UODO: kilkanaście decyzji i łącznie prawie 185 000 zł kar za brak współpracy

W ostatnich kilku dniach Prezes Urzędu Ochrony Danych Osobowych opublikował ponad dziesięć decyzji odnoszących się do braku współpracy czy też niewykonania prawomocnej decyzji organu. Kumulacja administracyjnych kar pieniężnych nałożonych, w tych kilkunastu decyzjach, osiągnęła kwotę prawie 185 000 zł.

Prezes UODO skorzystał też kilkukrotnie z “kary” upomnienia.

Najwyższa administracyjna kara pieniężna (36,558 zł) została nałożona na Spółkę, która mimo dwukrotnego odebrania korespondencji nie udzieliła żadnej odpowiedzi. 

Spółka ta przesłała do organu nadzorczego zgłoszenie naruszenia, ale:

w wyżej wymienionym uzupełnionym zgłoszeniu naruszenia Spółka wskazała brak wysokiego poziomu ryzyka dla naruszenia praw lub wolności osób fizycznych, dlatego też w dniu 16 grudnia 2021 r. Prezes UODO zwrócił się do Spółki z wezwaniem do udzielenia kolejnych informacji niezbędnych do oceny naruszenia ochrony danych osobowych, stanowiącego przedmiot zgłoszenia Spółki, tj. do przekazania analizy ryzyka, na podstawie której Spółka stwierdziła brak wysokiego poziomu ryzyka dla naruszenia praw lub wolności osób fizycznych.

pismo to zostało odebrane przez Spółkę 23 grudnia 2021 r. jednak pozostało bez odpowiedzi.

Prezes UODO pismem z 9 marca 2022 r. ponowił wezwanie z 16 grudnia 2021 r. Pismo to zostało odebrane przez adresata 14 marca 2022 r. i również pozostało bez odpowiedzi ze strony Spółki.

Newsletter

 

Powyższe działanie Spółki doprowadziło do wszczęcia przez Prezesa UODO postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej za naruszenie art. 31 RODO oraz art. 58 ust. 1 lit. a i lit. e RODO.

Spółka odebrała pismo informujące o wszczęciu postępowania, ale nie podjęła do dnia wydania decyzji żadnych działań w reakcji na informację o wszczęciu niniejszego postępowania. 

Ustalając wymiar administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę:

dane finansowe dotyczące Spółki dostępne w serwisie Krajowego Rejestru Sądowego (…). Z danych tych wynika, że obrót (przychód netto ze sprzedaży) Spółki w dwóch ostatnich latach, za które Spółka złożyła sprawozdania finansowe w KRS, wynosił: w 2020 r.: 3 025 404,64 zł, w 2021 r.: 2 226 547,47 zł.;

natomiast zysk netto, który Spółka osiągnęła w 2021 r. wyniósł 828 630,15 zł. Poziom przychodów osiągnięty w 2021 r. świadczy o stabilnej sytuacji finansowej Spółki, a wykazywany w tym okresie zysk netto – o dużej rentowności prowadzonej przez Spółkę działalności. Ze sprawozdania działalności Spółki wynika, że kondycja Spółki jest dobra, Spółka nie posiada żadnych przeterminowanych zobowiązań wobec kontrahentów krajowych i zagranicznych, jak również wobec Skarbu Państwa, a płynność finansowa jest zachowana;

w wymiarze dyscyplinującym Spółkę kara będzie więc skuteczna. Przez swoją dolegliwość spełni też funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Spółki, jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych z zapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym;

nałożona na Spółkę kara w tej konkretnej, określonej w sentencji niniejszej decyzji wysokości, jest również – w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę (nie zagrozi bytowi Spółki i możliwości dalszego prowadzenia przez nią dotychczasowej działalności);

określona w sentencji niniejszej decyzji kwota administracyjnej kary pieniężnej, stanowiąca równowartość 8.000 EUR, ustalona została w złotych – zgodnie z art. 103 u.o.d.o. (vide pkt 23 uzasadnienia niniejszej decyzji) – przy zastosowaniu średniego kursu euro z dnia 28 stycznia 2022 r. (gdzie 1 EUR 4,5697 PLN).

W innej decyzji Prezes UODO nałożył karę 33 012 zł stwierdzając naruszenie przez Spółkę wyłącznie przepisu art. 58 ust. 1 lit. a i lit. e RODO tj:

nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań

W przypadku tej spółki pewien obywatel zawiadomił Prezesa UODO o tym, że jego zdaniem spółka nieprawidłowo przetwarza dane osobowe, gdyż udostępnia je na rzecz podmiotu trzeciego bez podstawy prawnej.

Kilkukrotne wezwania kierowane do spółki powracały do organu nadzorczego z adnotacją “zwrot nie podjęto w terminie”, co pozwoliło Prezesowi UODO na zastosowanie doręczenia zastępczego na podstawie:

art. 44 § 4 w związku z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm.) (zwanej dalej „k.p.a.”), uznał je za prawidłowo doręczone Spółce z dniem 1 czerwca 2022 r. i pozostawił w aktach sprawy. 

Dalej organ nadzorczy uzasadniając wysokość administracyjnej kary pieniężnej wskazywał, że:

żadne z tych pism, skierowanych na adres siedziby Spółki ujawniony w Krajowym Rejestrze Sądowym, nie zostało przez Spółkę odebrane mimo dwukrotnego ich awizowania, w związku z czym pisma te zostały uznane za prawidłowo doręczone Spółce zgodnie z art. 44 § 4 w związku z art. 45 k.p.a. W konsekwencji opisywanego zaniechania Spółki, Prezes UODO nie uzyskał dostępu do danych osobowych i informacji potrzebnych do realizacji jego zadań – w tym przypadku do zbadania zasadności skargi Skarżącego.

Stanu tego nie zmieniło wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (o sygn. DOKE.561.1.2023). Pismo z 23 marca 2023 r. skierowane do Spółki w ramach tego postępowania (vide pkt 8 uzasadnienia niniejszej decyzji) również nie zostało przez Spółkę odebrane, wobec czego pozostało bez jakiejkolwiek odpowiedzi z jej strony.

odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że wezwania kierowane przez Prezesa UODO do Spółki nie zostały przez nią ostatecznie odebrane. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione (vide Wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018, sygn. akt II SAB/Go 90/18, LEX nr 2576144).

W kolejnej decyzji Prezes UODO “wycenił” naruszenie wskazanych powyżej przepisów RODO na 27 418 zł. W tej sprawie organ podął kilka prób skontaktowania się z administratorem danych przesyłają wezwania do udzielenia informacji na adres siedziby wskazanych w Rejestrze Przedsiębiorców KRS. Administrator danych odebrał tylko jedno pismo, ale udało się nawiązać kontakt telefoniczny z Prezesem Zarządu spółki.

W powyższym zachowaniu Prezes UODO widzi celowe działanie i wskazuje:

przedmiotowe naruszenie Prezes UODO uznał za umyślne. Spółka odebrała pismo informujące o wszczęciu niniejszego postępowania, a ponadto o obowiązku udzielenia Prezesowi UODO informacji w postępowaniu o sygn. DS.523.347.2022 oraz o wszczęciu niniejszego postępowania Prezes Zarządu Spółki został poinformowany telefonicznie przez pracownika prowadzącego sprawę.

w ocenie Prezesa UODO unikanie złożenia wyjaśnień, pomimo posiadania przez Spółkę wiedzy o toczącym się postępowaniu należy interpretować, przynajmniej od momentu odebrania pisma o wszczęciu niniejszego postępowania, jako działanie świadome i celowe. Okoliczność ta winna być oceniona negatywnie i uznana za obciążającą w kontekście ustalenia wysokości orzeczonej administracyjnej kary.

Wyliczając wysokość administracyjnej kary pieniężnej Prezes UODO posiłkował się:

wobec niedostarczenia Prezesowi UODO danych finansowych Spółki, odpowiednie ustalenia odnośnie podstawy wymiaru kary dokonywane były przez Prezesa UODO zgodnie z art. 101a ust. 2 u.o.d.o. Prezes UODO dokonał ustalenia podstawy wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając dane finansowe dotyczące Spółki za lata 2017 – 2019 dostępne na stronie internetowej Ministerstwa Sprawiedliwości (…).

z analizy uzyskanych danych finansowych Spółki wynika więc, że prowadzi ona aktywną działalność gospodarczą. Wobec powyższego stwierdzić należy, że w niniejszym postępowaniu administracyjna kara pieniężna została oszacowana tak, żeby również nie wiązała się ona z nadmiernym obciążeniem dla prowadzonej przez Spółkę działalności.

mając na uwadze przepis art. 103 u.o.d.o. (zob. pkt 29 uzasadnienia decyzji), Prezes UODO za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2022 r. (1 EUR = 4,5697 PLN) – administracyjną karę pieniężną w kwocie 27 418 PLN (co stanowi równowartość 6.000 EUR).

W jeszcze innej sprawie Prezes UODO nie był nawet w stanie ustalić w jakiej roli – administratora danych czy podmiotu przetwarzającego – występuje podmiot wobec, który została nałożona administracyjna kara pieniężna. W tym przypadku była ona dość niska, gdyż wynosiła 4 569 zł. Jednak, z punktu widzenia praktycznych wniosków dotyczących postępowania, w przedmiocie nałożenia administracyjnej kary pieniężnej decyzja ta jest istotna.

W tym przypadku skarga obywatela dotyczyła zbadania nieprawidłowości w procesie przetwarzania jego danych osobowych bez podstawy prawnej przez osobę prowadzącą działalność gospodarczą. Organ nadzorczy podjął kilka prób kontaktu wykorzystując adres wskazany w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Próby te okazały się skuteczne jedynie “na papierze”, gdyż korespondencję odbierał dorosły domownik, którym nie była osoba prowadząca działalność gospodarczą. 

Prezes UODO ustalił, że:

Pan G. J. – zgodnie z wpisem do CEIDG – jest przedsiębiorcą prowadzącym działalność gospodarczą pod firmą F. w zakresie konserwacji i naprawy pojazdów samochodowych oraz sprzedaży detalicznej części i akcesoriów do pojazdów samochodowych.

Jego działalność gospodarcza prowadzona jest od 1 lipca 2016 r. i w CEIDG na dzień wydania niniejszej decyzji ma status „aktywny”. Działalność prowadzona jest pod adresem: P., ul. (…). Adres ten jest jednocześnie zadeklarowanym przez Przedsiębiorcę, i jako taki ujawnionym w CEIDG, adresem do doręczeń korespondencji.

W zakresie oceny czy podmiot wobec, którego organ nadzorczy podejmuje działania “pełni w procesie przetwarzania danych, stanowiącym przedmiot skargi Pana D. S., rolę administratora czy też podmiotu przetwarzającego dane osobowe Skarżącego, stanowi element stanu faktycznego, który ma zostać ustalony w postępowaniu o sygnaturze DS.523.5697.2020”.

Celem ustalenia tej m.in. okoliczności Prezes UODO kierował do Przedsiębiorcy – w ramach tego postępowania – wezwania do złożenia wyjaśnień. Wobec braku wyjaśnień ze strony Przedsiębiorcy ustalenie tej okoliczności jest utrudnione. Natomiast na potrzeby niniejszego postępowania wystarczające jest dokonane w postępowaniu o sygn. DS.523.5697.2020 ustalenie, że Przedsiębiorca przetwarzał dane osobowe Pana D. S. celem przedstawienia mu oferty ubezpieczenia odpowiedzialności cywilnej (…).

W związku z powyższym stwierdzić należy, że:

Przedsiębiorca przetwarzał dane osobowe Skarżącego albo jako administrator albo jako podmiot przetwarzający;

To, w której z tych ról występował i występuje aktualnie Przedsiębiorca przetwarzając dane osobowe Pana D. S., nie ma żadnego wpływu na rozstrzygnięcie niniejszej sprawy. Obowiązki, o których mowa w art. 31 oraz art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, oraz odpowiedzialność za ich naruszenie (realizowana w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej), są bowiem identyczne dla administratora i podmiotu przetwarzającego.