Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 3 marca 2025prawomocna

Decyzja DKE.561.2.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7 ust. 1 i 2 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 58 ust. 1 lit. a) i lit. e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23 maja 2018, str. 2, oraz w Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”,
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na F. Sp. z o.o. z siedzibą w M. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia F. Sp. z o.o. z siedzibą w M. przy ul. (…), za naruszenie przepisów art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu o sygn. DS.523.4463.2024.

Uzasadnienie

Stan faktyczny

1.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana M. G., zamieszkałego w Z. przy (…) (zwanego dalej: „Skarżącym”), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez F. Sp. z o.o. z siedzibą w M. przy ul. (…) (dalej jako „Spółka”), polegające na niespełnieniu obowiązku informacyjnego, o którym mowa w art. 14 ust. 1 i 2 rozporządzenia 2106/679 oraz na niezrealizowaniu prawa do informacji wynikającego z art. 15 ust. 1 rozporządzenia 2016/679 we wnioskowanym przez Skarżącego zakresie i prawa do uzyskania kopii danych osobowych podlegających przetwarzaniu, wynikającego z art. 15 ust. 3 rozporządzenia 2016/679. W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej również „Prezesem UODO”) wszczął postępowanie wyjaśniające o sygn. DS.523.4463.2024.
2.
W ramach wyżej wskazanego postępowania administracyjnego – pismami z 23 sierpnia 2024 r. i 8 października 2024 r. – Prezes UODO zwrócił się do Spółki, wzywając ją do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień (w terminie 7 dni od dnia doręczenia pisma) poprzez udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy, tj.:
1)
Kiedy, z jakiego źródła, w jakim celu, zakresie (jakie dane) i na jakiej podstawie prawnej Spółka pozyskała dane osobowe Skarżącego.
2)
Czy Spółka spełniła wobec Skarżącego obowiązek informacyjny realizowany w przypadku pozyskania danych w sposób, inny niż od osoby, której dane dotyczą, wynikający z art. 14 ust. 1 i 2 rozporządzenia 2016/679.
3)
Jeśli tak, to kiedy (proszę wskazać konkretną datę), w jaki sposób i w jakim zakresie (proszę o nadesłanie dokumentu potwierdzającego dokonanie powyższej czynności).
4)
Jeżeli obowiązku tego nie wypełniła, to z jakiego powodu i na jakiej podstawie prawnej.
5)
Skarżący 1.05.2024 r. zwrócił się do Spółki (wniosek przesłany przez formularz kontaktowy dostępny na stronie: https://(…)) na podstawie art. 15 ust. 1 rozporządzenia 2016/679 o udzielenie informacji we wnioskowanym przez niego zakresie oraz, na podstawie art. 15 ust. 3 rozporządzenia 2016/679, o przekazanie mu kopii jego danych osobowych. Skarżący podniósł, że powyższe żądania nie zostały zrealizowane.
6)
Czy a jeżeli tak, to kiedy i w jaki sposób Spółka ustosunkowała się ww. wniosku Skarżącego. Proszę o nadesłanie kopii odpowiedzi, jeżeli została udzielona.
7)
Jeżeli Spółka nie odpowiedziała na ww. żądania Skarżącego lub ich nie uwzględniła, to z jakiego powodu i na jakiej podstawie prawnej.
8)
Czy aktualnie Spółka przetwarza dane osobowe Skarżącego. Jeśli tak, to jakie dane, w jakim celu oraz na jakiej podstawie prawnej. Do kiedy i na jakiej podstawie prawnej dane te będą przetwarzane.
Wezwania zostały skierowane na adres siedziby Spółki ujawniony w Krajowym Rejestrze Sądowym. Korespondencja zawierająca wezwania, po dwukrotnej bezskutecznej awizacji, została zwrócona do UODO z adnotacją „ZWROT, nie podjęto w terminie”. Pisma te zostały uznane za prawidłowo doręczone Spółce, zgodnie z brzmieniem art. 44 § 4 w związku z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), zwanej dalej: „k.p.a.”.
3.
Skierowane do Spółki pisemne wezwania do złożenia wyjaśnień zawierały pouczenie wskazujące, że ich nieudzielenie może skutkować nałożeniem na Spółkę administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.
4.
Powyższe okoliczności stanu faktycznego Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, prowadzonej przez Prezesa UODO w trakcie postępowania o sygn. DS.523.4463.2024. Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do danych osobowych i informacji potrzebnych do realizacji swoich zadań – to jest do rozpatrzenia ww. sprawy skargowej.

Postępowanie

5.
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DS.523.4463.2024, Prezes UODO wszczął z urzędu – na podstawie art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DKE.561.2.2025, w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, w związku z naruszeniem art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Spółka została poinformowana pismem z 13 stycznia 2025 r., doręczonym Spółce w dniu 27 stycznia 2025 r. Pismem tym Spółka została również zobowiązana – celem ustalenia podstawy wymiaru kary, w oparciu o art. 101a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, zwanej dalej „u.o.d.o.”) – do dostarczenia informacji o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2024 r. Spółkę poinformowano również, że okoliczność złożenia wyczerpujących wyjaśnień, o które Prezes UODO uprzednio zwracał się w postępowaniu o sygn. DS.523.4463.2024, może wpłynąć łagodząco na wymiar wymierzonej w niniejszym postępowaniu administracyjnej kary pieniężnej bądź spowodować odstąpienie od jej nałożenia.
6.
W odpowiedzi na informację o wszczęciu przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, Prezes Zarządu Spółki skontaktował się telefonicznie i zobowiązał się do niezwłocznego złożenia wyjaśnień w sprawie o sygn. DS.523.4463.2024. W dniu 30 stycznia 2025 r. wpłynęły wyjaśnienia Spółki zawierające szczegółowe odpowiedzi na pytania zawarte we wcześniejszych pismach Prezesa UODO (zob. pkt. 2 uzasadnienia). W szczególności wskazano, że Spółka jest podwykonawcą T. (…) S.A. i działa na podstawie umowy zawartej z T. (…) S.A., której elementem są postanowienia o powierzeniu do przetwarzania danych osobowych klientów T. (…) S.A. wynikające z art. 28 rozporządzenia 2016/679. Ponadto Spółka wniosła o odstąpienie od nałożenia administracyjnej kary pieniężnej.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

7.
Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO m. in. rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f) rozporządzenia 2016/679) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) rozporządzenia 2016/679).
8.
Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679).
9.
Naruszenie przepisów rozporządzenia 2016/679, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1, podlega – zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
10.
Prezesowi UODO przysługuje ponadto szereg określonych w art. 58 ust. 2 rozporządzenia 2016/679 uprawnień naprawczych, w tym prawo udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operacje przetwarzania. Zgodnie z motywem 148 rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy rozporządzenia 2016/679 przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte przez administratora dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
11.
Stosownie do art. 60 u.o.d.o., postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.
12.
Art. 44 § 4 k.p.a. w związku z art. 44 § 1 k.p.a. w związku z art. 45 k.p.a. stanowią, że fikcja doręczenia zachodzi z upływem ostatniego dnia okresu, to jest 14 dni w przypadku doręczenia pisma na adres siedziby osoby prawnej przez operatora pocztowego, a pismo pozostawia się w aktach sprawy.

Ocena prawna

13.
Odnosząc wyżej wskazaną podstawę prawną do ustalonego w niniejszej sprawie stanu faktycznego należy uznać, że Spółka - będąc stroną postępowania o sygnaturze DS.523.4463.2024 poprzez nieudzielenie odpowiedzi na wezwania Prezesa UODO do złożenia wyjaśnień naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, które to obowiązki wynikają wprost z art. 58 ust. 1 lit a) i e) rozporządzenia 2019/679. W tym przypadku informację istotną dla dalszego kierunku postępowania stanowiły wszelkie dane dotyczące roli podmiotu przetwarzającego jaki pełni Spółka w procesie przetwarzania danych osobowych objętych skargą. Uniemożliwianie uzyskania dostępu do ww. informacji, których Prezes UODO żądał od Spółki, a które niewątpliwie były w jej posiadaniu, stało na przeszkodzie wnikliwemu rozpatrzeniu sprawy i skutkowało nieuzasadnionym przedłużaniem postępowania, co stoi z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. – tj. wnikliwości i szybkości postępowania
14.
Prezes dwukrotnie wzywał Spółkę do złożenia wyjaśnień w sprawie o sygn. DS.523.4463.2024, tj. pismami z: 23 sierpnia 2024 r. i 8 października 2024 r. Żadne z tych pism, skierowanych na adres siedziby Spółki ujawniony w Krajowym Rejestrze Sądowym, nie zostało przez Spółkę odebrane mimo dwukrotnego ich awizowania. Brak odpowiedzi Spółki na przedmiotową korespondencję, bezsporny wobec zgromadzonego w niniejszej sprawie materiału dowodowego, skutkował koniecznością wszczęcia postępowania administracyjnego w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej.
15.
W tym miejscu wskazać należy, że odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że wezwania kierowane przez Prezesa UODO do Spółki nie zostały przez nią ostatecznie odebrane. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione (vide Wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018, sygn. akt II SAB/Go 90/18, LEX nr 2576144). Podobnie Naczelny Sąd Administracyjny w wyroku z dnia 24 maja 2004 r., wydanym w sprawie o sygn. akt FSK 40/04 (LEX nr 137872) stwierdził, że obowiązkiem osób prawnych i jednostek organizacyjnych jest taka organizacja pracy, by doręczanie pism w godzinach pracy i w lokalu ich siedziby było zawsze możliwe. Zaniedbanie tegoż obowiązku powinno być uznawane za rażące niedbalstwo ze strony Spółki, które w żadnym razie nie powinno negatywnie wpływać na możliwość realizacji uprawnień organu nadzorczego, w tym na terminowość prowadzonych przez Prezesa UODO postępowań.
16.
Jednocześnie jednak, uwzględniając wyjaśnienia Spółki, Prezes UODO wziął pod uwagę, że naruszenie zostało przez Spółkę usunięte niezwłocznie po powzięciu informacji o toczącym się postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej, tj. z chwilą wpłynięcia do UODO w dniu 30 stycznia 2025 r. wyjaśnień Spółki. Składając wyjaśnienia Spółka wykazała aktywną postawę oraz gotowość do dalszej współpracy.
17.
Mając na uwadze powyższe Prezes UODO uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, przyjmując jednocześnie, że w świetle kryteriów określonych w art. 83 ust. 2 rozporządzenia 2016/679 będzie ono skuteczne i wystarczające. Należy jednak zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie uwzględnione przy ocenie przesłanek warunkujących zasadność wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes rozstrzygnął jak w sentencji niniejszej decyzji.