Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęła skarga podmiotu danych na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. S.A. z siedzibą w W. (dalej: Spółka), polegające na niespełnieniu wobec podmiotu danych obowiązku informacyjnego, o którym mowa w art. 15 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s.1; dalej: RODO).
Prezes UODO wezwał Spółkę do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w sprawie poprzez udzielenie odpowiedzi na następujące pytania dotyczące istoty sprawy:
- „kiedy (należy wskazać dokładną datę), z jakiego źródła, na jakiej podstawie prawnej (należy wskazać konkretny przepis/-y prawa), w jakim celu i w jakim zakresie (należy wymienić kategorie/rodzaje danych) Spółka pozyskała dane osobowe podmiotu danych,
- czy, a jeśli tak, to na jakiej podstawie prawnej (należy wskazać konkretny przepis/-y prawa), w jakim celu, w jakim zakresie (należy wymienić kategorie/rodzaje danych) Spółka przetwarzała lub aktualnie przetwarza dane osobowe podmiotu danych,
- czy podmiot danych wystąpił do Spółki z wnioskiem o realizację jego praw z zakresu ochrony danych osobowych, w szczególności uzyskania dostępu do informacji wymienionych w art. 15 ust. 1 RODO, a także o udostepnienie kopii jego danych osobowych oraz jakie były działania Spółki w tym zakresie, czy, a jeśli tak, to na jakiej podstawie prawnej, w jaki sposób oraz kiedy ustosunkowano się do żądania podmiotu danych”.
W odpowiedzi na powyższe wezwanie Spółka udzieliła wyjaśnień w sprawie, w których wskazała, iż nie jest w stanie jednoznacznie określić źródła pozyskania danych osobowych podmiotu danych. Pozostałe wyjaśnienia Spółki, nie zawierały pełnej odpowiedzi na szczegółowe pytania Prezesa UODO, zamieszczone w wezwaniu do złożenia wyjaśnień.
Prezes UODO ponownie wezwał Spółkę do nadesłania wyjaśnień i dowodów niezbędnych do zbadania zasadności zarzutów podnoszonych przez podmiot danych.
Z uzasadnienia decyzji Prezesa UODO
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął wobec niej z urzędu – na podstawie art. 83 ust. 5 lit. e RODO – postępowanie administracyjne, w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO.
Prezes UODO ustalił, że dane osobowe podmiotu danych przetwarzane były przez Spółkę, działającą w tym procesie przetwarzania jako administrator, w celu przedstawienia mu informacji handlowej dotyczącej świadczonych przez Spółkę usług. Jak wynika z materiału dowodowego zebranego w tej sprawie, przedstawiciel Spółki kilkakrotnie kontaktował się z podmiotem danych telefonicznie z zamiarem przedstawienia mu oferty Spółki. Treści o charakterze marketingowym Spółka kierowała również na adres poczty elektronicznej.
Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e in fine oraz art. 83 ust. 4 lit. a RODO – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 RODO) oraz w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozpatrzenia skargi wniesionej przez podmiot danych (art. 58 ust. 1 lit. a i lit. e w związku z art. 57 ust. 1 lit. f RODO).
Wobec stwierdzenia naruszenia przez Spółkę kilku przepisów – art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO, stosownie do treści art. 83 ust. 3 RODO Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń.
Za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu mu przez Spółkę dostępu do informacji potrzebnych do realizacji jego zadań, to jest naruszenie przepisu art. 58 ust. 1 lit. a i lit. e RODO, zagrożone karą pieniężną w wysokości do 20 000 000 euro. O powadze tego naruszenia świadczy to, że brak dostępu do informacji, których Prezes UODO żądał od Spółki, nie tylko stał na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy, lecz skutkował również nadmiernym i nieuzasadnionym przedłużeniem czasu trwania postępowania, co mogło uczynić uprawnienie podmiotu danych do żądania od Prezesa UODO udzielenia mu ochrony jego praw i wolności bezskutecznym – wręcz fikcyjnym.
Zgodnie z art. 83 ust. 2 RODO, Prezes UODO wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia.
Postępowanie Spółki w niniejszej sprawie, polegające na braku złożenia wszystkich żądanych przez Prezesa UODO wyjaśnień oraz dowodów – skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez Prezesa UODO postępowania, należy więc uznać za godzące w system ochrony danych osobowych, z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Spółkę naruszenie nie było zdarzeniem jednorazowym i incydentalnym. Stwierdzone zaniechanie Spółki było ciągłe i długotrwałe.
W ocenie Prezesa UODO po stronie Spółki zaistniał świadomy i celowy brak współpracy w zapewnieniu organowi dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, o które Prezes UODO zwracał się do niej wielokrotnie. Nieudzielenie odpowiedzi na kierowaną do Spółki korespondencję, Prezes UODO odbiera jako celowe działanie mające na celu utrudnienie mu lub nawet uniemożliwienie dokonania oceny zasadności skargi wniesionej przez Skarżącego.
Spółka odebrała wszystkie skierowane do niej wezwania, a więc, jak należy domniemywać, osoby zarządzające Spółką były świadome treści żądań Prezesa UODO. Nieudzielenie odpowiedzi na nie musiało więc być efektem zamierzonej decyzji osób działających w imieniu Spółki. Warto również podkreślić, że ostatnie skierowane do Spółki pismo Prezesa UODO z 24.5.2023 r., informujące o wszczęciu niniejszego postępowania – oprócz informacji o dokonanych przez Spółkę naruszeniach – wskazało również Spółce, iż ta ma jeszcze możliwość przedstawienia informacji, których żądał od niej Prezes UODO. Spółka miała więc pełną świadomość popełnionego naruszenia i wiedzę, w jaki sposób stan tego naruszenia zakończyć (przedstawić Prezesowi UODO żądane informacje, tj. wyjaśnienia opatrzone podpisami osób uprawnionych do reprezentowania Spółki, zgodnie z treścią wpisu w Krajowym Rejestrze Sądowym bądź oryginał lub potwierdzoną za zgodność z oryginałem kopię pełnomocnictwa, z którego wynika upoważnienie do reprezentowania Spółki przed Prezesem UODO i składania wyjaśnień). Jednakże Spółka nie zareagowała i na to pismo, co należy potraktować jako działanie świadome i celowe, wpływające obciążająco na ocenę naruszenia stwierdzonego w niniejszej sprawie.
Niniejsze postępowanie administracyjne dotyczące naruszenia przez Spółkę art. 31 oraz art. 58 ust. 1 lit. a i lit. e RODO nie jest pierwszym postępowaniem prowadzonym przez Prezesa UODO w stosunku do Spółki, w którym doszło do stwierdzenia naruszenia przez Spółkę przepisów o ochronie danych osobowych. We wszystkich trzech przypadkach Spółka nie udzieliła bowiem żądanych od niej informacji – do czego zobowiązana była na gruncie przepisów RODO.
W toku niniejszego postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej Spółka nie podjęła w żadnym stopniu współpracy z Prezesem UODO.
W ocenie Prezesa UODO żadna z okoliczności, o których mowa w art. 83 ust. 2 RODO, nie przemawia za złagodzeniem ustalonego – z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru kary orzeczonej niniejszą decyzją.
Komentarz
Wobec Spółki uprzednio zastosowano dwukrotnie środek naprawczy w postaci upomnienia. Zatem stosowane dotychczas środki naprawcze nie odniosły efektu oczekiwanego przez Prezesa UODO. Środki te nie skłoniły Spółki do współpracy z organem nadzorczym w kolejnych postępowaniach prowadzonych z jej udziałem.
Powyższe zostało uwzględnione jako przesłanka obciążająca, poczytywana na niekorzyść Spółki w niniejszym postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →