Decyzja DOKE.561.8.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) zwanej dalej „k.p.a.”, w związku z art. 7 ust. 1 i 2 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) zwanej dalej „u.o.d.o.” oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”,

po przeprowadzeniu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na Panią G. R. prowadzącą działalność gospodarczą pod firmą L. z siedzibą w D. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

udziela upomnienia Pani G. R. prowadzącej działalność gospodarczą pod firmą L. (…) z siedzibą w D. przy ul. (…) za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DKN.5130.10033.2022.

Uzasadnienie

Stan faktyczny

1.

Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO”) w dniu 23 września 2022 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez Panią G. R. prowadzącą działalność gospodarczą pod firmą L. (…) (zwanej dalej: „Przedsiębiorcą”). Naruszenie ochrony danych osobowych polegało na omyłkowym przesłaniu, za pomocą poczty elektronicznej, skanu polisy OC (plik niezaszyfrowany) do nieupoważnionej osoby, w wyniku błędnego wprowadzenia adresu e-mailowego. W związku z zaistniałym zdarzeniem nieuprawniona osoba miała wgląd do danych osobowych klienta w zakresie imienia i nazwiska, adresu zamieszkania, danych technicznych pojazdu oraz numeru PESEL. W zgłoszeniu naruszenia Przedsiębiorca poinformował, że w dniu 22 września 2022 r. za pomocą poczty elektronicznej zawiadomił osobę, której dane dotyczą o fakcie naruszenia ochrony jej danych osobowych oraz przekazał treść tego zawiadomienia. W wyniku analizy treści zawiadomienia przekazanego osobie, której dane dotyczą oraz charakteru zaistniałego naruszenia, kategorii danych, a także zastosowanych środków naprawczych – Prezes UODO uznał, że naruszenie poufności danych, w szczególności w zakresie numeru PESEL wraz z imieniem i nazwiskiem, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest ponowne zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych. Ponadto, mając na uwadze potrzebę uzyskania dodatkowych informacji dotyczących tego zgłoszenia, Prezes UODO wszczął postępowanie wyjaśniające o sygn. DKN.5130.10033.2022.

2.

W ramach wyżej wskazanego postępowania – działając na podstawie art. 52 ust. 1 u.o.d.o. oraz art. 34 ust. 4 rozporządzenia 2016/679 – Prezes UODO wystąpieniem z 16 kwietnia 2024 r. zwrócił się do Przedsiębiorcy o podjęcie stosownych działań mających na celu ponowne i prawidłowe (spełniające wymogi z art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. b, c, d rozporządzenia 2016/679) zawiadomienie osoby o naruszeniu ochrony jej danych osobowych. Ponadto organ nadzorczy poinformował Przedsiębiorcę o konieczności przedstawienia zanonimizowanej treści ww. zawiadomienia. Niezależnie od powyższego, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, Prezes UODO zwrócił się o dodatkowe wyjaśnienia w związku ze zgłoszeniem naruszenia ochrony danych osobowych. Pismo skierowano na adres wskazany w treści zgłoszenia naruszenia ochrony danych osobowych, stanowiący jednocześnie adres dla doręczeń Przedsiębiorcy ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej „CEIDG”.

3.

Wobec braku odpowiedzi na wystąpienie z 16 kwietnia 2024 r. (odebrane w dniu 19 kwietnia 2024 r.), w dniu 12 czerwca 2024 r. Prezes UODO ponownie zwrócił się do Przedsiębiorcy z wezwaniem do złożenia szczegółowych odpowiedzi na zadane wcześniej pytania, przedstawienia stosownych dowodów, a także przedstawienia zanonimizowanej treści zawiadomienia osoby o naruszeniu ochrony jej danych osobowych. Wystąpienie skierowane zostało równolegle na adres do doręczeń, jak i adres wykonywania działalności gospodarczej Przedsiębiorcy.

4.

Każde z ww. skierowanych do Przedsiębiorcy pism Prezesa UODO zawierało pouczenie o tym, że brak złożenia wyjaśnień w żądanym przez organ nadzorczy zakresie skutkować może nałożeniem administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.

5.

Mimo odbioru ww. korespondencji Przedsiębiorca w żaden sposób nie zareagował na żądanie Prezesa UODO wyrażone w kierowanych wystąpieniach. Również rozmowa telefoniczna przeprowadzona przez pracownika UODO w dniu 27 sierpnia 2024 r., mimo początkowych deklaracji podjęcia współpracy z organem nadzorczym, nie doprowadziła do oczekiwanego rezultatu uzyskania wyjaśnień w wymaganym przez organ nadzorczy zakresie.

6.

Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, wystosowanej przez Prezesa UODO do Przedsiębiorcy, znajdującej się w aktach postępowania o sygn. DKN.5130.10033.2022. Korespondencja ta odzwierciedla całokształt prób uzyskania przez Prezesa UODO dostępu do informacji niezbędnych do realizacji jego zadań – to jest do rozpatrzenia sprawy o sygn. DKN.5130.10033.2022. Z drugiej zaś strony obrazuje brak reakcji Przedsiębiorcy na kierowane do niego żądania Prezesa UODO. W ocenie organu nadzorczego stanowi to bezpośredni dowód braku współpracy Przedsiębiorcy z Prezesem UODO w ramach wykonywania przez niego jego zadań.

Postępowanie

7.

W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DKN.5130.10033.2022, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DOKE.561.8.2024.(…), w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, w związku z naruszeniem art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca został poinformowany pismem z 14 października 2024 r. (znak: DOKE.561.8.2024.(…)), doręczonym Przedsiębiorcy 18 października 2024 r. Pismem tym, Przedsiębiorca został zobowiązany – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 u.o.d.o. – do dostarczenia informacji o wysokości osiągniętych dochodów za rok 2023 w postaci np. kopii zeznania podatkowego PIT lub oświadczenia o osiągniętym wyniku finansowym. Przedsiębiorcę poinformowano również, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się w postępowaniu o sygn. DKN.5130.10033.2022, może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej bądź spowodować odstąpienie od jej nałożenia. Ponadto poinformowany został o możliwości wypowiedzenia się – przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

8.

Przedsiębiorca nie ustosunkował się informacji o wszczęciu postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, ani nie nadesłał żądanych informacji w wyznaczonym przez Prezesa UODO terminie. Dopiero zainicjowany przez pracownika UODO kontakt telefoniczny skłonił go do podjęcia współpracy z organem nadzorczym, a w efekcie do złożenia w dniu 24 stycznia 2025 r. wyjaśnień w sprawie o sygn. DKN.5130.10033.2022, w których odniósł się szczegółowo do zadawanych we wcześniejszych pismach pytań dotyczących m.in. zastosowanych środków bezpieczeństwa mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia ochrony danych osobowych i podjętych następczo działaniach. Przedsiębiorca przedstawił również kopię zawiadomienia skierowanego do osoby, której dotyczyło naruszenie ochrony danych osobowych, kopię certyfikatu potwierdzającego udział w szkoleniu Ochrona Danych Osobowych - bezpieczeństwo informacji w branży ubezpieczeniowej z 19 stycznia 2023 r. oraz informacje o wysokości osiągniętych dochodów za rok 2023.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

9.

Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) rozporządzenia 2016/679).

10.

Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679).

11.

Naruszenie przepisów rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

12.

Dodatkowo zarówno administrator, jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku zagrożone jest, zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

13.

Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

14.

Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

Ocena prawna

15.

Odnosząc wyżej wskazane podstawy prawne do ustalonego w niniejszej sprawie stanu faktycznego należy uznać, że Przedsiębiorca – będąc administratorem danych osobowych dokonującym zgłoszenia naruszenia ochrony danych osobowych – poprzez nieudzielenie merytorycznej odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień w postępowaniu o sygn. DKN.5130.10033.2022 naruszył obowiązek współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań, które to obowiązki wynikają wprost z art. 31 oraz art. 58 ust. 1. lit. a) i e) rozporządzenia 2016/679. W tym przypadku informację istotną dla dalszego kierunku postępowania stanowiły wszelkie dane dotyczące zgłoszonego incydentu bezpieczeństwa, jak i zachowania administratora, tak przed, jak i po jego wystąpieniu – w tym zwłaszcza: środkach organizacyjnych i technicznych mających na celu zapewnienie bezpieczeństwa przetwarzania danych, stosowanych przez administratora pierwotnie oraz następczo w stosunku do naruszenia czy wreszcie informacje o wykonaniu działań mających na celu prawidłowe zawiadomienie osoby o naruszeniu ochrony jej danych osobowych. Uniemożliwianie uzyskania dostępu do ww. informacji, których Prezes UODO żądał od Przedsiębiorcy, a które niewątpliwie były w jego posiadaniu, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało nieuzasadnionym przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania

16.

W niniejszej sprawie Prezes UODO – korzystając z uprawnienia, o którym mowa w art. 58 ust. 1 lit. a) rozporządzenia 2016/679 – skierował do Przedsiębiorcy żądanie udzielenia informacji niezbędnych mu w postępowaniu o sygn. DKN.5130.10033.2022, Przedsiębiorca takich informacji mu nie udzielił – wbrew ciążącemu na nim na mocy art. 58 ust. 1 lit. e) rozporządzenia 2016/679 obowiązkowi – aż do chwili wszczęcia niniejszego postępowania. Uzasadnia to w ocenie Prezesa UODO bezsprzecznie, że miało miejsce w niniejszej sprawie naruszenie obu wskazanych wyżej przepisów rozporządzenia 2016/679.

17.

Prezes UODO trzykrotnie wzywał Przedsiębiorcę do złożenia wyjaśnień w sprawie o sygn. DKN.5130.10033.2022. Wezwanie z 16 kwietnia 2024 r. oraz dwa wezwania z 12 czerwca 2024 r. zostały skutecznie doręczone i odebrane odpowiednio 19 kwietnia 2024 r. oraz 18 czerwca 2024 r. Przedsiębiorca nie udzielił merytorycznej odpowiedzi na zadawane pytania. Dopiero w efekcie wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, podjął on współpracę z Prezesem UODO oraz złożył szczegółowe wyjaśnienia w sprawie o sygn. DKN.5130.10033.2022.

18.

Mimo zaniedbania po stronie Przedsiębiorcy, Prezes UODO stanął na stanowisku, że stwierdzone naruszenie, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań – jakkolwiek wysoce naganne – zostało przez Przedsiębiorcę usunięte po powzięciu informacji o niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 24 stycznia 2025 r. wyjaśnień Przedsiębiorcy. Postawa Przedsiębiorcy pozwala przyjąć, że zarówno w niniejszym postępowaniu, jak i w ewentualnych przyszłych postępowaniach wszczętych przez Prezesa UODO, których Przedsiębiorca byłby stroną, będzie on wywiązywał się z obowiązku współpracy z Prezesem UODO.

19.

Mając na uwadze powyższe, Prezes UODO uznał za uzasadnione udzielenie Przedsiębiorcy upomnienia w zakresie stwierdzonego naruszenia art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Przedsiębiorcy będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679 i poczytywane będzie na jego niekorzyść.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.