Stan faktyczny

Do Urzędu Ochrony Danych Osobowych (dalej: UODO) wpłynęła skarga na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Funeda Sp. z o.o. (dalej: Spółka) polegające na udostępnieniu danych osobowych skarżącego na rzecz B. S.A. (dalej: B.) oraz C. Sp. z o.o. (dalej: C) bez podstawy prawnej oraz niespełnieniu obowiązku w trybie art. 15 RODO. Prezes UODO w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia wniesionej skargi zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na następujące pytania dotyczące sprawy:

  1. z jakiego źródła, na jakiej podstawie prawnej (proszę wskazać konkretne przepisy prawa) oraz w jakim celu i zakresie Spółka pozyskała dane osobowe Skarżącego;
  2. czy Spółka aktualnie przetwarza lub przetwarzała dane osobowe skarżącego, a jeżeli tak to w jakim celu, na jakiej podstawie prawnej i jakie są to dane (należy wskazać konkretne przepisy prawa oraz przedłożyć kopię dokumentów na podstawie których Spółka przetwarza lub przetwarzała dane osobowe skarżącego);
  3. czy i kiedy, na jakiej podstawie prawnej (proszę wskazać konkretne przepisy prawa), w jakim celu i zakresie Spółka przekazała dane osobowe skarżącego do B. i C. (jeżeli Spółka zawarła z tymi podmiotami umowę powierzenia przetwarzania danych osobowych należy przesłać jej kopię) oraz do kiedy dane osobowe skarżącego będą przetwarzane ww. sposób (proszę wskazać konkretną datę);
  4. czy skarżący kierował do Spółki wniosek na podstawie art. 15 RODO, a jeżeli tak to kiedy i w jaki sposób Spółka ustosunkowała się do powyższego (proszę o przedłożenie korespondencji w tej sprawie pomiędzy Spółką i skarżącym);
  5. czy Spółka informowała skarżącego o przekazaniu jego danych osobowych na rzecz E. Fundusz Inwestycyjny Zamknięty Niestandaryzowany Fundusz Sekurytyzacyjny – jeżeli tak to kiedy i w jaki sposób (proszę o przedłożenie korespondencji w tej sprawie do skarżącego), jeżeli nie – na jakiej podstawie prawnej odstąpiono od wykonania obowiązku informacyjnego w powyższym zakresie.

Spółka nie udzieliła informacji niezbędnych do rozpatrzenia sprawy i nie ustosunkowała się do pisma informującego o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej i informującego o możliwości wypowiedzenia się co do zgromadzonego w sprawie materiału dowodowego. W ramach postępowania podejmowane były wielokrotnie próby kontaktu telefonicznego i mailowego ze Spółką w oparciu o dane zawarte na stronie internetowej. Do dnia wydania niniejszej decyzji Spółka nie skontaktowała się z Urzędem.

Bezpieczeństwo danych i IT w kancelarii prawnej radcowskiej/adwokackiej/notarialnej/ komorniczej. Skonfiguruj Twój System Legalis! Sprawdź

Z uzasadnienia Decyzji

Uchybienie przepisom RODO, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 RODO (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś – zgodnie z art. 83 ust. 5 lit. e in fine RODO – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Odnosząc przytoczone powyżej przepisy RODO do opisywanej sprawy należy stwierdzić należy, że Spółka jako strona prowadzonego przez Prezesa UODO postępowania naruszyła ciążący na niej obowiązek współpracy z Prezesem UODO, ponieważ nie dostarczyła informacji niezbędnych organowi ochrony danych do realizacji jego zadań, tym samym uniemożliwiając mu dostęp do informacji oraz danych osobowych, niezbędnych do merytorycznego rozstrzygnięcia wyżej wymienionej sprawy skargowej. Powyższe uzasadnia dodatkowo okoliczność, że Spółka w żaden sposób nie próbowała usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na wezwania do złożenia wyjaśnień, jak również nie kontaktowała się z UODO w sprawie. Wyżej opisane działanie Spółki stanowi naruszenie art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO.

Prezes UODO dwukrotnie wezwał Spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Spółka pomimo odbioru korespondencji nie udzieliła żadnej odpowiedzi na pisma skierowane przez Prezesa UODO. Powyższego stanu rzeczy nie zmienił również fakt wszczęcia postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. Spółka pomimo prawidłowego zawiadomienia przez organ nadzorczy, a nadto pouczona o przysługującym jej prawie do wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań, nie podjęła żadnych czynności zmierzających do wyjaśnienia zaistniałej po jej stronie bezczynności ani usprawiedliwienia braku współpracy z Prezesem UODO w związku z czym nie dała możliwości pełnego i wnikliwego rozpatrzenia przez organ ochrony danych skargi osoby, której dane zostały naruszone.

W przedstawionym stanie faktycznym za najpoważniejsze należy uznać naruszenie polegające na niezapewnieniu przez Spółkę dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych Prezesowi UODO do realizacji jego zadań, tj. naruszenie przepisów art. 58 ust. 1 lit. a i lit. e RODO. O powadze tego naruszenia świadczy to, że uniemożliwianie uzyskania informacji, których Prezes UODO żądał i żąda od Spółki, nie tylko stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym.

Mając na uwadze powyższe ustalenia, Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę, na mocy art. 83 ust. 5 lit. e in fine RODO, administracyjnej kary pieniężnej. Prezes UODO wziął – spośród przesłanek – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia.

Utrudnianie dostępu do informacji ciężkim naruszeniem

Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały RODO, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Działania Spółki w niniejszej sprawie, polegające na utrudnieniu i uniemożliwieniu dostępu do żądanych przez Prezesa UODO informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem incydentalnym. Działanie Spółki było ciągłe i długotrwałe.

W ocenie Prezesa UODO po stronie Spółki istnieje brak woli współpracy w zapewnieniu organowi wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której organ zwracał się do niej o ich udzielenie. Świadczy o tym w szczególności brak jakiejkolwiek odpowiedzi na pisma Prezesa UODO skierowane do Spółki. Spółka na żadnym etapie postępowań nie podjęła próby usprawiedliwienia takiego postępowania. Zważywszy, że Spółka jest podmiotem profesjonalnie uczestniczącym w obrocie prawno-gospodarczym, przyjąć należy ponadto, że miała ona (i ma do chwili obecnej) świadomość, że jej działanie polegające na nie udzielaniu informacji stanowi naruszenie podstawowych obowiązków Spółki, w szczególności obowiązków wynikających z RODO.

W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Spóła nie złożyła w dalszym ciągu żadnych wyjaśnień do sprawy co utrudnia Prezesowi UODO wydanie rozstrzygnięcia w tej sprawie.

Kara ma za zadanie zdyscyplinować Spółkę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Prezesem UODO. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Spółki jak i dla innych podmiotów zobowiązanych na mocy przepisów RODO do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.

Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83 ust. 2 RODO nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia.

Zgodnie z art. 31 RODO administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Jest to jeden z podstawowych obowiązków nałożonych na podmioty odpowiadające za przetwarzanie danych osobowych. Od podmiotu prowadzącego działalność w zakresie udzielania kredytów oczekuje się, że nie tylko będzie współpracował z Prezesem UODO w celu wyjaśnienia sprawy, ale też, że będzie działał w taki sposób, aby nie doprowadzić do nadmiernego i nieuzasadnionego przedłużania postępowania.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Wypróbuj! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →