Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Andrzej Wieczorek, Sędzia WSA Sławomir Fularski, po rozpoznaniu na posiedzeniu niejawnym w dniu 26 stycznia 2021 r. sprawy ze skargi E. Sp. z o.o. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2020 r. nr [...] w przedmiocie nałożenia kary pieniężnej – oddala skargę –

Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z [...] maja 2020 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U.

z 2020 r. poz. 256; dalej Kpa.) oraz art. 7 ust 1 i ust. 2, art. 60, art. 101, art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) w związku z art. 31, art. 58 ust 1 lit. e) w związku z art. 83 ust. 1-3 oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia

27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej "Rozporządzeniem 2016/679"),

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego

w sprawie nałożenia na [...] sp. z o.o. z siedzibą w J. G. (dalej: spółka, skarżąca) administracyjnej kary pieniężnej, stwierdzając naruszenie przez spółkę przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające

na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, to jest do rozpatrzenia skargi Pana D.S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez spółkę jego danych osobowych, nałożył na [...] sp. z o.o. z siedzibą w J. G. administracyjną karę pieniężną w kwocie 15.000 złotych, co stanowi równowartość 3.505,16 euro, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów

na dzień 28 stycznia 2020 r.

Do wydania powyższej decyzji doszło w następującym stanie sprawy.

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga D. S., obywatela Niemiec, na przetwarzanie przez spółkę, właściciela serwisu internetowego [...] jego danych osobowych w celach marketingowych pomimo zgłoszonego sprzeciwu.

Prezes UODO w ramach wszczętego postępowania administracyjnego

(pod sygn. [...]) prowadzonego celem rozpatrzenia wniesionej przez D.S. skargi, zwrócił się do spółki pismem z [...] marca 2019 r. o ustosunkowanie się do treści tej skargi oraz o odpowiedź na następujące pytania dotyczące sprawy, a mianowicie:

1) na jakiej podstawie prawnej, w jakim celu i zakresie spółka aktualnie przetwarza dane osobowe D. S.oraz z jakiego źródła dane te pozyskała,

2) czy D.S. zwrócił się z żądaniem usunięcia jego danych osobowych przez spółkę,

3) dlaczego i na jakiej podstawie prawnej, w przypadku zwrócenia się D.S. o usunięcie jego danych osobowych, dotychczas nie zastosowano się do jego żądania.

Powyższe pismo organu, prawidłowo doręczone spółce 26 marca 2019 r., pozostało bez odpowiedzi.

Pismem z [...] maja 2019 r. organ ponownie zwrócił się do spółki z wezwaniem do ustosunkowania się do treści skargi oraz do udzielenia odpowiedzi

na sformułowane uprzednio pytania. Pismo to doręczone zostało spółce 31 maja 2019 r.

W piśmie z [...] czerwca 2019 r., stanowiącym odpowiedź na ww. wezwanie organu, Prezes zarządu spółki oświadczył, że "Spółka nie przetwarzała, ówcześnie ani aktualnie, danych osobowych Skarżącego" oraz że "Spółka nie udostępniała, ówcześnie ani aktualnie, danych osobowych Skarżącego". Jednocześnie Prezes zarządu spółki oświadczył, że "Spółka uzyskała dane osobowe Skarżącego z sieci Internet", gdzie "są one udostępnione w wyszukiwarce Google".

Uznając powyższe wyjaśnienia za niewystarczające Prezes UODO, pismem

z [...] września 2019 r., zwrócił się do spółki o udzielenie dodatkowych wyjaśnień

w sprawie, w szczególności o wyjaśnienie:

1) na jakiej podstawie prawnej, w jakim celu i zakresie spółka przetwarzała bądź aktualnie przetwarza dane osobowe D. S.,

2) relacji łączącej w dniu [...] czerwca 2018 r. spółkę z Panem P. K., który działając w imieniu spółki skierował tego dnia na adres e-mail D. S. wiadomość o charakterze - w ocenie D. S.- marketingowym,

3) czy, a jeśli tak, to w jaki sposób spółka ustosunkowała się do żądania D. S.z [...] czerwca 2018 r. o usunięcie jego danych osobowych i zaprzestanie wysyłania do niego treści marketingowych,

4) jeśli spółka nie zastosowała się do żądania D. S.- dlaczego i na jakiej podstawie prawnej to nastąpiło.

Na powyższe pismo, prawidłowo doręczone spółce [...] września 2019 r., spółka nie udzieliła odpowiedzi.

Pismami z [...] maja 2019 r. oraz z [...] września 2019 r. spółka pouczona została, że brak odpowiedzi na wezwania Prezesa UODO skutkować może - zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 - nałożeniem na spółkę administracyjnej kary pieniężnej.

W związku z nieudzieleniem przez spółkę informacji niezbędnych

do rozstrzygnięcia sprawy, zainicjowanej skargą D. S., Prezes UODO wszczął z urzędu wobec spółki - w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z naruszeniem przez spółkę art. 58 ust. 1 lit a) i e) Rozporządzenia 2016/679 - postępowanie administracyjne w przedmiocie nałożenia na spółkę administracyjnej kary pieniężnej.

O wszczęciu postępowania spółka poinformowana została pismem z [...] lutego 2020 r., doręczonym 14 lutego 2020 r. Pismem tym spółka wezwana została również - celem ustalenia podstawy wymiaru kary, w oparciu o art. 101 a ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) - do przedstawienia sprawozdania finansowego za rok 2019 lub - w przypadku jego braku - oświadczenia o wysokości obrotu i wyniku finansowego osiągniętego przez spółkę w 2019 r.

W reakcji na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, Prezes zarządu spółki skierował

do Prezesa UODO pismo z [...] lutego 2020 r., w którym wniósł o odstąpienie

od nałożenia administracyjnej kary pieniężnej oraz o umorzenie postępowania

w sprawie. Jednocześnie złożył wyjaśnienia, wskazując w szczególności, że:

1) spółka aktualnie nie przetwarza danych osobowych D. S., a wcześniej pozyskane zostały "z powszechnie dostępnych baz danych" i przetwarzane były w zakresie imienia, nazwiska oraz adresu e-mail D. S. "w celu jednorazowego doręczenia Skarżącemu wiadomości e-mail";

2) P. K. był pracownikiem spółki a "czynności wykonywane przez P.K. wykonywane były zatem przez niego jako pracownika Spółki, w ramach przedstawionego mu zakresu czynności"; w nawiązaniu do tej części wyjaśnień Prezes zarządu Spółki przedstawił w załączeniu do swojego pisma kopie trzech umów o pracę (z [...] kwietnia 2018 r., z [...] sierpnia 2018 r. oraz z [...] kwietnia 2019 r.) zawartych pomiędzy spółką a Panem P. K.;

3) na żądanie D.S. z [...] czerwca 2018 r. spółka "zaprzestała jakiejkolwiek korespondencji, nie przesyłała do Skarżącego dalszych wiadomości e-mail z uwagi na zgłoszone żądanie oraz usunęła dane osobowe Skarżącego".

Spółka nie przedstawiła w załączeniu swojego pisma z [...] lutego 2020 r. sprawozdania finansowego za rok 2019, informując, że "nie przygotowała jeszcze" takiego dokumentu. Spółka nie złożyła również oświadczenia o wysokości obrotu

i wyniku finansowego osiągniętego w 2019 roku, którego Prezes UODO zażądał na wypadek niemożności przedstawienia sprawozdania finansowego.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes UODO wydał wskazaną na wstępie decyzję.

W uzasadnieniu decyzji organ wyjaśnił, że zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679 Prezes UODO - jako organ nadzorczy w rozumieniu

art. 51 Rozporządzenia 2016/679 - na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi

i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych

do realizacji jego zadań (art. 58 ust. 1 lit. a) oraz uprawnienie do uzyskania

od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e).

Organ wskazał, że naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega - zgodnie

z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 - administracyjnej karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa -

w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Dodał, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym

w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.

Wobec powyższego organ stwierdził, że spółka - administrator danych osobowych D. S. - jako strona prowadzonego przez Prezesa UODO postępowania, naruszyła ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań - w tym przypadku

do merytorycznego rozstrzygnięcia tej sprawy. Uznał w związku z tym, że takie działanie spółki stanowi naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.

Prezes UODO przypomniał, że w trakcie prowadzonego postępowania organ trzykrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. I tak, pierwsze pismo wystosowane [...] marca 2019 r. (prawidłowo doręczone spółce [...] marca 2019 r.) pozostało bez odpowiedzi, odpowiedź na drugie wezwanie Prezesa UODO (z [...] maja 2019 r., prawidłowo doręczone spółce [...] maja 2019 r.) była dalece niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań), wewnętrznie sprzeczna (spółka z jednej strony stwierdziła, że uzyskała dane osobowe D. S. z sieci Internet, a z drugiej oświadczyła, że "nie przetwarzała, ówcześnie ani aktualnie, danych osobowych Skarżącego") i -

w ocenie Prezesa UODO - lekceważąca zarówno organ jak i sprawę, w toku której organ zażądał wyjaśnień. Trzecie pismo wystosowane przez Prezesa UODO do spółki (z [...] września 2019 r., prawidłowo doręczone [...] września 2019 r.), zawierające wyjaśnienie podstawowych kwestii związanych z przetwarzaniem danych (w tym samego pojęcia "przetwarzania danych") oraz dodatkowe pytania mające na celu ustalenie stanu faktycznego sprawy, ponownie pozostało bez odpowiedzi. Bardziej obszerne wyjaśnienia spółka złożyła dopiero w piśmie z [...] lutego 2020 r. stanowiącym odpowiedź na pismo organu informujące o wszczęciu niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z niezapewnieniem dostępu do żądanych przez Prezesa UODO informacji. Jednakże, jak uznał Prezes UODO, nawet i te wyjaśnienia są niepełne

i wymagać będą prowadzenia dalszego postępowania wyjaśniającego,

w szczególności dotyczy to odpowiedzi na pytanie o relację łączącą w dniu [...] czerwca 2018 r. spółkę z Panem P.K., który działając w imieniu spółki skierował tego dnia na adres e-mail D. S. wiadomość o charakterze -

w ocenie D. S. - marketingowym. Spółka oświadczyła w odpowiedzi na to pytanie, że P. K. zatrudniony był w spółce na podstawie umowy o pracę. Jednocześnie załączyła do swojego pisma kopie trzech umów o pracę, które nie tylko nie potwierdziły wyjaśnień spółki, ale spowodowały dodatkowe wątpliwości co do stanu faktycznego sprawy. Po pierwsze, jak podał organ, zgodnie z treścią wszystkich trzech umów o pracę, ich stroną był Pan P. K., a nie Pan P. K. (spółka w swoim piśmie nie wyjaśniła skąd ta rozbieżność). Po drugie, okresy obowiązywania przedstawionych umów dotyczyły okresów zarówno przed jak i po dniu, o który wyraźnie pytał Prezes UODO (dniu, w którym Pan P. K. skierował do D. S. wiadomość e-mail, czyli [...] czerwca 2018 r.); nie obejmowały zaś akurat tego konkretnego dnia (umowa o pracę na czas określony z [...] kwietnia 2018 r. zawarta była na czas od [...] kwietnia 2018 r. do [...] maja 2018 r., umowa o pracę na czas określony z [...] sierpnia 2018 r. zawarta była na czas od [...] września 2018 r. do [...] kwietnia 2019 r., a umowa o pracę na czas nieokreślony z [...] kwietnia 2019 r. obowiązywała od [...] maja 2019 r.). Również tej rozbieżności spółka nie wyjaśniła w swoim piśmie.

Zdaniem Prezesa UODO wyżej opisane postępowanie spółki w sprawie,

a mianowicie brak odpowiedzi na wezwania organu oraz udzielanie niepełnych, niekonkretnych, wymijających i sprzecznych odpowiedzi na konkretne, niezbyt skomplikowane i niewymagające specjalistycznej wiedzy z zakresu ochrony danych osobowych pytania, wskazuje na brak woli współpracy z Prezesem UODO

w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej rażące lekceważenie swoich obowiązków dotyczących współpracy

z Prezesem UODO w ramach wykonywania przez niego zadań określonych Rozporządzeniem 2016/679. Jak stwierdził organ, powyższe stanowisko uzasadnia dodatkowo okoliczność, że spółka w żaden sposób nie próbowała usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na dwa wezwania do złożenia wyjaśnień, nie kontaktowała się również z Urzędem Ochrony Danych Osobowych celem zasygnalizowania ewentualnych wątpliwości, które mogłaby powziąć odnośnie

do zakresu informacji, których udzielenia żądał Prezes UODO.

Prezes UODO wskazał, że utrudnianie i uniemożliwianie uzyskania dostępu do informacji, których organ żądał i żąda od spółki, a które niewątpliwie są

w jej posiadaniu (np. informacje o relacji łączącej spółkę z Panem P. K.), stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności

z podstawowymi zasadami rządzącymi postępowaniem administracyjnym - określonymi w art. 12 ust. 1 Kpa., zasadami wnikliwości i szybkości postępowania.

Mając na uwadze powyższe ustalenia, Prezes UODO stwierdził, że

w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na spółkę - na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 - administracyjnej kary pieniężnej w związku z niezapewnieniem przez nią dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy zainicjowanej skargą D.S.

Odnosząc się zaś do zawartego w piśmie spółki z [...] lutego 2020 r. wniosku

o odstąpienie od nałożenia administracyjnej kary pieniężnej, Prezes UODO wskazał, że nie widzi podstaw do pozytywnego jego rozpatrzenia. Stwierdził, że spółka

w żaden sposób nie uzasadniła swojego wniosku, w szczególności nie podjęła próby usprawiedliwienia swojego działania naruszającego przepisy Rozporządzenia 2016/679 i nie usunęła samego naruszenia przez udzielenie pełnych

i wyczerpujących wyjaśnień pozwalających na wydanie rozstrzygnięcia.

Jak wskazał organ, stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął - spośród nich - pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia,

a mianowicie, charakter, wagę i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). Stwierdził, że naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej - do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane

z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów

i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do informacji niezbędnych do realizacji ich zadań. Zdaniem organu działania spółki w niniejszej sprawie, polegające na utrudnieniu i uniemożliwieniu dostępu do żądanych przez Prezesa UODO informacji, a skutkujące utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego przez niego postępowania, należy uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę

i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez spółkę naruszenie nie było zdarzeniem jednorazowym

i incydentalnym; działanie spółki było ciągłe i długotrwałe. Trwa od upływu terminu wyznaczonego na złożenie wyjaśnień w pierwszym piśmie Prezesa UODO, tj. od [...] kwietnia 2019 r., do chwili obecnej (w odniesieniu do części informacji żądanych przez Prezesa UODO).

Do wspomnianych wyżej okoliczności wpływających obciążająco na ocenę naruszenia, organ zaliczył również umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679). W ocenie Prezesa UODO po stronie spółki istnieje brak woli współpracy w zapewnieniu organowi wszelkich informacji niezbędnych

do rozstrzygnięcia sprawy, w toku której organ zwracał się do niej o ich udzielenie. Świadczy o tym w szczególności brak jakiejkolwiek odpowiedzi na dwa spośród trzech skierowanych do niej, i odebranych przez nią, wezwań Prezesa UODO. Również wyjaśnienia, które spółka ostatecznie złożyła Prezesowi UODO (niepełne, wymijające, wewnętrznie sprzeczne) świadczą o braku woli współpracy z organem lub co najmniej rażącym lekceważeniu swoich obowiązków związanych z tą współpracą, niedopuszczalnym szczególnie w przypadku podmiotu przetwarzającego dane osobowe profesjonalnie (w związku z rodzajem świadczonych usług - pośrednictwem pracy - wymagających pozyskiwania, przechowywania

i udostępniania danych osób fizycznych będących potencjalnymi pracownikami). Podkreślił, że spółka na żadnym etapie postępowania, jak również w niniejszym postępowaniu, nie podjęła próby usprawiedliwienia takiego postępowania. Zważywszy, że spółka jest przedsiębiorcą, podmiotem profesjonalnie uczestniczącym w obrocie prawno-gospodarczym, którego działalność związana jest z przetwarzaniem danych osobowych (w związku ze świadczonymi usługami pośrednictwa pracy), Prezes UODO przyjął ponadto, że miała ona (i ma do chwili obecnej) świadomość, że jej postępowanie stanowi naruszenie przepisów Rozporządzenia 2016/679.

Ponadto organ zwrócił uwagę na niezadowalający stopień współpracy

z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679). Wskazał, że w toku postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej spółka złożyła (pismem z [...] lutego 2020 r.) dodatkowe wyjaśnienia

do sprawy, jednakże jak zostało to szczegółowo wykazane powyżej, wyjaśnień tych Prezes UODO również nie mógł uznać za pełnych, wyczerpujących i umożliwiających wydanie rozstrzygnięcia w sprawie.

Prezes UODO stwierdził ponadto, że pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób w jaki organ nadzorczy dowiedział się

o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą

w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych

i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).

Prezes UODO podał, że stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na spółkę w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje spółkę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku postępowania, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem spółki przed Prezesem UODO. Nałożona niniejszą decyzją kara jest - w ocenie Prezesa UODO - proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą, będzie jasnym sygnałem zarówno dla spółki, jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. W tym miejscu organ wskazał, że nałożenie na spółkę administracyjnej kary pieniężnej jest - wobec jej dotychczasowego postępowania jako strony postępowania - niezbędne, jest jedynym środkiem znajdującym się w dyspozycji Prezesa UODO, który umożliwi uzyskanie dostępu

do informacji niezbędnych w prowadzonym postępowaniu.

Wobec nieprzedstawienia przez spółkę żądanych przez Prezesa UODO danych finansowych za rok 2019, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu

o art. 101a ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, szacunkową wielkość spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności.

Organ wyjaśnił ponadto, że zgodnie z brzmieniem art. 103 ww. ustawy równowartość wyrażonych w euro kwot, o których mowa w art. 83 Rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku,

a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego

w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. W niniejszej sprawie zastosowanie ma kurs 4,2794 złote za 1 euro.

Mając powyższe na uwadze Prezes UODO orzekł, jak w sentencji wskazanej na wstępie decyzji.

Spółka wywiodła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na ww. decyzję Prezesa UODO, której zarzuciła naruszenie przepisów prawa procesowego, w postaci:

• art. 7, art. 77 oraz art. 107 § 3 Kpa. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych oraz w zw. z art. 31 Rozporządzenia 2016/679, polegające na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, poprzez niezapewnienie dostępu do danych osobowych

i innych informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest rozpatrzenia skargi D. S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez skarżącą jego danych osobowych, podczas gdy zebrany w sprawie materiał dowodowy nie daje podstaw do stawiania tego rodzaju tezy oraz orzekania wobec skarżącej kary administracyjnej;

• art. 7, art. 77 oraz art. 107 § 3 Kpa. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych oraz w zw. z art. 31 Rozporządzenia 2016/679, polegające na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, poprzez niezapewnienie dostępu do danych osobowych

i innych informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest rozpatrzenia skargi D. S.na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez skarżącą jego danych osobowych, podczas gdy postępowanie w przedmiocie rozpatrzenia skargi D. S. w dalszym ciągu prowadzone jest przez organ, z czynnym udziałem skarżącej, która na bieżąco oraz w zakresie, w jakim jest do tego zobowiązana, udziela wszelkich niezbędnych informacji dotyczących przedmiotu skargi;

• art. 7, art. 77 oraz art. 107 § 3 Kpa. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych oraz w zw. z art. 31 Rozporządzenia 2016/679, polegające na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, poprzez niezapewnienie dostępu do danych osobowych

i innych informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest rozpatrzenia skargi D. S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez skarżącą jego danych osobowych, podczas gdy skarżąca udzielała pełnych, zgodnych ze stanem faktycznym oraz wystarczających

i przystających do stanu faktycznego oraz jego incydentalnego charakteru wyjaśnień związanych z kierowanymi przez organ wezwaniami;

• przepisu art. 7, art. 77 oraz art. 107 § 3 Kpa. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych oraz w zw. z art. 31 Rozporządzenia 2016/679, polegające

na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, poprzez niezapewnienie dostępu do danych osobowych

i innych informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest rozpatrzenia skargi D. S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez skarżącą jego danych osobowych, podczas gdy zebrany w sprawie materiał dowodowy wskazuje, iż w 2020 roku skarżąca za każdym razem niezwłocznie i w terminie wywiązywała się z kierowanych do niej przez organ zobowiązań co do przedstawienia stanowiska w sprawie i to pomimo ograniczeń związanych z obowiązującym na terenie RP stanem zagrożenia epidemicznego oraz stanem epidemii;

• art. 7, art. 77 oraz art. 107 § 3 Kpa. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych oraz w zw. z art. 31 Rozporządzenia 2016/679, polegające na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na wydaniu zaskarżonej decyzji orzekającej karę pieniężną w kwocie 15.000 złotych, podczas gdy jeszcze w dniu [...] czerwca 2020 roku skarżąca wykonując zobowiązanie organu udzieliła pełnych oraz wyczerpujących informacji w zakresie postępowania przed organem, znak: [...] którego przedmiotem jest rozpoznanie skargi D. S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez skarżącą jego danych osobowych, a zatem orzeczona kara pozostaje co najmniej przedwczesna;

• art. 7, art. 77 oraz art. 107 § 3 Kpa. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych oraz w zw. z art. 31 Rozporządzenia 2016/679, polegające na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na wydaniu zaskarżonej decyzji orzekającej karę pieniężną w kwocie 15.000 złotych, podczas gdy przeprowadzone dotychczas postępowanie przed organem, znak: [...], nie daje podstaw do uznania, by działania skarżącej cechowały się naruszeniem Rozporządzenia 2016/679;

• art. 7, art. 77 oraz art. 107 § 3 Kpa. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych oraz w zw. z art. 31 Rozporządzenia 2016/679, polegające na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, podczas gdy zgromadzony w sprawie materiał dowodowy wskazuje, iż przeprowadzone dotychczas postępowanie przed organem (znak jw.), już na podstawie informacji przekazanych przez skarżącą w 2019 roku, winno zostać umorzone z uwagi na jego bezprzedmiotowość;

2. błąd w ustaleniach faktycznych przyjętych za podstawę wydanej decyzji, to jest ustalenie, iż kierowane przez skarżącą odpowiedzi na zobowiązania miały charakter lekceważący organ, jak i sprawę, podczas gdy składane przez skarżącą wyjaśnienia wynikały wyłącznie z ujawnionego przez skarżącą stanu faktycznego, jednorazowości i krótkotrwałości incydentu oraz sposobu pozyskania adresu poczty elektronicznej D. S. ze źródeł ogólnodostępnych, na co skarżąca wielokrotnie, od początku trwania postępowania (znak jw.), wskazywała;

- informacje, jakich żądał organ nie miały charakteru szczególnie złożonego i nie wymagały posiadania szczególnej wiedzy, podczas gdy skarżąca zobowiązana była do wskazania podstawy prawnej swojego działania, co wymagało posiadania specjalistycznej wiedzy, z czego wywiązała się w sposób opisowy dokonując wskazania w jaki sposób weszła w posiadanie adresu poczty elektronicznej D. S., co odpowiadało treści przepisu art. 9 ust. 2 lit. e) Rozporządzenia 2016/679;

- skarżąca miała możliwość skontaktowania się z organem i uzyskania informacji

na temat zakresu niezbędnych informacji, podczas gdy o takim uprawnieniu skarżąca nie została pouczona, co nie może obciążać skarżącej, a ponadto żądanie wyjaśnień zbiegło się z wprowadzeniem na terenie RP stanu zagrożenia epidemicznego oraz stanu epidemii, a ponadto na przedstawione pytania organu skarżąca odpowiedziała zgodnie ze swoją najlepszą wiedzą oraz stanem faktycznym, zaś treść tychże wyjaśnień wynikała z incydentalności zdarzenia oraz sposobu pozyskania adresu poczty elektronicznej D.S.;

- skarżąca w odpowiedzi przedstawiła sprzeczne informacje dotycząca P. K.oraz P. K., podczas gdy wątpliwości te zostały w sposób precyzyjny

i jednoznaczny wyjaśnione w piśmie skarżącej z dnia [...] czerwca 2020 roku do czego wyjaśnienia spółka z jednej strony została zobowiązana, z drugiej zaś stanowiło to nieuzasadnioną podstawę wymierzenia skarżącej kary pieniężnej w kwocie 15.000 złotych;

- skarżąca przejawiała brak woli współpracy z organem w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej lekceważenie swoich obowiązków dotyczących współpracy z organem, podczas gdy przedstawiane przez skarżącą informacje oraz wynikające z nich okoliczności stanowiły bezpośrednie wyjaśnienie wątpliwości organu, stanowiły reakcję na wezwanie organu oraz wynikały z wiedzy i stanu faktycznego dotyczącego mającego miejsce incydentu z osobą D. S.;

Ponadto skarżąca spółka postawiła zarzut naruszenia przepisów prawa materialnego, w postaci:

• art. 101 oraz art. 103 ustawy o ochronie danych osobowych, oraz art. 31, art. 58 ust. 1 lit. e), art. 83 ust. 1-3, oraz art. 83 ust. 5 lit. e Rozporządzenia 2016/679, polegające na stwierdzeniu przez organ naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na niezapewnieniu dostępu

do danych osobowych i innych informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest rozpatrzenia skargi D. S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez skarżącą jego danych osobowych, podczas gdy:

- zebrany w sprawie materiał dowodowy nie daje podstaw do stawiania tego rodzaju tezy oraz orzekania wobec skarżącej kary administracyjnej o postępowanie

w przedmiocie rozpatrzenia skargi D.S.w dalszym ciągu prowadzone jest przez organ, z czynnym udziałem skarżącej, która na bieżąco oraz w zakresie,

w jakim jest do tego zobowiązana, udziela wszelkich niezbędnych informacji dotyczących przedmiotu skargi;

- skarżąca udzielała pełnych, zgodnych ze stanem faktycznym oraz wystarczających i przystających do stanu faktycznego oraz jego incydentalnego charakteru, wyjaśnień związanych z kierowanymi przez Organ wezwaniami;

- zebrany w sprawie materiał dowodowy wskazuje, iż w 2020 roku skarżąca za każdym razem niezwłocznie i w terminie wywiązywała się z kierowanych do niej przez organ zobowiązań co do przedstawienia stanowiska w sprawie i to pomimo ograniczeń związanych z obowiązującym na terenie RP stanem zagrożenia epidemicznego oraz stanem epidemii;

- jeszcze w dniu 3 czerwca 2020 roku skarżąca wykonując zobowiązanie organu udzieliła pełnych oraz wyczerpujących informacji w zakresie postępowania przed organem (znak jw.), którego przedmiotem jest rozpoznanie skargi D. S. na niezgodne z przepisami Rozporządzenia 2016/679 przetwarzanie przez skarżącą jego danych osobowych, a zatem orzeczona kara pozostaje co najmniej przedwczesna;

- przeprowadzone dotychczas postępowanie przed organem (znak jw.) nie daje podstaw do uznania, by działania skarżącej cechowały się naruszeniem Rozporządzenia 2016/679;

- zgromadzony w sprawie materiał dowodowy wskazuje, iż przeprowadzone dotychczas postępowanie winno zostać umorzone z uwagi na jego bezprzedmiotowość;

• art. 83 ust. 4 Rozporządzenia 2016/670, polegające na orzeczeniu wobec skarżącej kwoty 15.000 złotych, podczas gdy kwotę tę uznać należy za rażąco wygórowaną

w stosunku do przedstawionego stanu faktycznego, okoliczności dotyczącej skargi D. S., stopnia zaangażowania się skarżącej w rozstrzygnięcie wątpliwości oraz zakresu i szczegółowości informacji przekazanych organowi przez skarżącą oraz wagi rzekomego naruszenia.

Wskazując na powyższe zarzuty skarżąca spółka wniosła o uwzględnienie skargi w całości oraz o uchylenie w całości decyzji Prezesa UODO z [...] maja

2020 r., nr [...]

Niezależnie od powyższego, na podstawie przepisu art. 106 § 3 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, wniosła o:

1. przeprowadzenie dowodu z przesłuchania pełnomocnika skarżącej A.W., na okoliczność:

a. udzielanych Prezesowi UODO odpowiedzi w związku ze skargą D.S.;

b. przesłania wiadomości e-mail z dnia [...] czerwca 2018 roku oraz uzyskania odpowiedzi w dniu [...] czerwca 2018 roku;

c. incydentalności oraz krótkotrwałości zdarzenia, z którym związana była skarga D. S.;

d. zaprzestania kierowania do D. S. dalszej korespondencji po złożeniu przez niego sprzeciwu;

e. faktu, iż w związku z krótkotrwałością samego zdarzenia spółka nie miała możliwości udzielenia bardziej szczegółowych i rozbudowanych wyjaśnień niż miało to miejsce w czasie trwania postępowania;

f. braku podstaw do wydania przez organ zaskarżonej decyzji oraz nałożenia kary pieniężnej, jak również braku naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679;

2. przeprowadzenie dowodu uzupełniającego z dokumentów powołanych w treści uzasadnienia niniejszej skargi na wskazane tam okoliczności, gdyż jest to niezbędne do wyjaśnienia istotnych wątpliwości, a nie spowoduje nadmiernego przedłużenia postępowania w sprawie;

3. zobowiązania organu administracji do załączenia do akt niniejszego postępowania, akt postępowania prowadzonego przed organem, znak: [...] oraz przeprowadzenie dowodu z akt tamtejszego postępowania w zakresie w szczególności udzielonych przez skarżącą odpowiedzi oraz dat udzielanych odpowiedzi, w szczególności odpowiedzi z dnia [...] czerwca

2020 roku w kontekście wydania zaskarżonej decyzji na okoliczność braku podstaw do wydania przez organ zaskarżonej decyzji oraz nałożenia kary pieniężnej, jak również braku naruszenia przez skarżącą przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w uzasadnieniu zaskarżonej decyzji i ustosunkowując się do podniesionych w skardze zarzutów.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Skarga nie zasługuje na uwzględnienie.

Jak wynika ze zgromadzonego w niniejszej sprawie materiału dowodowego, organ w ramach wszczętego postępowania administracyjnego prowadzonego celem rozpatrzenia skargi D. S. (pod sygn. [...]), zwrócił się

do spółki pismem z [...] marca 2019 r. o ustosunkowanie się do treści tej skargi oraz

o odpowiedź na zawarte w nim pytania, pismo to pozostało bez odpowiedzi.

W związku z powyższym, organ pismem z [...] maja 2019 r., ponownie zwrócił się

do spółki z wezwaniem do ustosunkowania się do treści skargi D.S. oraz

do udzielenia odpowiedzi na szczegółowe pytania sformułowane już w poprzednim piśmie. W piśmie z [...] czerwca 2019 r. stanowiącym odpowiedź na ww. wezwanie Prezesa UODO, Prezes zarządu spółki oświadczył m.in., że "Spółka nie przetwarzała, ówcześnie ani aktualnie, danych osobowych Skarżącego" oraz że "Spółka nie udostępniała, ówcześnie ani aktualnie, danych osobowych Skarżącego". Prezes UODO pismem z [...] września 2019 r., zwrócił się do spółki o udzielenie dodatkowych wyjaśnień, jednakże zostało ono pozostawione bez odpowiedzi.

Pismami z [...] maja 2019 r. oraz z [...] września 2019 r. spółka pouczona została, że brak odpowiedzi na wezwania Prezesa UODO skutkować może - zgodnie z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679 - nałożeniem na nią administracyjnej kary pieniężnej.

W związku z nieudzieleniem przez spółkę informacji niezbędnych

do rozstrzygnięcia sprawy o sygn. [...] zainicjowanej skargą D. S., Prezes UODO wszczął z urzędu wobec spółki - w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z naruszeniem przez spółkę art. 58 ust. 1 lit a) i e) Rozporządzenia 2016/679 - postępowanie administracyjne w przedmiocie nałożenia na spółkę administracyjnej kary pieniężnej (sygn.[...]).

W reakcji na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej, Prezes zarządu spółki skierował

do organu pismo z [...] lutego 2020 r., w którym wniósł o odstąpienie od nałożenia administracyjnej kary pieniężnej w postępowaniu [...] oraz

o umorzenie postępowania w sprawie [...]. Jednocześnie, tym samym pismem, złożył wyjaśnienia do sprawy [...]

Co istotne, z uwagi za przyjęty za podstawę rozstrzygnięcia w niniejszej sprawie stan faktyczny, w związku z tym, że korespondencja ze skarżącą, zarówno

w postępowaniu o sygn. [...], jak i w postępowaniu o sygn. [...] toczyła się wyłącznie w formie pisemnej, dokumenty, o których mowa powyżej a szczegółowo w stanie faktycznym niniejszego uzasadnienia,

obrazują w pełni (w sposób wyczerpujący) fakt skierowania do skarżącej żądania zapewnienia dostępu do informacji niezbędnych do rozstrzygnięcia sprawy o sygn. [...] zakres żądanych przez Prezesa UODO informacji oraz zakres informacji przedstawionych przez skarżącą.

Jednocześnie podkreślenia wymaga, że materiał dowodowy zebrany

w niniejszej sprawie nie obejmuje przywołanego w skardze pisma skarżącej

z [...] czerwca 2020 r., w którym stwierdziła, że "udzieliła pełnych oraz wyczerpujących informacji w zakresie postępowania przed Organem, znak: [...]". Pismo to złożone zostało bowiem do akt sprawy [...] po dacie wydania zaskarżonej decyzji, to jest po [...] maja 2020 r.

W tym miejscu wyjaśnienia wymaga, że postępowanie zakończone wydaniem zaskarżonej decyzji (sygn. [...] jest postępowaniem niezależnym

od postępowania w przedmiocie rozpatrzenia skargi D.S.

(sygn. [...]) w tym znaczeniu, że wszczęcie postępowania

i wydanie orzeczenia w pierwszej z tych spraw w żaden sposób nie jest uzależnione od zakończenia postępowania w drugiej sprawie. Jego przedmiotem jest bowiem naruszenie polegające na niezapewnieniu dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do rozstrzygnięcia sprawy [...], które to naruszenie zaistniało wraz z bezskutecznym upływem pierwszego, wyznaczonego skarżącej spółce terminu na złożenie wyjaśnień w sprawie. Natomiast okoliczność, czy i w jaki sposób skarżąca po zaistnieniu naruszenia współpracuje

z organem w celu jego usunięcia (zapewnienia pełnego dostępu do danych osobowych i informacji niezbędnych do rozstrzygnięcia sprawy [...] stanowi jedynie jedną z okoliczności - wskazaną w art. 83 ust. 2 lit. f) Rozporządzenia 2016/679 - decydujących o konieczności nałożenia administracyjnej kary pieniężnej i wpływających na jej wysokość.

Przepis art. 5 Rozporządzenia 2016/679 statuuje zasady dotyczące przetwarzania danych osobowych i z racji jego usytuowania we wspomnianym akcie prawnym, otwiera rozdział II zatytułowany "Zasady", ma dla całej regulacji charakter podstawowy. Zasadom tym przypisuje się nadrzędną moc w stosunku

do pozostałych przepisów o ochronie danych osobowych (tak P. Fajgielski, "Zasady ogólne przetwarzania...", s. 17). Przede wszystkim oznacza to, że mają one charakter dyrektyw interpretacyjnych, zgodnie z którymi należy dokonywać wykładni poszczególnych przepisów. Jednocześnie zasady przetwarzania danych nie są jedynie postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, lecz mają charakter normatywny. Określają one bowiem, jak zauważa autor, obowiązki skierowane do administratorów. Korelatem nałożonych na administratorów obowiązków zaliczanych do zasad przetwarzania danych są określone przez prawodawcę unijnego sankcje za ich naruszenie, w tym przede wszystkim w postaci administracyjnych kar pieniężnych. Podkreślenia wymaga, że naruszenie podstawowych zasad przetwarzania danych określonych m.in. w art. 5 zgodnie z art. 83 ust. 5 lit. a) może skutkować administracyjną karą pieniężną

w podwyższonej wysokości (por. "RODO Ogólne Rozporządzenie o Ochronie Danych. Komentarz", redakcja naukowa Edyta Bielak-Jomaa, Dominik Lubasz i in.,

s. 324-325, Wolters Kluwer, Warszawa 2018).

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO - jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 - na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania

w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach

i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych

do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlega zaś - zgodnie z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 - administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.

Jak wskazuje doktryna, szczególną kompetencją organu nadzorczego – Prezesa UODO – jest prawo do nakładania administracyjnych kar pieniężnych, zgodnie z art. 83 Rozporządzenia 2016/679, oprócz lub zamiast pozostałych kompetencji naprawczych przyznanych w przepisie art. 58 tego aktu prawnego.

Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679

do ustalonego w niniejszej sprawie, a przywołanego w części historycznej niniejszego uzasadnienia, stanu faktycznego, stwierdzić należy, że skarżąca spółka - administrator danych osobowych D. S. - jako strona prowadzonego przez Prezesa UODO postępowania o sygn. [...] naruszyła ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych

do realizacji jego zadań - w tym przypadku do merytorycznego rozstrzygnięcia

sprawy o wspomnianej sygnaturze. Innymi słowy, postępowanie Spółki stanowi

o uniemożliwieniu organowi nadzorczemu realizacji jego uprawnienia określonego

w art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.

W postępowaniu o sygn. [...]I Prezes UODO,

o czym była już mowa, trzykrotnie wezwał skarżącą spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Spośród wystosowanych wezwań dwa z nich zostały pozostawione bez odpowiedzi, jedno z nich stanowiło odpowiedź niepełną

i wewnętrznie sprzeczną. Dopiero w piśmie z [...] lutego 2020 r. stanowiącym odpowiedź na pismo organu informujące o wszczęciu postępowania

w przedmiocie nałożenia administracyjnej kary pieniężnej w związku

z niezapewnieniem dostępu do żądanych przez Prezesa UODO informacji, skarżąca zajęła szersze stanowisko, jednakże nawet i wyjaśnienia zawarte w tym piśmie okazały się być niepełne i rodzące wymóg prowadzenia dalszego postępowania wyjaśniającego w sprawie o sygn. [...] W szczególności dotyczyło to odpowiedzi na pytanie o relację łączącą w dniu [...]czerwca 2018 r. spółkę z P. K., który działając w imieniu spółki skierował tego dnia

na adres e-mail D.S. wiadomość o "charakterze marketingowym". Skarżąca oświadczyła w odpowiedzi na zadane pytanie, że P.K. zatrudniony był

w spółce na podstawie umowy o pracę, jednocześnie załączyła do swojego pisma kopie trzech umów o pracę, które nie tylko nie potwierdziły jej wyjaśnień, ale spowodowały dodatkowe wątpliwości co do stanu sprawy. Po pierwsze, zgodnie

z treścią wszystkich trzech umów o pracę, ich stroną był P.K., a nie P. K. (skarżąca w swoim piśmie nie wyjaśniła skąd ta rozbieżność). Po drugie, okresy obowiązywania przedstawionych umów dotyczyły okresów czasu zarówno przed

jak i po dniu, o który wyraźnie pytał organ ([...] czerwca 2018 r.), nie obejmowały zaś akurat tego konkretnego dnia.

Wyżej opisane postępowanie skarżącej w sprawie o sygnaturze [...] wskazuje na brak woli współpracy z Prezesem UODO

w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej rażące lekceważenie swoich obowiązków dotyczących współpracy

z Prezesem UODO w ramach wykonywania przez niego zadań określonych Rozporządzeniem 2016/679. Powyższe stwierdzenie uzasadnia dodatkowo okoliczność, że skarżąca w żaden sposób nie próbowała usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na dwa wezwania do złożenia wyjaśnień, nie kontaktowała się również z Urzędem Ochrony Danych Osobowych celem zasygnalizowania ewentualnych wątpliwości, które mogłaby powziąć odnośnie do zakresu informacji,

o których udzielenie wystąpił Prezes UODO. Można zatem działanie skarżącej

a właściwie jego brak w powyższym zakresie powiązać z naruszeniem obowiązku współpracy z organem nadzorczym w ramach wykonywanych przez niego zadań, co stanowi naruszenie art. 31 Rozporządzenia 2016/679.

Podkreślenia wymaga, że podstawa prawna przetwarzania, wskazania której Prezes UODO żądał od skarżącej, stanowi przesłankę decydującą o zgodności

z prawem przetwarzania (jego legalności). Katalog podstaw (zamknięty) wskazany został w art. 6 Rozporządzenia 2016/679, stanowiącym, że przetwarzanie jest zgodne z prawem wyłącznie na podstawie: 1. zgody osoby, której dane są przetwarzane, 2. niezbędności do wykonania umowy lub podjęcia działań przed zawarciem umowy, 3. niezbędności do wypełnienia obowiązku prawnego administratora, 4. niezbędności do ochrony żywotnych interesów osoby fizycznej, 5. niezbędności do wykonania zadania realizowane w interesie publicznym lub

w ramach sprawowania władzy publicznej przez administratora, 6. niezbędności

do celów wynikających z prawnie uzasadnionych interesów administratora lub strony trzeciej. Każdy podmiot przetwarzający dane osobowe powinien legitymizować się - dla każdego procesu przetwarzania przez siebie danych osobowych - co najmniej jedną z powyższych podstaw. Co więcej, jak stanowi art. 6 ust. 2 Rozporządzenia 2016/679, każdy administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 (regulującego zasady przetwarzania danych osobowych, w tym zasadę zgodności przetwarzania z prawem) i musi być w stanie wykazać ich przestrzeganie. Jednym

z aspektów tak sformułowanej tzw. zasady rozliczalności jest ciążący na administratorze obowiązek ustalenia dla danego procesu przetwarzania jego podstawy prawnej (co najmniej jednej z wymienionych w art. 6 ust. 2 Rozporządzenia 2016/679), dalej obowiązek poinformowania o niej osoby, której dane przetwarza,

a w końcu również obowiązek wskazania jej na żądanie Prezesa UODO realizującego swoje ustawowe zadania. Są to najbardziej podstawowe obowiązki ciążące na podmiocie przetwarzającym dane osobowe, nie wymagające wiedzy specjalistycznej, a jedynie podstawowej wiedzy o regulacjach prawnych dotyczących prowadzonej przez ten podmiot działalności. Takiej wiedzy należy wymagać

od podmiotu przetwarzającego dane osobowe profesjonalnie (w związku z rodzajem świadczonych usług - pośrednictwem pracy - wymagających pozyskiwania, przechowywania i udostępniania danych osób fizycznych będących potencjalnymi pracownikami). W ocenie Sądu twierdzenie skarżącej, że wskazanie (opisowe) źródła pochodzenia danych osobowych stanowi prawidłową odpowiedź na pytanie

o podstawę prawną ich przetwarzania, wskazuje na brak podstawowej wiedzy, którą skarżąca powinna posiadać. Nieznajomość prawa w tym zakresie nie może stanowić usprawiedliwienia dla skarżącej.

Należy wskazać, że utrudnianie i uniemożliwianie uzyskania dostępu

do informacji, których Prezes UODO żądał od skarżącej, stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym - określonymi w art. 12 ust. 1 Kpa. – zasadami wnikliwości i szybkości postępowania.

Podzielić należy stanowisko organu, że skarżąca nie udzieliła pełnych

i zgodnych ze stanem sprawy oraz wystarczających i przystających do poczynionych ustaleń wyjaśnień związanych z kierowanymi przez organ wezwaniami,

w szczególności nie udzieliła jakichkolwiek odpowiedzi na dwa spośród trzech wezwań. Zgodzić się należy z poglądem, że oparcie rozstrzygnięcia w sprawie skargi D. S. jedynie na oświadczeniu spółki zawartym w jej piśmie z [...] czerwca 2019 r. byłoby rażącym złamaniem zasad postępowania administracyjnego, w tym art. 7 i art. 77 Kpa. Zresztą, na co warto zwrócić uwagę, sama skarżąca potwierdziła, że uprzednio złożone wyjaśnienia nie były "pełne i wyczerpujące". W tych warunkach zatem trudno mówić, by w rozpatrywanej sprawie skarżąca zapewniła Prezesowi UODO dostęp do danych osobowych i informacji niezbędnych mu do wydania rozstrzygnięcia w sprawie o sygn. [...]

Zdaniem Sądu podnoszona przez skarżącą okoliczność, że już w toku postępowania zakończonego wydaniem zaskarżonej decyzji reagowała na czynności Prezesa UODO (co sprowadza się do złożenia - pismem z [...] lutego 2020 r. - wyjaśnień w reakcji na wszczęcie postępowania [...]), nie ma wpływu na fakt zaistnienia, już od dnia [...] kwietnia 2019 r., to jest od upływu terminu wyznaczonego na złożenie wyjaśnień w pierwszym piśmie Prezesa UODO, naruszenia polegającego na niezapewnieniu Prezesowi UODO informacji niezbędnych mu w postępowaniu o ww. sygnaturze. Pomimo złożenia przez skarżącą wyjaśnień pismem z [...] lutego 2020 r., stan naruszenia trwał do chwili wydania zaskarżonej decyzji w odniesieniu do części żądanych przez Prezesa UODO informacji a dotyczących w szczególności podstawy prawnej przetwarzania danych osobowych D. S. oraz relacji łączącej w dniu [...] czerwca 2018 r. skarżącą z P. K..

W tym stanie sprawy Prezes UODO zasadnie stwierdził, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na skarżącą - na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 - administracyjnej kary pieniężnej

w związku z niezapewnieniem przez skarżącą dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań, to jest do rozstrzygnięcia sprawy

o sygn. [...]

Wobec wniosku o odstąpienie od nałożenia administracyjnej kary pieniężnej

w niniejszym postępowaniu, Prezes UODO nie znalazł podstaw do pozytywnego jego rozpatrzenia, stwierdzając, że skarżąca w szczególności nie podjęła próby usprawiedliwienia swojego działania naruszającego przepisy Rozporządzenia 2016/679 i nie usunęła samego naruszenia przez udzielenie pełnych

i wyczerpujących wyjaśnień pozwalających na wydanie rozstrzygnięcia w sprawie [...].

Podkreślenia wymaga, że stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku uwagę na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na skarżącą spółkę administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął - spośród nich - pod uwagę wszystkie okoliczności wpływające obciążająco na ocenę naruszenia, czemu dał wyraz w uzasadnieniu zaskarżonej decyzji. Uznał, że nałożenie na skarżącą administracyjnej kary pieniężnej jest - wobec dotychczasowego jej postępowania jako strony postępowania o sygn. [...] - niezbędne. Z kolei odwołując się do odpowiednich przepisów, w tym m.in. art. 101a ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ustalił jej wysokość, mając na względzie szacunkową wielkość spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności. A zatem czynnościom podjętym przez organ w zakresie ustalenia kwoty orzeczonej wobec skarżącej kary nie można zarzucić dowolności. Należy mieć przy tym na uwadze okoliczność, że skarżąca nie przedstawiła w załączeniu swojego pisma z [...] lutego 2020 r. sprawozdania finansowego za rok 2019, informując, że "nie przygotowała jeszcze" takiego dokumentu. Nie złożyła również oświadczenia o wysokości obrotu

i wyniku finansowego osiągniętego w 2019 roku, którego Prezes UODO zażądał

na wypadek niemożności przedstawienia sprawozdania finansowego.

Za okoliczność obciążającą i mającą wpływ na wysokość kary Prezes UODO uznał lekceważenie przez skarżącą obowiązków związanych ze współpracą

z Prezesem UODO, wyrażające się nie tylko niewystarczającym zakresem udzielonych mu informacji, ale przede wszystkim brakiem jakiejkolwiek reakcji

na dwa wezwania do złożenia wyjaśnień w zakresie zdarzeń uznanych przez Prezesa UODO za obciążające.

Wobec powyższego Sąd podziela stanowisko organu co do zastosowanej wysokości kary pieniężnej, która orzeczona została z uwzględnieniem wagi i rodzaju popełnionego przez skarżącą naruszenia oraz charakteru samego podmiotu (spółki), wobec którego ta kara została wymierzona. Na wysokość kary pieniężnej miała niewątpliwie wpływ okoliczność, że skarżąca na żadnym etapie postępowania

o sygn. [...] jak również w postępowaniu objętym skargą

do Sądu, nie podjęła próby usprawiedliwienia swojego postępowania. Zważywszy, że skarżąca spółka jest przedsiębiorcą, podmiotem profesjonalnie uczestniczącym

w obrocie gospodarczym, którego działalność związana jest z przetwarzaniem danych osobowych (w związku ze świadczonymi usługami pośrednictwa pracy), winna mieć świadomość, że jej postępowanie w zakresie prowadzonych przez organ czynności wyjaśniających stanowi naruszenie przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, co skutkować będzie zastosowaniem wobec niej sankcji w postaci nałożenia administracyjnej kary pieniężnej.

W ocenie Sądu zebrany w sprawie materiał dowodowy jest pełny

i wyczerpujący. Jako taki poddany został przez Prezesa UODO wszechstronnemu

i wnikliwemu rozpatrzeniu, w wyniku którego ustalony został stan faktyczny sprawy, do którego organ zastosował właściwe przepisy Rozporządzenia 2016/679.

W konsekwencji zasadnie nałożył na skarżącą administracyjną karę pieniężną, której wysokość uzasadnił z uwzględnieniem przepisu art. 107 § 3 Kpa..

Mając powyższe na uwadze, Sąd, działając na podstawie art. 151 ustawy

z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2019 r. poz. 2325 ze zm.) orzekł o oddaleniu skargi.

-----------------------

23