II SA/WA 466/23

II SA/Wa 466/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-04
orzeczenie nieprawomocne
Data wpływu
2023-03-09
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Izabela Głowacka-Klimas /sprawozdawca/
Łukasz Krzycki /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 2277/24 - Postanowienie NSA z 2024-10-22
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art. art. 7, 77, 12 ust. 1, 107 par. 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. art. 5, 31, 33 ust. 1, 3 i 5, 51, 57 ust. 1 lit. a), 58 ust. 1 lit. a) i e)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Andrzej Wieczorek, , Protokolant starszy specjalista Ewa Kielak-Niedźwiedzka, po rozpoznaniu na rozprawie w dniu 4 marca 2024 r. sprawy ze skargi S. sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z [...] 29 grudnia 2022 r. nr [...](dalej decyzja
z [...] 29 grudnia 2022 r.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w przedmiocie nałożenia administracyjnej kary pieniężnej na S. sp. z o.o. z siedzibą w W. przy ul. W. [...](dalej: spółka, skarżąca), stwierdzając naruszenie przez spółkę przepisów art. 31 oraz art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej rozporządzenie 2016/679), polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu organowi dostępu do informacji niezbędnych do realizacji jego zadań, działając na podstawie na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm., dalej Kpa.) w związku z art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a ust. 2 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych
(Dz. U. z 2019 r., poz. 1781) oraz na podstawie art. 58 ust. 2 lit. i), art. 83 ust. 1-3,
art. 83 ust. 4 lit. a) w związku z art. 31 oraz art. 83 ust. 5 lit. e) rozporządzenia 2016/679,
nałożył na spółkę administracyjną karę pieniężną w kwocie 36.558 zł (słownie: trzydzieści sześć tysięcy pięćset pięćdziesiąt osiem złotych).
Do wydania powyższej decyzji doszło w następującym stanie sprawy.
W dniu [...][...] marca 2021 r. do Urzędu Ochrony Danych Osobowych wpłynęła informacja, złożona za pośrednictwem platformy ePUAP, od Prezesa Zarządu spółki o możliwym naruszeniu, ochrony danych osobowych w spółce polegającym na kradzieży danych osobowych przez pracownika tej spółki.
Prezes UODO w dniu [...] marca 2021 r. poinformował spółkę o obowiązkach wynikających z art. 33 ust. 1 i 3 rozporządzenia 2016/679, tj. o obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. Jednocześnie poinformował o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Ponadto zwrócił się do spółki
o przekazanie informacji, czy w związku z ww. możliwością wystąpienia naruszenia ochrony danych osobowych została dokonana analiza ryzyka incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia o tym fakcie Prezesa UODO oraz osób, których dotyczy naruszenie.
W odpowiedzi na powyższe wezwanie, spółka w dniu [...] kwietnia 2021 r. dokonała zgłoszenia naruszenia ochrony danych osobowych. Zgłoszenia dokonała za pośrednictwem ePUAP, podpisał podpisem elektronicznym Prezes Zarządu spółki. W związku z tym, że zgłoszenie nie zawierało wszystkich informacji niezbędnych Prezesowi UODO do oceny naruszenia ochrony danych osobowych, organ pismem z 8 lipca 2021 r. zwrócił się do spółki z wezwaniem do "prawidłowego wypełnienia wszystkich pól formularza zgłoszenia naruszenia ochrony danych osobowych.
Adresat odebrał pismo [...] lipca 2021 r. Na powyższe pismo organ nie uzyskał żadnej odpowiedzi, w związku z czym organ ponowił wezwanie pismem z [...] listopada 2021 r.
Spółka w dniu [...] listopada 2021 r. wskazała brak wysokiego poziomu ryzyka dla naruszenia praw lub wolności osób fizycznych.
W związku z tym Prezes UODO [...] grudnia 2021 r. wezwał spółkę do udzielenia kolejnych informacji niezbędnych do oceny naruszenia ochrony danych osobowych, stanowiącego przedmiot jej zgłoszenia, tj. do przekazania analizy ryzyka, na podstawie której stwierdzono brak wysokiego poziomu ryzyka naruszenia praw lub wolności osób fizycznych.
Spółka odebrała wspomniane pismo [...] grudnia 2021 r., jednak pozostawiła je bez odpowiedzi.
Prezes UODO pismem z [...] marca 2022 r. ponowił wezwanie z [...] grudnia
2021 r., przy czym również pozostało ono bez odpowiedzi.
Jak wynika z akt sprawy, w pismach organu z [...] grudnia 2021 r. i [...] marca
2022 r., zawarte zostało pouczenie, że brak złożenia przez spółkę wyjaśnień
w zakresie przedstawienia analizy ryzyka, na podstawie której spółka stwierdziła brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.
W związku z brakiem udzielenia przez spółkę informacji niezbędnych
do rozstrzygnięcia sprawy, Prezes UODO wszczął wobec niej z urzędu postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej
za naruszenie art. 31 oraz 58 ust 1 lit. a) i e) rozporządzenia 2016/679. Jednocześnie – celem ustalenia podstawy wymiaru kary – wezwał do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez spółkę w roku 2021. Ponadto poinformował spółkę o istniejącej nadal możliwości złożenia wyjaśnień (przedstawienia analizy ryzyka, na podstawie której spółka stwierdziła brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych), których żądał od niej w prowadzonym postępowaniu, co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej. Poinformował również o możliwości wypowiedzenia się przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
Spółka nie zajęła stanowiska wobec powyższego wezwania.
W uzasadnieniu przywołanej na wstępie decyzji Prezes UODO przytoczył przepisy regulujące postępowanie dotyczące naruszeń ochrony danych osobowych oraz określające zasady wymierzania administracyjnej kary pieniężnej i jej wysokości. Wskazał między innymi, że oceniając, czy, a jeśli tak, to w jakim wymiarze powinna być nałożona administracyjna kara pieniężna, organ nadzorczy ma obowiązek uwzględnić okoliczności (przesłanki wymiaru kary) określone w art. 83 ust. 2 rozporządzenia 2016/679. Ponadto organ nadzorczy – zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 – zapewnia by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
Zdaniem Prezesa UODO skoro spółka jest administratorem (poinformowała
o naruszeniu ochrony danych osobowych w swojej siedzibie i zgłosiła takowe naruszenie na urzędowym formularzu), organ uprawniony był – zgodnie z art. 58
ust. 1 lit. a) rozporządzenia 2016/679 – do nakazania jej przedstawienia informacji niezbędnych do oceny tego naruszenia, a spółka – na mocy art. 58 ust. 1 lit. e) rozporządzenia 2016/679 – zobowiązana była takie informacje przedstawić. Obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych, w myśl
art. 33 ust. 1 rozporządzenia 2016/679, spoczywa jedynie na administratorze -podmiocie, który stwierdzi naruszenie bezpieczeństwa przetwarzanych przez siebie danych.
Organ przypomniał, że w celu uzyskania informacji niezbędnych do oceny zgłoszonego naruszenia, dwukrotnie zwrócił się do spółki z wezwaniem
do przedstawienia analizy ryzyka. Oba pisma zostały przez spółkę odebrane, co pozwala przyjąć, że do jej świadomości dotarła informacja o toczącym się przed Prezesem UODO postępowaniu z jej udziałem, w tym o kierowanych do niej żądaniach organu. Pomimo to spółka nie przedstawiła żądanych przez Prezesa UODO
w postępowaniu informacji niezbędnych do oceny zgłoszonego naruszenia ochrony danych osobowych. Z kolei pismo informujące o wszczęciu tego postępowania, również pozostało bez odpowiedzi.
W ocenie organu postępowanie spółki polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych mu w prowadzonym postępowaniu wyczerpuje jednocześnie znamiona naruszenia art. 31 rozporządzenia 2016/679. Powyższe stwierdzenie uzasadnia dodatkowo okoliczność, że spółka
w żaden sposób nie próbowała usprawiedliwić faktu braku odpowiedzi na wezwania organu, nie kontaktowała się również z Urzędem Ochrony Danych Osobowych celem zasygnalizowania ewentualnych wątpliwości, które mogłaby powziąć odnośnie
do zakresu informacji, których udzielenia żądał Prezes UODO.
Mając na uwadze powyższe, Prezes UODO stwierdził, że w niniejszej sprawie zaistniały przesłanki, uzasadniające nałożenie na spółkę – na podstawie art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) in fine rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań (art. 31 rozporządzenia 2016/679) oraz
w związku z niezapewnieniem przez spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do oceny zgłoszonego przez spółkę naruszenia ochrony danych osobowych w prowadzonym postępowaniu.
Jednocześnie, wobec stwierdzenia naruszenia przez spółkę dwóch przepisów rozporządzenia 2016/679 (art. 31 oraz art. 58 ust. 1 lit. e)), stosownie do art. 83 ust. 3 tego aktu prawnego, Prezes UODO ustalił wysokość orzeczonej administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze z tych naruszeń. Za najpoważniejsze Prezes UODO uznał naruszenie polegające na niezapewnieniu przez spółkę dostępu do wszelkich informacji niezbędnych
do realizacji jego zadań, tj. naruszenie przepisu art. 58 ust. 1 lit. e) rozporządzenia 2016/679, zagrożone karą o wysokości wyższej z dwóch przewidzianych
w rozporządzeniu 2016/679 – do 20 000 000 EURO, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego,
w zależności od tego, która kwota jest wyższa.
Decydując o nałożeniu na spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające na ocenę naruszenia.
I tak, w zakresie charakteru, wagi i czasu trwania naruszenia (art. 83 ust. 2
lit. a) rozporządzenia 2016/6791) stwierdził, że naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów
i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Postępowanie spółki w niniejszej sprawie, polegające na ignorowaniu podjętych przez nią wezwań Prezesa UODO, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego postępowania, organ uznał za godzące w system ochrony danych osobowych i z tego względu mające dużą wagę i naganny charakter. W ocenie organu wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez spółkę naruszenie nie było zdarzeniem incydentalnym, było ciągłe i długotrwałe. Trwało od upływu 7-dniowego terminu wyznaczonego na przedstawienie analizy ryzyka naruszenia w wezwaniu z [...] grudnia 2021 r. skierowanego przez Prezesa UODO do spółki, to jest od [...] grudnia 2021 r., do dnia wydania niniejszej decyzji.
Co do umyślnego charakteru naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/6791), w ocenie Prezesa UODO po stronie spółki zaistniał świadomy i celowy brak współpracy w zapewnieniu organowi dostępu do wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której Prezes UODO zwracał się do spółki o ich udzielenie. Nieudzielenie odpowiedzi na kierowaną do spółki korespondencję, Prezes UODO uznał jako celowe działanie mające na celu utrudnienie mu lub nawet uniemożliwienie dokonania oceny zgłoszonego naruszenia. Podkreślił, że spółka odebrała skierowane do niej wezwania, a więc, jak należy domniemywać, osoby zarządzające spółką były świadome żądań Prezesa UODO. Nieudzielanie odpowiedzi na nie musiało więc być w takiej sytuacji efektem świadomej i celowej decyzji osób działających w imieniu spółki. Zaś skierowane do spółki pismo Prezesa UODO z [...] października 2022 r., informujące o wszczęciu postępowania – oprócz informacji o dokonanych przez spółkę naruszeniach – wskazało również spółce, że ma jeszcze możliwość przedstawienia informacji, których żądał od niej Prezes UODO. Spółka miała więc pełną świadomość popełnionego naruszenia
i wiedzę w jaki sposób stan tego naruszenia zakończyć. Jednakże nie zareagowała
i na to pismo, co należy potraktować jako działanie świadome i celowe, wpływające obciążająco na ocenę naruszenia stwierdzonego w niniejszej sprawie.
W zakresie stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679), organ stwierdził, że w toku postępowania
w przedmiocie nałożenia na spółkę administracyjnej kary pieniężnej, nie podjęła ona w żadnym stopniu współpracy z Prezesem UODO. W szczególności spółka nie przedstawiła informacji żądanych przez Prezesa UODO, co mogłoby być potraktowane jako działanie mające na celu usunięcie stwierdzonego w niniejszej sprawie naruszenia lub złagodzenie jego skutków. Taki brak współpracy z Prezesem UODO skutkuje w dalszym ciągu uniemożliwieniem Prezesowi UODO dokonania szybkiej
i wnikliwej oceny naruszenia ochrony danych osobowych.
W ocenie Prezesa UODO żadna z przesłanek, o których mowa wart. 83 ust. 2 rozporządzenia 2016/679, nie przemawia za złagodzeniem ustalonego –
z uwzględnieniem wyżej wskazanych okoliczności obciążających – wymiaru orzeczonej niniejszą decyzją kary.
Ze względu na specyficzny charakter naruszenia (dotyczący relacji organu nadzorczego z administratorem, a nie administratora z osobami, których dane dotyczą), następujące okoliczności w ocenie organu nie mogły być wzięte pod uwagę, a mianowicie:
• liczba poszkodowanych osób i rozmiar poniesionej przez nie szkody
(art. 83 ust. 2 lit. a) rozporządzenia 2016/679) – ze względu na to, że naruszenie polegające na nieudzieleniu przez spółkę Prezesowi UODO dostępu do niezbędnych informacji, nie wiąże się z naruszeniem danych osobowych żadnej osoby
i w konsekwencji nie wystąpiły w sprawie żadne szkody po stronie osób fizycznych,
• działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkód poniesionych przez osoby, których dane dotyczą (art. 83
ust. 2 lit. c) rozporządzenia 2016/679) – ze względu na to, że w sprawie nie wystąpiły żadne szkody po stronie osób fizycznych, brak jest obowiązku i możliwości podjęcia przez spółkę jakichkolwiek działań mających na celu ich zminimalizowanie,
• stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679) – ze względu na to, że naruszenie w samej swojej istocie nie wiąże się ze środkami technicznymi i organizacyjnym wdrożonymi przez spółkę
w celu zapewnienia ochrony danych osobowych oraz bezpieczeństwa ich przetwarzania,
• kategorie danych osobowych, których dotyczyło naruszenie (art. 83
ust. 2 lit. g) rozporządzenia 2016/679) – ze względu na to, że naruszenie nie wiąże się z naruszeniem żadnych danych osobowych.
Pozostałe, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne, to znaczy niemające ani obciążającego, ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej, a mianowicie:
• wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e) Rozporządzenia 2016/679); Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez spółkę, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej; a ponieważ taki stan (przestrzeganie przepisów o ochronie danych osobowych) jest stanem naturalnym, wynikającym z ciążących na spółce obowiązków prawnych, nie może mieć on również wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia,
• sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83
ust. 2 lit. h) rozporządzenia 2016/679); informację o stwierdzonym w niniejszej sprawie naruszeniu Prezes UODO uzyskał z urzędu analizując przebieg toczącego się przed nim postępowania; jest to naturalny sposób powzięcia informacji o tego rodzaju naruszeniu (to jest o niezapewnieniu dostępu do niezbędnych informacji) wynikający
z kompetencji Prezesa UODO do oceny przebiegu tego postępowania i oceny jakie informacje są mu niezbędne do rozstrzygnięcia prowadzonej sprawy; brak jest więc podstaw do negatywnej oceny faktu, że informacja o naruszeniu nie pochodzi od spółki; fakt ten nie może być jednak też uwzględniony na korzyść spółki skoro nie brała ona żadnego udziału w uzyskaniu przez Prezesa UODO informacji o naruszeniu,
• przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) rozporządzenia 2016/679); przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec spółki w rozpatrywanej sprawie, żadnych środków wymienionych
w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia,
• stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji (art. 83 ust. 2 lit. j) rozporządzenia 2016/679); spółka nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679; ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść spółki; na korzyść spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych,
• osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust 2 lit. k) rozporządzenia 2016/679); Prezes UODO nie stwierdził, żeby spółka w związku z nieudzieleniem żądanych przez niego informacji, odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat, brak jest więc podstaw do traktowania tej okoliczności, jako obciążającej spółkę,
• Prezes UODO rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Jak podał organ, wobec nieprzedstawienia przez spółkę żądanych przez Prezesa UODO danych finansowych za rok 2021, ocena wielkości spółki i jej potencjału ekonomicznego, jako podstawy wymiaru wymierzonej jej administracyjnej kary pieniężnej, dokonana została przez Prezesa UODO w sposób szacunkowy –
w oparciu o ogólnie dostępne, dotyczące spółki, dane finansowe za lata 2020-2021.
Ustalając wymiar administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę dane finansowe dotyczące spółki dostępne w serwisie Krajowego Rejestru Sądowego. Z danych tych wynika, że obrót (przychód netto ze sprzedaży) spółki
w dwóch ostatnich latach, za które złożyła sprawozdania finansowe w KRS, wynosił: w 2020 r.: 3 025 404,64 zł, w 2021 r.: 2 226 547,47 zł. Natomiast zysk netto, który spółka osiągnęła w 2021 r. wyniósł 828 630,15 zł. Poziom przychodów osiągnięty
w 2021 r. świadczy o stabilnej sytuacji finansowej spółki, a wykazywany w tym okresie zysk netto – o dużej rentowności prowadzonej przez spółkę działalności.
Ze sprawozdania działalności spółki wynika, że kondycja spółki jest dobra, nie posiada ona żadnych przeterminowanych zobowiązań wobec kontrahentów krajowych
i zagranicznych, jak również wobec Skarbu Państwa, a płynność finansowa jest zachowana.
W ocenie organu wysokość orzeczonej kary odpowiada zasadom wskazanym w art. 83 ust. 1 rozporządzenia 2016/679. Jej dotkliwość w wymiarze finansowym zdyscyplinuje spółkę do prawidłowej współpracy z Prezesem UODO, zarówno
w dalszym toku postępowania, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jej udziałem przed Prezesem UODO. W wymiarze dyscyplinującym spółkę kara będzie więc skuteczna. Przez swoją dolegliwość spełni też funkcję odstraszającą, będzie jasnym sygnałem zarówno dla spółki, jak i dla innych podmiotów zobowiązanych na mocy przepisów rozporządzenia 2016/679
do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych
z zapewnieniem dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. Nałożona na spółkę kara jest również –
w ocenie Prezesa UODO – proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez spółkę (nie zagrozi bytowi spółki i możliwości dalszego prowadzenia przez nią dotychczasowej działalności).
Spółka wywiodła do Wojewódzkiego Sądu Administracyjnego w W. skargę na wskazaną na wstępie decyzję Prezesa UODO. Zaskarżonej decyzji zarzuciła naruszenie przepisów postępowania mających istotny wpływ na wynik sprawy, w postaci art. 7, 77 i 80 Kpa., poprzez ich niezastosowanie i niedostateczne wyjaśnienie okoliczności sprawy i niezebranie w jej toku dostatecznej ilości materiału dowodowego, co doprowadziło do błędnego ustalenia stanu faktycznego,
a w konsekwencji do nieustalenia okoliczności, które winny mieć wpływ na ocenę charakteru i wagi rzekomo umyślnego charakteru naruszenia, stopnia współpracy
z Prezesem UODO oraz innych łagodzących czynników występujących w sprawie,
a to w szczególności do nieustalenia, że: (i) skarżąca podjęła kontakt telefoniczny
z Prezesem UODO i podjęła współpracę w celu wyjaśnienia sprawy, (ii) zaniechanie skarżącej było nieumyślne, (iii) sytuacja osobista A. G. (jedynego członka zarządu skarżącej) oraz I. G. (jedynego prokurenta skarżącej) związana
z bardzo poważnym wypadkiem, jaki przydarzył się ich córce, skutkującym stanem śpiączki mózgowej ich córki, musi stanowić w sprawie okoliczność łagodzącą,
co w konsekwencji doprowadziło do orzeczenia wobec skarżącej surowej kary administracyjnej w sytuacji, w której tej kary administracyjnej orzekać nie należało. Skarżąca wniosła o dopuszczenie i przeprowadzenie dowodu uzupełniającego z następujących dokumentów:
1) oświadczenia pracownika skarżącej, Pani D. P.
z 18 stycznia 2023 r.,
2) zrzutu ekranu z połączeń telefonicznych wykonanych przez Panią D. P., celem wykazania współpracy skarżącej z organem, kontaktu skarżącej z organem, nieumyślności w nieprzekazaniu żądanych informacji, dochowania staranności w kontaktach z organem, braku zawinienia ze strony skarżącej,
3) karty informacyjnej A. G. z Ośrodka B. w W.
z [...] września 2021 r.,
4) informacji z Ośrodka [...],
5) planu podróży lotniczej Pana A. G. w dniach 13-23 grudnia
2021 r.,
6) planu podróży lotniczej Pana A. G. w dniach 02-29 stycznia
2022 r., celem wykazania ciężkiego, powypadkowego stanu zdrowia córki A.
i I. następujących faktów: stanu śpiączki mózgowej ich córki, przebywania
w ośrodku leczniczym w Polsce oraz a terenie Niemiec, częstych wyjazdów A. G. do Niemiec w celu odwiedzin córki i opieki nad nią w okresie procedowania przez organ niniejszej sprawy.
W związku z podniesionymi zarzutami skarżąca wniosła o uwzględnienie skargi i uchylenie decyzji w całości; zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.
Zdaniem skarżącej badając w postępowaniu poprzedzającym wydanie decyzji charakter, wagę i czas trwania naruszenia, organ nie wziął pod uwagę okoliczności związanych z próbą uzyskania informacji przez pracownika skarżącej od organu co do treści wymaganych dokumentów. W piśmie z 16 grudnia 2021 r. Prezes UODO wezwał skarżącą do przekazania organowi analizy ryzyka w odniesieniu do możliwego naruszenia ochrony danych osobowych w spółce. Skarżąca, pragnąc udzielić szczegółowej odpowiedzi i przygotować odpowiednie dokumenty, poleciła pracownikowi spółki – Pani D. P., wykonanie telefonu do organu w celu uzyskania instrukcji w tym zakresie, przy czym pracownik organu, z którym rozmawiała nie był w stanie jednak odpowiedzieć na jej pytania.
Skarżąca nie miała na celu utrudniania lub przedłużania postępowania prowadzonego przez Prezesa UODO. Wręcz przeciwnie, próbowała uzyskać informacje co do oczekiwanego kształtu wymaganych dokumentów, tak aby przygotować je zgodnie z instrukcją organu.
Nie można również uznać, w ocenie skarżącej, wbrew twierdzeniom zawartym w decyzji, że naruszenie jest ciągłe i trwa od momentu przesłania skarżącej pierwszego wezwania z 16 grudnia 2021 r. Skarżąca próbowała bowiem podjąć współpracę z Prezesem UODO i zapewnić mu dostęp do niezbędnych informacji, było to jednak uniemożliwione ze względu na brak informacji ze strony organu. Skarżąca oświadczyła, że gotowa jest przesłać wszelkie żądane informacji, gdy tylko otrzyma instrukcje co do formy i treści żądanej analizy.
Zdaniem skarżącej odnotowane przez organ zaniechanie, polegające
na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań, poprzez nieudostępnienie analizy ryzyka, nie było umyślne. Skarżąca
od początku planowała przekazać Prezesowi UODO wszystkie potrzebne mu informacje i dokumenty, potrzebowała jednak doprecyzowania ze strony organu co do tego, w jaki sposób i w jakiej formie powinna je przedstawić. Skarżąca nigdy nie miała na celu utrudnienia dokonania oceny zgłoszonego naruszenia.
Skarżąca wyjaśniła, że Państwo G. od czasu wypadku córki w dużo większym zakresie opierają się na pomocy pracowników w zakresie prowadzenia bieżącej działalności, zlecając część zadań, które wcześniej wykonywali osobiście. Osoba odpowiedzialna za przekazywanie Panu A. korespondencji nie dostarczyła mu dwóch przedostatnich pism organu, w związku z czym nie zdawał sobie on sprawy z tego, że toczy się postępowanie w sprawie i że powinien przedstawić swoje stanowisko. W okresie, w którym dostarczona została informacja o wszczęciu postępowania przeciwko skarżącej, córka Państwa G. przechodziła ciężkie zakażenie układu oddechowego.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Jak wynika ze zgromadzonego w niniejszej sprawie materiału dowodowego, S.sp. z o.o. przesłała do organu informację o możliwym naruszeniu ochrony danych osobowych, polegającego na kradzieży danych osobowych przez pracownika tej spółki. Zgłoszenie, dokonane za pośrednictwem ePUAP, podpisał podpisem elektronicznym Prezes Zarządu spółki.
W związku z tym Prezes UODO w dniu [...] marca 2021 r. poinformował spółkę o obowiązkach wynikających z art. 33 ust. 1 i 3 rozporządzenia 2016/679,
tj. o obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. Ponadto zwrócił się do spółki o przekazanie informacji, czy w związku z ww. możliwością wystąpienia naruszenia ochrony danych osobowych została dokonana analiza ryzyka incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia o tym fakcie Prezesa UODO oraz osób, których dotyczy naruszenie.
Spółka w dniu [...] kwietnia 2021 r. dokonała zgłoszenia incydentu dotyczącego naruszenia danych osobowych, jednak powyższe zgłoszenie nie zwierało wszystkich informacji niezbędnych do oceny naruszenia danych osobowych, stanowiących przedmiot zgłoszenia spółki. Wezwano spółkę ponownie pismem z dnia [...] lipca
2021 r. do uzupełniania formularza zgłoszenia. Adresat odebrał pismo [...] lipca 2021 r. Na powyższe pismo organ nie uzyskał żadnej odpowiedzi, w związku z czym organ ponowił wezwanie pismem z [...] listopada 2021 r.
Spółka w dniu [...] listopada 2021 r. wskazała brak wysokiego poziomu ryzyka dla naruszenia praw lub wolności osób fizycznych.
Prezes UODO dwukrotnie pismem z dnia [...] grudnia 2021 r. i [...] marca 2022 r. wezwał spółkę do udzielenia kolejnych informacji niezbędnych do oceny naruszenia ochrony danych osobowych, stanowiącego przedmiot jej zgłoszenia, tj. do przekazania analizy ryzyka, na podstawie której spółka stwierdziła brak wysokiego ryzyka praw lub wolności osób fizycznych. Spółka odebrała wspomniane pisma, przy czym również pozostały one bez odpowiedzi.
Jak wynika z akt sprawy, w pismach organu z [...] grudnia 2021 r. i [...] marca
2022 r., zawarte zostało pouczenie, że brak złożenia przez spółkę wyjaśnień
w zakresie przedstawienia analizy ryzyka, na podstawie której spółka stwierdziła brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679.
Stan faktyczny sprawy nie jest kwestionowany, skarżąca wskazuje jedynie, że nie mogła współpracować z organem z uwagi na fakt, że córka Prezesa uległa poważnemu wypadkowi w Niemczech i koniecznym było zapewnienie jej opieki.
W związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. [...] zainicjowanej zgłoszeniem skarżącej spółki, Prezes UODO wszczął z urzędu wobec spółki - w oparciu o art. 83 ust. 4 lit. a) oraz ust. 5 lit. e) rozporządzenia 2016/679, w związku z naruszeniem przez spółkę art. 31 i art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 - postępowanie administracyjne w przedmiocie nałożenia na spółkę administracyjnej kary pieniężnej.
O wszczęciu postepowania w przedmiocie nałożenia kary pieniężnej poinformowano spółkę pismem z dnia [...] października 2022 r. (doręczenie pisma nastąpiło w dniu [...] października 2022 r.). Jednocześnie w ww. piśmie – celem ustalenia podstawy wymiaru kary – organ wezwał do przedstawienia sprawozdania finansowego lub innego dokumentu przedstawiającego wysokość obrotu i wyniku finansowego osiągniętego przez spółkę w roku 2021. Ponadto poinformował spółkę
o istniejącej nadal możliwości złożenia wyjaśnień (przedstawienia analizy ryzyka,
na podstawie której spółka stwierdziła brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych), których żądał od niej w prowadzonym postępowaniu,
co mogłoby wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej. Poinformował również o możliwości wypowiedzenia się przed wydaniem decyzji administracyjnej, co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
Spółka nie zajęła stanowiska wobec powyższego wezwania.
Sąd wskazuje ponadto, że postępowania zarówno w zakresie niniejszego wymierzenia kary pieniężnej jak i w zakresie zgłoszenia naruszenia danych osobowych toczyło się wyłącznie w formie pisemnej, dokumenty, o których mowa powyżej a szczegółowo w stanie faktycznym niniejszego uzasadnienia, obrazują
w pełni (w sposób wyczerpujący) fakt skierowania do skarżącej żądania zapewnienia dostępu do informacji niezbędnych do rozstrzygnięcia sprawy, zakres żądanych przez Prezesa UODO informacji oraz zakres informacji przedstawionych przez skarżącą.
Sąd jeszcze raz wskazuje, że przedmiotem niniejszego postępowania jest nałożenie kary pieniężnej za naruszenie polegające na niezapewnieniu dostępu do informacji niezbędnych Prezesowi UODO do rozstrzygnięcia sprawy dotyczącej naruszenia danych osobowych.
Przepis art. 5 rozporządzenia 2016/679 statuuje zasady dotyczące przetwarzania danych osobowych i z racji jego usytuowania we wspomnianym akcie prawnym, otwiera rozdział II zatytułowany "Zasady", ma dla całej regulacji charakter podstawowy. Zasadom tym przypisuje się nadrzędną moc w stosunku do pozostałych przepisów o ochronie danych osobowych (tak P. Fajgielski, "Zasady ogólne przetwarzania...", s. 17). Przede wszystkim oznacza to, że mają one charakter dyrektyw interpretacyjnych, zgodnie z którymi należy dokonywać wykładni poszczególnych przepisów. Jednocześnie zasady przetwarzania danych nie są jedynie postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, lecz mają charakter normatywny. Określają one bowiem, jak zauważa autor, obowiązki skierowane do administratorów. Korelatem nałożonych na administratorów obowiązków zaliczanych do zasad przetwarzania danych są określone przez prawodawcę unijnego sankcje za ich naruszenie, w tym przede wszystkim w postaci administracyjnych kar pieniężnych. Podkreślenia wymaga, że naruszenie podstawowych zasad przetwarzania danych określonych m.in. w art. 5 zgodnie z art. 83 ust. 5 lit. a) może skutkować administracyjną karą pieniężną
w podwyższonej wysokości (por. "RODO Ogólne Rozporządzenie o Ochronie Danych. Komentarz", redakcja naukowa Edyta Bielak-Jomaa, Dominik Lubasz i in., s. 324-325, Wolters Kluwer, Warszawa 2018).
Zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679, Prezes UODO - jako organ nadzorczy w rozumieniu art. 51 rozporządzenia 2016/679 - na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)).
Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi
i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś - zgodnie z art. 83 ust. 5 lit. e) in fine rozporządzenia 2016/679 - administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 rozporządzenia 2016/679.
Jak wskazuje doktryna, szczególną kompetencją organu nadzorczego - Prezesa UODO - jest prawo do nakładania administracyjnych kar pieniężnych, zgodnie z art. 83 rozporządzenia 2016/679, oprócz lub zamiast pozostałych kompetencji naprawczych przyznanych w przepisie art. 58 tego aktu prawnego.
Odnosząc przytoczone powyżej przepisy rozporządzenia 2016/679
do ustalonego w niniejszej sprawie, a przywołanego w części historycznej niniejszego uzasadnienia, stanu faktycznego, stwierdzić należy, że skarżąca spółka - strona prowadzonego przez Prezesa UODO postępowania o naruszenie danych osobowych o sygn. [...] naruszyła ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań - w tym przypadku do merytorycznego rozstrzygnięcia sprawy o wspomnianej sygnaturze. Innymi słowy, postępowanie spółki stanowi o uniemożliwieniu organowi nadzorczemu realizacji jego uprawnienia określonego w art. 58 ust. 1 lit. e) rozporządzenia 2016/679.
W postępowaniu o naruszenie danych osobowych o sygn. [...] Prezes UODO, o czym była już mowa, kilkukrotnie wezwał skarżącą spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Spośród wystosowanych wezwań trzy z nich, z [...] lipca 2021 r., [...] grudnia 2021 r.
i [...] marca 2022 r. zostały pozostawione bez odpowiedzi, na jedno z wezwań 19 listopada 2021 r. skarżąca udzieliła odpowiedzi, co najmniej niepełnej.
Również wobec pisma z [...]października 2022 r. o wszczęciu postępowania
w przedmiocie nałożenia administracyjnej kary pieniężnej w związku
z niezapewnieniem dostępu do żądanych przez Prezesa UODO informacji, skarżąca nie zajęła stanowiska.
Reasumując pomimo skoncentrowanych działań organu podejmowanych na przestrzeni od 29[...] marca 2021 r. do [...] października 2022 r. nie pozyskał on informacji niezbędnych do rozstrzygnięci sprawy o naruszenie ochrony danych osobowych z wniosku S.sp. z o.o., dlatego też organ w celu przymuszenia skarżącej do działania wszczął postepowania w przedmiocie nałożenia kary pieniężnej. Wyżej opisane postępowanie skarżącej w sprawie o naruszenie przetwarzania danych osobowych o sygn. [...]wskazuje na brak woli współpracy
z Prezesem UODO w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej rażące lekceważenie swoich obowiązków dotyczących współpracy z Prezesem UODO w ramach wykonywania przez niego zadań określonych rozporządzeniem 2016/679. Powyższe stwierdzenie uzasadnia dodatkowo okoliczność, że skarżąca w żaden sposób, w toku postępowania przed organem, nie próbowała usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na trzy wezwania do złożenia wyjaśnień, nie kontaktowała się również pisemnie z Urzędem Ochrony Danych Osobowych celem zasygnalizowania ewentualnych wątpliwości, które mogłaby powziąć odnośnie do zakresu informacji, o których udzielenie wystąpił Prezes UODO.
Reasumując powyższe działanie skarżącej a właściwie jego brak wskazuje
w sposób prosty na naruszenie obowiązku współpracy z organem nadzorczym
w ramach wykonywanych przez niego zadań, co stanowi naruszenie art. 31 rozporządzenia 2016/679.
Podkreślenia wymaga, że analiza ryzyka przetwarzania danych osobowych, której domagał się organ w sprawie o naruszenie przetwarzania danych osobowych
o sygn. [...]jest obowiązkiem spółki i odgrywa kluczową rolę
w ocenie naruszenia ochrony danych osobowych.
Należy wskazać, że utrudnianie i uniemożliwianie uzyskania dostępu
do informacji, których Prezes UODO żądał od skarżącej, stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym - określonymi w art. 12 ust. 1 Kpa. - zasadami wnikliwości i szybkości postępowania.
Podzielić należy stanowisko organu, że skarżąca nie udzieliła pełnych
i zgodnych ze stanem sprawy oraz wystarczających i przystających do poczynionych ustaleń wyjaśnień związanych z kierowanymi przez organ wezwaniami,
w szczególności nie udzieliła jakichkolwiek odpowiedzi na trzy wezwania.
W ocenie Sądu wydanie rozstrzygnięcia przez organ w zakresie naruszenia przetwarzania danych osobowych jedynie w oparciu o zgłoszenie naruszenia
i wskazanie, że brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, byłoby rażącym złamaniem zasad postępowania administracyjnego, w tym art. 7
i art. 77 Kpa..
Zdaniem Sądu podnoszona przez skarżącą okoliczność, że już w toku postępowania zakończonego wydaniem zaskarżonej decyzji usiłowała kontaktować się z organem telefonicznie jest w sprawie o tyle nie istotna, gdyż nie dowodzi, że strona kontaktowała z pracownikiem prowadzącym niniejsze postępowanie, a Infolinia nie służy do udzielania informacji w konkretnych sprawach. Skarżącej ponadto były znane sposoby komunikacji z organem, gdyż komunikowała się w sprawie z organem ePUAP-em i za pośrednictwem Poczty Polskiej.
Z treści skargi wynika, że skarżąca oczekiwała od pracownika Infolinii Urzędu "instrukcji co do formy i treści żądanej analizy", "informacji co do oczekiwanego kształtu wymaganych dokumentów, tak aby przygotować je zgodnie z instrukcją organu" czy też "doprecyzowania [...] w jaki sposób i w jakiej formie powinna je przedstawić". Odnośnie do tego oczekiwania skarżącej stwierdzić należy, że Prezes UODO pismami z [...] grudnia 2021 r. oraz [...] marca 2022 r. zwrócił się do skarżącej "o przekazanie analizy ryzyka, na podstawie której administrator stwierdził brak wysokiego ryzyka naruszenia praw lub wolności osób fizycznych". Żądanie Prezesa UODO nie miało więc na celu spowodowanie dokonania przez skarżącą czynności w przyszłości (właśnie na skutek skierowania do skarżącej tego żądania) a jedynie udokumentowanie czynności dokonanej w przeszłości (przedstawienie analizy ryzyka, która musiała być przez skarżącą dokonana przed złożeniem prawidłowego zgłoszenia naruszenia ochrony danych osobowych, a które to zgłoszenie zawierało ocenę braku wysokiego poziomu ryzyka związanego z naruszeniem). Takie żądanie Prezesa UODO było uzasadnione w związku z ciążącym na skarżącej obowiązkiem dokumentowania naruszenia ochrony danych osobowych, o którym to obowiązku mowa w art. 33 ust. 5 rozporządzenia 2016/679, oraz w świetle sformułowanej
w art. 5 ust. 2 rozporządzenia 2016/679 "zasady rozliczalności" stanowiącej, że administrator musi być w stanie wykazać przestrzeganie zasad przetwarzania danych osobowych. Należy zauważyć, że przepisy te nie przewidują żadnych wymogów czy też ograniczeń związanych zarówno z treścią analizy ryzyka jak i formą jej utrwalenia i udokumentowania. Są one determinowane jedynie postulatem zawartym w przepisie art. 33 ust. 5 rozporządzenia 2016/679 - "dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu".
W ocenie Sądu z akt niniejszego postepowania wyłania się ustalony w sprawie stan faktyczny, tak więc w sprawie nie doszło do naruszenia art. 7, 77, 107 § 3 Kpa..
Reasumując, w ocenie Sądu, Prezes UODO zasadnie stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na skarżącą - na mocy art. 83 ust. 5 lit. e) in fine rozporządzenia 2016/679 - administracyjnej kary pieniężnej
w związku z niezapewnieniem przez skarżącą dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy
o naruszenie przetwarzania danych osobowych o sygn. [...]
Zgodnie z art. 83 ust. 1 rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Definiując wyżej wskazane zasady wymierzania administracyjnych kar pieniężnych odnieść się należy do poglądów doktryny prawa o ochronie danych osobowych. "Sankcja jest skuteczna, jeśli pozwala osiągnąć cel, dla którego ją wprowadzono. Sankcja jest proporcjonalną jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku. Sankcja jest zaś odstraszająca, jeśli realizuje względy prewencji indywidualnej i generalnej, innymi słowy, stanowi czytelny sygnał
o dezaprobowaniu naruszenia dla społeczeństwa, a także dla samego adresata sankcji" (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. Komentarz do art. 83 [wJ P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Tak zdefiniowane zasady wymierzania administracyjnych kar pieniężnych wymagają odniesienia się do wielkości, możliwości finansowych i pozycji ukaranego podmiotu na rynku, a za miernik tych atrybutów ukaranego podmiotu, w przypadku gdy jest nim przedsiębiorstwo. Rozporządzenie 2016/679 pozwala przyjąć całkowity roczny światowy obrót
z poprzedniego roku obrotowego (art. 83 ust. 4 i 5 rozporządzenia 2016/679). Uzupełniając tę zasadę przepis art. 101 a ust. 2 u.o.d.o. stanowi, że w przypadku braku takich danych Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej w oparciu o szacunki, co do wielkości podmiotu, specyfiki prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu. Odniesienie się do potencjału ekonomicznego ukaranego podmiotu jest konieczne gdyż m.in. kara niewspółmiernie niska w stosunku do możliwości finansowych sprawcy naruszenia (kara wręcz "niezauważalna" dla tego podmiotu) nie będzie skuteczna
i odstraszająca dla tego podmiotu; kara zbyt dolegliwa (kara, której uiszczenie zagrozi bytowi podmiotu) nie będzie natomiast karą proporcjonalną.
Ponieważ w niniejszej sprawie skarżąca spółka mimo wezwania organu nie przedstawiła danych finansowych za 2021 r., organ słusznie zdaniem Sądu posiłkował się danymi finansowymi spółki zawartymi w KRS. Z danych tych wynika, że obrót (przychód netto ze sprzedaży) spółki w dwóch ostatnich latach, za które złożyła sprawozdania finansowe w KRS, wynosił: w 2020 r.: 3 025 404,64 zł, w 2021 r.: 2 226 547,47 zł. Natomiast zysk netto, który spółka osiągnęła w 2021 r. wyniósł 828 630,15 zł. Poziom przychodów osiągnięty w 2021 r. świadczy o stabilnej sytuacji finansowej spółki, a wykazywany w tym okresie zysk netto - o dużej rentowności prowadzonej przez spółkę działalności. Ze sprawozdania działalności spółki wynika, że kondycja spółki jest dobra, spółka nie posiada żadnych przeterminowanych zobowiązań wobec kontrahentów krajowych i zagranicznych, jak również wobec Skarbu Państwa,
a płynność finansowa jest zachowana.
Reasumując orzeczenie kary w wysokości 36,558 zł jest adekwatne do ww. zasad. Sąd podziela stanowisko organu co do zastosowanej wysokości kary pieniężnej, która orzeczona została z uwzględnieniem wagi i rodzaju popełnionego przez skarżącą naruszenia oraz charakteru samego podmiotu (spółki), wobec którego ta kara została wymierzona. Na wysokość kary pieniężnej miała niewątpliwie wpływ okoliczność, że skarżąca na żadnym etapie postępowania nie podjęła próby usprawiedliwienia swojego postępowania. Zważywszy, że skarżąca spółka jest przedsiębiorcą, podmiotem profesjonalnie uczestniczącym w obrocie gospodarczym, którego działalność związana jest z przetwarzaniem danych osobowych (w związku ze świadczonymi usługami), winna mieć świadomość, że jej postępowanie w zakresie prowadzonych przez organ czynności wyjaśniających stanowi naruszenie przepisu art. 58 ust. 1 lit. e) rozporządzenia 2016/679, co skutkować będzie zastosowaniem wobec niej sankcji w postaci nałożenia administracyjnej kary pieniężnej.
Podkreślenia wymaga, że stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku uwagę na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu.
Decydując o nałożeniu w niniejszej sprawie na skarżącą spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO w ocenie Sądu słusznie wziął - spośród nich - pod uwagę wszystkie okoliczności wpływająco obciążająco na ocenę naruszenia, czemu dał wyraz w uzasadnieniu zaskarżonej decyzji, tj.:
1. charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a)), który trwał blisko rok i polegał na uporczywym ignorowaniu wezwań organu, skutkującym nieuzasadnionym przedłużeniem postępowania;
2. umyślny charakter naruszenia (art. 83 ust. 2 lit. b)), celem wyjaśnienia umyślnego charakteru naruszenia Sąd wskazuje na art. 29 Wytycznych Grupy Roboczej
w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjęte w dniu 3 października 2017 r.), zgodnie z którymi umyślność "obejmuje zarówno wiedzę, jak i celowe działanie, w związku
z cechami charakterystycznymi czynu zabronionego"; odnosząc tę definicję do okoliczności niniejszej sprawy stwierdzić należy, że skarżąca miała świadomość (wiedzę), że jej działanie w postępowaniu o sygn. [...], od momentu bezskutecznego upływu terminu wyznaczonego jej przez Prezesa UODO w wezwaniu z 16 grudnia 2021 r., stanowiło naruszenie przepisów rozporządzenia 2016/679; w wezwaniu tym, które odebrane zostało przez skarżącą, została ona pouczona, że brak złożenia wyjaśnień (przekazania analizy ryzyka) może skutkować nałożeniem na nią administracyjnej kary pieniężnej;
3. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f)), tu Sąd wskazuje, że spółka nie podjęła w żadnym stopniu współpracy z organem.
W tym miejscu należy podzielić stanowisko organu, że żadna z przesłanek zawartych w art. 83 ust. 2 nie przemawiała za złagodzeniem wymiaru kary.
W ocenie Sądu zebrany w sprawie materiał dowodowy jest pełny
i wyczerpujący. Jako taki poddany został przez Prezesa UODO wszechstronnemu
i wnikliwemu rozpatrzeniu, w wyniku którego ustalony został stan faktyczny sprawy, do którego organ zastosował właściwe przepisy rozporządzenia 2016/679.
W konsekwencji zasadnie nałożył na skarżącą administracyjną karę pieniężną, której wysokość uzasadnił z uwzględnieniem przepisu art. 107 § 3 Kpa..
Na zakończenie należy podzielić stanowisko organu, że sprawca deliktu administracyjnego może podnosić w postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej okoliczności leżące po jego stronie, subiektywne, takie które mogłyby służyć zindywidualizowaniu jego odpowiedzialności w konkretnych okolicznościach sprawy. Niewątpliwie do takich okoliczności można by zaliczyć trudną sytuację osobistą lub rodzinną sprawcy naruszenia lub - jeśli sprawa dotyczy osoby prawnej lub innej jednostki organizacyjnej - osób nimi zarządzających - choroba dziecka.
W niniejszej sprawie jednak skarżąca nie skorzystała z takiej możliwości,
w związku z czym Prezes UODO nie mógł uwzględnić i poczytać na korzyść skarżącej tych okoliczności podniesionych przez nią dopiero w skardze.
W ocenie Sądu badanie (w tym zbieranie i przetwarzanie danych osobowych)
z urzędu tak wrażliwej sfery życia osób fizycznych (nie będących przecież nawet sprawcami naruszenia - skarżącą - a osobami od niej odrębnymi) jak sytuacja osobista i rodzinna, stan zdrowia (w tym nieletnich), nie tylko nie jest obowiązkiem organu, ale nie należy też do jego uprawnień i kompetencji.
Zgodnie wyrokiem Trybunału Konstytucyjnego z [...] lipca 2002 r., sygn. akt [...], sprawca naruszenia może ewentualnie zwolnić się z odpowiedzialności jeśli wykaże, że uczynił wszystko czego można było od niego rozsądnie wymagać, aby do naruszenia przepisów nie dopuścić.
W ocenie Sądu, trudno uznać żeby w czasie trwania stanu naruszenia (trwającego co najmniej rok od daty pierwszego wezwania do przedstawienia analizy ryzyka do daty wydania zaskarżonej decyzji) skarżąca uczyniła wszystko co rozsądnie możliwe do wykonania w celu usunięcia naruszenia, nawet wziąwszy pod uwagę trudną sytuację rodzinną osób reprezentujących spółkę.
Na każdym podmiocie uczestniczącym w obrocie gospodarczo-prawnym spoczywa bowiem obowiązek takiego zorganizowania jego pracy, aby utrzymać jego zdolność do funkcjonowania zgodnie z przepisami prawa, a w tym przypadku do prawidłowego uczestniczenia w postępowaniach prowadzonych przed Prezesem UODO. W niniejszej sprawie rozsądnie byłoby oczekiwać od skarżącej przykładowo: rozszerzenia składu zarządu spółki, skorzystania z instytucji pełnomocnictwa czy chociażby wnioskowania o wydłużenie terminów na dokonanie czynności procesowych.
Mając powyższe na uwadze, Sąd, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi
(t.j. Dz. U. z 2023 r. poz. 1634 ze zm.), skargę oddalił.