Prezes UODO nałożył karę finansową za uniemożliwienie przeprowadzenia kontroli

Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) nałożył karę finansową w wysokości 20.000 PLN na Vis Consulting Sp. z o.o. za uniemożliwienie przeprowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Spółka udaremniła czynności kontrolne poprzez niezapewnienie dostępu do danych osobowych i innych informacji oraz pomieszczeń, co skutkowało uniemożliwieniem przeprowadzenia kontroli przez Prezesa UODO.

Tematyka: Prezes UODO, Vis Consulting, karę finansową, kontroli, ochrona danych osobowych, RODO, naruszenie, kara pieniężna, umowa, odpowiedzialność, udaremnienie kontroli

Prezes Urzędu Ochrony Danych Osobowych (dalej jako: Prezes UODO) przeprowadził postępowanie z urzędu
w sprawie Vis Consulting Sp. z o.o. w likwidacji z siedzibą w K. (dalej jako: Vis Consulting, albo Spółka),
w wyniku którego stwierdził naruszenie przez Vis Consulting art. 31 i art. 58 ust. 1 lit. e oraz lit. f
rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27.4.2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119
z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2, dalej jako: RODO), poprzez niezapewnienie
dostępu do danych osobowych i innych informacji oraz pomieszczeń, skutkujące uniemożliwieniem
przeprowadzenia czynności kontrolnych. Prezes UODO za powyższe nałożył karę pieniężną w kwocie 20.000
PLN.
Stan faktyczny
Prezes UODO zaplanował przeprowadzenie w Vis Consulting kontroli zgodności przetwarzania danych z przepisami
o ochronie danych osobowych. Kontrola miała być przeprowadzona w dniach od 29.7.2019 r. do dnia 2.8.2019 r.
O terminie i zakresie kontroli Spółka została powiadomiona za pośrednictwem Poczty Polskiej.
Po uzyskaniu informacji o planowanej kontroli Prezesa UODO, na dwa dni przed jej rozpoczęciem, Spółka skierowała
do wynajmującego lokal użytkowy wniosek o rozwiązanie umowy najmu na lokal. Vis Consulting udaremniła tym
sposobem przeprowadzenie czynności kontrolnych, ponieważ pod adresem Spółki nie zastano żadnej osoby
umocowanej do jej reprezentowania w toku kontroli. Z informacji zebranych w toku postępowania 30.7.2019 r.
podjęto uchwałę o rozwiązaniu Vis Consulting i rozpoczęciu postępowania likwidacyjnego. Kontrolujący dwukrotnie
udawali się pod adres Vis Consulting, ale osób reprezentujących Spółkę nie zastano, w związku z czym czynności
kontrolne nie odbyły się.
Biorąc pod uwagę powyższe, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie
nałożenia administracyjnej kary pieniężnej w związku z uniemożliwieniem przeprowadzenia kontroli w zakresie
przestrzegania przez Vis Consulting przepisów o ochronie danych osobowych.
Z uzasadnienia Decyzji Prezesa UODO z 9.3.2020 r.
Zgodnie z art. 31 RODO, administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele
na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań. W myśl art. 58
ust. 1 lit. e oraz lit. f RODO, organowi nadzorczemu przysługuje uprawnienie dostępu do wszystkich pomieszczeń
administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych,
zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego. Zgodnie z przepisami
RODO, każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu
przysługują, poza uprawnieniami określonymi w ust. 1, 2 i 3, także inne uprawnienia.
Z kolei art. 78 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j.: Dz.U. z 2019 r. poz. 1781 ze
zm.; dalej jako: OchrDanychU) stanowi, iż to Prezes UODO przeprowadza kontrolę przestrzegania przepisów
o ochronie danych osobowych. Natomiast zgodnie z art. 84 ust. 1 OchrDanychU, kontrolujący ma prawo wstępu
w godzinach od 600 do 2200 na grunt oraz do budynków, lokali lub innych pomieszczeń. Ponadto ma prawo wglądu do
dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, a także
przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub
teleinformatycznych służących do przetwarzania danych. Prezes UODO ma prawo żądać złożenia pisemnych lub
ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu
faktycznego, w tym zlecać sporządzanie ekspertyz i opinii.
Prezes UODO zaplanował przeprowadzenie kontroli w Vis Consulting, w związku z ustaleniami jakie zostały
dokonane w toku kontroli przeprowadzonej w innej spółce. W toku kontroli przeprowadzonej w tym podmiocie
ustalono, że prowadzi on działalność telemarketingową. Podmiot ten przetwarza dane osobowe tj. numery telefonów
stacjonarnych i komórkowych za pomocą systemu teleinformatycznego dostarczonego przez Vis Consulting.
Przedmiotowy system użytkowany jest na podstawie umowy o współpracy w zakresie outsorcingu usług
telemarketingowych. Spółka ta nie posiadała własnej bazy danych, a wszystkie połączenia telefoniczne generowane
są wyłącznie przez system informatyczny udostępniony przez Vis Consulting.

Z umowy łączącej ww. strony wynika, że Vis Consulting posiada system teleinformatyczny w formie programu
komputerowego, którego użycie pozwala na wykonywanie połączeń telefonicznych na numery telefonów
stacjonarnych i komórkowych według kryterium lokalizacji. W umowie tej wskazane jest również, że funkcjonalność
przedmiotowego systemu uniemożliwia Vis Consulting dostęp do informacji, w tym do wybieranego numeru telefonu.
Ponadto, w umowie zawarte jest dodatkowo postanowienie, zgodnie z którym Vis Consulting oświadcza, iż
w przypadku jakichkolwiek roszczeń osób trzecich związanych z funkcjonalnością systemu teleinformatycznego,Vis
Consulting zwalnia spółkę z tej odpowiedzialności w zakresie dopuszczalnym przez obowiązujące przepisy prawa
i zobowiązuje się pokryć wszelkie koszty związane z ochroną spółki przed takimi roszczeniami. Prezes UODO ustalił,
że spółka nie posiadała dostępu do danych osobowych przetwarzanych w tym systemie teleinformatyczny tj. do
informacji o wybieranych numerach telefonów, w związku z powyższym Prezes UODO uznał za konieczne
przeprowadzenie czynności kontrolnych również w Vis Consulting, z uwagi na to, że jet to podmiot, który na
podstawie powołanej umowy został uznany za administratora danych. Celem kontroli miało być zatem zbadanie
legalności przetwarzania danych osobowych przy użyciu wskazanego powyżej systemu. W związku z powyższym,
uniemożliwienie przeprowadzenia kontroli w Vis Consulting w znaczny sposób utrudniło Prezesowi UODO zbadanie
procesu przetwarzania danych osobowych przez spółkę.
Należy podkreślić, że zgodnie z art. 58 ust. 1 lit. e RODO obowiązek współpracy w zakresie kontroli polega między
innymi na zapewnieniu organowi nadzorczemu możliwości uzyskania od administratora i podmiotu przetwarzającego
dostępu do wszystkich danych osobowych oraz wszelkich informacji niezbędnych organowi nadzorczemu do
realizacji jego zadań. Z kolei art. 58 ust. 1 lit. f RODO odnosi się do uzyskania dostępu do wszelkich pomieszczeń
administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych,
zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.
Biorąc powyższe okoliczności sprawy pod uwagę, Prezes UODO działając na podstawie art. 108 ust. 1
OchrDanychU powiadomił Prokuraturę Rejonową o podejrzeniu popełnienia przestępstwa polegającego na
udaremnieniu przez Vis Consulting przeprowadzenia czynności kontrolnych.
Jednocześnie, Prezes UODO skorzystał z przysługującego mu uprawnienia, określonego w art. 83 RODO. Każdy
organ nadzorczy zapewnia, by zgodnie z tym przepisem, za naruszenia administracyjne kary pieniężne, o których
mowa w ust. 4, 5 i 6, były w każdym przypadku skuteczne, proporcjonalne i odstraszające. Organ decydując, czy
nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku
należytą uwagę na umyślny lub nieumyślny charakter naruszenia.
Prezes UODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na Vis Consulting
administracyjnej kary pieniężnej. Prezes UODO decydując o nałożeniu na Vis Consulting administracyjnej kary
pieniężnej oraz ustalając jej wysokość, zgodnie z 83 ust. 2 lit. a-k RODO, wziął pod uwagę, że stwierdzone w tej
sprawie naruszenie ma znaczną wagę i poważny charakter, gdyż brak współpracy Vis Consulting z Prezesem UODO
spowodowało uniemożliwienie temu organowi przeprowadzania kontroli przestrzegania przez Vis Consulting
przepisów o ochronie danych osobowych. Oceniając charakter, wagę i czas naruszenia Prezes UODO stwierdził
także, że działanie Vis Consulting oceniono jako naganne. Spółka uniemożliwiła bowiem dokonanie przez Prezesa
UODO istotnych ustaleń dotyczących legalności przetwarzania danych osobowych, których wyniki niewątpliwie
miałyby duży wpływ na ocenę materiału dowodowego zebranego w toku innej kontroli, która została przeprowadzona
przez Prezesa UODO w spółce, z którą Vis Consulting była związana umową.
Spółka umyślnie udaremniła przeprowadzenie kontroli, co oznaczało uniemożliwienie Prezesowi UODO wykonanie
zadań ustawowych wynikających z art. 58 ust. 1 lit. e oraz lit. f RODO. Sytuacja ta, zdaniem Prezesa UODO rodzi
podejrzenie, że udaremnienie przez Vis Consulting przeprowadzenia kontroli miało na celu uniemożliwienie zebrania
przez Prezesa UODO dowodów potwierdzających niezgodne z prawem przetwarzanie przez Spółkę danych
osobowych. Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie dopatrzył się żadnej okoliczności
łagodzącej mającej wpływ na ostateczny wymiar kary.
Zgodnie z tymi przepisami naruszenie obowiązku administratora, o którym mowa w art. 31 RODO, podlega
administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości
do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma
kwota wyższa. Naruszenie zaś obowiązków administratora, o których mowa w art. 58 ust. 1 lit. e oraz lit. f RODO,
podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa –
w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym
zastosowanie ma kwota wyższa, które Prezes UODO na podstawie art. 83 ust. 3 RODO uznaje za najpoważniejsze
naruszenie. Decyzja Prezes UODO jest ostateczna. Od decyzji Spółce przysługuje prawo wniesienia skargi do
Wojewódzkiego Sądu Administracyjnego w Warszawie,
Zarówno administratorzy, jak i podmioty przetwarzające powinny szczególną uwagę poświęcać treści umów, jakimi
się związują i to w przypadku umów powierzenia, ale także w przypadku umów, które odnoszą się do udostępnienia
danych osobowych. Na szczególną uwagę zasługują postanowienia dotyczące zakresu odpowiedzialności.
Dodatkowym wniosek sprowadza się do stwierdzenia, że unikanie kontroli Prezesa UODO na kilka dni przed jej

przeprowadzeniem nie oznacza, że organ nadzorczy nie rozważy, biorąc pod uwagę wszystkie okoliczności,
nałożenia kary pieniężnej za udaremnianie jej przeprowadzenia. W szczególności, że takie zachowanie będzie
traktowane jako umyślne - co wpłynie na wymiar kary i może skutkować także odpowiedzialnością karną.
Decyzja Prezesa UODO z 9.3.2020r., sygn. akt ZSPR.421.19.2019

Prezes UODO uznał działania Vis Consulting za naganne i skorzystał z uprawnienia do nałożenia kary pieniężnej zgodnie z RODO. Spółka uniemożliwiła zebranie istotnych danych dotyczących legalności przetwarzania danych osobowych, co miało wpływ na cały proces kontroli. Decyzja Prezesa UODO jest ostateczna.