Kara Prezesa UODO za brak dostępu do informacji niezbędnych do realizacji jego zadań

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na spółkę za brak współpracy i dostępu do informacji niezbędnych do realizacji jego zadań zgodnie z RODO. Brak odpowiedzi ze strony spółki skutkował wszczęciem postępowania administracyjnego i nałożeniem kary w wysokości 18 864 zł.

Tematyka: Prezes UODO, administracyjna kara pieniężna, RODO, brak współpracy, dostęp do informacji, ochrona danych osobowych, naruszenie, postępowanie administracyjne, wysokość kary, świadome działanie, ochrona prywatności

Prezes UODO stwierdził naruszenie przez spółkę przepisów art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO,
polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań oraz
na niezapewnieniu dostępu do informacji niezbędnych do realizacji jego zadań. W związku z powyższym
nałożono na spółkę administracyjną karę pieniężną w kwocie 18 864 zł.
Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęła skarga Pana J.M., zamieszkałego
we W. (dalej: podmiot danych) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez T. sp.
z o. o. z siedzibą w K. (dalej: Spółka) polegające na udostępnieniu podmiotom nieuprawnionym jego danych
osobowych w postaci numeru telefonu.
Celem rozpatrzenia skargi podmiotu danych Prezes UODO wszczął postępowanie administracyjne o sygnaturze
DS.523.776.2022, w ramach którego – na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego
i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s.1; dalej: RODO) – pismem z lutego 2022 r.
wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie, w szczególności do
udzielenia odpowiedzi na pytania w istotnych dla sprawy kwestiach, a także do przedstawienia ewentualnych
dowodów potwierdzających złożone wyjaśnienia. Pismo to zostało odebrane przez adresata, jednak pozostało bez
jakiejkolwiek reakcji ze strony Spółki.
W związku z powyższym Prezes UODO ponownie zwrócił się do Spółki o udzielenie wyjaśnień w sprawie. Wezwanie
to zostało odebrane przez adresata i również pozostało bez jakiejkolwiek odpowiedzi. Kolejnym pismem
skierowanym do Spółki Prezes UODO ponowił wezwanie do złożenia wyjaśnień w sprawie. Wezwanie to doręczone
zostało Spółce i również pozostało bez odpowiedzi.
W pismach Prezesa UODO zawarte zostało skierowane do Spółki pouczenie, że brak odpowiedzi na wezwanie
skutkować może, w związku z brakiem współpracy z Prezesem UODO w ramach wykonywania przez niego swoich
zadań oraz niezapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji
jego zadań, nałożeniem na Spółkę – zgodnie z art. 83 ust. 4 lit. a lub art. 83 ust. 5 lit. e RODO – administracyjnej kary
pieniężnej w wysokości do 20 000 000 euro lub do 4 % obrotu przedsiębiorstwa.
W związku z nieudzieleniem przez Spółkę informacji żądanych przez Prezesa UODO w postępowaniu o sygnaturze
DS.523.776.2022, Prezes UODO wszczął wobec niej z urzędu – na podstawie wyżej wskazanych przepisów –
niniejsze postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za
naruszenie art. 31 RODO oraz art. 58 ust. 1 RODO (lit. a i e).
Z uzasadnienia decyzji Prezesa UODO
Prezes UODO ustalił – w oparciu o informacje i dowody przedstawione przez podmiot danych w jego skardze oraz
wobec braku zaprzeczenia tej okoliczności przez Spółkę – że dane osobowe podmiotu danych przetwarzane były
przez Spółkę, działającą w tym procesie przetwarzania jako administrator, celem przedstawienia mu informacji
handlowej dotyczącej świadczonych przez nią usług. Jak wynika bowiem z materiału dowodowego zebranego w tej
sprawie Spółka ustaliła cel przetwarzania danych osobowych podmiotu danych (przedstawienie mu oferty swojej
własnej usługi) oraz sposób ich przetwarzania (dwukrotne przesłanie oferty usługi krótką wiadomością tekstową
z własnego numeru telefonu na numer telefonu podmiotu danych). Tym samym rola Spółki w procesie przetwarzania
danych osobowych wypełniła definicję „administratora”.
Bezspornym jest, że Prezes UODO – realizując uprawnienie, o którym mowa w art. 58 ust. 1 lit. a RODO – skierował
do Spółki - żądanie dostarczenia informacji potrzebnych do realizacji swoich zadań – w tym przypadku do
merytorycznego rozstrzygnięcia sprawy o sygnaturze DS.523.776.2022. Bezsporny jest też fakt, że Prezes UODO
nie uzyskał od Spółki żądanych informacji, co stanowi naruszenie art. 58 ust. 1 RODO (lit. a i e).
Działanie Spółki polegające na niezapewnieniu Prezesowi UODO dostępu do informacji potrzebnych mu do
dokładnego wyjaśnienia stanu faktycznego sprawy o sygnaturze DS.523.776.2022 wyczerpuje jednocześnie
znamiona naruszenia art. 31 RODO.

Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy
art. 83 ust. 5 lit. e in fine oraz art. 83 ust. 4 lit. a RODO – administracyjnej kary pieniężnej w związku z brakiem
współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 RODO) oraz
w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego
zadań - to jest do rozpatrzenia skargi wniesionej przez podmiot danych (art. 58 ust. 1 RODO (lit. a i e) w związku
z art. 57 ust. 1 lit. f RODO).
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął
pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia.
Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu
ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też
szerzej – do ochrony jej prywatności. Postępowanie Spółki w niniejszej sprawie, polegające na ignorowaniu
odebranych przez siebie wezwań Prezesa UODO, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem
prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych
osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo
okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem incydentalnym. Działanie Spółki było ciągłe
i długotrwałe.
W ocenie Prezesa UODO postępowanie Spółki w sprawie o sygnaturze DS.523.776.2022, polegające na całkowitym
braku współpracy w zapewnieniu organowi dostępu do informacji potrzebnych do rozpatrzenia skargi wniesionej
przez Skarżącego, było świadome i celowe. Żądania Prezesa UODO dotarły do świadomości Spółki (a w zasadzie
osób nią zarządzających), skoro odbiór kierowanych do niej wezwań potwierdzany był każdorazowo podpisami osób
upoważnionych do odbioru pism zamieszczonymi na zwrotnych potwierdzeniach odbioru korespondencji. Spółka
miała więc pełną świadomość popełnionego naruszenia, a także wiedzę w jaki sposób stan tego naruszenia
zakończyć (przez przedstawienie Prezesowi UODO żądanych przez niego informacji). Spółka tego nie uczyniła aż do
dnia wydania decyzji kończącej postępowanie w sprawie zainicjowanej skargą podmiotu danych, co świadczy
w ocenie Prezesa UODO o uporczywości jej działania nacelowanego świadomie na trwanie w stanie naruszenia
przepisów RODO. Taka motywacja postępowania Spółki zasługuje na zdecydowanie negatywną ocenę ze strony
organu nadzorczego i musi wpłynąć obciążająco na ocenę dokonanego przez nią naruszenia.
W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie
podjęła w żadnym stopniu współpracy z Prezesem UODO.
Stosownie do brzmienia art. 83 ust. 1 RODO nałożona przez organ nadzorczy administracyjna kara pieniężna
powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2021, ustalając
wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, szacunkową
wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności. W ocenie Prezesa UODO Spółka
prowadzi działalność gospodarczą na niewielką skalę. W związku z tym, że ukaraniu w niniejszej sprawie podlega
niewielki podmiot, nałożona na niego niniejszą decyzją administracyjna kara pieniężna w stosunkowo niewielkiej
wysokości (stanowiącej 0,02 % maksymalnej wysokości kary, którą zgodnie z art. 83 ust. 5 lit. e in fine RODO Prezes
UODO mógł orzec za stwierdzone w niniejszej sprawie naruszenie) będzie dla niego karą dolegliwą i przez to
skuteczną, ale również możliwą do jej poniesienia bez zagrożenia materialnych podstaw jego bytu i prowadzonej
przez niego działalności.

Komentarz
Współpraca administratora z organem nadzorczym obejmuje przede wszystkim obowiązek przedstawienia organowi
– na jego żądanie – wszelkich posiadanych przez siebie informacji związanych z przedmiotem prowadzonego z jego
udziałem postępowania administracyjnego. Skutkiem braku dostępu do informacji, których Prezes UODO żądał od
Spółki, była przeszkoda w obiektywnym, wnikliwym i wszechstronnym rozpatrzeniu sprawy, a także nieuzasadnione
przedłużenie czasu trwania postępowania zainicjowanego skargą podmiotu danych.
Prezes UODO, w omawianej sprawie, ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie
nieprzekraczającej wysokości kary za najpoważniejsze z naruszeń. Prezes UODO uznał właśnie za takie naruszenie
polegające na niezapewnieniu mu przez Spółkę dostępu do informacji potrzebnych do realizacji jego zadań, to jest
naruszenie przepisu art. 58 ust. 1 RODO (lit. a i e).

Decyzja Prezesa UODO z 2.6.2023 r., DKE.561.38.2022,

Prezes UODO uznał działania spółki za świadome i celowe, naruszające przepisy RODO oraz prawo do ochrony danych osobowych. Nałożenie administracyjnej kary pieniężnej było skuteczne i proporcjonalne, mając na celu odstraszenie od podobnych działań w przyszłości.