Kara pieniężna za brak współpracy z Prezesem UODO

Stwierdzono naruszenie przepisów RODO przez spółkę administracyjną polegające na braku współpracy z Prezesem UODO oraz niezapewnieniu dostępu do danych osobowych. Prezes UODO nałożył karę pieniężną w wysokości 56 592 zł za naruszenie art. 31 i art. 58 ust. 1 lit. a i lit. e RODO.

Tematyka: RODO, Prezes UODO, kara pieniężna, współpraca, naruszenie przepisów, dostęp do danych osobowych, postępowanie administracyjne

Stwierdzono naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO, polegające na braku
współpracy administratora z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz
niezapewnieniu Prezesowi dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań.
Prezes UODO nałożył na spółkę administracyjną karę pieniężną w kwocie 56 592 zł.
Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęła skarga podmiotu danych na
nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. S.A. z siedzibą w W. (dalej: Spółka),
polegające na niespełnieniu wobec podmiotu danych obowiązku informacyjnego, o którym mowa w art. 15 ust. 1 i 3
rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s.1; dalej: RODO).
Prezes UODO wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie poprzez
udzielenie odpowiedzi na następujące pytania dotyczące istoty sprawy:
1. „kiedy (należy wskazać dokładną datę), z jakiego źródła, na jakiej podstawie prawnej (należy wskazać konkretny
przepis/-y prawa), w jakim celu i w jakim zakresie (należy wymienić kategorie/rodzaje danych) Spółka pozyskała
dane osobowe podmiotu danych,
2. czy, a jeśli tak, to na jakiej podstawie prawnej (należy wskazać konkretny przepis/-y prawa), w jakim celu,
w jakim zakresie (należy wymienić kategorie/rodzaje danych) Spółka przetwarzała lub aktualnie przetwarza dane
osobowe podmiotu danych,
3. czy podmiot danych wystąpił do Spółki z wnioskiem o realizację jego praw z zakresu ochrony danych
osobowych, w szczególności uzyskania dostępu do informacji wymienionych w art. 15 ust. 1 RODO, a także
o udostepnienie kopii jego danych osobowych oraz jakie były działania Spółki w tym zakresie, czy, a jeśli tak, to
na jakiej podstawie prawnej, w jaki sposób oraz kiedy ustosunkowano się do żądania podmiotu danych".
W odpowiedzi na powyższe wezwanie Spółka udzieliła wyjaśnień w sprawie, w których wskazała, iż nie jest w stanie
jednoznacznie określić źródła pozyskania danych osobowych podmiotu danych. Pozostałe wyjaśnienia Spółki, nie
zawierały pełnej odpowiedzi na szczegółowe pytania Prezesa UODO, zamieszczone w wezwaniu do złożenia
wyjaśnień.
Prezes UODO ponownie wezwał Spółkę do nadesłania wyjaśnień i dowodów niezbędnych do zbadania zasadności
zarzutów podnoszonych przez podmiot danych.
Z uzasadnienia decyzji Prezesa UODO
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął
wobec niej z urzędu – na podstawie art. 83 ust. 5 lit. e RODO – postępowanie administracyjne, w przedmiocie
nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO.
Prezes UODO ustalił, że dane osobowe podmiotu danych przetwarzane były przez Spółkę, działającą w tym procesie
przetwarzania jako administrator, w celu przedstawienia mu informacji handlowej dotyczącej świadczonych przez
Spółkę usług. Jak wynika z materiału dowodowego zebranego w tej sprawie, przedstawiciel Spółki kilkakrotnie
kontaktował się z podmiotem danych telefonicznie z zamiarem przedstawienia mu oferty Spółki. Treści o charakterze
marketingowym Spółka kierowała również na adres poczty elektronicznej.
Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy
art. 83 ust. 5 lit. e in fine oraz art. 83 ust. 4 lit. a RODO – administracyjnej kary pieniężnej w związku z brakiem
współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 RODO) oraz
w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego
zadań, to jest do rozpatrzenia skargi wniesionej przez podmiot danych (art. 58 ust. 1 lit. a i lit. e w związku z art. 57
ust. 1 lit. f RODO).
Wobec stwierdzenia naruszenia przez Spółkę kilku przepisów - art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO,
stosownie do treści art. 83 ust. 3 RODO Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej
w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń.

Za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu mu przez Spółkę dostępu do
informacji potrzebnych do realizacji jego zadań, to jest naruszenie przepisu art. 58 ust. 1 lit. a i lit. e RODO,
zagrożone karą pieniężną w wysokości do 20 000 000 euro. O powadze tego naruszenia świadczy to, że brak
dostępu do informacji, których Prezes UODO żądał od Spółki, nie tylko stał na przeszkodzie obiektywnemu,
wnikliwemu i wszechstronnemu rozpatrzeniu sprawy, lecz skutkował również nadmiernym i nieuzasadnionym
przedłużeniem czasu trwania postępowania, co mogło uczynić uprawnienie podmiotu danych do żądania od Prezesa
UODO udzielenia mu ochrony jego praw i wolności bezskutecznym – wręcz fikcyjnym.
Zgodnie z art. 83 ust. 2 RODO, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na
ocenę naruszenia.
Postępowanie Spółki w niniejszej sprawie, polegające na braku złożenia wszystkich żądanych przez Prezesa UODO
wyjaśnień oraz dowodów – skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa
UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, z tego względu mające
dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę
naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone zaniechanie Spółki było ciągłe
i długotrwałe.
W ocenie Prezesa UODO po stronie Spółki zaistniał świadomy i celowy brak współpracy w zapewnieniu organowi
dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, o które Prezes UODO zwracał się do niej
wielokrotnie. Nieudzielenie odpowiedzi na kierowaną do Spółki korespondencję, Prezes UODO odbiera jako celowe
działanie mające na celu utrudnienie mu lub nawet uniemożliwienie dokonania oceny zasadności skargi wniesionej
przez Skarżącego.
Spółka odebrała wszystkie skierowane do niej wezwania, a więc, jak należy domniemywać, osoby zarządzające
Spółką były świadome treści żądań Prezesa UODO. Nieudzielenie odpowiedzi na nie musiało więc być efektem
zamierzonej decyzji osób działających w imieniu Spółki. Warto również podkreślić, że ostatnie skierowane do Spółki
pismo Prezesa UODO z 24.5.2023 r., informujące o wszczęciu niniejszego postępowania – oprócz informacji
o dokonanych przez Spółkę naruszeniach – wskazało również Spółce, iż ta ma jeszcze możliwość przedstawienia
informacji, których żądał od niej Prezes UODO. Spółka miała więc pełną świadomość popełnionego naruszenia
i wiedzę, w jaki sposób stan tego naruszenia zakończyć (przedstawić Prezesowi UODO żądane informacje, tj.
wyjaśnienia opatrzone podpisami osób uprawnionych do reprezentowania Spółki, zgodnie z treścią wpisu
w Krajowym Rejestrze Sądowym bądź oryginał lub potwierdzoną za zgodność z oryginałem kopię pełnomocnictwa,
z którego wynika upoważnienie do reprezentowania Spółki przed Prezesem UODO i składania wyjaśnień). Jednakże
Spółka nie zareagowała i na to pismo, co należy potraktować jako działanie świadome i celowe, wpływające
obciążająco na ocenę naruszenia stwierdzonego w niniejszej sprawie.
Niniejsze postępowanie administracyjne dotyczące naruszenia przez Spółkę art. 31 oraz art. 58 ust. 1 lit. a i lit. e
RODO nie jest pierwszym postępowaniem prowadzonym przez Prezesa UODO w stosunku do Spółki, w którym
doszło do stwierdzenia naruszenia przez Spółkę przepisów o ochronie danych osobowych. We wszystkich trzech
przypadkach Spółka nie udzieliła bowiem żądanych od niej informacji – do czego zobowiązana była na gruncie
przepisów RODO.
W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie
podjęła w żadnym stopniu współpracy z Prezesem UODO.
W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 RODO, nie przemawia za
złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary
orzeczonej niniejszą decyzją.

Komentarz
Wobec Spółki uprzednio zastosowano dwukrotnie środek naprawczy w postaci upomnienia. Zatem stosowane
dotychczas środki naprawcze nie odniosły efektu oczekiwanego przez Prezesa UODO. Środki te nie skłoniły Spółki
do współpracy z organem nadzorczym w kolejnych postępowaniach prowadzonych z jej udziałem.
Powyższe zostało uwzględnione jako przesłanka obciążająca, poczytywana na niekorzyść Spółki w niniejszym
postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej.

Decyzja Prezesa UODO z 30.08.2023 r., DOKE.561.8.2023,

Prezes UODO ustalił, że brak współpracy oraz niezapewnienie dostępu do danych osobowych stanowiło poważne naruszenie. Spółka nie udzieliła pełnych wyjaśnień, co spowodowało wszczęcie postępowania i nałożenie kary pieniężnej. Decyzja Prezesa UODO podkreśliła powagę naruszenia i braku współpracy ze strony Spółki.