Nie można przetwarzać danych osobowych, nie mając podstawy prawnej
Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 45 tys. zł za naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez wspólników spółki cywilnej Kancelaria PIONIER. Organ nadzorczy jednocześnie nakazał dostosowanie operacji przetwarzania do przepisów RODO poprzez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej.
Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja wskazująca na możliwość naruszenia przez administratorów przepisów o ochronie danych osobowych. Urząd w pierwszej kolejności podjął wobec administratorów czynności sprawdzające, jednak z uwagi na brak dostatecznej współpracy z organem nadzorczym przy wyjaśnianiu okoliczności sprawy, UODO uznał, że konieczne jest przeprowadzenie kontroli. Zakresem kontroli objęto przetwarzanie przez administratorów danych osobowych klientów i potencjalnych klientów wspólników spółki.
Na podstawie zgromadzonego w sprawie materiału dowodowego w ocenie UODO wspólnicy spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, poprzez przetwarzanie bez podstawy prawnej danych osobowych ich potencjalnych klientów , w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych.
UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień.
W jaki sposób pozyskiwano dane?
Należy podkreślić, że działalność prowadzona przez wspólników spółki polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, przed sądami, a także innymi podmiotami, w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Działalność wspólników spółki polega także na pośredniczeniu pomiędzy klientami a placówkami medycznymi w zakresie uzyskania usług medycznych.
Wspólnicy spółki pozyskiwali dane osobowe i nawiązywali kontakt z potencjalnymi klientami na podstawie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną. Wspólnicy spółki pozyskiwali dane także na podstawie bezpośrednich rozmów np. z sąsiadami osób, których dane dotyczą. W ten sposób pozyskane informacje pozwalały na identyfikację adresu zamieszkania, a następnie nawiązanie przez wspólników spółki bezpośredniego kontaktu z potencjalnymi klientami i złożenie im oferty świadczenia usług.
Podczas pierwszej rozmowy z potencjalnym klientem,osoba reprezentująca wspólników spółki prosiła go o udzielenie im ustnej zgody na pozyskanie i przetwarzanie jego danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług. Jeżeli potencjalny klient udzielił ustnej zgody na przetwarzanie jego danych, rozmowa była kontynuowana i pozyskiwane były inne, dokładniejsze dane osobowe, m.in.: imię i nazwisko, numer telefonu. W przypadku zaś odmowy, rozmowa była przerywana.
Przetwarzanie danych bez podstawy prawnej
W ocenie UODO przetwarzanie danych osobowych potencjalnych klientów, jak czynią to wspólnicy spółki, może się odbywać na podstawie możliwej do wykazania przed organem nadzorczym , w tym także ich wyraźnej zgody na przetwarzanie danych podlegających szczególnej ochronie, w tym konkretnym przypadku danych o stanie zdrowia.
Jak ustalono w toku kontroli, w przypadku potencjalnych klientów, tj. osób, do których wspólnicy spółki dopiero kierują ofertę , powyższa zgoda uzyskiwana jest jedynie w formie ustnej, przy czym uzyskania zgód nie ewidencjonowano w sposób, który dla organu nadzorczego mógłby stanowić dowód na ich udzielenie (np. rejestr zgód)
Ponadto z wyjaśnień wspólników spółki jako administratora oraz jego pracowników wynika, że przetwarzają oni dane potencjalnych klientów, ponieważ jest to im niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie potencjalnych klientów, przed zawarciem z nimi umów.
Zdaniem Urzędu, nie można uznać przesłanki legalizującej przetwarzanie danych ze względu na niezbędność wykonania umowy, ponieważ nie jest ona jeszcze z potencjalnym klientem w ogóle zawarta . W przedmiotowej sprawie nie można również mówić o podejmowaniu przez wspólników spółki działań na żądanie potencjalnych klientów, skoro na etapie ich kontaktu jako administratora z potencjalnymi klientami nie ma w ogóle mowy o „żądaniach” tych osób. Tym samym dane są pozyskiwane i przetwarzane przez administratorów jedynie w celu określenia przez niego na swoje potrzeby stopnia opłacalności zawarcia umowy z potencjalnym klientem oraz celem nawiązania z nim ponownie kontaktu i wyrażenia przez niego swojej woli, czy w ogóle chce zawrzeć umowę z administratorami czy nie.
Biorąc pod uwagę wszelkie okoliczności sprawy, UODO stwierdził naruszenie zasad przetwarzania danych osobowych poprzez przetwarzanie danych potencjalnych klientów administratora bez podstawy prawnej.