Prezes UODO nałożył karę na PNP S.A. w wysokości 22 739 zł
Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 22 739 zł na PNP S.A. za brak współpracy i niedostarczenie informacji niezbędnych do rozpatrzenia skargi dotyczącej przetwarzania danych osobowych. Spółka nie odebrała kilkakrotnie wezwań oraz nie podjęła współpracy z Prezesem UODO, co skutkowało orzeczeniem kary pieniężnej.
Tematyka: Prezes UODO, PNP S.A., ochrona danych osobowych, RODO, kara pieniężna, brak współpracy, informacje niezbędne, przetwarzanie danych, współpraca z organem nadzorczym
Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 22 739 zł na PNP S.A. za brak współpracy i niedostarczenie informacji niezbędnych do rozpatrzenia skargi dotyczącej przetwarzania danych osobowych. Spółka nie odebrała kilkakrotnie wezwań oraz nie podjęła współpracy z Prezesem UODO, co skutkowało orzeczeniem kary pieniężnej.
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) stwierdził naruszenie przez PNP Spółkę Akcyjną z siedzibą w Warszawie (dalej: PNP), przepisów art. 31 i art. 58 ust. 1 lit e rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1 ze zm.; dalej: RODO), polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz niezapewnieniu dostępu do wszelkich informacji niezbędnych do realizacji zadań przez Prezesa UODO, to jest do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych. Prezes UODO nałożył na PNP administracyjną karę pieniężną w kwocie 22 739 złotych. Ustalenia faktyczne Prezesa UODO Do UODO wpłynęła skarga na nieprawidłowości w procesie przetwarzania danych osobowych przez przez Bank A (dalej jako: Bank), polegające na przekazaniu danych osobowych Skarżącego bez jego zgody do Polskiego Domu Maklerskiego Spółki Akcyjnej z siedzibą w Warszawie (aktualnie: PNP Spółka Akcyjna z siedzibą w Warszawie, dalej: PNP albo Spółka). Prezes UODO, w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi, zwrócił się do PNP o ustosunkowanie się w terminie 7 dni od chwili doręczenia wezwania do treści skargi oraz o odpowiedź na następujące pytania dotyczące sprawy: czy Spółka przetwarza dane osobowe Skarżącego, a jeśli tak, to na jakiej podstawie prawnej, w jakim zakresie i jakim celu oraz do kiedy dane te będą przetwarzane; z jakiego źródła Spółka pozyskała dane Skarżącego; czy Skarżący zgłaszał do Spółki sprzeciw w zakresie przetwarzania jego danych bez jego zgody, a jeśli tak, to jak Spółka ustosunkowała się do żądania Skarżącego. Omawiane pismo zostało skierowane do Spółki za pośrednictwem Poczty Polskiej jednak nie zostało przez Spółkę odebrane (awizowane dwukrotnie). W związku z powyższym Prezes UODO uznał je za doręczone Spółce. W lutym 2020 r. Prezes UODO zwrócił się do Spółki z ponownym wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie. Wezwanie to, awizowane dwukrotnie nie zostało przez Spółkę odebrane. W związku z powyższym Prezes UODO uznał je za doręczone Spółce. W związku z brakiem odpowiedzi na powyższe wezwania Prezes UODO po raz kolejny – pismem z sierpnia 2020 r. – wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie. Również i to wezwanie, skierowane do Spółki za pośrednictwem Poczty Polskiej, awizowane dwukrotnie nie zostało przez Spółkę odebrane. W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy zainicjowanej skargą Skarżącego, Prezes UODO wszczął z urzędu wobec Spółki, w związku z naruszeniem przez nią przepisów art. 31 oraz art. 58 ust. 1 lit e RODO, postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. O wszczęciu postępowania Spółka poinformowana została pismem z listopada 2020 r. Pismo to, nie zostało przez Spółkę odebrane. W związku z powyższym Prezes UODO uznał je za doręczone Spółce. Pismem powyższym Spółka wezwana została również celem ustalenia podstawy wymiaru kary do przedstawienia sprawozdania finansowego Spółki za rok 2019 lub – w przypadku jego braku – oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez Spółkę w 2019 r. Rozstrzygnięcie Prezesa UODO Zgodnie z art. 57 ust. 1 lit. a RODO, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 RODO – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f RODO). Dla umożliwienia egzekwowania tak określonych kompetencji, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień w zakresie prowadzonych postępowań. Spółka przetwarzała pozyskane od Banku dane osobowe Skarżącego celem zaoferowania i przeprowadzenia procesu nabycia przez Skarżącego obligacji. W związku z powyższym stwierdzić należy, że Spółka przetwarzała dane osobowe Skarżącego albo jako administrator albo jako podmiot przetwarzający. To, w której z tych ról występowała i występuje aktualnie Spółka przetwarzając dane osobowe Skarżącego, nie ma żadnego wpływu na rozstrzygnięcie niniejszej sprawy. Obowiązki, o których mowa w art. 31 oraz art. 58 ust. 1 lit. e RODO, oraz odpowiedzialność za ich naruszenie są bowiem identyczne dla administratora i podmiotu przetwarzającego. Celem ustalenia stanu faktycznego sprawy zainicjowanej skargą Skarżącego, Prezes UODO trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień przez udzielenie odpowiedzi na trzy pytania dotyczące sprawy. Żadne ze skierowanych do Spółki – na adresy ujawnione w Rejestrze Przedsiębiorców Krajowego rejestru Sądowego jako adresy lokalu jej siedziby nie zostało przez Spółkę odebrane pomimo dwukrotnego ich awizowania, w związku z czym uznane zostały za doręczone Spółce. W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. Również pismo informujące o wszczęciu tego postępowania nie zostało przez Spółkę odebrane. Spółka przetwarzała – jako administrator lub podmiot przetwarzający – dane osobowe Skarżącego, a więc jest niewątpliwie w posiadaniu informacji niezbędnych do rozpatrzenia skargi Skarżącego, stwierdzić należy, że naruszyła ona ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy. Takie działanie Spółki stanowi naruszenie art. 58 ust. 1 lit. e RODO. Działanie to wyczerpuje jednocześnie znamiona naruszenia art. 31 RODO, który stanowi, że administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Współpraca z organem nadzorczym w ramach wykonywania przez niego swoich zadań, stanowiąca przedmiot obowiązku określonego w tym przepisie, obejmuje również (a nawet przede wszystkim) obowiązek przedstawienia organowi – na jego żądanie – wszelkich posiadanych przez administratora lub podmiot przetwarzający informacji związanych z prowadzonym przez niego postępowaniem. Kary pieniężne Mając na uwadze powyższe ustalenia, Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e in fine oraz art. 83 ust. 4 lit. a RODO – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 RODO) oraz w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań (art. 58 ust. 1 lit. e RODO). Jednocześnie, wobec stwierdzenia naruszenia przez Spółkę przepisów dwóch przepisów RODO (art. 31 oraz art. 58 ust. 1 lit. e RODO), stosownie do treści art. 83 ust. 3 RODO, zgodnie z którym, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów tego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez Spółkę dostępu do wszelkich informacji niezbędnych do realizacji jego zadań, tj. naruszenie przepisu art. 58 ust. 1 lit. e RODO. O powadze tego naruszenia świadczy to, że brak dostępu do informacji, których Prezes UODO żądał i żąda od Spółki, nie tylko stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym. Stosownie do treści art. 83 ust. 2 RODO, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia. Prezes UODO wziął pod uwagę działania Spółki w niniejszej sprawie, polegające na uchylaniu się od odbioru kierowanej do niej przez Prezesa UODO korespondencji, co skutkowało utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania. Należy więc uznać powyższe działania za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększyła dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem incydentalnym. Działanie Spółki było ciągłe i długotrwałe. W ocenie Prezesa UODO dokonane przez Spółkę naruszenie miało charakter nieumyślny, jednakże w związku z tym, że było ono następstwem rażącego i długotrwałego zaniedbania przez Spółkę swojego podstawowego obowiązku (zapewnienia takiej organizacji odbioru pism, aby przebieg korespondencji urzędowej odbywał się w sposób ciągły i niezakłócony), okoliczność ta winna być oceniona negatywnie i uznana za obciążającą w kontekście ustalenia wysokości orzeczonej kary. W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Spóła nie podjęła w żadnym stopniu współpracy z Prezesem UODO. Komentarz Decyzja ta jest kolejnym przykładem na to, w jaki sposób Prezes UODO ocenia brak współpracy z organem nadzorczym. Kara nałożona na Spółkę ma za zadanie ją zdyscyplinować do prawidłowej współpracy zarówno w dalszym toku postępowania, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Prezesem UODO. Kara jest bowiem jest jedynym środkiem, który umożliwi uzyskanie dostępu do informacji niezbędnych w prowadzonym postępowaniu. Warto też wskazać, że w przypadku nieprzedstawienia żądanych przez Prezesa UODO danych finansowych, kara pieniężna zostaje ustalona w oparciu o szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności. Decyzja Prezesa UODO z 27.4.2021 r., DKE.561.23.2020,
Decyzja ta ma na celu zdyscyplinowanie Spółki do prawidłowej współpracy z urzędem, aby umożliwić uzyskanie niezbędnych informacji w przyszłych postępowaniach. W przypadku nieprzedstawienia danych finansowych, kara będzie ustalona na podstawie szacunkowej wielkości Spółki oraz zakresu jej działalności.