Decyzja DKE.561.9.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego^[1] (zwanej dalej: „k.p.a.”) w związku z art. 7 ust. 1 i 2, art. 60 i art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych^[2] (zwanej dalej: „u.o.d.o.”), a także na podstawie art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) w związku z art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej: „rozporządzeniem 2016/679”^[3],

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na pana H. G., prowadzącego działalność gospodarczą pod firmą H. (…) z siedzibą w K. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez pana H. G., prowadzącego działalność gospodarczą pod firmą H. (…) z siedzibą w K. przy ul. (…), przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań,

nakłada na pana H. G., prowadzącego działalność gospodarczą pod firmą H. (…) z siedzibą w K. przy ul. (…), administracyjną karę pieniężną w kwocie 16 804 PLN (słownie: szesnastu tysięcy ośmiuset czterech złotych).

Uzasadnienie

I. Stan faktyczny.

1.

Do Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej: „Prezesem UODO”, „organem nadzorczym”) wpłynęła informacja od Straży Gminnej w Z. dotycząca podejrzenia naruszenia ochrony danych osobowych przez pana H. G. prowadzącego działalność gospodarczą pod firmą H. (…) z siedzibą w K. przy ul. (…) (zwanego dalej: „Przedsiębiorcą”), polegającego na wyrzuceniu do pojemnika gminnego na odpady znajdującego się na działce nr (…) w A. dokumentacji i korespondencji należącej do Przedsiębiorcy, która to dokumentacja zawierała dane osobowe jego klientów. W związku z koniecznością pozyskania informacji, które są niezbędne Prezesowi UODO do oceny okoliczności związanych z powyższym zdarzeniem, Prezes UODO wszczął postępowanie wyjaśniające o sygn. DKN.405.634.2019.

2.

W ramach wyżej wskazanego postępowania Prezes UODO, pismami z 6 września 2023 r. oraz 3 czerwca 2024 r., wyjaśnił Przedsiębiorcy, jakie obowiązki spoczywają na administratorze w związku z art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz wezwał Przedsiębiorcę na podstawie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 do złożenia wyjaśnień w sprawie i udzielenia odpowiedzi na następujące pytanie: „czy w związku […] [ze zdarzeniem polegającym na wyrzuceniu dokumentacji i korespondencji zawierającej dane osobowe do pojemnika gminnego na odpady znajdującego się na działce nr (…) w A.], dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie”.

Wezwania powyższe skierowane zostały na aktualny adres stałego miejsca wykonywania przez Przedsiębiorcę działalności gospodarczej, ujawniony w rejestrze przedsiębiorców Centralnej Ewidencji i Informacji o Działalności Gospodarczej, to jest: ul. (…), (…) K., i zostały skutecznie doręczone w miejscu pracy Przedsiębiorcy na podstawie art. 42 § 1 k.p.a. odpowiednio: 11 września 2023 r. i 12 czerwca 2024 r. Pomimo powzięcia informacji przez Przedsiębiorcę o toczącym się postępowaniu o sygn. DKN.405.634.2019 Przedsiębiorca nie udzielił odpowiedzi na wezwania organu nadzorczego.

3.

Przedmiotową korespondencją (zob. pkt 2 uzasadnienia niniejszej decyzji) Przedsiębiorca został pouczony o tym, że brak złożenia wyjaśnień w ww. zakresie może skutkować nałożeniem na niego administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.

4.

Powyższe okoliczności stanu faktycznego niniejszej sprawy Prezes UODO ustalił na podstawie całokształtu korespondencji urzędowej, którą Prezes UODO kierował do Przedsiębiorcy, i która znajduje się w aktach sprawy o sygn. DKN.405.634.2019. Korespondencja ta dokumentuje w sposób pełny i wyczerpujący całokształt prób uzyskania przez Prezesa UODO dostępu do informacji potrzebnych do realizacji jego zadań – w tym przypadku do rozpatrzenia sprawy o sygn. DKN.405.634.2019, a z drugiej strony odzwierciedla brak reakcji Przedsiębiorcy na żądania Prezesa UODO.

II. Postępowanie.

5.

W związku z nieudzieleniem przez Przedsiębiorcę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. DKN.405.634.2019, Prezes UODO wszczął wobec niego z urzędu – na podstawie art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. e) rozporządzenia 2016/679 – niniejsze postępowanie administracyjne o sygn. DKE.561.9.2025.(…) w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. O wszczęciu postępowania Przedsiębiorca poinformowany został pismem z 9 września 2025 r. (znak: DKE.561.9.2025.(…)). Pismem tym Przedsiębiorca został wezwany, celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej w oparciu o art. 101a ust. 1 u.o.d.o., do przedstawienia informacji o osiągniętych przez niego dochodach za 2024 r. w postaci np. zeznania podatkowego PIT. Przedsiębiorca poinformowany został, na czym polega zarzucane mu naruszenie. Został również pouczony o sankcjach grożących za to naruszenie, a także o istniejącej nadal możliwości złożenia wyjaśnień, których żądał od niego Prezes UODO w postępowaniu o sygn. DKN.405.634.2019, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszej sprawie, bądź spowodować odstąpienie od jej nałożenia. Pismo to skierowane zostało na aktualny adres stałego miejsca wykonywania przez Przedsiębiorcę działalności gospodarczej (zob. pkt 2 uzasadnienia niniejszej decyzji) i skutecznie zostało doręczone Przedsiębiorcy w dniu 18 września 2025 r.

6.

Przedsiębiorca nie podjął żądanych działań w reakcji na informację o wszczęciu postępowania i o zgromadzeniu materiału dowodowego z 9 września 2025 r., to znaczy nie przedstawił zeznania podatkowego PIT za 2024 r. lub innego dokumentu przedstawiającego osiągnięty wynik finansowy w 2024 r. Ponadto nie złożył wyjaśnień do sprawy o sygn. DKN.405.634.2019. Oznacza to, że Przedsiębiorca do dnia wydania niniejszej decyzji administracyjnej nie podjął żądanych działań w reakcji na informację o wszczęciu postępowania o sygn. DKE.561.9.2025.(…).

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

III. Przepisy prawne.

7.

Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 rozporządzenia – monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO prowadzi m.in. postępowania w sprawie stosowania rozporządzenia 2016/679, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (art. 57 ust. 1 lit. h) rozporządzenia 2016/679).

8.

Stosownie do art. 60 u.o.d.o. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa UODO. Z kolei art. 7 ust. 1 u.o.d.o. stanowi, że w sprawach nieuregulowanych w tej ustawie do postępowań administracyjnych przed Prezesem UODO (w tym w postępowaniach w przedmiocie nałożenia administracyjnej kary pieniężnej, o których mowa w Rozdziale 11 u.o.d.o.) stosuje się przepisy k.p.a. Zgodnie z art. 7 ust. 2 u.o.d.o. postępowania te są postępowaniami jednoinstancyjnymi.

9.

Dla umożliwienia realizacji zadań organu nadzorczego Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji swoich zadań (art. 58 ust. 1 lit. a) rozporządzenia 2016/679) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i informacji niezbędnych do realizacji swoich zadań (art. 58 ust. 1 lit. e) rozporządzenia 2016/679).

10.

Naruszenie przepisów rozporządzenia 2016/679 polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 tego aktu prawnego, podlega – zgodnie z art. 83 ust. 5 lit. e) in fine rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

11.

Dodatkowo, zarówno administrator, jak i podmiot przetwarzający obowiązani są na żądanie organu nadzorczego współpracować z nim w ramach wykonywania przez niego jego zadań, o czym stanowi art. 31 rozporządzenia 2016/679. Niewywiązywanie się z tego obowiązku zagrożone jest – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

12.

Zgodnie z art. 83 ust. 3 rozporządzenia 2016/679, w przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.

13.

Oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić następujące okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

b)

umyślny lub nieumyślny charakter naruszenia,

c)

działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

d)

stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,

e)

wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

f)

stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,

g)

kategorie danych osobowych, których dotyczyło naruszenie,

h)

sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,

i)

jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków,

j)

stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

14.

Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (zasady wymiaru kary).

15.

Celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej, zgodnie z art. 101a u.o.d.o., podmiot, wobec którego toczy się postępowanie w sprawie nałożenia administracyjnej kary pieniężnej zobowiązany jest na żądanie Prezesa UODO dostarczyć mu, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia tejże podstawy. W przypadku niedostarczenia danych przez podmiot, o którym mowa w tym przepisie, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.

16.

Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego, o czym stanowi art. 103 u.o.d.o.

17.

Zgodnie z art. 42 § 1 k.p.a. pisma doręcza się osobom fizycznym w ich mieszkaniu lub miejscu pracy albo na adres do korespondencji wskazany w bazie adresów elektronicznych.

IV. Ocena prawna.

18.

Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679 oraz innych aktów prawa krajowego do ustalonego w niniejszej sprawie stanu faktycznego, rozważyć należy w pierwszej kolejności, czy Przedsiębiorca jest adresatem obowiązków, o których mowa w art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, naruszenie których podlega administracyjnej karze pieniężnej. Wskazane wyżej przepisy rozporządzenia 2016/679 nakładają obowiązki procesowe – w ramach prowadzonych przez Prezesa UODO postępowań – na administratorów i na podmioty przetwarzające. Z akt sprawy o sygn. DKN.405.634.2019 wynika, że Straż Gminna w Z. przeprowadziła interwencję w wyniku której ustaliła, że do pojemnika gminnego na odpady znajdującego się na działce nr (…) w A. zostały wyrzucone dokumenty Przedsiębiorcy zawierające dane osobowe jego klientów. Oznacza to, że Przedsiębiorca w związku z prowadzoną działalnością gospodarczą polegającą na sprzedaży hurtowej i detalicznej samochodów osobowych i furgonetek^[4] jest administratorem danych osobowych swoich klientów, które to dane znajdowały się w dokumentacji wyrzuconej do gminnego pojemnika na odpady. W związku z tym Prezes UODO uprawniony jest – zgodnie art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – do nakazania mu przedstawienia informacji niezbędnych do oceny przedmiotowego zdarzenia i podjęcia ewentualnych dalszych kroków w tej sprawie, a Przedsiębiorca – na tej samej podstawie prawnej – zobowiązany jest takich informacji udzielić.

19.

W postępowaniu o sygn. DKN.405.634.2019, w celu uzyskania informacji potrzebnych do zbadania zdarzenia, o którym organ nadzorczy poinformowała jednostka organizacyjna innego organu publicznego^[5], Prezes UODO dwukrotnie zwracał się do Przedsiębiorcy z wezwaniem do złożenia wyjaśnień, formułując w tym kontekście konkretne pytanie dotyczące sprawy (zob. pkt 2 uzasadnienia niniejszej decyzji). Wezwania te zostały skierowane na aktualny adres stałego miejsca wykonywania przez Przedsiębiorcę działalności gospodarczej i zostały skutecznie doręczone pod tym adresem (zob. pkt 2 uzasadnienia niniejszej decyzji). Przedsiębiorca nie udzielił na nie żadnej odpowiedzi. Stanu tego (braku współpracy z organem nadzorczym) nie zmieniło wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej (sygn. DKE.561.9.2025.(…)). Pismo z 9 września 2025 r., skierowane – w ramach tego postępowania – również na aktualny adres stałego miejsca prowadzenia działalności (zob. pkt 5 uzasadnienia niniejszej decyzji), zostało skutecznie doręczone Przedsiębiorcy, lecz pozostało bez jakiejkolwiek odpowiedzi. Zaprezentowany w niniejszej decyzji stan faktyczny wykazuje lekceważący stosunek Przedsiębiorcy wobec organu nadzorczego i wobec prowadzonego przez ten organ postępowania.

20.

Brak złożenia wyjaśnień, których Prezes UODO żądał od Przedsiębiorcy, jest przeszkodą w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy o sygn. DKN.405.634.2019. W związku z powyższym należy uznać, że zaistniały przesłanki uzasadniające nałożenie na Przedsiębiorcę – na mocy art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. e) w związku z art. 83 ust. 3 rozporządzenia 2016/679 – administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, polegające na braku współpracy z organem nadzorczym poprzez niezapewnienie dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań w postępowaniu wyjaśniającym o sygn. DKN.405.634.2019. Skutkiem tego naruszenia było także nieuzasadnione przedłużenie czasu trwania postępowania wyjaśniającego okoliczności naruszenia ochrony danych osobowych opisanego w pkt 1 uzasadnienia niniejszej decyzji. To zaś naruszyło prawa osób dotkniętych tym zdarzeniem do uzyskania skutecznej i szybkiej ochrony prawnej ze strony organu nadzorczego.

V. Administracyjna kara pieniężna.

Zachowania prowadzące do naruszenia art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 – zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

21.

Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, Prezes UODO ocenił, czy w niniejszej sprawie zastosowanie będzie miał art. 83 ust. 3 rozporządzenia 2016/679 (zob. pkt 17 Wytycznych 04/2022^[6]). Zgodnie z Wytycznymi 04/2022 w pierwszej kolejności Prezes UODO rozważył następujące kwestie (zob. pkt 24 Wytycznych 04/2022):

a)

czy okoliczności wskazują na jedno, czy też na wiele zachowań podlegających karze;

b)

w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;

c)

w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.

22.

Wykładnia pojęcia „jednego zachowania” została przedstawiona – w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym jest mowa o „tych samych lub powiązanych operacjach przetwarzania” – w pkt 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności, jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestronnie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.

23.

Odnosząc powyższe do niniejszej sprawy należy przyjąć, że zachowania Przedsiębiorcy podlegające ocenie w niniejszej sprawie nie odnoszą się do „tych samych ani powiązanych operacji przetwarzania” w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679, ponieważ w swojej istocie zachowania te (czy też obowiązki, których niewykonanie prowadzi do naruszenia obu omawianych przepisów) nie dotyczą żadnych (ani tych samych, ani powiązanych, ani też niezależnych od siebie) operacji przetwarzania. Zatem stosując terminologię zastosowaną w art. 83 ust. 3 rozporządzenia 2016/679 stwierdzić należy, że zachowania te nie mają miejsca (co wynika z istoty naruszeń przepisów art. 31 oraz 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679) „w ramach tych samych lub powiązanych operacji przetwarzania”.

24.

Przedsiębiorca nie reagując na wezwania organu nadzorczego, w szczególności nie składając żądanych wyjaśnień w sprawie o sygn. DKN.405.634.2019 (zob. pkt 2 uzasadnienia niniejszej decyzji) doprowadził do naruszenia przepisów art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. Było to – w ocenie Prezesa UODO efektem jednej decyzji (jednego aktu woli) Przedsiębiorcy, by nie współpracować z nim w ramach postępowania o sygn. DKN.405.634.2019, a w szczególności by nie udzielić mu informacji niezbędnych do rozstrzygnięcia tej sprawy. Co wydaje się oczywiste, rozstrzygnięcie to mogłoby być dla Przedsiębiorcy niekorzystne; mogłoby stwierdzać jego odpowiedzialność za naruszenie ochrony danych osobowych jego klientów. Decyzja o nieudzieleniu Prezesowi UODO dostępu do żądanych przez niego informacji musiała być podjęta przez Przedsiębiorcę z chwilą otrzymania pierwszego wezwania (z 6 września 2023 r.) do złożenia wyjaśnień w sprawie o sygn. DKN.405.634.2019. Następnie była ona jedynie konsekwentnie realizowana aż do chwili obecnej. Przedsiębiorca w każdej chwili mógł bowiem usunąć stan naruszenia udzielając Prezesowi UODO wyjaśnień; w szczególności w odpowiedzi na kolejne wezwanie w sprawie DKN.405.634.2019 z 3 czerwca 2024 r. (zob. pkt 2 uzasadnienia niniejszej decyzji), czy też w reakcji na informację z 9 września 2025 r. o wszczęciu niniejszego postępowania (zob. pkt 5 uzasadnienia niniejszej decyzji).

25.

Omawiane zachowanie (zaniechanie, prowadzące z jednej strony do naruszenia art. 31 rozporządzenia 2016/679, a z drugiej – do naruszenia art. 58 ust. 1 lit. a) i lit. e) tego rozporządzenia) jest ponadto jednym i tym samym zachowaniem, a świadczy o tym:

a)

tożsamość celów obu obowiązków naruszonych zachowaniem Przedsiębiorcy – obowiązek współpracy administratora lub podmiotu przetwarzającego dotyczy realizacji przez organ nadzorczy jego zadań. Wykładnia literalna art. 31 rozporządzenia 2016/679 wskazuje na istnienie obowiązku współpracy z organem nadzorczym w szczególności w zakresie zadań określonych w art. 57 rozporządzenia 2016/679. Jednakże uwzględniając cel omawianej regulacji, należałoby jednak przyjąć wykładnię celowościową tego przepisu, która prowadzi do objęcia obowiązkiem współpracy również uprawnienia organu nadzorczego, o których mowa w art. 58 rozporządzenia 2016/679^[7]. Oznacza to, że celem art. 31 rozporządzenia 2016/679 jest zobowiązanie administratora i podmiotu przetwarzającego do współpracy z organem nadzorczym podczas realizacji jego kompetencji. Natomiast art. 58 ust. 1 rozporządzenia 2016/679 wskazuje uprawnienia, które przysługują organom nadzorczym z zakresu dostarczenia przez administratorów i podmioty przetwarzające wszelkich niezbędnych informacji, danych osobowych oraz dostępu do pomieszczeń oraz sprzętów i środków służących do przetwarzania danych. W oparciu o te kompetencje, Prezes UODO może realizować swoje zadania w postaci np. monitorowania i egzekwowania stosowania rozporządzenia 2016/679 i prowadzenia postępowań w sprawie stosowania tego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego. Oznacza to, że art. 31 rozporządzenia 2016/679 jest przepisem o szerszym zastosowaniu, który obejmuje również obowiązek zapewnienia organowi nadzorczemu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.

b)

ten sam kontekst czasowy zachowania Przedsiębiorcy naruszającego oba obowiązki – wypełnianie obowiązków określonych w art. 31 oraz 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 powinno nastąpić w związku z realizacją przez Prezesa UODO jego zadań. Oznacza to, że powyższe obowiązki administratorów i podmiotów przetwarzających są ściśle powiązane z zadaniami i uprawnieniami organu nadzorczego. W niniejszej sprawie Prezes UODO otrzymał informację od Straży Gminnej w Z. o podejrzeniu naruszenia ochrony danych osobowych przez Przedsiębiorcę. Otrzymując taką informację Prezes UODO wezwał Przedsiębiorcę do złożenia wyjaśnień, aby zweryfikować, czy w przedstawionym przez jednostkę organizacyjną innego organu publicznego^[8] zdarzeniu doszło do naruszenia ochrony danych osobowych, i jakie działania w tym zakresie podjął Przedsiębiorca. W tym stanie faktycznym Przedsiębiorca, pomimo wiedzy na temat kierowanej do niego korespondencji, nie udzielał informacji, których żądał od niego organ nadzorczy. Oznacza to, że naruszenie powyższych przepisów rozporządzenia 2016/679 miało swój początek w tym samym czasie, czyli od momentu, w którym doręczono Przedsiębiorcy wezwanie do złożenia wyjaśnień (11 września 2023 r.), na które Przedsiębiorca pomimo pouczenia o możliwych konsekwencjach zaniechania tego obowiązku nie udzielił odpowiedzi. Co więcej, stan ten nie uległ zmianie, bowiem naruszenie art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 nie zostało przez Przedsiębiorcę usunięte

c)

ten sam adresat obu obowiązków naruszonych zachowaniem Przedsiębiorcy – ich adresatem (podmiotem, wobec którego skierowane powinny być działania Przedsiębiorcy dokonywane celem ich realizacji) jest jeden i ten sam podmiot – Prezes UODO.

26.

Powyższe rozważania prowadzą do wniosku, że naruszenie omawianych przepisów rozporządzenia 2016/679 odnosi się do „jednego spójnego zachowania” Przedsiębiorcy, które polega na nieudzielaniu odpowiedzi na wezwania Prezesa UODO i jest wynikiem jednego aktu jego woli. Omawiane zachowanie doprowadziło do naruszenia dwóch przepisów rozporządzenia 2016/679, które to naruszenia nie są pozornie ze sobą zbieżne^[9]. W szczególności nie mają zastosowania tutaj: zasada szczególności (relacja obu naruszeń nie opiera się na regule kolizyjnej lex specialis derogat legi generali), zasada subsydiarności (nie występuje podrzędność jednego naruszenia wobec drugiego) oraz zasada konsumpcji (naruszenie omawianych przepisów nastąpiło równolegle, czyli w momencie, w którym Przedsiębiorca nie udzielił odpowiedzi na pierwsze wezwania organu nadzorczego)^[10]. Oznacza to, że omawiane zachowanie podlega zastosowaniu art. 31 oraz 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, w taki sposób, że orzeczenie sankcji za naruszenie jednego z tych przepisów nie wyklucza ani nie ogranicza możliwości ukarania Przedsiębiorcy również za naruszenie drugiego z nich^[11], z zastrzeżeniem wynikającym z zastosowania art. 83 ust. 3 rozporządzenia 2016/679, o czym mowa poniżej – w pkt 27 uzasadnienia niniejszej decyzji..

27.

W analizowanym przypadku, w którym co prawda naruszenie nie dotyczy żadnych konkretnych operacji przetwarzania (nie miało ono miejsca „w ramach tych samych operacji przetwarzania”), mamy do czynienia z jednym zachowaniem Przedsiębiorcy, którym dokonane zostały naruszenia kilku przepisów rozporządzenia (art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679). Przez wzgląd właśnie na tę jedność i spójność zachowania Przedsiębiorcy (stanowiącego de facto jeden „czyn”) należy – w ocenie Prezesa UODO – zastosować do jego oceny, i do określenia sankcji za ten czyn, przepis art. 83 ust. 3 rozporządzenia 2016/679. Należy przy tym zaznaczyć, że w przypadku naruszenia art. 31 rozporządzenia 2016/679 zastosowanie ma kara wynikająca z art. 83 ust. 4 tego aktu prawnego (w wysokości do 10 000 000 EUR lub do 2% rocznego obrotu Przedsiębiorcy), zaś w przypadku naruszenia art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 zastosowanie ma kara wynikająca z art. 83 ust. 5 tego rozporządzenia (w wysokości do 20 000 000 EUR lub do 4% rocznego obrotu Przedsiębiorcy). Konsekwencją zaś zastosowania w niniejszej sprawie art. 83 ust. 3 rozporządzenia 2016/679 jest niemożność orzeczenia – za oba wyżej wskazane naruszenia – kary o wysokości wyższej niż maksymalna wysokość kary za naruszenie najpoważniejsze (to jest – w niniejszej sprawie – za naruszenie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679 zagrożone karą w wysokości do 20 000 000 EU (ze względu na konieczność przyjęcia w odniesieniu do Przedsiębiorcy tzw. „statycznego maksimum kary” – kwotowego, a nie „dynamicznego maksimum kary” wyrażającego się procentem od jego obrotu).

Przesłanki wymiaru administracyjnej kary pieniężnej.

28.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjną karę pieniężną nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Decydując o nałożeniu na Przedsiębiorcę administracyjnej kary pieniężnej Prezes UODO – zgodnie z art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 (zob. pkt 13 uzasadnienia niniejszej decyzji) – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

29.

Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały przepisami rozporządzenia 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek zapewnienia tym organom dostępu do danych osobowych i informacji niezbędnych do realizacji ich zadań. Wagę naruszenia tych obowiązków podkreślił sam prawodawca unijny, przewidując za ich naruszenie karę wyższą z dwóch określonych przepisami rozporządzenia 2016/679 – karę do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Postępowanie Przedsiębiorcy w niniejszej sprawie, polegające na braku współpracy z Prezesem UODO poprzez uniemożliwienie mu dostępu do żądanych przez niego informacji, należy uznać za godzące w cały system ochrony danych osobowych, a w związku z tym mające znaczną wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone bezprawne zachowanie Przedsiębiorcy było ciągłe i długotrwałe, trwało bowiem od momentu odbioru wezwania do złożenia wyjaśnień (11 września 2023 r.), na które Przedsiębiorca, pomimo pouczenia o możliwych konsekwencjach zaniechania tego obowiązku, nie udzielił odpowiedzi do dnia wydania decyzji administracyjnej kończącej niniejsze postępowanie.

30.

Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).

W ocenie Prezesa UODO po stronie Przedsiębiorcy zaistniał świadomy i celowy brak woli współpracy w zapewnieniu organowi nadzorczemu dostępu do informacji niezbędnych do rozstrzygnięcia sprawy, o które Prezes UODO zwracał się do niego dwukrotnie. Nieudzielenie odpowiedzi na kierowaną do Przedsiębiorcy korespondencję w sprawie o sygn. DKN.405.634.2019 Prezes UODO odbiera jako celowe działanie utrudniające mu lub nawet uniemożliwiające dokonanie oceny zdarzenia, o którym został poinformowany przez Straż Gminną w Z. (jednostkę organizacyjną gminy). Oznacza to, że przedstawiona w niniejszej decyzji postawa Przedsiębiorcy utrudnia organowi nadzorczemu realizację jednego ze swoich zadań, o którym mowa jest w art. 57 ust. 1 lit. h) rozporządzenia 2016/679. Warto w tym miejscu zaznaczyć, że Przedsiębiorca odebrał oba skierowane do niego wezwania, a zatem należy domniemywać, że był świadomy treści żądań Prezesa UODO oraz konsekwencji nieudzielenia organowi nadzorczemu wyjaśnień w sprawie (zob. pkt 2 i 3 uzasadnienia niniejszej decyzji). Co więcej, reakcja Przedsiębiorcy nie nastąpiła nawet po otrzymaniu informacji o wszczęciu postępowania w przedmiocie nałożenia na niego administracyjnej kary pieniężnej o sygn. DKE.561.9.2025.(…) (zob. pkt 5 i 6 uzasadnienia niniejszej decyzji), a taki stan świadczy o świadomym i celowym braku woli współpracy Przedsiębiorcy z Prezesem UODO.

31.

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).

Ani w postępowaniu o sygn. DKN.405.634.2019, ani w toku niniejszego postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej, nie podjął on w żadnym stopniu współpracy z Prezesem UODO. W szczególności Przedsiębiorca nie przedstawił informacji żądanych przez organ nadzorczy w postępowaniu o sygn. DKN.405.634.2019, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie stanu naruszenia lub złagodzenia jego skutków. Taki brak współpracy z organem nadzorczym skutkował również utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania wyjaśniającego o sygn. DKN.405.634.2019. Takie uporczywe i konsekwentne trwanie Przedsiębiorcy w stanie naruszenia wpływa – w ocenie Prezesa UODO – obciążająco na ocenę stwierdzonego naruszenia.

32.

W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary orzeczonej niniejszą decyzją administracyjną.

33.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne, to znaczy niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:

a)

wszelkie stosowne wcześniejsze naruszenia ze strony Przedsiębiorcy (art. 83 ust. 2 lit. e) rozporządzenia 2016/679). Prezes UODO nie stwierdził, aby Przedsiębiorca dokonał wcześniej jakichkolwiek naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. A ponieważ taki stan (wywiązywanie się z obowiązków wynikających z przepisów o ochronie danych osobowych) jest normą – standardem wymaganym od administratorów i podmiotów przetwarzających – nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.

b)

sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) rozporządzenia 2016/679). Informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania o sygn. DKN.405.634.2019. Jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu, wynikający z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny, jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy. Brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od Przedsiębiorcy; fakt ten nie może być jednak też uwzględniony na korzyść Przedsiębiorcy skoro nie brał on żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu.

c)

przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) rozporządzenia 2016/679). Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Przedsiębiorcy w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Przedsiębiorca nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

d)

stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) rozporządzenia 2016/679). Przedsiębiorca nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Przedsiębiorcy. Na korzyść Przedsiębiorcy natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

e)

osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Prezes UODO nie stwierdził, żeby Przedsiębiorca, w związku z nieudzieleniem żądanych przez niego informacji, odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Przedsiębiorcę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Przedsiębiorcę takich korzyści, jako stan naturalny, niezależny od jego woli i jego działania, jest okolicznością, która z istoty rzeczy nie może być dla niego łagodząca. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

f)

inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) rozporządzenia 2016/679). Prezes UODO, wszechstronnie rozpatrując sprawę, nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

34.

Pozostałe okoliczności wymienione w art. 83 ust. 2 rozporządzenia 2016/679 nie mogły być wzięte pod uwagę przez Prezesa UODO (i nie mogły tym samym być potraktowane jako łagodzące bądź obciążające) ze względu na charakter naruszenia, który dotyczy relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą. Są to:

a)

liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie (nieudzielenie przez Przedsiębiorcę Prezesowi UODO dostępu do niezbędnych informacji) nie wiąże się z naruszeniem danych osobowych żadnej osoby, w konsekwencji nie można stwierdzić, że w sprawie wystąpiły szkody po stronie osób fizycznych;

b)

działania podjęte przez Przedsiębiorcę w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679) – ze względu na to, że w sprawie nie można stwierdzić by wystąpiły szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez Przedsiębiorcę jakichkolwiek działań mających na celu ich zminimalizowanie;

c)

stopień odpowiedzialności Przedsiębiorcy z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez Przedsiębiorcę w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania;

d)

kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na braku współpracy z Prezesem UODO oraz na niezapewnieniu dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań nie wiąże się z naruszeniem żadnych danych osobowych.

Wysokość administracyjnej kary pieniężnej.

35.

Aby zapewnić spójne podejście do nakładania administracyjnych kar pieniężnych, Europejska Rada Ochrony Danych przyjęła Wytyczne 04/2022. Punktem wyjścia do obliczeń jest rozważenie trzech elementów: kategoryzacji naruszeń ze względu na ich charakter zgodnie z art. 83 ust. 4-6 rozporządzenia 2016/679, powagi naruszenia oraz obrotu przedsiębiorstwa stanowiącego jeden z istotnych elementów, które należy wziąć pod uwagę w celu wyliczenia wysokości kary pieniężnej. W niniejszej sprawie Przedsiębiorca nie przedstawił informacji o wysokości osiągniętych przez niego przychodów; takie informacje również nie są ogólnodostępne, co ograniczyło możliwość zastosowania przez Prezesa UODO w pełnym zakresie metodyki obliczenia wysokości kary pieniężnej określonej w Wytycznych 04/2022. W konsekwencji, Prezes UODO ustalając wysokość administracyjnej kary pieniężnej orzeczonej wobec Przedsiębiorcy wziął pod uwagę ogólne zasady wymiaru kary (art. 83 ust. 1 rozporządzenia 2016/679) oraz szacunkową wielkość Przedsiębiorcy i specyfikę prowadzonej przez niego działalności (art. 101a ust. 2 u.o.d.o. – zob. pkt 37 poniżej).

36.

Stosownie do brzmienia art. 83 ust. 1 rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji^[12]. Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do wielkości, możliwości finansowych i pozycji ukaranego podmiotu na rynku, a za miernik tych atrybutów ukaranego podmiotu, w przypadku gdy jest nim przedsiębiorstwo, rozporządzenie 2016/679 pozwala przyjąć całkowity roczny światowy obrót z poprzedniego roku obrotowego (art. 83 ust. 5 rozporządzenia 2016/679). Uzupełniając tę zasadę, przepis art. 101a ust. 2 u.o.d.o. stanowi, że w przypadku braku takich danych Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w oparciu o szacunki co do wielkości podmiotu i specyfiki prowadzonej przez niego działalności lub w oparciu o ogólnie dostępne dane finansowe dotyczące podmiotu. Odniesienie się do potencjału ekonomicznego ukaranego podmiotu jest konieczne, gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz „niezauważalna” dla tego podmiotu) nie będzie skuteczna i odstraszająca; kara zbyt dolegliwa (kara, której uiszczenie zagrozi bytowi podmiotu) nie będzie natomiast karą proporcjonalną.

37.

Mając na uwadze powyższe, wobec nieprzedstawienia przez Przedsiębiorcę żądanych przez Prezesa UODO danych finansowych za rok 2024 (zob. pkt 6 uzasadnienia niniejszej decyzji), a także wobec braku możliwości ich pozyskania z ogólnie dostępnych źródeł, Prezes UODO dokonał szacunkowego ustalenia wysokości administracyjnej kary pieniężnej i wziął pod uwagę specyfikę, zakres i skalę prowadzonej przez Przedsiębiorcę działalności. Przedsiębiorca figuruje w rejestrze przedsiębiorców Centralnej Ewidencji i Informacji o Działalności Gospodarczej jako podmiot aktywnie prowadzący działalność gospodarczą, której przedmiot jest zaklasyfikowany jako nr (…). Stałym miejscem wykonywania działalności Przedsiębiorcy, będącym jednocześnie adresem do doręczeń, jest: ul. (…), (…) K.. Przedsiębiorca figuruje w wykazie podmiotów zarejestrowanych jako podatnicy VAT ze statusem „czynnego podatnika”^[13]. Ponadto z ogólnodostępnych informacji nie wynika, żeby Przedsiębiorca stał się niewypłacalny lub groziła mu niewypłacalność^[14]. Wszystkie te informacje wskazują na to, że Przedsiębiorca prowadzi aktywną i faktyczną działalność gospodarczą, a przede wszystkim funkcjonuje w obrocie gospodarczym. Natomiast skalę prowadzonej przez Przedsiębiorcę działalności gospodarczej należy ocenić jako niewielką.

38.

W ocenie Prezesa UODO nałożona na Przedsiębiorcę administracyjna kara pieniężna za naruszenie opisane w sentencji niniejszej decyzji administracyjnej, w wysokości 16 804 PLN (słownie: szesnastu tysięcy ośmiuset czterech złotych), która stanowi równowartość 4 000 EUR (zgodnie ze średnim kursem euro z dnia 28 stycznia 2026 r., gdzie 1 EUR = 4,2009 PLN – zob. pkt 16 uzasadnienia niniejszej decyzji) odpowiada zasadom wskazanym w art. 83 ust. 1 rozporządzenia 2016/679, czyli w ustalonych okolicznościach niniejszej sprawy będzie skuteczna, odstraszająca i proporcjonalna. Jednocześnie – nawiązując do przedstawionych wyżej rozważań dotyczących zastosowania w sprawie art. 83 ust. 3 rozporządzenia 2016/679 (zob. pkt 27 uzasadnienia niniejszej decyzji) – stwierdzić należy, że kara we skazanej wyżej wysokości (orzeczona za naruszenie art. 31 rozporządzenia 2016/679 oraz za naruszenie art. 58 ust. 1 lit. a) i lit. e) tego rozporządzenia) zdecydowanie nie przekracza wysokości kary (maksymalnej możliwej do orzeczenia) za najpoważniejsze z tych naruszeń, czyli za naruszenie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, zagrożone karą do 20 000 000 euro.

39.

Nałożona na Przedsiębiorcę administracyjna kara pieniężna będzie skuteczna, ponieważ doprowadzi – w ocenie Prezesa UODO – do stanu, w którym Przedsiębiorca w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie współpracy z organem nadzorczym i zapewniania Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań. Oznacza to, że od momentu zakończeniu niniejszego postępowania Przedsiębiorca będzie z odpowiednią starannością podchodził do wymogów stawianych przez przepisy o ochronie danych osobowych. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Przedsiębiorcy oraz dla innych administratorów zobowiązanych na mocy przepisów rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o znacznej wadze i jako takie podlegać będzie sankcjom finansowym.

40.

Wymierzona Przedsiębiorcy administracyjna kara pieniężna będzie również proporcjonalna do stwierdzonego naruszenia przepisów art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679, bowiem została określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Przedsiębiorcy, nie powodując z drugiej strony dużego uszczerbku dla prowadzonej przez niego działalności. Kwota nałożonej administracyjnej kary pieniężnej to jedynie 0,02% maksymalnej wysokości kary, którą Prezes UODO mógł, zgodnie z art. 83 ust. 5 rozporządzenia 2016/679, nałożyć na Przedsiębiorcę za stwierdzone w niniejszej sprawie naruszenie, będzie karą możliwą do poniesienia przez Przedsiębiorcę bez zagrożenia materialnych podstaw jego bytu i prowadzonej przez niego działalności (zob. pkt 37 uzasadnienia niniejszej decyzji). W ocenie Prezesa UODO nałożenie na Przedsiębiorcę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanego mu naruszenia przepisów art. 31 i art. 58 ust. 1 lit. a) i lit. e) rozporządzenia 2016/679. Ponadto stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby tego, że Przedsiębiorca w przyszłości nie dopuści się kolejnych zaniedbań.

Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.