Prezes UODO nałożył karę za niewykonanie nakazu z decyzji
Prezes UODO nałożył administracyjną karę pieniężną w kwocie 22 848 złotych za niewykonanie nakazu z decyzji administracyjnej dotyczącego usunięcia danych osobowych przez firmę E. Sp. z o.o. Decyzja Prezesa UODO stała się prawomocna, a Administrator mimo wezwań nie udowodnił wykonania nakazu, co spowodowało nałożenie kary. Prezes UODO uznał, że naruszenie ma wysoką wagę i charakter umyślny, co skutkowało nałożeniem kary zgodnie z RODO.
Tematyka: Prezes UODO, UODO, administracyjna kara pieniężna, RODO, ochrona danych osobowych, decyzja administracyjna, niewykonanie nakazu, E. Sp. z o.o., wysokość kary, system ochrony danych osobowych
Prezes UODO nałożył administracyjną karę pieniężną w kwocie 22 848 złotych za niewykonanie nakazu z decyzji administracyjnej dotyczącego usunięcia danych osobowych przez firmę E. Sp. z o.o. Decyzja Prezesa UODO stała się prawomocna, a Administrator mimo wezwań nie udowodnił wykonania nakazu, co spowodowało nałożenie kary. Prezes UODO uznał, że naruszenie ma wysoką wagę i charakter umyślny, co skutkowało nałożeniem kary zgodnie z RODO.
Prezes UODO stwierdził niewykonanie nakazu z decyzji administracyjnej i nałożył administracyjną karę pieniężną w kwocie 22 848 złotych. Stan faktyczny Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) decyzją administracyjną z 6.5.2021 r., DS.523.152.2021 (dalej: decyzja), nakazał E. Sp. z o.o. z siedzibą w W. (dalej: Administrator) usunięcie danych osobowych podmiotu w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. Decyzja nie została zaskarżona przez strony postępowania do Wojewódzkiego Sądu Administracyjnego, w związku z czym stała się prawomocna. Aby sprawdzić, czy nałożony decyzją obowiązek został wykonany przez Administratora, Prezes UODO pismem wezwał podmiot do złożenia wyjaśnień i przedstawienia dowodów potwierdzających wykonanie nakazu z decyzji oraz pouczył Administratora, że stwierdzenie nieprzestrzegania nakazu orzeczonego przez Prezesa UODO może skutkować nałożeniem administracyjnej kary pieniężnej. Pismo to zostało odebrane przez adresata. Administrator jednak nie odpowiedział na wezwanie ani nie przedstawił żadnych dowodów potwierdzających wykonanie decyzji. Po skierowaniu upomnienia, które pozostało bez odpowiedzi Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Z uzasadnienia decyzji Prezesa UODO Ciężar udowodnienia wykonania nakazu z decyzji, dotyczącego przetwarzania danych osobowych w oparciu o RODO, spoczywa na Administratorze. Spółka, jako administrator i adresat decyzji nie udowodniła wykonania nakazu decyzji, mimo kierowanych przez organ wezwań, poprzedzających wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej. Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora – na mocy art. 83 ust. 6 RODO – administracyjnej kary pieniężnej za niewykonanie decyzji. Nakładając karę Prezes UODO wziął pod uwagę okoliczności wpływające obciążająco na ocenę naruszenia. Naruszenie w niniejszej sprawie, polegało na nieprzestrzeganiu nakazu decyzji administracyjnej Prezesa UODO, będącego organem właściwym do spraw ochrony danych osobowych i organem nadzorczym w rozumieniu RODO. Naruszenie to uznano za godzące w istotny sposób w system ochrony danych osobowych. Dodatkowo należy podkreślić, że skoro decyzja nakazywała usunięcie danych osobowych, to jej niewykonanie świadczy o dalszym, bezprawnym przetwarzaniu tych danych. Z tego względu naruszenie ma wysoką wagę i naganny charakter. W ocenie Prezesa UODO przedmiotowe zaniechanie ma charakter umyślny. Spółka odebrała zarówno decyzję, jak i późniejsze wezwanie do przedstawienia dowodów na jej wykonanie, a także upomnienie wzywające do wykonania nakazu decyzji. Za bezsporne należy więc uznać, że Administrator miał pełną świadomość ciążącego obowiązku, kiedy powinien być przez niego wykonany, a także tego czym zagrożone jest nieprzestrzegania tego obowiązku. Prezes UODO stwierdził w związku z powyższym, że brak reakcji Administratora musiał być efektem świadomej decyzji. Spółka, w ocenie Prezesa UODO, w toku postępowania nie podjęła w żadnym stopniu współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków. Ze względu na specyficzny charakter naruszenia, który dotyczył relacji organu nadzorczego z administratorem, a nie administratora z osobami, których dane dotyczą, Prezes UODO nie uwzględnił w swojej ocenie m.in. następujące okoliczności: działań podjętych przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych (art. 83 ust. 2 lit. c RODO), stopnia odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d RODO), kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO). Pozostałe okoliczności, o których mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały uznane przez Prezesa UODO za neutralne dla oceny stwierdzonego w niniejszej sprawie naruszenia. Okoliczności, o których mowa w art. 83 ust. 2 RODO to m.in.: wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e RODO), sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h RODO), przestrzeganie wcześniej zastosowanych w tej samej sprawie środków (art. 83 ust. 2 lit. i RODO), stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j RODO), osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k RODO). Prezes UODO po wnikliwym rozpoznaniu sprawy nie odnotował innych niż opisane powyżej okoliczności, które mogły mieć wpływ na ocenę naruszenia i wymiar orzeczonej administracyjnej kary pieniężnej. W ocenie Prezesa UODO kara nałożona na Administratora w niniejszym postępowaniu spełnia kryteria, o których mowa w art. 83 ust. 1 RODO. W związku z powyższym nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być skuteczna, proporcjonalna i odstraszająca. Dolegliwość kary, zdaniem Prezesa UODO, zdyscyplinuje Administratora do przestrzegania przepisów oraz do prawidłowej współpracy z Prezesem UODO w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Administratora. Nałożona niniejszą decyzją kara jest – w ocenie Prezesa UODO – taką reakcją na naruszenie, która jest zarówno skuteczna oraz proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą. Wskazać należy, że w ocenie Prezesa UODO, nałożenie na Administratora administracyjnej kary pieniężnej jest środkiem, który zapewni przestrzeganie nakazu orzeczonego wobec niego w drodze decyzji. Wobec nieprzedstawienia przez Administratora danych finansowych za rok 2021, Prezes UODO ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie wziął pod uwagę szacunkową wielkość Administratora oraz specyfikę, zakres i skalę jego działalności oraz ostatnie sprawozdanie finansowe Administratora za 2020 rok dostępne na stronie Krajowego Rejestru Sądowego. Komentarz Negatywnie należy ocenić charakter umyślny przedmiotowego zaniechania, a w związku z tym i nieprzestrzegania nakazu. Spółka odebrała zarówno decyzję, jak i późniejsze wezwanie do przedstawienia dowodów na jej wykonanie, a także upomnienie wzywające do wykonania nakazu decyzji. Administrator miał pełną świadomość ciążącego obowiązku, kiedy powinien być przez niego wykonany, a także tego czym zagrożone jest nieprzestrzegania tego obowiązku. Taka postawa Administratora godzi w podstawy systemu ochrony danych osobowych. Decyzja Prezesa UODO z 25.1.2023 r., DKE.561.24.2022,
Prezes UODO uznał administracyjną karę pieniężną za skuteczną, proporcjonalną i odstraszającą, mającą na celu zdyscyplinowanie Administratora do przestrzegania przepisów o ochronie danych osobowych oraz współpracy z organem nadzorczym. Kara ma również spełnić funkcję odstraszającą w przyszłych postępowaniach. Negatywnie oceniono umyślne nieprzestrzeganie nakazu przez Administratora, co godzi w podstawy systemu ochrony danych osobowych.