8 miesięcy temu
Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęła skarga na nieprawidłowości w procesie przetwarzania danych osobowych przez H. Sp. z o. o. z siedzibą w W. (dalej: Spółka) polegające na udostępnieniu danych osobowych Skarżącego na rzecz podmiotu trzeciego bez podstawy prawnej. W związku z powyższym, celem rozpatrzenia zarzutów Skarżącego, Prezes UODO wszczął postępowanie wyjaśniające.
Działając na podstawie art. 58 ust. 1 lit. a i lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), Prezes UODO wezwał Spółkę do złożenia wyjaśnień w sprawie oraz do udzielenia odpowiedzi na następujące pytania:
- Czy, a jeżeli tak, to kiedy, na jakiej podstawie prawnej, w jakim celu i zakresie Spółka pozyskała dane osobowe Skarżącego, w tym jego imię, nazwisko oraz numer telefonu;
- Czy, a jeżeli tak, to na jakiej podstawie prawnej, w jakim zakresie i celu Spółka przetwarza aktualnie dane osobowe Skarżącego, w tym jego imię, nazwisko oraz numer telefonu oraz jak długo dane te będą przez Spółkę przetwarzane;
- Czy, a o ile tak, to kiedy, na jakiej podstawie prawnej, w jakim celu i zakresie oraz jakim podmiotom Spółka udostępniła dane osobowe Skarżącego, w tym jego imię, nazwisko oraz numer telefonu.
Spółkę wezwano również do odniesienia się do zarzutu Skarżącego. Skarżący uważał, iż do prawdopodobnego naruszenia danych osobowych, tj. imienia, nazwiska i numeru telefonu mogło dojść w wyniku prawdopodobnego nielegalnego ich pozyskania w celu – sprzecznego z obowiązującym prawem – „zainfekowania” telefonu komórkowego zaawansowanym oprogramowaniem. Zachodziło podejrzenie, iż domeny (strony), do których przekierowywały adresata przesyłane wiadomości SMS były fałszywe. Otworzenie tych stron spowodowałoby zainfekowanie telefonu Skarżącego.
Spółka nie odebrała wezwań. Po upływie ustawowego terminu Prezes UODO uznał je za prawidłowo doręczone i pozostawił w aktach sprawy.
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął wobec niej z urzędu – na podstawie art. 83 ust. 5 lit. e RODO – postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a i lit. e RODO. Spółka nie podjęła żadnych działań w reakcji na informację o wszczęciu postępowania.
Z uzasadnienia decyzji Prezesa UODO
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes UODO stwierdził naruszenie przepisów RODO polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych osobowych i informacji skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 RODO.
Prezes UODO ustalił, iż dane osobowe Skarżącego przetwarzane były przez Spółkę, działającą w tym procesie przetwarzania jako administrator. Spółka była bowiem w posiadaniu danych osobowych Skarżącego w zakresie imienia, nazwiska oraz numeru telefonu, którymi posłużyła się w celu marketingu usług własnych, wysyłając na numer telefonu Skarżącego wiadomość SMS, zawierającą link odsyłający do strony internetowej, która zdaniem Skarżącego mogła powodować zainfekowanie jego telefonu złośliwym oprogramowaniem.
Za nieistotne Prezes UODO uznał w niniejszej sprawie to czy opisywane przetwarzanie miało miejsce w oparciu o którąkolwiek z podstaw prawnych wskazanych w art. 6 ust. 1 RODO oraz czy dokonywane było zgodnie z pozostałymi przepisami RODO. Natomiast na potrzeby niniejszej sprawy ustalenie, iż w kwestionowanym procesie przetwarzania Spółka występowała w roli administratora danych osobowych Skarżącego, pozwala na stwierdzenie, iż Spółka zobowiązana była do udzielenia wszelkich informacji żądanych przez Prezesa UODO w celu wnikliwego i wszechstronnego rozpatrzenia skargi, będącej przedmiotem postępowania.
Prezes UODO nie uzyskał dostępu do danych osobowych i informacji potrzebnych do realizacji jego zadań – w tym przypadku do zbadania zasadności skargi Skarżącego. Bezspornym wobec powyższego jest zatem fakt, iż Prezes UODO, realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a i lit. e RODO, skierował do Spółki żądanie dostarczenia informacji potrzebnych do realizacji swoich zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy, którą zainicjował Skarżący. Bezsporny jest także fakt, iż Prezes UODO nie uzyskał od Spółki żądanych informacji, co stanowi naruszenie art. 58 ust. 1 lit. a i lit. e RODO.
Skutkiem braku dostępu do informacji, których Prezes UODO żądał od Spółki, była przeszkoda w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy, a także nieuzasadnione przedłużenie czasu trwania postępowania zainicjowanego skargą Skarżącego, co stało z kolei w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym.
Decydując o nałożeniu w niniejszej sprawie na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia.
Po pierwsze postępowanie Spółki w niniejszej sprawie, polegające na nieodbieraniu kierowanych do niej pism oraz braku złożenia żądanych przez Prezesa UODO wyjaśnień – skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, iż dokonane przez Spółkę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone zaniechanie Spółki było ciągłe i długotrwałe.
Ponadto w związku z tym, iż żadne ze skierowanych przez Prezesa UODO do Spółki wezwań do złożenia wyjaśnień nie zostało faktycznie przez nią odebrane, brak jest podstaw do uznania, iż działanie Spółki, podlegające ukaraniu w niniejszej sprawie, miało charakter celowy. W ocenie Prezesa UODO, dokonane przez Spółkę naruszenie miało charakter nieumyślny, jednakże w związku z tym, iż było ono następstwem rażącego i długotrwałego zaniedbania przez Spółkę podstawowego jej obowiązku (zapewnienia takiej organizacji odbioru pism, aby przebieg korespondencji urzędowej odbywał się w sposób ciągły i niezakłócony), okoliczność ta została oceniona negatywnie i uznana za obciążającą w kontekście ustalenia zarówno zasadności wymierzenia, jak i wysokości orzeczonej kary.
Dodatkowo w toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO. Pozostałe okoliczności wymienione w art. 83 ust. 2 RODO nie zostały wzięte pod uwagę przez Prezesa UODO ze względu na specyficzny charakter naruszenia (naruszenie dotyczące relacji administratora z organem nadzorczym, a nie z osobami, których dane dotyczą). Nie podjęto zatem oceny sprawy pod kątem liczby poszkodowanych osób i rozmiaru poniesionej przez nie szkody, działań podjętych przez administratora w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą, stopnia odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO.
Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2022, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności. Stosownie do brzmienia art. 83 ust. 1 RODO nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W związku z tym, iż ukaraniu w niniejszej sprawie podlega podmiot prowadzący działalność na średnią skalę, nałożona na niego niniejszą decyzją administracyjna kara pieniężna w stosunkowo niewielkiej wysokości (stanowiącej 0,035 % maksymalnej wysokości kary zgodnie z art. 83 ust. 5 lit. e in fine RODO).
Komentarz
Trudno stwierdzić, jaki był powód braku współpracy Spółki z organem nadzorczym. Wydaję się, iż zdecydowanie bardziej korzystne byłoby przedstawienie dowodów przez Spółkę i wyjaśnienie sytuacji, którą opisywał Skarżący. Skarżący uważał, iż do prawdopodobnego naruszenia danych osobowych mogło dojść w wyniku prawdopodobnego nielegalnego ich pozyskania w celu – sprzecznego z obowiązującym prawem – „zainfekowania” telefonu komórkowego zaawansowanym oprogramowaniem. Zachodziło podejrzenie, iż domeny (strony), do których przekierowywały adresata przesyłane wiadomości SMS były fałszywe. To, co opisywał Skarżący wydaję się więc wyjątkowo niebezpiecznym procederem, który powinien być niezwłocznie wyjaśniony. Zgodzić się zatem należy ze stwierdzeniem, iż naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności.
