zwanej dalej: „Decyzją nakazującą”, działając na podstawie art. 58 ust. 2 lit. b) i d) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2, oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) (zwanego dalej „rozporządzeniem 2016/679”), nakazał Panu J. S., prowadzącemu działalność gospodarczą pod firmą U. (…) w B. przy ul. (…), zwanemu dalej „Przedsiębiorcą”, usunięcie danych osobowych Pana H. D., zam. w P. przy ul. (…), w zakresie jego numeru telefonu (…), przetwarzanych w celach marketingowych bez podstawy prawnej. Tą samą decyzją Prezes UODO udzielił również Przedsiębiorcy upomnienia za naruszenie art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679. Decyzja nakazująca została doręczona Przedsiębiorcy 29 stycznia 2024 r., co potwierdzone zostało jego własnoręcznym podpisem umieszczonym na zwrotnym potwierdzeniu odbioru.

2.: Przedsiębiorca nie wniósł od wyżej wskazanej Decyzji nakazowej skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w związku z czym stała się ona prawomocna 29 lutego 2024 roku.

3.: Celem ustalenia, czy nałożony Decyzją nakazującą obowiązek został przez Przedsiębiorcę wykonany, Prezes UODO wszczął postępowanie sprawdzające o sygn. DOKE.560.82.2024.(…).

4.: Pismem z 8 marca 2024 roku o sygn. DOKE.560.82.2024.(…) Prezes UODO wezwał Przedsiębiorcę do złożenia wyjaśnień i przedstawienia dowodu w postaci kopii protokołu usunięcia danych osobowych skarżącego, a w przypadku braku takiego protokołu – do przedstawienia oświadczenia o ich usunięciu. Pismo do Przedsiębiorcy skierowane zostało na adres: ul. (…), (…) N., to jest na adres do doręczeń Przedsiębiorcy wskazany w Centralnej Ewidencji i Informacji Działalności Gospodarczej (zwanej dalej: „CEIDG”). Pismo zawierało informację, że wyjaśnień należy udzielić w ciągu dziesięciu dni od dnia otrzymania wezwania. Pismem tym Przedsiębiorca pouczony został jednocześnie, że stwierdzenie nieprzestrzegania nakazu nałożonego przez Prezesa UODO skutkować może nałożeniem na niego administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 6 rozporządzeniem 2016/679. Pismo, po dwukrotnej awizacji w dniach 13 marca 2024 roku i 21 marca 2024 roku, nie zostało odebrane przez adresata i wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. W związku z powyższym Prezes UODO, w oparciu o przepis art. 44 § 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (dalej „k.p.a.”), uznał je za doręczone Przedsiębiorcy z dniem 27 marca 2024 roku i pozostawił w aktach sprawy.

5.: Pismem z 17 kwietnia 2024 roku o sygn. DOKE.560.82.2024.(…) Prezes UODO skierował do Przedsiębiorcy upomnienie wzywające go do wykonania nakazu Decyzji nakazującej i udokumentowania jego wykonania pod groźbą skierowania sprawy na drogę egzekucji administracyjnej. Pismo zostało odebrane osobiście przez Przedsiębiorcę 25 kwietnia 2024 roku, co potwierdzone zostało jego własnoręcznym podpisem umieszczonym na zwrotnym potwierdzeniu odbioru pisma. Określony w upomnieniu 7-dniowy termin na wykonanie nakazu decyzji upłynął bezskutecznie 2 maja 2024 roku. Przedsiębiorca, pomimo prawidłowego doręczenia mu pisma, nie odpowiedział Prezesowi UODO na upomnienie i nie przedstawił dowodów potwierdzających wykonanie Decyzji nakazującej.

6.: W trakcie niniejszego postępowania Prezes UODO ustalił, że przeważającym przedmiotem działalności Przedsiębiorcy jest finansowa działalność usługowa z wyłączeniem ubezpieczeń i funduszów emerytalnych. Jest on właścicielem domeny internetowej (…), za pośrednictwem której usługi finansowe świadczy spółka Z. (…) S.A.. Prezesem zarządu tej spółki jest Przedsiębiorca. Natomiast indywidualna działalność Przedsiębiorcy zawieszona została w CEIDG od 1 stycznia 2016 r.

II. Postępowanie

7.: Biorąc pod uwagę okoliczności ustalone w trakcie postępowania w sprawie sprawdzenia wykonania Decyzji nakazującej o sygn. DOKE.560.82.2024.(…), Prezes UODO pismem z 16 maja 2024 roku o sygn. DOKE.561.2.2024.(…) wszczął niniejsze postępowanie administracyjne w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej.

8.: Pismo informujące o wszczęciu niniejszego postępowania wysłane zostało na adres do doręczeń wskazany przez Przedsiębiorcę w CEIDG. Pismo, po dwukrotnej awizacji w dniach 21 maja 2024 roku i 29 maja 2024 roku, nie zostało odebrane przez adresata i wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. Prezes UODO stosownie do art. 44 § 4 k.p.a. uznał je za doręczone Przedsiębiorcy z dniem 4 czerwca 2024 roku i pozostawił w aktach sprawy. W treści pisma zawarte było pouczenie, że nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, na podstawie art. 83 ust. 6 rozporządzenia 2016/679. Prezes UODO wezwał też Przedsiębiorcę, celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej w niniejszym postępowaniu, do przedstawienia – w terminie 30 dni od dnia doręczenia pisma – informacji o osiągniętych przez niego dochodach za rok 2023 r. w postaci np. kopii zeznania podatkowego PIT. Prezes UODO poinformował ponadto, że nieprzedstawienie tego rodzaju dokumentu lub innej informacji o osiągniętych przez Przedsiębiorcę dochodach skutkować będzie ustaleniem przez Prezesa UODO podstawy wymiaru kary w sposób szacunkowy na podstawie art. 101 a) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „u.o.d.o.”). Jednocześnie Prezes UODO poinformował, że jeżeli Przedsiębiorca w terminie 14 dni od dnia doręczenia pisma udzieli wyczerpujących wyjaśnień, o udzielenie których zwrócił się do niego Prezes UODO pismem z 8 marca 2024 r., oraz przedstawi dowody wykonania nakazu Decyzji nakazującej, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.

9.: Następnie Prezes UODO pismem z 13 sierpnia 2024 r. o sygn. DOKE.561.2.2024.(…) przesłał kopię pisma informującego o wszczęciu postępowania i zgromadzeniu materiału dowodowego z 16 maja 2024 r. (sygn.DOKE.561.2.2024.(…)), które nie zostało podjęte przez Przedsiębiorcę, na adres stałego miejsca wykonywania działalności wskazany w CEIDG: ul. (…), (…) B.. Pismo to nie zostało odebrane przez Przedsiębiorcę. Po dwukrotnej awizacji w dniach 19 sierpnia 2024 r. oraz 27 sierpnia 2024 r. wróciło do Urzędu Ochrony Danych Osobowych z adnotacją „ZWROT nie podjęto w terminie”, w związku z czym – na podstawie art. 44 § 4 k.p.a. – zostało uznane za doręczone Przedsiębiorcy 2 września 2024 r.

10.: Do dnia wydania niniejszej decyzji Przedsiębiorca nie odpowiedział na żadne z kierowanych do niego, zarówno w postępowaniu sprawdzającym wykonanie decyzji o sygn. DOKE.560.82.2024.(…), jak i w niniejszym postępowaniu o sygn. DOKE.561.2024.(…), pism Prezesa UODO. Nie przedstawił też żadnych dowodów potwierdzających wykonanie nakazu Decyzji nakazującej.

: Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes UODO zważył, co następuje.

III. Przepisy

11.: Stosowanie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

12.: Stosownie do art. 57 ust. 1 rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium (w tym Prezes UODO na terytorium Rzeczypospolitej Polskiej) między innymi monitoruje i egzekwuje stosowanie rozporządzenia (art. 57 ust. 1 lit. a) oraz prowadzi postępowania w sprawie jego stosowania (art. 57 ust. 1 lit. h).

13.: Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Przepis art. 58 ust. 2 lit i) rozporządzenia 2016/679 daje Prezesowi UODO uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na podstawie art. 83 tego aktu prawnego.

14.: Zgodnie z art. 83 ust. 6 rozporządzenia 2016/679 nieprzestrzeganie nakazu orzeczonego na podstawie art. 58 ust. 2 tego rozporządzenia podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

15.: Na podstawie wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 tego przepisu (w tym – zgodnie z tzw. zasadą legalności – za przetwarzanie danych osobowych „zgodnie z prawem”) i musi być w stanie wykazać ich przestrzeganie. Zastosowanie zasady rozliczalności w niniejszej sprawie oznacza, że Przedsiębiorca zobowiązany jest – w szczególności w postępowaniu przed Prezesem UODO – udowodnić wykonanie nakazu decyzji, które to wykonanie byłoby równoznaczne z przywróceniem przetwarzania przez niego danych osobowych do stanu zgodnego z prawem. Takie implikacje zasady rozliczalności potwierdza doktryna prawa ochrony danych osobowych, zgodnie z którą: „Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych osobowych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych.” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018).

16.

Oceniając czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:

a): charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b): umyślny lub nieumyślny charakter naruszenia;

c): działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d): stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e): wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f): stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g): kategorie danych osobowych, których dotyczyło naruszenie;

h): sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i): jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j): stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42;

k): wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

17.: Ponadto organ nadzorczy, zgodnie z art. 83 ust. 1 rozporządzenia 2016/679, zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

18.: Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej podmiot wobec, którego toczy się postępowanie zobowiązany jest na żądanie Prezesa UODO dostarczyć mu w terminie 30 dni od dnia doręczenia żądania danych niezbędnych do określenia tejże podstawy (art. 101 art. 1 u.o.d.o). Natomiast, w przypadku niedostarczenia tych danych przez podmiot podlegający ukaraniu, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy, uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnodostępne dane finansowe dotyczące podmiotu (art. 101a ust. 2 u.o.d.o.).

19.: Zgodnie z art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

IV. Ocena prawna

20.: Materiał dowodowy zebrany w sprawie obejmuje całokształt korespondencji wymienianej między Prezesem UODO a Przedsiębiorcą w toku postępowania sprawdzającego o sygn. DOKE.560.82.2024.(…). Obrazuje on próbę uzyskania przez Prezesa UODO od Przedsiębiorcy informacji o wykonaniu nakazu (pismo z 8 marca 2024 r. – zob. pkt 4 uzasadnienia decyzji) oraz próbę doprowadzenia do dobrowolnego wykonania przez Przedsiębiorcę tego nakazu (upomnienie z 17 kwietnia 2024 r. – zob. pkt 5 uzasadnienia decyzji). W materiale dowodowym znajduje się również pismo Prezesa UODO z 16 maja 2024 r. (zob. pkt 7 i 8 uzasadnienia decyzji) informujące Przedsiębiorcę o wszczęciu niniejszego postępowania w przedmiocie nałożenia na niego administracyjnej kary pieniężnej, która to kara ze swej istoty ma mieć charakter dyscyplinujący i naprawczy – ma również na celu doprowadzenie do wykonania nakazu (i wykazanie tego przed Prezesem UODO). W związku z tym, że oba postępowania, zarówno postępowanie sprawdzające wykonanie Decyzji nakazującej (sygn. DOKE.560.82.2024.(…)), jak i niniejsze postępowanie w przedmiocie nałożenia kary za niewykonanie nakazu Decyzji nakazującej (sygn. DOKE.561.2.2024.(…)), miały formę wyłącznie pisemną, pisma te obrazują w pełni (w sposób wyczerpujący) zarówno fakt skierowania do Przedsiębiorcy żądania wykonania nakazu Decyzji nakazującej oraz żądania udowodnienia tej okoliczności, jak i fakt niewywiązania się przez Przedsiębiorcę z tych obowiązków. Powyższe nie tylko pozwalało, ale i zobowiązywało Prezesa UODO, w stanie faktycznym istniejącym na dzień wydania niniejszej decyzji, do przyjęcia, że Decyzja nakazująca nie została przez Przedsiębiorcę wykonana.

21.: W tym miejscu zauważyć należy po pierwsze, że charakter nałożonego na Przedsiębiorcę – w Decyzji nakazującej – obowiązku (usunięcie danych osobowych pana H. D.) determinuje sposób ustalenia jego wykonania w postępowaniu przed Prezesem UODO w tym sensie, że musi ono nastąpić z udziałem Przedsiębiorcy. Tylko Przedsiębiorca dysponuje bowiem informacjami o wywiązaniu się przez niego z nałożonego przez Prezesa UODO obowiązku, w tym o dacie i sposobie dokonania odpowiednich czynności, a także dowodami potwierdzającymi ich dokonanie. Usunięcie danych osobowych miało bowiem nastąpić z wewnętrznych zasobów Przedsiębiorcy (w szczególności z jego systemów informatycznych), do których – co oczywiste – Prezes UODO nie ma w żaden sposób dostępu.

22.: Po drugie natomiast, poza wyżej wskazanym praktycznym aspektem kwestii wykazania wykonania nakazu Decyzji nakazującej, zauważyć i podkreślić należy również ciążący na Przedsiębiorcy, a wynikający ze sformułowanej w art. 5 ust. 2 rozporządzenia 2016/679 zasady „rozliczalności”, obowiązek prawny wykazania przestrzegania podstawowych zasad przetwarzania danych osobowych, wśród których znajduje się zasada „zgodności z prawem” przetwarzania danych osobowych (art. 5 ust. 1 lit. a) rozporządzenia 2016/679). Nie powinno budzić żadnych wątpliwości, że „zgodność z prawem”, o której mówi przywołana zasada, oznacza również zgodność z prawomocnymi orzeczeniami Prezesa UODO, które to orzeczenia mają charakter „naprawczy” – mają na celu przywrócenie stanu zgodnego z prawem. Na taki charakter uprawnień Prezesa UODO (w tym uprawnienia do nakazania administratorowi dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679) wskazuje wprost przepis art. 58 ust. 2 tego aktu prawnego, mówiąc o jego „uprawnieniach naprawczych”. W wymiarze procesowym z zasady „rozliczalności” wywieść należy zasadę, zgodnie z którą ciężar udowodnienia wykonania nakazu Prezesa UODO (czy inaczej, zgodnie z terminologią zastosowaną w art. 83 ust. 6 rozporządzenia 2016/679, „przestrzegania nakazu orzeczonego przez organ nadzorczy”) spoczywa na adresacie tego nakazu – w niniejszej sprawie na Przedsiębiorcy. W konsekwencji więc, w sytuacji gdy adresat nakazu decyzji nie wykaże – prawidłowo wezwany do tego – wykonania nałożonego na niego obowiązku, przyjąć należy, że obowiązek ten nie został przez niego wykonany.

23.: Współodpowiedzialność strony za przebieg postępowania dowodowego oraz konsekwencje braku jej współpracy z organem administracyjnym w ustalaniu stanu faktycznego sprawy podkreślają doktryna prawa administracyjnego oraz orzecznictwo sądów administracyjnych, co przedstawia poniższy wywód.

24.: „Z art. 7 wynika, że organ administracji nie może ograniczyć się do oczekiwania na przedstawienie przez stronę dowodów potwierdzających jej żądanie, ale że powinien aktywnie dążyć do wyjaśnienia sprawy (zob. np. wyrok NSA z 17 maja 1994 r., SA/Lu 1921/93, LEX nr 26517; wyrok NSA z 4 czerwca 1998 r., I SA/Kr 1052/97, LEX nr 33618; wyrok NSA z 25 czerwca 1999 r., I SA 1551/98, LEX nr 48556). Nie wyklucza to obowiązku strony współprzyczynienia się do zapewnienia pełnego i wyczerpującego zebrania i rozpatrzenia materiału dowodowego – w drodze złożenia wyjaśnień lub przytoczenia innych dowodów w sprawie (wyrok NSA z 4 grudnia 1996 r., SA/Łd 2620/95, LEX nr 27407). W orzecznictwie wskazuje się wręcz, że ciążąca na organach powinność zbadania wszystkich okoliczności istotnych w sprawie w żaden sposób nie może usprawiedliwiać bierności zainteresowanej strony oraz nie zwalnia jej z obowiązku współdziałania z organem w wyjaśnieniu sprawy (wyrok NSA z 16 kwietnia 2019 r., I OSK 1711/17). Na stronie postępowania administracyjnego ciąży obowiązek udowodnienia okoliczności, na podstawie których wywodzi korzystne dla siebie skutki prawne (wyrok NSA z 29 września 2020 r., II OSK 1452/20, LEX nr 3075574). Tak więc strona powinna przekazać organowi dowody dotyczące okoliczności, których wykazanie leży w jej interesie, pod rygorem negatywnych dla niej skutków procesowych. […] Strona nie może ograniczać się do formułowania twierdzeń co do okoliczności faktycznych oczekując, że to organ ma w takim wypadku obowiązek poszukiwania dowodów, by te twierdzenia wykazać. Obowiązek gromadzenia i poszukiwania dowodów, spoczywający na organach administracji, nie może być uznany za nieograniczony. Nie sposób żądać, aby organy poszukiwały dowodów w nieskończoność, albo podejmowały szczególne dochodzenie w celu wykrycia dowodów, o których istnieniu nic nie wiadomo, albo których odnalezienie jest wyjątkowo mało prawdopodobne z uwagi na upływ czasu.” (P. M. Przybysz [w:] Kodeks postępowania administracyjnego. Komentarz aktualizowany, LEX/el. 2024, art. 7., https://sip.lex.pl/#/commentary/587751055/754389/przybysz-piotr-marek-kodeks-postepowania-administracyjnego-komentarz-aktualizowany?cm=URELATIONS)

25.: Warta przywołania w tym miejscu jest ponadto teza wyroku Naczelnego Sądu Administracyjnego z 29 czerwca 2018 r., I OSK 274/18, zgodnie z którą „[r]ealizując zasadę prawdy obiektywnej (art. 7 k.p.a. i art. 77 § 1 k.p.a.) organ jest wprawdzie zobowiązany do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego, jednakże strona nie jest zwolniona od obowiązku współdziałania w wyjaśnianiu okoliczności faktycznych sprawy. Powinna ona bowiem przedstawić w sprawie wszystkie informacje niezbędne do ustalenia jej stanu faktycznego, jak również wskazać dowody mające, jej zdaniem, znaczenie w sprawie i udostępnić dowody znajdujące się w jej posiadaniu” (Lex nr 2542783). W takim jak niniejsze szczególnym postępowaniu, którego przedmiotem jest ocena wykonania nakazu polegającego na dokonaniu operacji w wewnętrznych zasobach (bazach danych) administratora, teza powyższa ma – w ocenie Prezesa UODO – szczególne zastosowanie.

26.: Podsumowując powyższe stwierdzić należy, że Przedsiębiorca, jako administrator danych osobowych i adresat Decyzji nakazującej, nie udowodnił w żaden sposób wykonania nakazu tej decyzji, pomimo kierowanych do niego przez Prezesa UODO wezwań poprzedzających wszczęcie niniejszego postępowania. To pozwala stwierdzić, że Przedsiębiorca nie wykonał nakazu skierowanej do niego decyzji administracyjnej Prezesa UODO, czym naruszył przepis art. 58 ust. 2 lit. d) rozporządzenia 2016/679. Zaistniały więc w ocenie Prezesa UODO przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 6 rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z nieprzestrzeganiem nakazu orzeczonego na podstawie art. 58 ust. 2 rozporządzenia 2016/679.

V. Przesłanki wymiaru administracyjnej kary pieniężnej

27.: Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679 administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Przedsiębiorcę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia (zob. pkt 28-30 uzasadnienia decyzji):

28.

Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).

: Naruszenie podlegające administracyjnej karze pieniężnej w niniejszym postępowaniu (nieprzestrzeganie nakazu orzeczonego przez Prezesa UODO na podstawie art. 58 ust. 2 Rozporządzenia 2016/679) godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, jakim jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień naprawczych, które zostały wymienione z art. 58 ust. 2 rozporządzenia 2016/679. Lekceważenie przez Przedsiębiorcę orzeczonego wobec niego przez Prezesa UODO nakazu, będącego w istocie skonkretyzowaniem obowiązku przewidzianego przepisami rozporządzenia 2016/679, oznacza lekceważenie przepisów o ochronie danych osobowych i roli Prezesa UODO w systemie ochrony danych określonym przepisami rozporządzenia 2016/679. Wagę tego naruszenia (w wymiarze abstrakcyjnym, oderwanym od realiów niniejszej sprawy) podkreśla sam unijny ustawodawca, który zaliczył je do grupy naruszeń zagrożonych wyższą karą z dwóch przewidzianych w rozporządzeniu 2016/679 – karą w wysokości do 20 000 000 euro lub do 4% obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Dodatkowo należy podkreślić, że – skoro Decyzja nakazująca nakazywała usunięcie danych osobowych – jej niewykonanie świadczy o dalszym, bezprawnym przetwarzaniu danych osobowych skarżącego przez Przedsiębiorcę. Okoliczność dalszego przetwarzania danych osobowych skarżącego powoduje ryzyko udostępniania ich innym podmiotom, z którymi Przedsiębiorca jest powiązany (np. spółce Z. (…) S.A., której Przedsiębiorca jest członkiem zarządu). Biorąc pod uwagę powyższe okoliczności stwierdzić należy, że naruszenie ma znaczną wagę i naganny charakter. Wagę naruszenia zwiększa ponadto okoliczność, że stan tego naruszenia jest długotrwały – trwa od 29 lutego 2024 roku (od daty uprawomocnienia się Decyzji nakazującej) i w tej dacie decyzja ta winna być już wykonana. Okolicznością działającą na korzyść Przedsiębiorca jest z kolei fakt, że naruszenie dotyczy danych osobowych jednej tylko osoby (skarżącego w postępowaniu o sygn. ZSPR.440.1234.2018.(…)), a Prezes UODO nie stwierdził szkód, które ta osoba mogłaby ponieść w związku z niewykonaniem (lub opóźnieniem w wykonaniu) nakazu Decyzji nakazującej. Niemniej jednak, rozważając wszystkie okoliczności składające się na przesłankę wskazaną w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, Prezes UODO musi uznać ją – rozpatrywaną w całokształcie – za okoliczność obciążającą Przedsiębiorcę.

29.

Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679)

: Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r., odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia, wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora albo podmiot przetwarzający wymaganego prawem obowiązku staranności. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej. W ocenie Prezesa UODO zachowaniu Przedsiębiorcy w niniejszej sprawie należy przypisać umyślność. Przedsiębiorca odebrał osobiście Decyzję nakazującą (zob. pkt 1 uzasadnienia decyzji), a także upomnienie wyzywające go do wykonania jej nakazu (zob. pkt 5 uzasadnienia decyzji). Za bezsporne należy więc uznać, że Przedsiębiorca miał świadomość ciążącego na nim obowiązku, tego jak i kiedy obowiązek ten powinien zostać wykonany, oraz tego jakie dowody powinien przedstawić celem udokumentowania wykonania nakazu. Przedsiębiorca został również poinformowany jakie konsekwencje wiążą się z nieprzestrzeganiem obowiązku wynikającego z Decyzji nakazującej. Zatem należy uznać, że Przedsiębiorca miał zamiar spowodowania naruszenia, a jego działanie było celowe. Okoliczność, że zachowanie Przedsiębiorcy miało charakter umyślny jest wyraźną przesłanką do zastosowania wobec niego administracyjnej kary pieniężnej.

30.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).

: Oceniając współpracę Przedsiębiorcy z Prezesem UODO w niniejszym postępowaniu należy wskazać, że Przedsiębiorca nie podjął żadnej współpracy z Prezesem UODO. W szczególności Przedsiębiorca nie zareagował na skierowaną do niego korespondencję, nie przedstawił wyjaśnień i dowodów, o które Prezes UODO zwracał się do niego w swoich pismach; nie przedstawił zatem informacji, które pozwoliłby na stwierdzenie wykonania nakazu decyzji, co mogłoby być potraktowane jako działanie w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych skutków. Okoliczność, że Przedsiębiorca nie podjął żadnej współpracy z Prezesem UODO jest podstawą do zastosowania wobec niego administracyjnej kary pieniężnej. Natomiast wobec faktu, że Przedsiębiorca w pełni świadom był orzeczonego przez Prezesa UODO nakazu, a wykonanie tego nakazu (usunięcie jednej danej osobowej jednej tylko osoby) i wykazanie przed Prezesem UODO zastosowania się do niego nie jest w żaden sposób skomplikowane, czy też wymagające bardziej niż minimalnego nakładu sił, środków i czasu Przedsiębiorcy, Prezes UODO uznał, że brak jakiejkolwiek reakcji ze strony Przedsiębiorcy na jego działania jest wyrazem lekceważenia z jego strony. Tak motywowane zachowanie Przedsiębiorcy jest w ocenie Prezesa UODO szczególnie naganne i jako takie powinno w sposób znaczący znaleźć odzwierciedlenie w wysokości orzeczonej kary.

31.

Za okoliczność wpływającą łagodząco na ocenę naruszenia Prezes UODO uznaje przesłankę kategorii danych osobowych, których dotyczy naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).

: Dane osobowe, których dotyczy naruszenie (informacja o numerze telefonu) nie stanowią danych podlegających szczególnej ochronie na podstawie art. 9 i 10 rozporządzenia 2016/679. W ocenie Prezesa UODO nie są one również danymi, „których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą”, i naruszeniu których – zgodnie z Wytycznymi 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (zwanymi dalej „Wytycznymi 04/2022”), przyjętymi przez Europejską Radę Ochrony Danych (zwaną dalej „EROD”) 24 maja 2023 r.– należałoby również przypisać większą wagę (zob. pkt 57 Wytycznych 04/2022). Co więcej, zakres danych, których dotyczy naruszenie, jest minimalny; obejmuje tylko jedną informację dotyczącą jednej osoby, a tę okoliczność należy wziąć pod uwagę gdyż „wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych” (zob. pkt 58 Wytycznych 04/2022). Przetwarzanie danych osobowych w zakresie jedynie numeru telefonu (bez powiązania z innymi danymi osoby, której dane dotyczą) nie pociąga za sobą – w ocenie Prezesa UODO – wysokiego poziomu ryzyka naruszenia praw i wolności dla osoby, której dane dotyczą.

32.: Pozostałe okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679 (zob. pkt 33-40 uzasadnienia decyzji), po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały uznane przez Prezesa UODO za neutralne dla oceny stwierdzonego naruszenia, to znaczy jako niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

33.

Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych (art. 83 ust. 2 lit. c) rozporządzenia 2016/679).

: W niniejszej sprawie Prezes UODO nie stwierdził jakiejkolwiek szkody, która byłaby wynikiem braku wykonania lub ewentualnie opóźnienia w wykonaniu nakazu Decyzji nakazującej. Nieuzasadnionym byłoby więc oczekiwanie od Przedsiębiorcy podjęcia jakichkolwiek działań mających na celu jej usunięcie lub zminimalizowanie.

34.

Stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d) Rozporządzenia 2016/679).

: Stwierdzone w niniejszej sprawie naruszenie nie ma związku ze środkami organizacyjnymi i technicznymi wdrożonymi przez Przedsiębiorcę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa przetwarzania. Odpowiedzialność za te środki (za ich stan, adekwatność do ryzyk, skuteczność, itp.) nie może być więc przedmiotem dokonywanej przez Prezesa UODO oceny naruszenia.

35.

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

: Prezes UODO nie stwierdził dokonanych przez Przedsiębiorcę jakichkolwiek wcześniejszych naruszeń w zakresie ochrony danych osobowych, w szczególności tych mających za przedmiot nieprzestrzeganie nakazu orzeczonego przez Prezesa UODO na podstawie art. 58 ust. 2 rozporządzenia 2016/679. W związku z tym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na Przedsiębiorcy obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.

36.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu ( art. 83 ust. 2 lit. h) rozporządzenia 2016/679).

: Zgodnie z pkt 99 Wytycznych 04/2022 „[w] przypadku gdy organ nadzorczy dowiedział się o naruszeniu na przykład w wyniku skargi lub w toku postępowania, co do zasady element ten należy uznać również za okoliczność neutralną. Organ nadzorczy może uznać ten fakt za okoliczność łagodzącą, jeżeli administrator lub podmiot przetwarzający zgłosili naruszenie z własnej inicjatywy, zanim organ nadzorczy dowiedział się o danej sprawie”. W niniejszej sprawie Prezes UODO informację o naruszeniu pozyskał w toku prowadzonego przez siebie postępowania (o sygn. DOKE.560.82.2024.(…)) sprawdzającego wykonanie nakazu Decyzji nakazującej. W toku postępowania Prezes UODO dokonał analizy zgromadzonego materiału dowodowego pod kątem postępowania o stwierdzenie nieprzestrzegania nakazu orzeczonego na podstawie art. 58 ust. 2 rozporządzenia 2016/679 i zdecydował o wszczęciu postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 ust. 6 rozporządzenia. Okoliczność ta nie ma więc ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej w sprawie administracyjnej kary pieniężnej.

37.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).

: Prezes UODO nie stosował wobec Przedsiębiorcy w niniejszej sprawie żadnych środków wymienionych w art. 58 ust. 2 Rozporządzenia 2016/679. Przedsiębiorca nie miał więc obowiązku ich przestrzegania. Brak możliwości oceny stopnia przestrzegania lub nieprzestrzegania takich środków powoduje więc, że przesłanka ta nie podlega ocenie w niniejszej sprawie i nie ma wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

38.

Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).

: Przedsiębiorca nie stosuje żadnych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji. Posługiwanie się przez administratorów takimi instrumentami samoregulującymi nie jest obligatoryjne, w związku z tym okoliczność ich niestosowania nie może być traktowana obciążająco w ocenie naruszenia. W przypadku gdyby Przedsiębiorca wdrożył i stosował się do zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji, organ nadzorczy mógłby poczytać ten fakt na jego korzyść, zważywszy, że byłyby to środki gwarantujące wyższy niż standardowy poziom ochrony danych osobowych.

39.

Osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)

: Prezes UODO nie stwierdził, by Przedsiębiorca, w związku z niewykonaniem nakazu Decyzji nakazującej, odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Przedsiębiorcę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Przedsiębiorcę takich korzyści jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

40.

Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) rozporządzenia 2016/679)

: Prezes UODO nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i wymiar orzeczonej administracyjnej kary pieniężnej.

VI. Ustalenie wysokości kary z zastosowaniem Wytycznych 04/2022

41.: Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej nałożonej na Przedsiębiorcę Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami Prezes UODO przeprowadził niżej przedstawiony proces kalkulacji kary.

42.: W związku z tym, że Przedsiębiorca nie przedstawił na żądanie Prezesa UODO danych finansowych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej, to jest informacji o osiągniętych dochodach w roku 2023 (zob. pkt 8 uzasadnienia decyzji), podstawę tę Prezes UODO ustalił w sposób szacunkowy. Prezes UODO wziął pod uwagę, że prowadzona indywidualnie działalność gospodarcza Przedsiębiorcy jest aktualnie zawieszona (co nie zmienia faktu, że należy go traktować jako „przedsiębiorstwo” w rozumieniu przepisów rozporządzenia 2016/679), w związku z czym może on z tego tytułu nie osiągać żadnych przychodów. Prezes UODO zakłada jednak, że Przedsiębiorca osiąga przychody z innych źródeł, np. z tytułu umowy o pracę; dlatego zasadnym będzie w ocenie Prezesa UODO przyjęcie w ramach szacowania podstawy wymiaru kary, że przychody te odpowiadają przeciętnemu wynagrodzeniu w gospodarce narodowej. Zgodnie z komunikatem Prezesa Głównego Urzędu Statystycznego z dnia 11 lutego 2025 roku (zob. https://stat.gov.pl/sygnalne/komunikaty-i-obwieszczenia/lista-komunikatow-i-obwieszczen/komunikat-w-sprawie-przecietnego-wynagrodzenia-w-gospodarce-narodowej-w-2024-roku,273,12.html) wynagrodzenie to w roku 2024 wynosiło 8 181,72 zł miesięcznie. Oznacza to, że przychód Przedsiębiorcy z tego tytułu wyniósłby w całym roku 2024 (w roku obrotowym poprzedzającym wydanie niniejszej decyzji) 98 180 zł. Jednocześnie Prezes UODO zauważa, że Przedsiębiorca zasiada w organach zarządzających kilku spółek kapitałowych; w szczególności jest prezesem zarządu spółki Z. (…) S.A. świadczącej usługi finansowe za pośrednictwem strony internetowej (…) należącej do Przedsiębiorcy. Z tego tytułu Przedsiębiorca niewątpliwie również osiąga przychody. Zważywszy więc na powyższe Prezes UODO przyjmuje na potrzeby niniejszej decyzji – jako szacowaną kwotę przychodu osiągniętego przez Przedsiębiorcę w roku 2024 i stanowiącą w związku z tym podstawę obliczenia administracyjnej kary pieniężnej – kwotę 300 000 zł (równowartość kwoty 71 272 euro wg średniego kursu euro z 28 stycznia 2025 r. wynoszącego 1 euro = 4,2092 zł, który to kurs przyjęty został dla tego oraz dla wszelkich innych poniższych przeliczeń walutowych zgodnie z art. 103 u.o.d.o.).

43.: Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (zob. Rozdział 4.1 Wytycznych 04/2022). Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy należy – zgodnie z art. 83 ust. 6 rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4 % obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Jest ono więc in abstracto „najpoważniejszym” z naruszeń przewidzianych rozporządzeniem 2016/679; nie ma w tym akcie prawnym naruszeń zagrożonych wyższym wymiarem kary.

44.: Prezes UODO ustalił prawnie określoną maksymalną wysokość kary możliwą do orzeczenia wobec Spółki w niniejszej sprawie – zob. Rozdział 6.1 Wytycznych 04/2022. Przepis art. 83 ust. 6 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do określenia, czy w sprawie zastosowanie będzie miała tzw. „statyczna kwota maksymalna” (20 000 000 euro), czy „dynamiczna kwota maksymalna” (4 % obrotu z poprzedniego roku obrotowego), i do przyjęcia kwoty wyższej jako kwoty maksymalnej, której orzeczona w sprawie administracyjna kara pieniężna nie może przekroczyć. Wartość 4 % szacowanego obrotu (przychodu) Przedsiębiorcy za poprzedni rok obrotowy (przyjętego w kwocie 300 000 zł – zob. pkt 42 uzasadnienia decyzji) to kwota 12 000 zł (równowartość 2 851 euro). W związku z tym, że jest to kwota niższa niż statyczna kwota maksymalna (20 000 000 euro), Prezes UODO zobligowany jest do przyjęcia jako maksimum, którego nie może przekroczyć orzekając wobec Przedsiębiorcy administracyjną karę pieniężną, tej drugiej kwoty – 20 000 000 euro (równowartość 84 184 000 zł) – jako kwoty wyższej.

45.: Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o średnim poziomie powagi (zob. Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej (zob. pkt 28, 29 i 31 uzasadnienia decyzji). W tym miejscu wskazać należy jedynie, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 % do 20 % maksymalnej wysokości kary możliwej do orzeczenia wobec Przedsiębiorcy (zob. pkt 60 tiret drugie Wytycznych 04/2022), to jest – zważywszy na statyczną kwotę maksymalną ustaloną dla Przedsiębiorcy (zob. pkt 44 uzasadnienia decyzji) – od kwoty 8 418 400 zł (2 000 000 euro) do kwoty 16 836 800 zł (4 000 000 euro). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 8 418 400 zł stanowiącą równowartość 2 000 000 euro (10 % prawnie określonej maksymalnej wysokości kary możliwej do orzeczenia wobec Przedsiębiorcy.

46.: Prezes UODO dostosował kwotę wyjściową odpowiadającą średniej powadze stwierdzonego naruszenia do przychodu osiągniętego przez Przedsiębiorcę, jako miernika wielkości i siły gospodarczej jego przedsiębiorstwa (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2 % do 0,4 % kwoty wyjściowej. Zważywszy, że obrót (przychód) Przedsiębiorcy w roku 2024 oszacowany został przez Prezesa UODO na kwotę 300 000 zł, to jest równowartość kwoty 71 272 euro, Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 0,25 % kwoty wyjściowej, to jest do kwoty 21 046 zł (równowartość 5 000 euro).

47.: Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (zob. Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej (zob. pkt 30 oraz 33-40 uzasadnienia decyzji). W tym miejscu wskazać jedynie należy, że jedna spośród nich miała – w ocenie Prezesa UODO – znaczący wpływ na wymiar orzeczonej kary. Prezes UODO uznał, że okolicznością obciążającą Przedsiębiorcę (i to w sposób znaczny) jest jego całkowity brak współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Pozostałe przesłanki z art. 83 ust. 2 (lit. c), d), e), h), i), j) oraz k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu ani łagodzącego, ani obciążającego na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu więc na zaistnienie w sprawie dodatkowej okoliczności mającej obciążający wpływ na ocenę naruszenia, za zasadne Prezes UODO uznał dalsze skorygowanie (podwyższenie) kwoty kary ustalonej na podstawie oceny powagi naruszenia oraz przychodu Przedsiębiorcy (zob. pkt 45-46 uzasadnienia decyzji) o 20 % – do kwoty 25 255 zł, stanowiącej równowartość 6 000 euro.

48.: Prezes UODO uznał, że ustalona zgodnie z powyższymi zasadami wysokość kary nie wymaga dodatkowej korekty ze względu na jej skuteczność, proporcjonalność i odstraszający charakter (art. 83 ust. 1 rozporządzenia 2016/679). Zgodnie z definicją wyrażoną w doktrynie prawa ochrony danych osobowych „sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji” (P. Litwiński (red.) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (…) Komentarz do art. 83 (w:) P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz z 2021 roku). W ocenie Prezesa UODO orzeczona w niniejszej sprawie sankcja w postaci administracyjnej kary pieniężnej w wysokości 25 255 zł będzie skuteczna; przez swoją dolegliwość pozwali osiągnąć swój cel represyjny, jakim jest ukaranie za bezprawne zachowanie Przedsiębiorcy. Sankcja ta będzie również odstraszająca; pozwoli skutecznie zniechęcić zarówno Przedsiębiorcę, jak i innych administratorów do lekceważenia nakazów Prezesa UODO. Będzie ona również proporcjonalna; będzie adekwatna do stwierdzonej wagi naruszenia, nie będzie wykraczać poza możliwości finansowe Przedsiębiorcy oraz pozwoli (nie będąc jednocześnie nadmiernie dolegliwą) na osiągnięcie celu naprawczego kary – spowoduje w szczególności, że sformułowany w Decyzji nakazującej nakaz Prezesa UODO zostanie przez Przedsiębiorcę wykonany. Dodatkowo stwierdzić należy, że kwota 25 255 zł (równowartość 6 000 euro) stanowi w ocenie Prezesa UODO próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także z uszczerbkiem dla spójnego stosowania i egzekwowania przez organy nadzorcze rozporządzenia 2016/679 oraz dla zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

49.: Prezes UODO stwierdził, że ustalona w przedstawiony powyżej sposób kwota administracyjnej kary pieniężnej nie przekracza prawnie określonej maksymalnej wysokości kary określonej dla ocenianego w niniejszej sprawie naruszenia. Kwota orzeczonej kary – 25 255 zł (równowartość 6 000 euro) – stanowi jedynie 0,03 % kwoty 84 184 000 zł (równowartości 20 000 000 euro), czyli maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 6 rozporządzenia 2016/679 mógł orzec Prezes UODO za stwierdzone w niniejszej sprawie naruszenie (zob. pkt 44 uzasadnienia decyzji).

: Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.