24.1.2023

A.J.Zespół e-prawnik.pl

A.J.
Zespół e-prawnik.pl

Do przetwarzania danych konieczna jest podstawa prawna...

Nie można przetwarzać danych osobowych, nie mając podstawy prawnej

Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 45 tys. zł za naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez wspólników spółki cywilnej Kancelaria PIONIER. Organ nadzorczy jednocześnie nakazał dostosowanie operacji przetwarzania do przepisów RODO poprzez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej.

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja wskazująca na możliwość naruszenia przez administratorów przepisów o ochronie danych osobowych. Urząd w pierwszej kolejności podjął wobec administratorów czynności sprawdzające, jednak z  uwagi na brak dostatecznej współpracy z organem nadzorczym przy wyjaśnianiu okoliczności  sprawy, UODO uznał, że konieczne jest przeprowadzenie kontroli. Zakresem kontroli objęto przetwarzanie przez administratorów danych osobowych klientów i potencjalnych klientów wspólników spółki.

Na podstawie zgromadzonego w sprawie materiału dowodowego w ocenie UODO wspólnicy spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, poprzez przetwarzanie bez podstawy prawnej danych osobowych ich potencjalnych klientów , w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych.

UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień.

Porady prawne

W jaki sposób pozyskiwano dane?

Należy podkreślić, że działalność prowadzona przez wspólników spółki polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, przed sądami, a także innymi podmiotami, w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Działalność wspólników spółki polega także na pośredniczeniu pomiędzy klientami a placówkami medycznymi w zakresie uzyskania usług medycznych.

Wspólnicy spółki pozyskiwali dane osobowe i nawiązywali kontakt z potencjalnymi klientami na podstawie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną. Wspólnicy spółki pozyskiwali dane także na podstawie bezpośrednich rozmów np. z sąsiadami osób, których dane dotyczą. W ten sposób pozyskane informacje pozwalały na identyfikację adresu zamieszkania, a następnie nawiązanie przez wspólników spółki bezpośredniego kontaktu z potencjalnymi klientami i złożenie im oferty świadczenia usług.

Podczas pierwszej rozmowy z potencjalnym klientem,osoba reprezentująca wspólników spółki prosiła go  o udzielenie im  ustnej zgody na pozyskanie i przetwarzanie jego danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług. Jeżeli potencjalny klient udzielił ustnej zgody na przetwarzanie jego danych, rozmowa była kontynuowana i pozyskiwane były inne, dokładniejsze dane osobowe, m.in.: imię i nazwisko, numer telefonu. W przypadku zaś odmowy, rozmowa była przerywana.

Przetwarzanie danych bez podstawy prawnej

W ocenie UODO przetwarzanie danych osobowych potencjalnych klientów, jak czynią to wspólnicy spółki, może się odbywać na podstawie możliwej do wykazania przed organem nadzorczym , w tym także ich wyraźnej zgody na przetwarzanie danych podlegających szczególnej ochronie, w tym konkretnym przypadku danych o stanie zdrowia.

Jak ustalono w toku kontroli, w przypadku potencjalnych klientów, tj. osób, do których wspólnicy spółki dopiero kierują ofertę, powyższa zgoda uzyskiwana jest jedynie w formie ustnej, przy czym uzyskania zgód nie ewidencjonowano w sposób, który dla organu nadzorczego mógłby stanowić dowód na ich udzielenie (np. rejestr zgód)

Ponadto z wyjaśnień wspólników spółki jako administratora oraz jego pracowników wynika, że przetwarzają oni dane potencjalnych klientów, ponieważ jest to im niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie potencjalnych klientów, przed zawarciem z nimi umów.

Zdaniem Urzędu, nie można uznać przesłanki legalizującej przetwarzanie danych ze względu na niezbędność wykonania umowy, ponieważ nie jest ona jeszcze z potencjalnym klientem w ogóle zawarta. W przedmiotowej sprawie nie można również mówić o podejmowaniu przez wspólników spółki działań na żądanie potencjalnych klientów, skoro na etapie ich kontaktu jako administratora z potencjalnymi klientami nie ma w ogóle mowy o „żądaniach” tych osób. Tym samym dane są pozyskiwane i przetwarzane przez administratorów jedynie w celu określenia przez niego na swoje potrzeby stopnia opłacalności zawarcia umowy z potencjalnym klientem oraz celem nawiązania z nim ponownie kontaktu i wyrażenia przez niego swojej woli, czy w ogóle chce zawrzeć umowę z administratorami czy nie.

Biorąc pod uwagę wszelkie okoliczności sprawy, UODO stwierdził naruszenie zasad przetwarzania danych osobowych poprzez przetwarzanie danych potencjalnych klientów administratora bez podstawy prawnej.

Pełna treść decyzji

Porady prawne

Potrzebujesz porady prawnej?

Dokumentacja przetwarzania danych osobowych według RODO

Dokumentacja przetwarzania danych osobowych według RODO

Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych (...)

Ocena skutków dla ochrony danych

Ocena skutków dla ochrony danych

Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności (...)

Jak powołać inspektora ochrony danych?

Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)

Przetwarzanie danych przy rekrutacji pracowników a RODO

Przetwarzanie danych przy rekrutacji pracowników a RODO

Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich (...)

Przetwarzanie danych osobowych przez sądy

Przetwarzanie danych osobowych przez sądy

Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do (...)

Kiedy można przetwarzać dane osobowe?

Kiedy można przetwarzać dane osobowe?

25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...)

RODO w pracy - przetwarzanie danych w miejscu pracy.

RODO w pracy - przetwarzanie danych w miejscu pracy.

Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych.   Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony (...)

Co reguluje RODO?

Co reguluje RODO?

Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione (...)

Zasady przetwarzania danych osobowych oraz ich zabezpieczanie

Zasady przetwarzania danych osobowych oraz ich zabezpieczanie

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, nadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (...)

Rejestr czynności przetwarzania danych osobowych według RODO

Rejestr czynności przetwarzania danych osobowych według RODO

25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów (...)

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców (...)

Swobodny przepływ danych w UE

Swobodny przepływ danych w UE

28 maja 2019 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Wprowadza ono szereg zapisów, dzięki którym wymiana handlowa na terenie Unii Europejskiej będzie znacznie łatwiejsza, ale też (...)

Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?

Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?

Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania. Z czego wynika obowiązek prowadzenia rejestru czynności przetwarzania? Na (...)

Obowiązki administratora danych osobowych

Obowiązki administratora danych osobowych

    Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do (...)

RODO w szkole

RODO w szkole

Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. Poznaj odpowiedzi (...)

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce (...)

Zgoda na przetwarzanie danych na zakupach...

Zgoda na przetwarzanie danych na zakupach...

Przedsiębiorcy zajmujący się sprzedażą, przetwarzają nasze dane do celów realizacji umowy, ale są też przypadki, gdy na dane działanie konieczna jest nasza zgoda. Wyrażam zgodę na… zakupowe dylematy W gorączce przedświątecznych zakupów warto poznać zasady, na (...)

Nabycie niektórych rodzajów usług i praw a koszty

Nabycie niektórych rodzajów usług i praw a koszty

Koszty uzyskania przychodów związanych z nabyciem niektórych rodzajów usług i praw Poniższe wyjaśnienie dotyczy nowych przepisów art. 15e ustawy z dnia 15 lutego 1992  r. o podatku dochodowym od osób prawnych, które weszły w życie 1 stycznia 2018 (...)

System Informacyjny Schengen oraz System Informacji Wizowej

System Informacyjny Schengen oraz System Informacji Wizowej

W związku z wejściem do strefy Schengen obowiązuje w naszym kraju ustawa o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynikała z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku (...)

Pora na dostosowania do systemów informacyjnych Schengen

Pora na dostosowania do systemów informacyjnych Schengen

Sejm zajmuje się obecnie rządowym projektem ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynika z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku prawnym Schengen, którego (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Rejestracja bazy danych w GIODO

Rejestracja bazy danych w GIODO

Co powinienem wiedzieć o rejestracji bazy danych w GIODO? W pierwszej kolejności podajemy podstawowe informacje, z którymi zapoznanie jest konieczne dla prawidłowego wykonania obowiązków (...)

Podstawa prawna oceny pracowniczej w firmie

Podstawa prawna oceny pracowniczej w firmie

Czy przeprowadzenie w firmie oceny pracowniczej (np. w sposób opisany niżej) może być zakwalifikowane jako wypełnianie obowiązku pracodawcy, o którym mowa w art. 94 ust. 9 kodeksu pracy? Jakie kryteria (...)

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie (...)

Jak usunąć swoją historię kredytowa z BIK?

Jak usunąć swoją historię kredytowa z BIK?

Czy mogę usunąć swoją historię kredytowa z BIK jeżeli nadal mam zaległości do spłacenia? Niniejsza opinia została sporządzona na podstawie przepisów ustawy Prawo bankowe (Dz.U.2012.1376 (...)

Wniosek o zaprzestanie przetwarzania danych

Wniosek o zaprzestanie przetwarzania danych

W naszej firmie na mocy polecenia Prezesa Zarządu została przeprowadzona ocena pracownicza, przebiegająca w następujący sposób. Każdy z pracowników ocenia osoby, z którymi kontaktuje się zawodowo (...)

Administrator danych osobowych a umowa agencyjna

Administrator danych osobowych a umowa agencyjna

Operator serwisu internetowego (agent) ma zawarte umowy agencyjne z dostawcami usług noclegowych (zleceniodawcy) i występuje wobec klientów jako agent turystyczny (działa na zlecenie dostawców, a (...)

Sprzeciw co do przetwarzania danych osobowych

Sprzeciw co do przetwarzania danych osobowych

Jeśli w przeszłości wyraziłem zgodę na przetwarzanie danych osobowych w celach marketingowych, to czy teraz mogę wnieść sprzeciw wobec ich przetwarzania? Czy muszę, to umotywować? Każdej osobie (...)

Naruszenie danych osobowych i dóbr osobistych

Naruszenie danych osobowych i dóbr osobistych

Napisałem kronikę rodzinną, w której zamieściłem zdjęcia przodków, potomków prawie całego drzewa genealogicznego. Zamieściłem również dane osobowe, daty urodzeń, ślubów, opisy dotyczące (...)

Ujawnienie danych osobowych dłużników

Ujawnienie danych osobowych dłużników

Zarząd spółdzielni mieszkaniowej w materiałach na Zebranie Przedstawicieli podał do wiadomości imiona, nazwiska, adresy, kwoty zadłużeń (także spłaconych) oraz sygnatury spraw sądowych i stan (...)

Dostęp do akt osobowych pracownika

Dostęp do akt osobowych pracownika

Mała firma chce zatrudnić pracownika na umowę o dzieło w celu uporządkowania i utworzenia teczek osobowych dla zatrudnionych pracowników (aktualnie i już niepracujących). Pracownicy mają (...)

Ochrona danych a dostęp do akt

Ochrona danych a dostęp do akt

W związku z moim przypuszczeniem, że wydana decyzja budowlana jest niezgodna w znacznym stopniu ze stanem faktycznym, poprosiłam o dostęp do archiwum dokumentacji budynku sąsiadującego z moją działką. (...)

Przesłanka przetwarzania danych wrażliwych

Przesłanka przetwarzania danych wrażliwych

Jaka przesłanka legalizuje przetwarzanie danych wrażliwych w amatorskich klubach, towarzystwach sportowych, klubach dyskusyjnych, klubach zainteresowań? Za tzw. dane wrażliwe uważa się dane ujawniające (...)

Dopuszczalność przetwarzania danych osobowych

Dopuszczalność przetwarzania danych osobowych

Czy przesłanki określające dopuszczalność przetwarzania danych, opisane w art. 23 ustęp 1 pkt 1-5 Ustawy o ochronie danych osobowych, są przesłankami koniecznymi do zaistnienia łącznie, czy wystarczy, (...)

Wniosek o udzielenie informacji publicznej

Wniosek o udzielenie informacji publicznej

Złożyłem pisemny wniosek o udzielenie informacji publicznej, czy firma X działająca w gminie uzyskała w latach od 2005r. do 2010r. jakiekolwiek umorzenie należności podatkowych lub odsetkowych. (...)

Komputerowa książka przychodów i rozchodów

Komputerowa książka przychodów i rozchodów

Rozpocząłem działalność indywidualną, posiadam oprogramowanie do prowadzenia firmy w zakresie, który zaspokaja moje potrzeby - m. in. z funkcją KPR - Książka Przychodów i Rozchodów. Chciałbym (...)

Upoważnienie do przetwarzania danych

Upoważnienie do przetwarzania danych

Czy można zastosować do wszystkich pracowników Uczelni jeden szablon upoważnienia do przetwarzania danych osobowych? Nie ma w nim rozgraniczenia między pracą w systemie informatycznym i nieinformatycznym, (...)

FORUM PRAWNE

zadłużenie PLUS windykacja "Raport"

zadłużenie PLUS windykacja "Raport" Mam kłopot, dwa i pół roku temu rozwiązałam umowę z plus gsm. Parę dni temu dostałam od nich pismo, że zalegam im pieniądze, dzień później zadzwoniła (...)

nagrywanie rozmów przez firmy windykacyjne + przedawnienie

nagrywanie rozmów przez firmy windykacyjne + przedawnienie Mam problem dotyczący konkretnie firmy kruk. Ponieważ mam zadłużenie (idea) z 2001 roku które przejeła firma windykacyjna (które już (...)

Presco atakuje!!! co robić?

Presco atakuje!!! co robić? Witam, dostałem pismo od firmy PRESCO - "Ostateczne wezwanie do zapłaty", bo jak tego nie zrobię to 26.07.04 sprawa bedzie w sądzie" i sam nie wiem co mam (...)

Do Kuratorów zawodowych

Do Kuratorów zawodowych Wypowiedzi na temat kuratorów społecznych aplikacji i kurateli penitencjarnej były dość ciekawe. Proponuje jednak stworzyć nową grupę dyskusyjną dotyczącą naszej pracy. (...)

podgladanie w pracy przez szefa kamera

podgladanie w pracy przez szefa kamera Mam takie pytanie - czy szef moze w zakladzie pracy zamontowac kamery i korzystac z ich obrazu poprzez internet w domu patrzac co robia jego pracownicy? Wlasnie tak (...)

Wezwanie do zapłaty - list zwykły

Wezwanie do zapłaty - list zwykły Otrzymałem wezwanie do zapłaty za przesyłki, których nie dostałem (w ramach promocji wypełniłem kupon, w którym pod miejscem na podpis zamieszczono "drobny (...)

Szukam dobrego prawnika!!!! Pomocy!!!

Szukam dobrego prawnika!!!! Pomocy!!! Szukam bardzo dobrego prawnika!!! Chodzi o rozwód z orzeczeniem o winie. Czy możecie mi kogoś polecić? Rejon Poznania. Słyszałem o kancelarii Grzybkowski & Guzek. (...)

Cofnięcie zgody na przetwarzanie danych osobowych w BIK

Cofnięcie zgody na przetwarzanie danych osobowych w BIK Witam. 1 lipca złożyłem wniosek w banku o cofnięcie zgody na przetwarzanie danych osobowych w BIK. Z tego co wiem bank ma 14 dni roboczych na (...)

Asystent w dziale prawnym

Asystent w dziale prawnym Merkury Market spółka z ograniczoną odpowiedzialnością sp. k. ogłasza nabór na stanowisko Asystent w dziale prawnym Miejsce wykonywania pracy: Krosno Osoba zatrudniona (...)

Stała obsługa kancelarii - warto?

Stała obsługa kancelarii - warto? Prowadzę działalnosć gospodarczą, która (odpukać!)dobrze i szybko się rozwija, więcej pracowników, więcej zleceń, pracy, w planach jeszcze rozszerzenie działalności, (...)

Czy firmy windykacyjne mają prawo posiadać moje dane??

Czy firmy windykacyjne mają prawo posiadać moje dane?? Witam. Mam proste pytanie, czy firmy windykacyjne takie jak KRUK mają prawo posiadać moje dane?? Wszędzie ludzie piszą, że nie mają prawa, (...)

Porady prawne