24.1.2023
A.J.
Zespół e-prawnik.pl
Nie można przetwarzać danych osobowych, nie mając podstawy prawnej
Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 45 tys. zł za naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez wspólników spółki cywilnej Kancelaria PIONIER. Organ nadzorczy jednocześnie nakazał dostosowanie operacji przetwarzania do przepisów RODO poprzez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej.
Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja wskazująca na możliwość naruszenia przez administratorów przepisów o ochronie danych osobowych. Urząd w pierwszej kolejności podjął wobec administratorów czynności sprawdzające, jednak z uwagi na brak dostatecznej współpracy z organem nadzorczym przy wyjaśnianiu okoliczności sprawy, UODO uznał, że konieczne jest przeprowadzenie kontroli. Zakresem kontroli objęto przetwarzanie przez administratorów danych osobowych klientów i potencjalnych klientów wspólników spółki.
Na podstawie zgromadzonego w sprawie materiału dowodowego w ocenie UODO wspólnicy spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, poprzez przetwarzanie bez podstawy prawnej danych osobowych ich potencjalnych klientów , w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych.
UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień.
W jaki sposób pozyskiwano dane?
Należy podkreślić, że działalność prowadzona przez wspólników spółki polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, przed sądami, a także innymi podmiotami, w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Działalność wspólników spółki polega także na pośredniczeniu pomiędzy klientami a placówkami medycznymi w zakresie uzyskania usług medycznych.
Wspólnicy spółki pozyskiwali dane osobowe i nawiązywali kontakt z potencjalnymi klientami na podstawie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną. Wspólnicy spółki pozyskiwali dane także na podstawie bezpośrednich rozmów np. z sąsiadami osób, których dane dotyczą. W ten sposób pozyskane informacje pozwalały na identyfikację adresu zamieszkania, a następnie nawiązanie przez wspólników spółki bezpośredniego kontaktu z potencjalnymi klientami i złożenie im oferty świadczenia usług.
Podczas pierwszej rozmowy z potencjalnym klientem,osoba reprezentująca wspólników spółki prosiła go o udzielenie im ustnej zgody na pozyskanie i przetwarzanie jego danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług. Jeżeli potencjalny klient udzielił ustnej zgody na przetwarzanie jego danych, rozmowa była kontynuowana i pozyskiwane były inne, dokładniejsze dane osobowe, m.in.: imię i nazwisko, numer telefonu. W przypadku zaś odmowy, rozmowa była przerywana.
Przetwarzanie danych bez podstawy prawnej
W ocenie UODO przetwarzanie danych osobowych potencjalnych klientów, jak czynią to wspólnicy spółki, może się odbywać na podstawie możliwej do wykazania przed organem nadzorczym , w tym także ich wyraźnej zgody na przetwarzanie danych podlegających szczególnej ochronie, w tym konkretnym przypadku danych o stanie zdrowia.
Jak ustalono w toku kontroli, w przypadku potencjalnych klientów, tj. osób, do których wspólnicy spółki dopiero kierują ofertę, powyższa zgoda uzyskiwana jest jedynie w formie ustnej, przy czym uzyskania zgód nie ewidencjonowano w sposób, który dla organu nadzorczego mógłby stanowić dowód na ich udzielenie (np. rejestr zgód)
Ponadto z wyjaśnień wspólników spółki jako administratora oraz jego pracowników wynika, że przetwarzają oni dane potencjalnych klientów, ponieważ jest to im niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie potencjalnych klientów, przed zawarciem z nimi umów.
Zdaniem Urzędu, nie można uznać przesłanki legalizującej przetwarzanie danych ze względu na niezbędność wykonania umowy, ponieważ nie jest ona jeszcze z potencjalnym klientem w ogóle zawarta. W przedmiotowej sprawie nie można również mówić o podejmowaniu przez wspólników spółki działań na żądanie potencjalnych klientów, skoro na etapie ich kontaktu jako administratora z potencjalnymi klientami nie ma w ogóle mowy o „żądaniach” tych osób. Tym samym dane są pozyskiwane i przetwarzane przez administratorów jedynie w celu określenia przez niego na swoje potrzeby stopnia opłacalności zawarcia umowy z potencjalnym klientem oraz celem nawiązania z nim ponownie kontaktu i wyrażenia przez niego swojej woli, czy w ogóle chce zawrzeć umowę z administratorami czy nie.
Biorąc pod uwagę wszelkie okoliczności sprawy, UODO stwierdził naruszenie zasad przetwarzania danych osobowych poprzez przetwarzanie danych potencjalnych klientów administratora bez podstawy prawnej.
Potrzebujesz porady prawnej?
Dokumentacja przetwarzania danych osobowych według RODO
Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych (...)
Ocena skutków dla ochrony danych
Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności (...)
Jak powołać inspektora ochrony danych?
Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)
Przetwarzanie danych przy rekrutacji pracowników a RODO
Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich (...)
Przetwarzanie danych osobowych przez sądy
Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do (...)
Kiedy można przetwarzać dane osobowe?
25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...)
RODO w pracy - przetwarzanie danych w miejscu pracy.
Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych. Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony (...)
Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione (...)
Zasady przetwarzania danych osobowych oraz ich zabezpieczanie
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, nadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (...)
Rejestr czynności przetwarzania danych osobowych według RODO
25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów (...)
Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie
Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców (...)
28 maja 2019 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Wprowadza ono szereg zapisów, dzięki którym wymiana handlowa na terenie Unii Europejskiej będzie znacznie łatwiejsza, ale też (...)
Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?
Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania. Z czego wynika obowiązek prowadzenia rejestru czynności przetwarzania? Na (...)
Obowiązki administratora danych osobowych
Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do (...)
Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. Poznaj odpowiedzi (...)
Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych
25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce (...)
Zgoda na przetwarzanie danych na zakupach...
Przedsiębiorcy zajmujący się sprzedażą, przetwarzają nasze dane do celów realizacji umowy, ale są też przypadki, gdy na dane działanie konieczna jest nasza zgoda. Wyrażam zgodę na… zakupowe dylematy W gorączce przedświątecznych zakupów warto poznać zasady, na (...)
Nabycie niektórych rodzajów usług i praw a koszty
Koszty uzyskania przychodów związanych z nabyciem niektórych rodzajów usług i praw Poniższe wyjaśnienie dotyczy nowych przepisów art. 15e ustawy z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych, które weszły w życie 1 stycznia 2018 (...)
System Informacyjny Schengen oraz System Informacji Wizowej
W związku z wejściem do strefy Schengen obowiązuje w naszym kraju ustawa o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynikała z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku (...)
Pora na dostosowania do systemów informacyjnych Schengen
Sejm zajmuje się obecnie rządowym projektem ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynika z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku prawnym Schengen, którego (...)
