Stan faktyczny
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) decyzją administracyjną z 6.5.2021 r., DS.523.152.2021 (dalej: decyzja), nakazał E. Sp. z o.o. z siedzibą w W. (dalej: Administrator) usunięcie danych osobowych podmiotu w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. Decyzja nie została zaskarżona przez strony postępowania do Wojewódzkiego Sądu Administracyjnego, w związku z czym stała się prawomocna.
Aby sprawdzić, czy nałożony decyzją obowiązek został wykonany przez Administratora, Prezes UODO pismem wezwał podmiot do złożenia wyjaśnień i przedstawienia dowodów potwierdzających wykonanie nakazu z decyzji oraz pouczył Administratora, iż stwierdzenie nieprzestrzegania nakazu orzeczonego przez Prezesa UODO może skutkować nałożeniem administracyjnej kary pieniężnej. Pismo to zostało odebrane przez adresata. Administrator jednak nie odpowiedział na wezwanie ani nie przedstawił żadnych dowodów potwierdzających wykonanie decyzji.
Po skierowaniu upomnienia, które pozostało bez odpowiedzi Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO).
Z uzasadnienia decyzji Prezesa UODO
Ciężar udowodnienia wykonania nakazu z decyzji, dotyczącego przetwarzania danych osobowych w oparciu o RODO, spoczywa na Administratorze. Spółka, jako administrator i adresat decyzji nie udowodniła wykonania nakazu decyzji, mimo kierowanych przez organ wezwań, poprzedzających wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej.
Prezes UODO stwierdził, iż w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora – na mocy art. 83 ust. 6 RODO – administracyjnej kary pieniężnej za niewykonanie decyzji. Nakładając karę Prezes UODO wziął pod uwagę okoliczności wpływające obciążająco na ocenę naruszenia.
Naruszenie w niniejszej sprawie, polegało na nieprzestrzeganiu nakazu decyzji administracyjnej Prezesa UODO, będącego organem adekwatnym do spraw ochrony danych osobowych i organem nadzorczym w rozumieniu RODO. Naruszenie to uznano za godzące w istotny sposób w system ochrony danych osobowych. Dodatkowo należy podkreślić, iż skoro decyzja nakazywała usunięcie danych osobowych, to jej niewykonanie świadczy o dalszym, bezprawnym przetwarzaniu tych danych. Z tego względu naruszenie ma wysoką wagę i naganny charakter.
W ocenie Prezesa UODO przedmiotowe zaniechanie ma charakter umyślny. Spółka odebrała zarówno decyzję, jak i późniejsze wezwanie do przedstawienia dowodów na jej wykonanie, a także upomnienie wzywające do wykonania nakazu decyzji. Za bezsporne należy więc uznać, iż Administrator miał pełną świadomość ciążącego obowiązku, kiedy powinien być przez niego wykonany, a także tego czym zagrożone jest nieprzestrzegania tego obowiązku. Prezes UODO stwierdził w związku z powyższym, iż brak reakcji Administratora musiał być efektem świadomej decyzji.
Spółka, w ocenie Prezesa UODO, w toku postępowania nie podjęła w żadnym stopniu współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków.
Ze względu na specyficzny charakter naruszenia, który dotyczył relacji organu nadzorczego z administratorem, a nie administratora z osobami, których dane dotyczą, Prezes UODO nie uwzględnił w swojej ocenie m.in. następujące okoliczności: działań podjętych przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych (art. 83 ust. 2 lit. c RODO), stopnia odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d RODO), kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO).
Pozostałe okoliczności, o których mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały uznane przez Prezesa UODO za neutralne dla oceny stwierdzonego w niniejszej sprawie naruszenia. Okoliczności, o których mowa w art. 83 ust. 2 RODO to m.in.: wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e RODO), sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO), przestrzeganie wcześniej zastosowanych w tej samej sprawie środków (art. 83 ust. 2 lit. i RODO), stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j RODO), osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k RODO).
Prezes UODO po wnikliwym rozpoznaniu sprawy nie odnotował innych niż opisane powyżej okoliczności, które mogły mieć wpływ na ocenę naruszenia i wymiar orzeczonej administracyjnej kary pieniężnej.
W ocenie Prezesa UODO kara nałożona na Administratora w niniejszym postępowaniu spełnia kryteria, o których mowa w art. 83 ust. 1 RODO. W związku z powyższym nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być skuteczna, proporcjonalna i odstraszająca.
Dolegliwość kary, zdaniem Prezesa UODO, zdyscyplinuje Administratora do przestrzegania przepisów oraz do prawidłowej współpracy z Prezesem UODO w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Administratora. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – taką reakcją na naruszenie, która jest zarówno skuteczna oraz proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą. Wskazać należy, iż w ocenie Prezesa UODO, nałożenie na Administratora administracyjnej kary pieniężnej jest środkiem, który zapewni przestrzeganie nakazu orzeczonego wobec niego w drodze decyzji.
Wobec nieprzedstawienia przez Administratora danych finansowych za rok 2021, Prezes UODO ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie wziął pod uwagę szacunkową wielkość Administratora oraz specyfikę, zakres i skalę jego działalności oraz ostatnie sprawozdanie finansowe Administratora za 2020 rok dostępne na stronie Krajowego Rejestru Sądowego.
Komentarz
Negatywnie należy ocenić charakter umyślny przedmiotowego zaniechania, a w związku z tym i nieprzestrzegania nakazu. Spółka odebrała zarówno decyzję, jak i późniejsze wezwanie do przedstawienia dowodów na jej wykonanie, a także upomnienie wzywające do wykonania nakazu decyzji. Administrator miał pełną świadomość ciążącego obowiązku, kiedy powinien być przez niego wykonany, a także tego czym zagrożone jest nieprzestrzegania tego obowiązku.
Taka postawa Administratora godzi w podstawy systemu ochrony danych osobowych.