Unikanie odbioru korespondencji od Prezesa Urzędu Ochrony Danych Osobowych może być uznane za brak współpracy i zagrożone karą finansową
Na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiła się nowa informacja o nałożonej karze w wysokości 22 739 złotych na spółkę, która nie współpracowała z organem nadzorczym oraz nie zapewniła dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań w związku z otrzymaniem skargi, w której oskarżono ją o naruszenie ochrony danych osobowych.
Brak odbioru korespondencji przez spółkę
Jak wskazał Prezes Urzędu Ochrony Danych Osobowych, w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do ukaranej Spółki z wezwaniem do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do Spółki wezwań – na adresy ujawnione w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego jako adresy jej siedziby – nie zostało przez Spółkę odebrane pomimo dwukrotnego ich awizowania. W związku z tym wysłane Spółce wezwania zostały uznane za doręczone.
Konsekwencje unikania odbioru korespondencji od Prezesa Urzędu Ochrony Danych Osobowych
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f). Dla umożliwienia egzekwowania tak określonych kompetencji, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do uzyskania od administratora lub podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych mu do realizacji jego zadań (art. 58 ust. 1 lit. e). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niedostarczeniu informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu nadzorczego określonych w art. 58 ust. 1, podlega zaś – zgodnie z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są – na żądanie organu nadzorczego – współpracować z nim w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Naruszenie zaś tego obowiązku podlega – zgodnie z art. 83 ust. 4 lit. a) Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Odpowiedzialność za nieudzielenie PUODO żądanych przez niego informacji spoczywa na spółce
Jak wskazano w decyzji, odpowiedzialność za nieudzielenie Prezesowi UODO żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że wezwania kierowane przez Prezesa UODO do Spółki nie zostały ostatecznie przez nią odebrane. Powinnością każdej jednostki organizacyjnej jest bowiem zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną (wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z dnia 18 października 2018 r., sygn. akt II SAB/Go 90/18).