Kara Prezesa UODO za brak dostępu do informacji niezbędnych do realizacji jego zadań

Stan faktyczny

Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęła skarga Pana J.M., zamieszkałego we W. (dalej: podmiot danych) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez T. sp. z o. o. z siedzibą w K. (dalej: Spółka) polegające na udostępnieniu podmiotom nieuprawnionym jego danych osobowych w postaci numeru telefonu.

Celem rozpatrzenia skargi podmiotu danych Prezes UODO wszczął postępowanie administracyjne o sygnaturze DS.523.776.2022, w ramach którego – na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s.1; dalej: RODO) – pismem z lutego 2022 r. wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie, w szczególności do udzielenia odpowiedzi na pytania w istotnych dla sprawy kwestiach, a także do przedstawienia ewentualnych dowodów potwierdzających złożone wyjaśnienia. Pismo to zostało odebrane przez adresata, jednak pozostało bez jakiejkolwiek reakcji ze strony Spółki.

W związku z powyższym Prezes UODO ponownie zwrócił się do Spółki o udzielenie wyjaśnień w sprawie. Wezwanie to zostało odebrane przez adresata i również pozostało bez jakiejkolwiek odpowiedzi. Kolejnym pismem skierowanym do Spółki Prezes UODO ponowił wezwanie do złożenia wyjaśnień w sprawie. Wezwanie to doręczone zostało Spółce i również pozostało bez odpowiedzi.

W pismach Prezesa UODO zawarte zostało skierowane do Spółki pouczenie, iż brak odpowiedzi na wezwanie skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 4 lit. a lub art. 83 ust. 5 lit. e RODO – administracyjnej kary pieniężnej w wysokości do 20 000 000 euro lub do 4 % obrotu przedsiębiorstwa.

W związku z nieudzieleniem przez Spółkę informacji żądanych przez Prezesa UODO w postępowaniu o sygnaturze DS.523.776.2022, Prezes UODO wszczął wobec niej z urzędu – na podstawie wyżej wskazanych przepisów – niniejsze postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 RODO oraz art. 58 ust. 1 RODO (lit. a i e).

Z uzasadnienia decyzji Prezesa UODO

Prezes UODO ustalił – w oparciu o informacje i dowody przedstawione przez podmiot danych w jego skardze oraz wobec braku zaprzeczenia tej okoliczności przez Spółkę – iż dane osobowe podmiotu danych przetwarzane były przez Spółkę, działającą w tym procesie przetwarzania jako administrator, celem przedstawienia mu informacji handlowej dotyczącej świadczonych przez nią usług. Jak wynika bowiem z materiału dowodowego zebranego w tej sprawie Spółka ustaliła cel przetwarzania danych osobowych podmiotu danych (przedstawienie mu oferty swojej własnej usługi) oraz sposób ich przetwarzania (dwukrotne przesłanie oferty usługi krótką wiadomością tekstową z własnego numeru telefonu na numer telefonu podmiotu danych). Tym samym rola Spółki w procesie przetwarzania danych osobowych wypełniła definicję „administratora”.

Bezspornym jest, iż Prezes UODO – realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a RODO – skierował do Spółki – żądanie dostarczenia informacji potrzebnych do realizacji swoich zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy o sygnaturze DS.523.776.2022. Bezsporny jest też fakt, iż Prezes UODO nie uzyskał od Spółki żądanych informacji, co stanowi naruszenie art. 58 ust. 1 RODO (lit. a i e).

Działanie Spółki polegające na niezapewnieniu Prezesowi UODO dostępu do informacji potrzebnych mu do dokładnego wyjaśnienia stanu faktycznego sprawy o sygnaturze DS.523.776.2022 wyczerpuje jednocześnie znamiona naruszenia art. 31 RODO.

Prezes UODO stwierdził, iż w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e in fine oraz art. 83 ust. 4 lit. a RODO – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 RODO) oraz w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań – to jest do rozpatrzenia skargi wniesionej przez podmiot danych (art. 58 ust. 1 RODO (lit. a i e) w związku z art. 57 ust. 1 lit. f RODO).

Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia.

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Postępowanie Spółki w niniejszej sprawie, polegające na ignorowaniu odebranych przez siebie wezwań Prezesa UODO, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, iż dokonane przez Spółkę naruszenie nie było zdarzeniem incydentalnym. Działanie Spółki było ciągłe i długotrwałe.

W ocenie Prezesa UODO postępowanie Spółki w sprawie o sygnaturze DS.523.776.2022, polegające na całkowitym braku współpracy w zapewnieniu organowi dostępu do informacji potrzebnych do rozpatrzenia skargi wniesionej przez Skarżącego, było świadome i celowe. Żądania Prezesa UODO dotarły do świadomości Spółki (a w zasadzie osób nią zarządzających), skoro odbiór kierowanych do niej wezwań potwierdzany był każdorazowo podpisami osób upoważnionych do odbioru pism zamieszczonymi na zwrotnych potwierdzeniach odbioru korespondencji. Spółka miała więc pełną świadomość popełnionego naruszenia, a także wiedzę w jaki sposób stan tego naruszenia zakończyć (przez przedstawienie Prezesowi UODO żądanych przez niego informacji). Spółka tego nie uczyniła aż do dnia wydania decyzji kończącej postępowanie w sprawie zainicjowanej skargą podmiotu danych, co świadczy w ocenie Prezesa UODO o uporczywości jej działania nacelowanego świadomie na trwanie w stanie naruszenia przepisów RODO. Taka motywacja postępowania Spółki zasługuje na zdecydowanie negatywną ocenę ze strony organu nadzorczego i musi wpłynąć obciążająco na ocenę dokonanego przez nią naruszenia.

W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO.

Stosownie do brzmienia art. 83 ust. 1 RODO nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2021, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności. W ocenie Prezesa UODO Spółka prowadzi działalność gospodarczą na niewielką skalę. W związku z tym, iż ukaraniu w niniejszej sprawie podlega niewielki podmiot, nałożona na niego niniejszą decyzją administracyjna kara pieniężna w stosunkowo niewielkiej wysokości (stanowiącej 0,02 % maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 5 lit. e in fine RODO Prezes UODO mógł orzec za stwierdzone w niniejszej sprawie naruszenie) będzie dla niego karą dolegliwą i przez to skuteczną, ale również możliwą do jej poniesienia bez zagrożenia materialnych podstaw jego bytu i prowadzonej przez niego działalności.

Komentarz