Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Waldemar Śledzik, Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Joanna Kruszewska-Grońska, , Protokolant referent stażysta Edyta Brzezicka, po rozpoznaniu na rozprawie w dniu 3 listopada 2021 r. sprawy ze skargi M.Z. prowadzącej działalność gospodarczą pod firmą K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2021 r. nr [...] w przedmiocie nałożenia administracyjnej kary pieniężnej oddala skargę

Zaskarżoną decyzją z dnia [...] stycznia 2021 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2020 r., poz. 256 ze zm. - dalej: "k.p.a.") oraz art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781 - dalej także: "u.o.d.o.") oraz art. 57 ust. 1 lit. a, art. 83 ust. 1-2 i ust. 6 w zw. z art. 58 ust. 2 lit. e oraz lit. i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r. - dalej także: "RODO"), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na M.Z., prowadzącą działalność gospodarczą pod firmą "K." z siedzibą w W. (dalej także: "skarżąca" lub "strona skarżąca") kary administracyjnej z tytułu stwierdzenia niewykonania przez skarżącą nakazu nałożonego decyzją administracyjną Prezesa UODO z dnia [...] lutego 2020 r., nr [...] - nałożył na M.Z., prowadzącą działalność gospodarczą pod firmą "K." w W. administracyjną karę pieniężną w kwocie 85.588,00 (słownie: osiemdziesiąt pięć tysięcy pięćset osiemdziesiąt osiem) złotych.

Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.

W dniu [...] lipca 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez M.Z., przedsiębiorcę prowadzącego działalność gospodarczą pod firmą "K." w W.. W treści zgłoszenia strona skarżąca poinformowała, że naruszenie polegało na nieuprawnionym skopiowaniu w dniu [...] kwietnia 2019 r. danych osobowych stu pacjentów z systemu [...]) przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Strona skarżąca wskazała, że naruszenie dotyczyło następujących kategorii danych osobowych pacjentów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu. Strona skarżąca podniosła, że zrezygnowała z zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, pomimo, że oceniła ryzyko naruszenia praw i wolności osób fizycznych na wysokie.

W związku z powyższym, Prezes UODO wystąpieniem z dnia [...] sierpnia 2019 r. skierowanym do strony skarżącej, działając na podstawie art. 52 ust. 1 u.o.d.o. oraz art. 34 ust. 4 RODO, wezwał skarżącą do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. Jednocześnie, organ nadzorczy wskazał stronie skarżącej przykładowe ryzyka związane z tego rodzaju naruszeniem oraz przykładowe zalecenia co do środków, jakie osoby dotknięte naruszeniem mogą podjąć celem zabezpieczenia się przed negatywnymi skutkami naruszenia.

W związku z brakiem reakcji strony skarżącej na wystąpienie organu nadzorczego z dnia [...] sierpnia 2019 r., Prezes UODO wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

W wyniku analizy zgromadzonego materiału dowodowego, Prezes UODO - działając na podstawie art. 58 ust. 2 lit. e RODO - decyzją administracyjną z dnia [...] lutego 2020 r., nr [...], nakazał stronie skarżącej zawiadomienie osób, których dane dotyczą - w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna - o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:

a) opisu charakteru naruszenia danych osobowych,

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych,

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych skutków.

Powyższa decyzja stała się prawomocna z dniem [...] kwietnia 2020 r.

Następnie, działając w celu sprawdzenia, czy nałożone powyższą decyzją z dnia [...] lutego 2020 r. obowiązki zostały wykonane przez stronę skarżącą, organ nadzorczy wszczął postępowanie sprawdzające.

Pismem z dnia [...] maja 2020 r. organ nadzorczy wezwał stronę skarżącą do złożenia wyjaśnień i przedstawienia wykazu osób, którym przekazano informacje, o których mowa w nakazie zawartym w decyzji, a także informacji o sposobie ich przekazania oraz dowodów na ich przekazanie (kopii dziesięciu przykładowych zawiadomień wraz z potwierdzeniem ich nadania). Organ nadzorczy pouczył jednocześnie stronę skarżącą, że stwierdzenie nieprzestrzegania nakazu nałożonego przez ten organ skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 6 RODO.

W odpowiedzi na powyższe pismo Prezesa UODO, strona skarżąca nie przesłała żądanych kopii powiadomień, a jedynie pismem, które wpłynęło do urzędu w dniu [...] maja 2020 r., poinformowała organ nadzorczy, że "Niestety mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu złożonym przez K.. Obecnie w naszych placówkach leczy się ponad 35 tys. osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest a wykonalne".

W dniu [...] czerwca 2020 r. organ nadzorczy skierował do strony skarżącej upomnienie, o którym mowa w art. 15 § 1 ustawy z dna 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (tekst jednolity Dz. U. z 2020 r., poz. 1427 ze zm.), zawierające wezwanie strony skarżącej do wykonania nakazu zwartego w decyzji administracyjnej - w terminie 7 dni od dnia otrzymania wezwania - oraz do udokumentowania wykonania tego nakazu poprzez przedstawienie dowodów w postaci wykazu osób, które zostały zawiadomione w związku z naruszeniem ochrony ich danych osobowych, zawierającego informację, w jaki sposób zawiadomienie zostało przesłane, a także kopii wybranych dziesięciu pism wraz z potwierdzeniami nadania.

Tego samego dnia pełnomocnik strony skarżącej został również telefonicznie poinformowany przez pracownika urzędu o obowiązku wykonania nakazu decyzji Prezesa UODO i przedstawienia dowodów na jego wykonanie.

Pismem, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu [...] czerwca 2020 r., strona skarżąca przedstawiła kopie dziesięciu przesłanych listem poleconym w dniu [...] czerwca 2020 r. zawiadomień o treści cyt. "Informujemy, że w roku 2019 mogło dojść do naruszenia Pani/Pana danych osobowych (imię, nazwisko, nr telefonu) przez jednego z naszych lekarzy (D.B.). Jednocześnie informujemy, że ta osoba w naszej klinice już nie pracuje i toczy się przeciwko niemu postępowanie wyjaśniające. W razie pytań prosimy o kontakt z administratorem RODO w naszej placówce: M.K.".

W związku z powyższym, organ nadzorczy wskazał, że przedstawione kopie zawiadomień nie zawierały wszystkich informacji, do udzielenia których zobowiązana została strona skarżąca nakazem zawartym w decyzji Prezesa UODO, tj. nie zawierały informacji dotyczących opisu charakteru naruszenia, opisu możliwych konsekwencji naruszenia oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych skutków.

W tej sytuacji, pismem z dnia [...] lipca 2020 r. Prezes UODO ponownie wezwał stronę skarżącą do uzupełnienia wyjaśnień oraz przedstawienia dowodów dokumentujących wykonanie decyzji.

W odpowiedzi na ponowne wezwanie do złożenia wyjaśnień strona skarżąca wyjaśniła w wiadomości e-mail z dnia [...] lipca 2020 r., że punkty zawierające informacje, których żądał organ nadzorczy w wezwaniu zostały spełnione. Strona skarżąca podniosła ponadto, że wskazał, iż w razie pytań prosi o kontakt z administratorem RODO w placówce prowadzonej przez stronę skarżącą. Jednocześnie, strona skarżąca stwierdziła, że nie da się tego punktu wyjaśnić, a ponadto - według skarżącej - wystarczy, że administrator danych wymienił, jakie dane zostały naruszone. Skarżąca poinformowała także, iż osoba, która naruszyła dane osobowe już nie pracuje w naszej klinice, a także wskazała, że toczy się przeciwko niej postępowanie wyjaśniające. W związku z powyższym, skarżąca stwierdziła, że - w jej ocenie - nie ma już podstaw do ponownego wysyłania zawiadomień do pacjentów.

Organ nadzorczy uznał jednak, że złożone przez stronę skarżącą powyższe wyjaśnienia oraz przedstawione przez nią dowody dają podstawę do stwierdzenia, iż strona skarżąca nie wykonała nakazu zawartego w decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r.

W związku z powyższym, pismem z dnia [...] września 2020 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na skarżącą administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. e w związku z art. 34 ust. 1 i 2 RODO. Jednocześnie, skarżąca została wezwana przez organ nadzorczy do przedstawienia danych finansowych w postaci sprawozdania finansowego, a w razie jego braku - oświadczenia o wysokości obrotu i wyniku finansowego za 2019 r., celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej. W treści przedmiotowego pisma organ nadzorczy poinformował także stronę skarżącą, że jeżeli skarżąca przedstawi dowody na wykonanie w całości nakazu zawartego w decyzji Prezesa UODO, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.

W odpowiedzi na powyższe pismo organu nadzorczego z dnia [...] września 2020 r., strona skarżąca w wiadomości e-mail z dnia [...] września 2020 r. zobowiązała się do ponownego powiadomienia pacjentów, których naruszenie dotyczyło.

W dniu [...] września 2020 r. skarżący przedsiębiorca skontaktował się telefonicznie z Urzędem Ochrony Danych Osobowych, prosząc o listę przedstawionych przez siebie wcześniej w piśmie z dnia [...] czerwca 2020 r. dziesięciu zawiadomień.

Odnosząc się do powyższego, organ nadzorczy poinformował skarżącą, że w związku z obecnie prowadzonym wobec strony skarżącej postępowaniem w przedmiocie nałożenia administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez Prezesa UODO, skarżąca zobowiązana jest przedstawić kompletne zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz listę wszystkich osób, których dotyczyło naruszenie wraz z potwierdzeniami wysłania zawiadomień, celem udokumentowania obowiązku wynikającego z nakazu zawartego w decyzji.

W dniu [...] września 2020 r. skarżąca w wiadomości e-mail przesłała do Urzędu Ochrony Danych Osobowych przykładowe zawiadomienie, celem uzgodnienia jego treści z organem nadzorczym, a następnie przesłania osobom, których dotyczyło naruszenie ochrony danych osobowych.

W związku z powyższym, pracownik UODO skontaktował się ze skarżąca e-mailem w dniu [...] września 2020 r., a następnie telefonicznie w dniu [...] października 2020 r., wyjaśniając stronie skarżącej, że przedstawiony przez nią projekt zawiadomienia jest niekompletny. Jednocześnie, strona skarżąca została poinformowana, że zawiadomienie powinno wskazywać pełny (zgodny ze zgłoszeniem z dnia [...] lipca 2019 r.) zakres danych osobowych ujawnionych w wyniku naruszenia, a także powinno zawierać opis możliwych konsekwencji naruszenia ochrony danych osobowych i kroków zaradczych podjętych przez administratora. Ponadto, organ nadzorczy pouczył stronę skarżącą, że przykłady możliwych konsekwencji i kroków zaradczych zostały wskazane stronie skarżącej w treści decyzji z dnia [...] lutego 2020 r.

Pismem, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu [...] listopada 2020 r., skarżąca oświadczyła, iż: "Informuję, że zgodnie z wezwaniem przesłanym przez Departament Kar i Egzekucji Urzędu Ochrony Danych Osobowych, powiadomiliśmy łącznie 37 osób (poszkodowanych). Tyle osób ostatecznie wynikało z przeprowadzonej przez nasz dział informatyczny analizy logowań i informacji, które widział Pan D(...) B(...) Jednocześnie informuję, że są to wszystkie osoby poszkodowane w tej sprawie".

W załączonej do pisma liście osób, którym strona skarżąca przesłała zawiadomienia o naruszeniu ich danych osobowych, wskazano trzydzieści siedem pozycji, przy czym dwie pozycje z listy powtórzyły się. Ponadto, do pisma skarżąca załączyła: kopię wystawionej przez Pocztę Polską S.A. na rzecz skarżącej faktury VAT nr [...] z dnia [...] października 2020 r. dokumentującej zakup trzydziestu siedmiu znaczków pocztowych o wartości 3,30 zł każdy, kopię oświadczenia z dnia [...] października 2020 r. o treści "Potwierdzamy nadanie przez Pana M.K. listów zwykłych w ilości 37 sztuk" opatrzonego nieczytelnym podpisem i pieczęcią o treści "[...]" oraz kopię niezaadresowanego przykładowego zawiadomienia.

Ustosunkowując się do powyższego pisma strony skarżącej Prezes UODO w piśmie z dnia [...] listopada 2020 r. skierował do skarżącej wezwanie do uzupełnienia dowodów, wskazując w uzasadnieniu, że przesłane przez nią wyjaśnienia oraz dowody są niekompletne i nie dają podstawy do stwierdzenia, że strona skarżąca istotnie powiadomiła osoby, których dane dotyczą, zgodnie z nakazem zawartym w decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r. W konsekwencji, skarżąca wezwana została przez organ nadzorczy do uzupełnienia dowodów wykonania nakazu zawartego w decyzji, tj. do przesłania poprawnego wykazu 6 osób, którym zostały przesłane zawiadomienia oraz kopii wszystkich zaadresowanych zawiadomień wraz z potwierdzeniem nadania przesyłek poleconych lub zwrotnych potwierdzeń odbioru - w terminie 7 dni od dnia doręczenia niniejszego pisma.

W odpowiedzi na powyższe wezwanie organu nadzorczego, strona skarżąca w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu [...] grudnia 2020 r., poinformowała organ nadzorczy, że nie ma obowiązku wysłania listów poleconych i wystarczające jest, jeśli skarżąca wyśle stosowne zawiadomienia listem zwykłym, potwierdzając ich wysyłkę. Mając to na względzie, strona skarżąca uznała tym samym, że wykonała stosowny nakaz, potwierdzając to fakturą i zaświadczeniem pisemnym uzyskanym od pracownika poczty. Ponadto, strona skarżąca stwierdziła, że ilość zawiadomień jest poprawna, zaś powtórki pacjentów nie są przypadkowe, albowiem są one wynikiem tego, że dani pacjenci byli na wizycie dwukrotnie.

W wyniku analizy zgromadzonego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 k.p.a. oraz art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 u.o.d.o., a także art. 57 ust. 1 lit. a, art. 83 ust. 1-2 i ust. 6 w zw. z art. 58 ust. 2 lit. e oraz lit. i RODO, wydał w dniu [...] stycznia 2021 r. decyzję, na podstawie której stwierdzając niewykonanie przez stronę skarżącą nakazu określonego w decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r., nr [...], nałożył na stronę skarżącą administracyjną karę pieniężną w kwocie 85.588,00 (słownie: osiemdziesiąt pięć tysięcy pięćset osiemdziesiąt osiem) złotych.

W uzasadnieniu decyzji Prezes UODO zauważył na wstępie, że w świetle art. 57 ust. 1 RODO, każdy organ nadzorczy m.in. monitoruje i egzekwuje stosowanie rozporządzenia (art. 57 ust. 1 lit. a) oraz prowadzi postępowania w sprawie jego stosowania (art. 57 ust. 1 lit. h). Organ nadzorczy wskazał, że instrumentami realizacji zadań, o których mowa w art. 57 ust. 1 RODO, są uprawnienia naprawcze przyznane mocą art. 58 ust. 2 RODO, w tym w szczególności uprawnienie do nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 58 ust. 2 lit. e), a także uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2, administracyjnej kary pieniężnej na mocy art. 83 cyt. rozporządzenia (art. 58 ust. 2 lit. i).

Prezes UODO podniósł, że zgodnie z art. 83 ust. 6 RODO, nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 RODO podlega administracyjnej karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Mając na względzie ustalony w sprawie stan faktyczny, organ nadzorczy stwierdził, że strona skarżąca nie wykonała nakazu zawartego w decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r., nr [...].

Organ nadzorczy zauważył bowiem, że prawomocną decyzją administracyjną z dnia [...] lutego 2020 r. skarżąca zobowiązana została do zawiadomienia osób, których dane dotyczą - w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna - o naruszeniu ich danych osobowych, które miało miejsce w dniu [...] kwietnia 2019 r., w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO:

a) opisu charakteru naruszenia danych osobowych,

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych,

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych skutków.

Prezes UODO wskazał w przedmiotowej decyzji administracyjnej, że właściwe wywiązanie się z obowiązku określonego w art. 34 RODO ma zapewnić osobom, których dane dotyczą, informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

Organ nadzorczy uznał, że strona skarżąca nie udowodniła - ani w trakcie postępowania sprawdzającego wykonanie decyzji, ani w trakcie niniejszego postępowania w przedmiocie nałożenia na skarżącą administracyjnej kary pieniężnej - wykonania skierowanego do niego nakazu zawartego w decyzji administracyjnej z dnia [...] lutego 2020 r.

Organ nadzorczy podkreślił, że zgodnie ze sformułowaną w art. 5 ust. 2 RODO zasadą rozliczalności, administrator danych jest odpowiedzialny za przestrzeganie przepisu art. 5 ust. 1 (w tym m.in. tzw. zasady legalności) i musi być w stanie wykazać ich przestrzeganie. Organ nadzorczy wskazał, że zastosowanie zasady rozliczalności w niniejszej sprawie oznacza, że strona skarżąca zobowiązana jest, w szczególności w postępowaniu przed Prezesem UODO, udowodnić wykonanie nakazu zawartego w decyzji, które to wykonanie byłoby równoznaczne z przywróceniem przetwarzania przez nią danych osobowych do stanu zgodnego z prawem.

Prezes UODO uznał, że w niniejszej sprawie skarżąca nie przedstawiła dowodów na wykonanie obowiązku, o którym mowa w art. 34 ust. 1 i 2 RODO.

Organ nadzorczy stwierdził bowiem, że strona skarżąca udowodniła jedynie, przedstawiając kopię pocztowej książki nadawczej, skierowanie w dniu [...] czerwca 2020 r. zawiadomień o naruszeniu ochrony danych osobowych do dziesięciu osób. Tymczasem, według organu nadzorczego, uznać należy, że treść tych zawiadomień bezsprzecznie nie odpowiada wymogom przewidzianym w art. 34 ust. 2 RODO. Ponadto, według organu nadzorczego, liczba owych zawiadomień jest niewielka w stosunku do wskazanej w zgłoszeniu z dnia [...] lipca 2019 r. liczby stu osób, których dane naruszono (czy też liczby trzydziestu siedmiu osób wskazanej przez skarżącą - po sprawdzeniu - w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu [...] listopada 2020 r.). W konsekwencji, organ nadzorczy zarzucił, że działania tego w żaden sposób nie można uznać za wykonanie nakazu wyrażonego we wspomnianej wyżej decyzji Prezesa UODO.

Jednocześnie, organ nadzorczy uznał, że dokumenty przedstawione przez skarżącą, jako dowód skierowania w dniu [...] lub [...] października 2020 r. zawiadomień do trzydziestu siedmiu osób, nie wskazują jednoznacznie, że takie zawiadomienia rzeczywiści zostały skierowane do osób, których dane naruszono. Zdaniem organu nadzorczego, świadczą o tym następujące okoliczności:

a) faktura VAT nr [...] z dnia [...] października 2020 r. dokumentuje jedynie zakup trzydziestu siedmiu znaczków pocztowych a nie wykonanie usługi pocztowej (doręczenie przesyłki pocztowej);

b) brak jest pewności, że oświadczenie o treści "Potwierdzamy nadanie przez Pana [pic]M.K. listów zwykłych w ilości 37 sztuk" pochodzi od operatora pocztowego (brak jest wskazania firmy operatora lub jakiegokolwiek innego jego oznaczenia); oświadczenie to jest ponadto nieweryfikowalne i w związku z tym niewiarygodne - ze względu na nieczytelny podpis nie można bowiem zidentyfikować osoby składającej to oświadczenie;

c) nawet, gdyby powyższe oświadczenie potwierdzało fakt wysłania przez stronę skarżącą trzydziestu siedmiu listów zwykłych (co jak wskazano wyżej nie zachodzi), to z całą pewnością nie można w oparciu o nie (nawet biorąc pod uwagę również fakturę dokumentującą zakup znaczków pocztowych) stwierdzić, że były to zawiadomienia, o których mowa w nakazie zawartym w decyzji organu nadzorczego, oraz, że zawierały treść zgodną z przedstawionym przez skarżącą przykładowym (niezaadresowanym) zawiadomieniem, a ostatecznie że zostały skierowane do osób dotkniętych naruszeniem (wymienionym w sporządzonym przez skarżącą wykazie).

Mając na względzie powyższe, Prezes UODO stwierdził, że brak jest podstaw do uznania, że strona skarżąca, jako administrator danych, wywiązała się z ciążącego na niej - na mocy art. 34 ust 1 i 2 RODO - obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, będącym przedmiotem zgłoszenia z dnia [...] lipca 2019 r., i tym samym nie sposób uznać, by wykonała ona nakaz zawarty w decyzji administracyjnej organu nadzorczego z dnia [...] lutego 2020 r., sygn. [...]. Jednocześnie, Prezes UODO uznał, że stan nieprzestrzegania nakazu orzeczonego przez organ nadzorczy jest aktualny na dzień wydania niniejszej decyzji.

Prezes UODO wskazał także, że stan naruszenia przepisów RODO stanowiącego przedmiot niniejszego postępowania, polegający na nieprzestrzeganiu nakazu orzeczonego przez organ nadzorczy, trwa od dnia [...] marca 2020 r., to jest od dnia następującego po dniu, w którym upłynął wyznaczony w decyzji termin na jego wykonanie. Jednocześnie, Prezes UODO uznał, że stan naruszenia przepisów RODO, którego usunięciu służyć miał nakaz zawarty w decyzji, a który polegał na niepoinformowaniu o naruszeniu osób, których to naruszenie dotyczyło, jest zdecydowanie dłuższy, albowiem trwa co najmniej od lipca 2019 r., kiedy to skarżąca dokonała zgłoszenia naruszenia ochrony danych osobowych.

Organ nadzorczy stwierdził, że strona skarżąca - pomimo prawidłowego doręczenia jej decyzji nakładającej nakaz - w żaden sposób nie próbowała wykonać wspomnianego nakazu, a jakiekolwiek działania podjęła dopiero na skutek interwencji Prezesa UODO, a działania owe - w ocenie organu nadzorczego - były opieszałe i nieskuteczne, co zwiększyło ryzyko wystąpienia po stronie osób dotkniętych naruszeniem dodatkowych szkód.

Prezes UODO podkreślił, że zarówno w trakcie postępowania sprawdzającego wykonanie decyzji nakładającej nakaz, jak i w trakcie niniejszego postępowania w przedmiocie nałożenia na skarżącą administracyjnej kary pieniężnej, pracownik Urzędu Ochrony Danych Osobowych udzielił stronie skarżącej szeregu wskazówek dotyczących wykonania nakazu, w szczególności dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania osobom zainteresowanym, a także sposobu udokumentowania tych czynności przed organem nadzorczym.

W tej sytuacji, jak stwierdził organ nadzorczy, niezastosowanie się przez skarżącą do tych wskazówek, a wręcz ich ignorowanie, świadczy o rażącym lekceważeniu przez stronę skarżącą obowiązków związanych z ochroną danych osobowych.

W konsekwencji, Prezes UODO uznał, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na skarżącą - na podstawie art. 83 ust. 6 RODO - administracyjnej kary pieniężnej w związku z nieprzestrzeganiem nakazu orzeczonego na podstawie art. 58 ust. 2 lit. e RODO.

Prezes UODO wskazał, że decydując o nałożeniu w niniejszej sprawie na stronę skarżącą administracyjnej kary pieniężnej oraz ustalając jej wysokość, wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:

a) charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania (art. 83 ust. 2 lit. a RODO) - organ nadzorczy podniósł, że oceniając tą okoliczność miał na względzie lekceważenie przez skarżącą orzeczonego wobec niej nakazu, będącego w istocie skonkretyzowaniem obowiązku przewidzianego przepisami RODO, co oznacza w istocie lekceważenie przepisów o ochronie danych osobowych i roli Prezesa UODO w systemie ochrony danych osobowych określonym przepisami RODO; organ nadzorczy stwierdził, że takie postępowanie skarżącej, jako przedsiębiorcy będącego podmiotem profesjonalnie i na dużą skalę przetwarzającego dane osobowe pacjentów (w tym dane dotyczące zdrowia, a więc dane podlegające szczególnej ochronie na mocy art. 9 RODO) uznać należy za mające dużą wagę i za szczególnie naganne; organ nadzorczy wskazał jednocześnie, że wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez skarżącą naruszenie nie było zdarzeniem jednorazowym i incydentalnym, lecz działaniem mającym w niniejszej sprawie charakter ciągły i długotrwały; organ nadzorczy uznał, że tak długi czas trwania naruszenia sprzeczny jest z ratio legis przepisu art. 34 RODO zakładającego, że dla zminimalizowania ryzyka powstania szkód po stronie osób dotkniętych naruszeniem, zawiadomienie o naruszeniu ich danych osobowych powinno nastąpić jak najszybciej ("bez zbędnej zwłoki", jak stanowi art. 34 ust. 1 RODO); organ nadzorczy zauważył w tym miejscu, że wagę naruszenia przez administratora tego obowiązku podkreślono m.in. w Wytycznych WP 253 Grupy Roboczej Art. 29 z dnia 3 października 2017 r. w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów Rozporządzenia 2016/679 (https://uodo.gov.pl/pl/10/13), zgodnie z którymi "administrator/podmiot przetwarzający, który wykazał się niedbałością, gdyż nie dopełnił obowiązku powiadomienia lub co najmniej nie powiadomił o wszystkich szczegółach naruszenia wskutek niepoprawnej oceny rozmiaru naruszenia, może według organu nadzorczego zasłużyć na poważniejszą sankcję - innymi słowy jest mało prawdopodobne, by takie naruszenie zostało uznane za niewielkie";

b) umyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO) - wskazując, że umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej; organ nadzorczy zauważył, że strona skarżąca w toku postępowania ignorowała zalecenia organu nadzorczego co do poprawnego wykonania ciążącego na niej obowiązku, co wskazuje na celowe nieprzestrzeganie nakazu; Prezes UODO podkreślił jednocześnie, że na żadnym etapie postępowania skarżąca nie przedstawiła kompletnych dowodów na wykonanie nakazu zawartego w decyzji;

c) niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO) - organ nadzorczy stwierdził, że dokonując oceny współpracy skarżącej z Prezesem UODO w toku całej sprawy zainicjowanej zgłoszeniem przez nią w dniu [...] lipca 2019 r. naruszenia ochrony danych osobowych - uznał, że jeszcze przed zaistnieniem naruszenia, to jest przed datą [...] marca 2020 r. (datą upływu terminu wykonania nakazu wyrażonego w decyzji z dnia [...] lutego 2020 r.) strona skarżąca zlekceważyła całkowicie zastosowane wobec niej środki, a więc zarówno wystąpienie Prezesa UODO z dnia [...] sierpnia 2019 r., jak i samą decyzję Prezesa UODO z dnia [...] lutego 2020 r.; organ nadzorczy zauważył, że pomimo prawidłowego doręczenia skarżącej obu dokumentów, nie podjęła ona żadnych działań celem ich wykonania; organ nadzorczy podniósł, że dopiero po wszczęciu postępowania sprawdzającego wykonanie decyzji, jak również w trakcie niniejszego postępowania w przedmiocie nałożenia na stronę skarżącą administracyjnej kary pieniężnej, skarżąca nawiązała korespondencję z organem nadzorczym oraz podjęła pewne działania w celu wykonania nakazu zawartego w decyzji.

Ponadto, organ nadzorczy stwierdził, że pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 RODO nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym miejscu organ nadzorczy wymienił: stopień odpowiedzialności administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, wszelkie wcześniejsze naruszenia ze strony administratora, kategorie danych osobowych, których dotyczyło naruszenie, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji, osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty).

Prezes UODO podniósł, że stosownie do brzmienia art. 83 ust. 1 RODO, nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Mając powyższe na względzie, organ nadzorczy uznał, że kara nałożona w niniejszym postępowaniu na stronę skarżącą spełnia te kryteria. Prezes UODO stwierdził bowiem, że nałożona niniejszą decyzją kara jest proporcjonalna do dużej wagi i nagannego charakteru stwierdzonego naruszenia. Kara ta spełni ponadto, jak uznał organ nadzorczy, funkcję odstraszającą, a także będzie jasnym sygnałem zarówno dla strony skarżącej, jak i dla innych adresatów decyzji Prezesa UODO, że nieprzestrzeganie orzeczonego przez niego nakazu stanowi odrębne (niezależne od naruszenia, którego usunięcie leżało u podstaw orzeczonego nakazu) naruszenie i to naruszenie o znacznej wadze.

W tym miejscu, organ nadzorczy wskazał, że nałożenie na stronę skarżącą administracyjnej kary pieniężnej jest środkiem, który zapewni przestrzeganie nakazu orzeczonego wobec niej w drodze decyzji z dnia [...] lutego 2020 r.

Prezes UODO zauważył jednocześnie, że wobec nieprzedstawienia przez stronę skarżącą żądanych przez organ nadzorczy danych finansowych za rok 2019, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie wzięto pod uwagę szacunkową wielkość przedsiębiorstwa strony skarżącej oraz specyfikę, zakres i skalę jej działalności. Organ nadzorczy wskazał, że w trakcie postępowania ustalił, iż skarżąca prowadzi działalność gospodarczą na dużą skalę w sektorze usług generującym niewątpliwie duże przychody i zyski, to jest w ochronie zdrowia. Prezes UODO zauważył, że z informacji przedstawionych na stronie internetowej strony skarżącej ([...]) wynika, że prowadzi ona co najmniej trzy placówki medyczne. Organ nadzorczy wskazał ponadto, że dużą skalę działalności skarżącej potwierdził również sam pełnomocnik strony skarżącej w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu [...] maja 2020 r., w którym stwierdził on, że obecnie w placówkach skarżącej leczy się ponad 35 tys. osób.

Mając powyższe na względzie, Prezes UODO stwierdził, że orzeczona w niniejszej sprawie administracyjna kara pieniężna nie będzie wiązać się z nadmiernym uszczerbkiem dla prowadzonej przez skarżącą działalności.

W piśmie z dnia [...] lutego 2021 r. skarżąca, reprezentowana przez adwokata, działając za pośrednictwem organu nadzorczego, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2021 r.

Wnosząc w petitum skargi o uchylenie zaskarżonej decyzji Prezesa UODO z dnia [...] stycznia 2021 r. w całości oraz umorzenie postępowania jako bezprzedmiotowego, ewentualnie o odstąpienie od nałożenia administracyjnej kary pieniężnej i poprzestanie na pouczeniu, z uwagi na przedstawienie przez stronę skarżącą dowodów potwierdzających wykonanie przez nią nakazu orzeczonego przez organ nadzorczy, skarżąca zarzucił organowi nadzorczemu:

I. naruszenie przepisów postępowania, mające istotny wpływ na wynik postępowania, w szczególności naruszenie art. 7 i art. 77 k.p.a., art. 79a § 2 k.p.a., art. 80 k.p.a. w zw. z art. art. 86 k.p.a. w zw. z art. 10 k.p.a. oraz art. 107 § 3 k.p.a. - poprzez:

- zaniechanie dokonania należytego wyjaśnienia stanu faktycznego sprawy i pobieżne przeprowadzenie postępowania dowodowego w sprawie, bez wyjaśnienia przyczyn takiego postępowania, czego wynikiem jest zgromadzenie niepełnego materiału dowodowego i przeprowadzenie jego dowolnej i subiektywnej oceny;

- brak podjęcia z urzędu przez organ nadzorczy czynności niezbędnych do wyjaśnienia stanu faktycznego oraz załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli, a w szczególności czynności zawiadomienia osób potencjalnie pokrzywdzonych naruszeniem ich danych osobowych, pomimo posiadania przez organ wszelkich danych umożliwiających z urzędu podjęcie takich czynności;

- brak wyjaśnienia wątpliwości co do stopnia ryzyka naruszenia praw i wolności osób fizycznych, których naruszenie dotyczyło i przyjęcie, że stopień tego ryzyka był wysoki, pomimo informacji zamieszonej przez skarżącą w pkt. 10 "Zgłoszenia naruszenia ochrony danych osobowych" z dnia [...] lipca 2019 r. , iż przedsiębiorca zrezygnował z zawiadomienia w/w osób z uwagi na brak wysokiego ryzyka naruszenia ich praw i wolności, a w konsekwencji braku wyjaśnienia tej rozbieżności - nałożenie na przedsiębiorcę dalszych obowiązków podjęcia przez niego czynności, z założeniem wysokiego stopnia ryzyka naruszenia;

- zaniechanie przesłuchania strony skarżącej, pomimo istniejących wątpliwości w sprawie i niewyjaśnionych faktów istotnych dla rozstrzygnięcia, w tym zakresu osób podlegających zawiadomieniu o naruszeniu;

- niewyjaśnienie przyczyn przyjęcia maksymalnej wysokości nałożonej kary administracyjnej oraz nieprecyzyjne wskazanie w uzasadnieniu faktycznym spornej decyzji faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej;

II. naruszenie zasady postępowania zawartej w przepisie art. 7 k.p.a. w zw. z art. 83 RODO - poprzez naruszenie granic uznania administracyjnego w wyniku nałożenia maksymalnej kary pieniężnej w wysokości niewspółmiernej do okoliczności sprawy i wagi naruszenia;

III. poczynienie wadliwych ustaleń faktycznych w sprawie - polegających na przyjęciu, że strona skarżąca nieprawidłowo wykonała nakaz zawarty w decyzji administracyjnej Prezesa UODO z [...] lutego 2020 r., podczas gdy w istocie nakaz ten został prawidłowo wykonany, o czym organ nadzorczy został przez przedsiębiorcę pisemnie powiadomiony.

Ponadto, strona skarżąca - powołując się na art. 106 P.p.s.a. - wniosła o dopuszczenie i przeprowadzenie dowodów z następujących dokumentów:

- pisma z dnia [...] stycznia 2021 r. skierowanego do Prezesa UODO wraz z potwierdzeniem nadania tego pisma,

- załączników do pisma z dnia [...] stycznia 2021 r. skierowanego do Prezesa UODO, w tym 37 "Zawiadomień o naruszeniu RODO" wraz z dowodami ich nadania,

- potwierdzeń odbioru w/w pism,

- umowy o świadczenie usług z dnia [...] stycznia 2021 r. zawartej z W.L., prowadzącym działalność gospodarczą pod nazwą [...], pełniącym funkcję Inspektora Ochrony Danych Osobowych (IOD) w przedsiębiorstwie skarżącej,

celem wykazania prawidłowego wykonania nakazu zawartego w decyzji administracyjnej Prezesa UODO z [...] lutego 2020 r., a także działań podjętych przez skarżącą, mających zapobiec wystąpieniu naruszeń w przyszłości, a w konsekwencji w celu wykazania bezprzedmiotowości spornego postępowania.

W uzasadnieniu wniesionej skargi strona skarżąca zarzuciła przede wszystkim, że w toku postępowania oraz przy wydawaniu zaskarżonej decyzji doszło do szeregu naruszeń przepisów postępowania, w tym m.in. art. 7 i art. 77 k.p.a., art. 79a § 2 k.p.a., art. 80 k.p.a. w zw. z art. 86 k.p.a. w zw. z art. 10 k.p.a. oraz art. 107 § 3 k.p.a., polegających na zaniechaniu dokonania należytego wyjaśnienia stanu faktycznego sprawy i pobieżnym przeprowadzeniu postępowania dowodowego w sprawie, bez wyjaśnienia przyczyn takiego postępowania, czego wynikiem stało się zgromadzenie niepełnego materiału dowodowego, a także przeprowadzenie jego dowolnej i subiektywnej oceny.

Strona skarżąca zarzuciła, iż pomimo obiektywnych możliwości i uprawnień, Prezes UODO, mając świadomość trudności w prawidłowym wykonaniu nałożonych na skarżącą obowiązków zmierzających do zawiadomienia osób, wobec których doszło do naruszenia ich danych osobowych i przekazania im informacji zgodnie z art. 34 ust 2 RODO, nie podjął czynności skutecznego zawiadomienia tych osób o naruszeniu, pomimo obiektywnych możliwości podjęcia takich działań przez sam organ nadzorczy.

Ponadto, skarżąca zauważyła, że z treści materiału dowodowego zgromadzonego w sprawie wynika, iż przedstawiła ona Prezesowi UODO dane 37 osób pokrzywdzonych naruszeniem, co umożliwiało organowi nadzorczemu podjęcie z urzędu działań mających na względzie interes tych obywateli, poprzez ich bezpośrednie zawiadomienie i poinformowanie o uprawnieniach.

Zdaniem strony skarżącej, powyższe działania mieściły się w przysługujących Prezesowi UODO na podstawie RODO instrumentach naprawczych, z których jednak w tym przypadku organ nadzorczy nie skorzystał, pomimo, iż stoi na straży prawidłowej ochrony danych osobowych obywateli, a zatem - jak zauważyła skarżąca - w sytuacji wystąpienia trudności w skutecznym wykonywaniu tej ochrony, organ nadzorczy powinien podjąć z urzędu dostępne mu działania ochronne.

Tymczasem, jak wskazała skarżąca, organ nadzorczy ograniczył się do wydawania kolejnych decyzji określających obowiązki skarżącego przedsiębiorcy. Tym samym, zdaniem strony skarżącej, pomimo obiektywnych [pic]możliwości, które w niniejszej sprawie wystąpiły, organ nadzorczy nie dążył do skutecznego załatwienia sprawy, co leżało w interesie społecznym oraz słusznym interesie obywateli.

Ponadto, strona skarżąca zarzuciła, że już na wstępie spornego postępowania doszło do błędnego przyjęcia stopnia ryzyka naruszenia praw i wolności osób fizycznych, których naruszenie dotyczyło. Według strony skarżącej, organ nadzorczy nie podjął żadnych czynności, by wyjaśnić powyższą kwestię, przyjmując tym samym, że stopień tego ryzyka był wysoki, pomimo informacji zamieszonej przez skarżącego przedsiębiorcę w pkt 10 "Zgłoszenia naruszenia ochrony danych osobowych" z dnia [...] lipca 2019 r., w którym wskazano, że przyczyną rezygnacji przez skarżącą z zawiadomienia wspomnianych osób był brak wysokiego ryzyka naruszenia ich praw i wolności.

Strona skarżąca uznała, że w konsekwencji jednostronnego i niezweryfikowanego materiałem sprawy ustalenia organu nadzorczego, nałożono na skarżącą dalsze obowiązki podjęcia przez nią czynności, z założeniem, iż naruszenie miało charakter wysokiego stopnia ryzyka.

Strona skarżąca zarzuciła ponadto, że organ nadzorczy zaniechał też możliwości skorzystania z innych środków dowodowych, w tym z przesłuchania strony skarżącej, celem usunięcia istniejących wątpliwości w sprawie, co doprowadziło z kolei do niewyjaśnienia faktów istotnych dla rozstrzygnięcia, w tym np. zakresu osób podlegających zawiadomieniu o naruszeniu.

Strona skarżąca stwierdziła, że wymiar kary winien zostać należycie uzasadniony i znajdować uzasadnienie w realiach konkretnej sprawy, co w niniejszej sprawie nie miało miejsca, ponieważ wysokość kary miała charakter zupełnie dowolny. Według strony skarżącej, organ nadzorczy nie uzasadnił w żaden sposób dlaczego akurat kara w maksymalnej wysokości 20.000 euro jest zasadna, a niezasadna byłaby kara w wysokości np. 10.000 euro lub niższa. W konsekwencji, skarżąca zarzuciła, że wysokość nałożonej kary jest rażąco wygórowana i nieadekwatna do okoliczności sprawy i stopnia naruszenia.

Odwołując się z kolei do zasady celowości postępowania, strona skarżąca uznała, że poczynione przez organ nadzorczy ustalenia polegające na przyjęciu, że skarżąca rzekomo nieprawidłowo wykonała nakaz zawarty w decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r. - z uwagi na nowe okoliczności - są wadliwe, a co najmniej nieaktualne, albowiem w istocie nakaz ten został prawidłowo wykonany, o czym organ nadzorczy został przez stronę skarżącą pisemnie powiadomiony, a na co w załączeniu strona skarżąca przedstawia stosowne potwierdzenia.

Mając na względzie powyższe, strona skarżąca stwierdziła, że nakaz zawarty w decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r. ostatecznie został przez nią prawidłowo wykonany, a ponadto - jak zauważyła skarżąca - podjęto czynności mające w przyszłości zapobiec ewentualnym naruszeniom. Strona skarżąca wskazała w tym miejscu, że zawarła umowę o świadczenie usług z profesjonalnym podmiotem zajmującym się w ramach prowadzonej działalności nadzorem nad prawidłową ochroną danych osobowych przechowywanych w przedsiębiorstwie skarżącej. Strona skarżąca podniosła, że takie działanie ma zapewnić nadzór, szkolenia oraz kontrole prawidłowego przestrzegania zasad ochrony danych osobowych, ułatwiając też tym samym prawidłową i szybką reakcję w sytuacji stwierdzenia próby naruszenia tych danych, mające wpływ na ich gromadzenie i przechowywanie przez stronę skarżącą.

W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Jednocześnie, organ nadzorczy wniósł o nieuwzględnienie wniosków dowodowych zgłoszonych przez stronę skarżącą w treści skargi, ze względu na brak jakiegokolwiek związku wskazanych przez skarżącą dokumentów z przedmiotem sprawy (wykonaniem nakazu Prezesa UODO, który polegał na zawiadomieniu osób, których dane dotyczą, o naruszeniu ich danych osobowych), a także ze względu na brak znaczenia tych dowodów dla ustalenia stanu faktycznego sprawy na dzień wydania zaskarżonej decyzji, tj. na dzień [...] stycznia 2021 r.

Prezes UODO uznał, że - w świetle przedstawionych wyżej powodów - oba wnioski dowodowe strony skarżącej są niedopuszczalne w kontekście przepisu art. 106 § 3 P.p.s.a.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2022 r., poz. 329 ze zm. - dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Należy zauważyć, że w tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany był - co do zasady - zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga M.Z., prowadzącej działalność gospodarczą pod firmą "K." z siedzibą w W. nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2021 r., nr [...] - nie narusza obowiązujących przepisów prawa.

Sąd uznał, że Prezes UODO, wydając sporną decyzję administracyjną z dnia [...] stycznia 2021 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji.

Przede wszystkim, przyjąć należy, iż nakładając na stronę skarżąca administracyjną karę pieniężną w wysokości 85.588 złotych, organ nadzorczy nie naruszył obowiązujących przepisów, albowiem - wbrew zarzutom strony skarżącej - prawidłowo przyjął, że w niniejszej sprawie skarżąca, jako administrator danych, nie wykonała nakazu nałożonego na nią decyzją administracyjną Prezesa UODO z dnia [...] lutego 2020 r., nr [...].

Mając powyższe na względzie, Sąd uznał, że w analizowanej sprawie zachodziła podstawa faktyczna i prawna do nałożenia na stronę skarżącą, jako administratora danych, administracyjnej kary pieniężnej na mocy art. 83 ust. 1 i 2 oraz ust. 6 w związku z art. 58 ust. 2 lit. i RODO z uwagi na nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. e RODO.

Ponadto, w wyniku przeprowadzenia analizy stanowiska organu nadzorczego zaprezentowanego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że - wbrew zarzutom skargi - Prezes UODO, wydając w dniu [...] stycznia 2021 r. sporne rozstrzygnięcie, nie dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego, przeprowadzając jednocześnie ową ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.

W działaniu Prezesa UODO, jako organu administracji publicznej wydającego sporną decyzję, Sąd nie dopatrzył się jakichkolwiek istotnych nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego.

Ponadto, Sąd uznał, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia [...] stycznia 2021 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego w toku postępowania wyjaśniającego.

W konsekwencji, zdaniem Sądu, stwierdzić należy, iż Prezes UODO, wydając zaskarżoną decyzję administracyjną - nie dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Przechodząc do merytorycznej oceny legalności zaskarżonej decyzji z dnia [...] stycznia 2021 r., należy zauważyć na wstępie, że przedmiotem sporu w niniejszej sprawie była kwestia prawidłowości ustaleń organu nadzorczego w zakresie nienależytego wywiązania się przez skarżącą, jako administratora danych, z obowiązków nałożonych na nią decyzją administracyjną z dnia [...] lutego 2020 r., nr [...], na podstawie której to decyzji Prezes UODO - działając w oparciu o art. 58 ust. 2 lit. e RODO - nakazał stronie skarżącej zawiadomienie osób, których dane dotyczą - w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna - o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO.

W konsekwencji, przedmiotem sporu była jednocześnie ocena zasadności nałożenia na stronę skarżącą administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 6 RODO, za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy we wspomnianej wyżej decyzji z dnia [...] lutego 2020 r.

W niniejszej sprawie Prezes UODO, nakładając sporną administracyjną karę pieniężną - stwierdził, iż w trakcie prowadzonego postępowania wyjaśniającego ustalono, że skarżąca, będąc administratorem danych, nie wykonała nałożonego na nią nakazu zawartego w decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r. Organ nadzorczy zauważył bowiem, że pomimo, iż wspomnianą decyzją administracyjną skarżąca wyraźnie zobowiązana została do zawiadomienia osób, których dane dotyczą - w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna - o naruszeniu ich danych osobowych, które miało miejsce w dniu [...] kwietnia 2019 r., w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, nie przedstawiła jednak dowodów świadczących o prawidłowym wykonaniu obowiązku, o którym mowa w art. 34 ust. 1 i 2 RODO.

Organ nadzorczy stwierdził, że strona skarżąca udowodniła jedynie, przedstawiając kopię pocztowej książki nadawczej, skierowanie w dniu [...] czerwca 2020 r. zawiadomień o naruszeniu ochrony danych osobowych do dziesięciu osób. Tymczasem, według organu nadzorczego, treść tych zawiadomień bezsprzecznie nie odpowiadała wymogom przewidzianym w art. 34 ust. 2 RODO. Ponadto, według organu nadzorczego, liczba owych zawiadomień była niewielka w stosunku do wskazanej w zgłoszeniu z dnia [...] lipca 2019 r. liczby stu osób, których dane naruszono (czy też liczby trzydziestu siedmiu osób wskazanej przez skarżącą - po sprawdzeniu - w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu [...] listopada 2020 r.). W konsekwencji, organ nadzorczy zarzucił stronie skarżącej, że jej działania w żaden sposób nie można uznać za wykonanie nakazu wyrażonego we wspomnianej wyżej decyzji Prezesa UODO.

W ocenie Sądu, uznać należy, iż - wbrew zarzutom strony skarżącej - dokonując powyższych ustaleń, organ nadzorczy nie dopuścił się jakiegokolwiek istotnego naruszenia prawa, które mogło mieć wpływ na końcowe rozstrzygnięcie sprawy.

Sąd stwierdził, że Prezes UODO zasadnie przyjął w uzasadnieniu zaskarżonej decyzji z dnia [...] stycznia 2021 r., że na dzień jej wydania brak jest podstaw do uznania, iż strona skarżąca, jako administrator danych, wywiązała się z ciążącego na niej - na mocy art. 34 ust 1 i 2 RODO - obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, będącym przedmiotem zgłoszenia z dnia [...] lipca 2019 r. Tym samym, organ nadzorczy prawidłowo uznał, że strona skarżąca nie wykonała nakazu zawartego w decyzji administracyjnej organu nadzorczego z dnia [...] lutego 2020 r., sygn. [...].

Sąd nie zgodził się przede wszystkim z postawionym przez stronę skarżącą zarzutem zaniechania przez organ nadzorczy dokonania należytego wyjaśnienia stanu faktycznego sprawy i jednocześnie pobieżnego przeprowadzenia postępowania dowodowego w sprawie i tym samym zgromadzenia niepełnego materiału dowodowego i przeprowadzenia jego dowolnej i subiektywnej oceny.

Otóż, należy zauważyć, iż nie ulega wątpliwości, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.

Użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.

Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

W tej sytuacji, uznać należy, że skoro zatem decyzja z dnia [...] lutego 2020 r. nakładająca na skarżącą, jako administratora danych, stosowny nakaz stała się z uwagi na brak jej zaskarżenia do sądu administracyjnego prawomocna, to organ nadzorczy miał pełne prawo - działając w celu sprawdzenia, czy nałożone obowiązki zostały wykonane przez skarżącą - wszcząć stosowne postępowanie sprawdzające, pouczając jednocześnie skarżącą, że stwierdzenie nieprzestrzegania nakazu nałożonego przez ten organ skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 6 RODO.

W ocenie Sądu, zebrany w sprawie materiał dowodowy jest wyczerpujący i został poddany przez organ nadzorczy wszechstronnemu i wnikliwemu rozpatrzeniu, w wyniku czego doszło do prawidłowego ustalenia stanu faktycznego sprawy.

Prezes Urzędu Ochrony Danych Osobowych, przeprowadzając wspomniane postępowanie sprawdzające, dokonał wszelkich ocen, przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Warto jednocześnie zauważyć, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające wykorzystał wszelkie niezbędne instrumenty prawne, jakie dawała mu ustawa o ochronie danych osobowych i uzasadniając swoje stanowisko w decyzji z dnia [...] stycznia 2021 r., w sposób klarowny przedstawił argumentację dotyczącą zasadności nałożenia administracyjnej kary pieniężnej.

W tym miejscu, wskazać należy wyraźnie, że - wbrew sugestiom strony skarżącej - ustalając stan faktyczny sprawy, Prezes UODO zobowiązany był ustalić ów stan na dzień wydania zaskarżonej decyzji, albowiem nie mógł wziąć pod uwagę wyjaśnień i dowodów przedstawionych przez skarżącą w piśmie opatrzonym datą [...] stycznia 2021 r. (zawierającym załączniki w postaci 37 pism - "Zawiadomień o naruszeniu RODO" - wraz z potwierdzeniami ich nadania listami poleconymi w dniu [...] stycznia 2021 r.), a więc już po wydaniu zaskarżonej decyzji. Nie ulega wątpliwości, że pismo to złożone zostało do akt spraw po dacie wydania zaskarżonej decyzji, to jest po dniu [...] stycznia 2021 r. Według Sądu, przyjąć należy w tej sytuacji, że przedstawienie przez skarżącą pełnych i wyczerpujących dowodów wykonania przez nią nakazu było dopiero efektem doręczenia skarżącej zaskarżonej decyzji nakładającej administracyjną karę pieniężną.

Według Sądu, za całkowicie niezrozumiały należy uznać również zarzut strony skarżącej, w którym zarzuciła ona organowi nadzorczemu brak podjęcia z urzędu czynności niezbędnych do wyjaśnienia stanu faktycznego oraz załatwienia sprawy polegających na zawiadomieniu osób potencjalnie pokrzywdzonych naruszeniem ich danych osobowych, pomimo - jak podniosła skarżąca - posiadania przez organ wszelkich danych umożliwiających z urzędu podjęcie takich czynności.

Otóż, należy wyraźnie podkreślić, że zgodnie z art. 34 ust. 1 RODO, to na administratorze danych ciąży obowiązek niezwłocznego zawiadomienia podmiotów danych o naruszeniu ochrony ich danych osobowych, które może powodować wysokie ryzyko naruszenia ich praw lub wolności. W tej sytuacji, za całkowicie bezpodstawne uznać należy sugestie strony skarżącej jakoby powyższe działania (czyli dokonanie przez Prezesa UODO - w zastępstwie skarżącej, jako administratora - skutecznego zawiadomienia o naruszeniu osób, których dane dotyczą) mieściły się w przysługujących organowi nadzorczemu, na podstawie RODO, instrumentach naprawczych, z których rzekomo - jak podniosła skarżąca - organ nadzorczy w sposób nieuprawniony nie skorzystał.

W tym miejscu, należy zauważyć, że zgodnie z art. 58 ust. 2 RODO, Prezesowi UODO przysługują enumeratywnie wymienione w tym przepisie uprawnienia naprawcze. Nie ulega wątpliwości, że wśród przedstawionych w tym przepisie kompetencji Prezesa UODO brak jest uprawnienia do zawiadamiania o naruszeniach ochrony danych osobowych osób, których dane dotyczą. Tym bardziej uznać należy, że - wbrew sugestiom strony skarżącej - brak jest w przepisach RODO takiego, ciążącego na organie nadzorczym, obowiązku. Zdaniem Sądu, uznać należy zatem, że Prezes UODO skorzystał z właściwego i jedynego przysługującego mu w takich przypadkach środka (uprawnienia naprawczego), nakazując w drodze decyzji administracyjnej stronie skarżącej, jako administratorowi danych osobowych osób dotkniętych naruszeniem, zawiadomienie tych osób o naruszeniu ochrony ich danych osobowych.

Sąd uznał ponadto, że całkowicie nieuprawniony w niniejszej sprawie jest również podniesiony przez stronę skarżącą zarzut braku wyjaśnienia przez Prezesa UODO wątpliwości co do stopnia ryzyka naruszenia praw i wolności osób fizycznych, których naruszenie dotyczyło, i przyjęcie, że stopień tego ryzyka był wysoki, pomimo informacji zamieszczonej przez skarżącą w zgłoszeniu z dnia [...] września 2019 r., w której administrator danych poinformował organ nadzorczy, iż przedsiębiorca zrezygnował z zawiadomienia w/w osób z uwagi na brak wysokiego ryzyka naruszenia ich praw i wolności. Według Sądu, w analizowanej sprawie brak było po stronie organu nadzorczego obowiązku wyjaśnienia rzekomych rozbieżności, które - jak sugeruje strona skarżąca - doprowadziły do niewłaściwego nałożenia na skarżącą w decyzji z dnia [...] lutego 2020 r. dalszych obowiązków podjęcia przez nią czynności, z wadliwym założeniem wysokiego stopnia ryzyka naruszenia. Otóż, nie ulega - zdaniem Sądu - jakichkolwiek wątpliwości, że sporna okoliczność (vide: ustalenie stopnia ryzyka związanego z naruszeniem ochrony danych osobowych) nie mogła być przedmiotem postępowania zakończonego wydaniem zaskarżonej decyzji z dnia [...] stycznia 2021 r., albowiem jego przedmiotem było wyłącznie rozważenie podstaw do nałożenia administracyjnej kary pieniężnej w związku z nieprzestrzeganiem prawomocnego nakazu orzeczonego przez Prezesa UODO we wspomnianej wyżej decyzji z dnia [...] lutego 2020 r. W tym miejscu, należy jedynie zauważyć, że wskazana okoliczność była wzięta pod uwagę w toku postępowania w przedmiocie zgłoszenia naruszenia ochrony danych osobowych, które zakończyło się prawomocną decyzją z dnia [...] lutego 2020 r. W tej sytuacji, stwierdzić należy, że strona skarżąca, nie zaskarżając tej decyzji Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaakceptowała dokonaną w niej przez organ nadzorczy ocenę ryzyka naruszenia praw i wolności osób dotkniętych naruszeniem. W konsekwencji, uznać trzeba, że niedopuszczalnym jest więc podnoszenie tej okoliczności w niniejszym postępowaniu.

Ustosunkowując się z kolei do zarzutu niewyjaśnienia przyczyn przyjęcia maksymalnej wysokości nałożonej kary administracyjnej, należy - według Sądu - stwierdzić, że w żadnej mierze argumentacja przytoczona w zakresie tego zarzutu przez skarżącą nie zasługuje na uwzględnienie.

Według Sądu, należy zauważyć, że zgodnie z art. 83 ust. 6 RODO, nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 tego rozporządzenia unijnego podlega, na mocy art. 83 ust. 2, administracyjnej karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Nie ulega wątpliwości, że maksymalną sankcją za naruszenie stanowiące przedmiot zaskarżonej decyzji jest więc administracyjna kara pieniężna w wysokości 20.000.000 EUR. Tymczasem, nałożona zaskarżoną decyzją wysokość administracyjnej kary pieniężnej bardzo daleka jest od maksymalnej kwoty, o której jest mowa w art. 83 ust. 6 RODO.

Ponadto, w ocenie Sądu, orzekając sporną administracyjną karę pieniężną, Prezes UODO rozważył wszelkie istotne przesłanki, jakie orzeczona kara spełniać musi, w świetle art. 83 ust. 1 cyt. rozporządzenia 2016/679, czemu dał wyraz na stronach 12-14 uzasadnienia zaskarżonej decyzji z dnia [...] stycznia 2021 r.

Wydając zaskarżoną decyzję, Prezes UODO precyzyjnie wskazał, które z tych okoliczności wpłynęły na konieczność zastosowania w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej i miały obciążający wpływ na jej wysokość. Uzasadnił w szczególności, dlaczego umyślny i długotrwały charakter naruszenia podlegającego karze stanowią w niniejszej sprawie okoliczności obciążające.

W związku z powyższym, trudno zgodzić się z zarzutami skarżącej, jakoby wysokość nałożonej na nią kary miała charakter zupełnie dowolny, czy też była rażąco wygórowana i nieadekwatna do okoliczności sprawy i stopnia naruszenia.

Sąd uznał w konsekwencji, że sporna administracyjna kara pieniężna, wbrew zarzutom strony skarżącej, jest proporcjonalna, odstraszająca, a także skuteczna, o czym - jak słusznie zauważył organ nadzorczy w odpowiedzi na skargę - świadczy zresztą wykonanie przez skarżącą nakazu określonego w decyzji Prezesa UODO niezwłocznie po doręczeniu stronie skarżącej zaskarżonej decyzji z dnia [...] stycznia 2021 r.

W tym miejscu, warto jedynie wskazać dodatkowo, że w piśmie z dnia [...] września 2020 r. informującym stronę skarżącą o wszczęciu postępowania w przedmiocie nałożenia na nią administracyjnej kary pieniężnej, skarżąca wezwana została m.in. do przedstawienia danych finansowych w postaci sprawozdania finansowego za rok 2019, a w razie jego braku - oświadczenia o wysokości obrotu i wyniku finansowego za 2019 r., celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej. Tym samym pismem strona skarżąca została pouczona, że nieprzedstawienie takich danych skutkować będzie - zgodnie z art. 101a ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - ustaleniem przez Prezesa UODO podstawy wymiaru kary w sposób szacunkowy, z uwzględnieniem wielkości podmiotu, specyfiki prowadzonej przez niego działalności oraz ogólnie dostępnych danych finansowych dotyczących podmiotu. W związku z tym, uznać należy, że skoro skarżąca nigdy nie przedstawiła Prezesowi UODO danych finansowych dotyczących prowadzonej przez siebie działalności gospodarczej, a także nie usprawiedliwiła również niewywiązania się z tego obowiązku, organ nadzorczy - ustalając wysokość kary - miał pełne prawo do skorzystania z możliwości, o której stanowi art. 101a ust. 2 u.o.d.o.

Mając powyższe na względzie, Sąd uznał, że w wyniku prawidłowo zebranego i wszechstronnie ocenionego materiału dowodowego, Prezes UODO miał podstawę do przyjęcia w uzasadnieniu zaskarżonej decyzji, iż strona skarżąca nie wywiązała się z ciążącego na niej, na mocy art. 34 ust 1 i 2 RODO, obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, i tym samym nie wykonała nakazu nałożonego na nią na mocy decyzji administracyjnej Prezesa UODO z dnia [...] lutego 2020 r.

Zdaniem Sądu, organ nadzorczy w sposób precyzyjny wyjaśnił w uzasadnieniu zaskarżonej decyzji, dlaczego nie mógł uznać, że na dzień wydania decyzji z dnia [...] stycznia 2020 r. stan naruszenia był już nieaktualny, zaś skarżąca wykonała prawidłowo i skutecznie nakaz zawarty w decyzji z dnia [...] lutego 2020 r.

Wskazać należy, że wszelkie działania sanujące podjęte przez skarżącą po dacie wydania zaskarżonej decyzji nakładającej administracyjną karę pieniężną, nie mogły być wzięte pod uwagę przez Sąd. W tej sytuacji, skoro załączone przez skarżącą do skargi dokumenty wskazują jednoznacznie, że samo wykonanie obowiązku nastąpiło dopiero po dacie wydania zaskarżonej decyzji (wszystkie potwierdzenia wysłania zawiadomień noszą datę [...] stycznia 2021 r.), uznać należy, że dowody te nie mogły - w świetle m.in. art. 106 § 3 P.p.s.a. - stanowić podstawy do postawienia skutecznych zarzutów w niniejszym postępowaniu sądowoadministracyjnym.

Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 151 P.p.s.a. - orzekł, jak w sentencji wyroku.[pic][pic]