Mimo, że rok 2022 dobiegł końca, wciąż można znaleźć nowe informacje o karach nałożonych przez Prezesa UODO w tym okresie. Jedną z nich nałożono decyzją z dnia 30 listopada 2022 r. na kancelarię prawną z siedzibą w Lublińcu, zajmującą się sprawami odszkodowawczymi.
Powodem ukarania było naruszenie przepisów RODO przez dwóch obecnych oraz byłego wspólnika spółki cywilnej, którzy przetwarzali bez podstawy prawnej dane swoich potencjalnych klientów, w tym dotyczące ich stanu zdrowia. Administratorzy (odrębni, ale odpowiadający solidarnie) zostali ukarani administracyjną karą pieniężną w wysokości ponad 45 tys. zł.
JAK DOSZŁO DO NARUSZENIA PRZEPISÓW RODO?
Kancelaria zajmuje się (jak wskazuje na swojej stronie internetowej) „prowadzeniem spraw o dochodzenie roszczeń zarówno w szkodach osobowych jak i majątkowych”. Organizacja świadczy swoim klientom pomoc prawną w zakresie reprezentowania ich przed towarzystwami ubezpieczeniowymi oraz innymi podmiotami. Działania kancelarii zmierzają do uzyskania przez klienta odszkodowania, zadośćuczynienia lub renty oraz zwrotu kosztów leczenia i rehabilitacji. Organizacja pośredniczy również między klientami a placówkami medycznymi w zakresie uzyskania usług medycznych. W celu wykonywania działalności organizacja przetwarza szereg danych dotyczących klientów i potencjalnych klientów, w tym wrażliwych danych osobowych o stanie zdrowia.
W marcu 2021 r. Komendant Policji w Lublińcu w ramach czynności zleconych przez Prokuraturę Rejonową zwrócił się na piśmie do Prezesa UODO z prośbą o przeprowadzenie czynności kontrolnych w kancelarii. Organ nadzorczy po otrzymaniu pisma zwrócił się do organizacji o udzielenie informacji dotyczących przede wszystkim sposobu, celu i podstawy przetwarzania danych osobowych. Odpowiedzi, jakie kancelaria udzielała na pytania Prezesa UODO były niewyczerpujące oraz rozwleczone w czasie. W związku z tym organ nadzorczy podjął decyzję o przeprowadzeniu kontroli w siedzibie kancelarii.
USTALENIA PREZESA UODO
Wspólnicy w imieniu spółki pozyskiwali dane osobowe klientów, z którymi nawiązywano kontakt z wiadomości prasowych, publikacji internetowych oraz poprzez działalność organizacji dobroczynnych. Dane były pozyskiwane również na podstawie bezpośrednich rozmów z osobami z otoczenia potencjalnego klienta (np. sąsiadami). Następnie wspólnicy spółki nawiązywali bezpośredni kontakt z potencjalnym klientem, któremu składali ofertę na świadczenie usług.
W wyniku podjętych czynności kontrolnych Prezes UODO ustalił, że wspólnicy podczas pierwszej rozmowy z klientem prosili go o udzielenie „ustnej zgody na pozyskanie i przetwarzanie jego danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług”. W przypadku udzielenia ustnej zgody rozmowa jest kontynuowana, natomiast w przypadku jej braku pracownik przerywa rozmowę. Po udzieleniu zgody pozyskiwano dokładniejsze dane.
PRZETWARZANIE DANYCH BEZ PODSTAWY PRAWNEJ
Od potencjalnych klientów (czyli osób, z którymi nie dochodzi jeszcze do zawarcia umowy) zgoda jest uzyskiwana jedynie w formie ustnej. W ocenie organu nadzorczego przetwarzanie danych osobowych szczególnych kategorii może się odbywać wyłącznie na podstawie możliwej do wykazania przed organem nadzorczym wyraźnej zgody. Wspólnicy spółki pozyskując zgodę w formie ustnej nie prowadzili działań zmierzających do jej zaewidencjonowania, co mogłyby stanowić dowód (np. rejestr zgód) na realizację wymagań RODO. Obowiązek wykazania przestrzegania przepisów RODO nakłada na każdego administratora art. 5 ust. 2 formułujący zasadę rozliczalności. W przypadku przetwarzania danych osobowych na podstawie zgody administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła na to zgodę (o czym stanowi art. 7 ust. 1 RODO). W przedmiotowej sprawie wykazanie faktu uzyskania zgody było niemożliwe. W związku z brakiem dowodów Prezes UODO musiał stwierdzić brak podstawy prawnej do przetwarzania danych osobowych.
Wspólnicy spółki twierdzili również, że przetwarzanie danych osobowych potencjalnych klientów jest niezbędne do wykonania umowy, której stroną jest podmiot danych. W ocenie organu nadzorczego w przypadku przetwarzania danych wrażliwych nie jest to przesłanka legalizująca przetwarzanie danych osobowych, ponieważ umowa nie jest na tym etapie jeszcze z klientem zawarta.
Zgodnie z oceną organu nadzorczego „w przypadku przetwarzanych przez Administratorów danych szczególnych potencjalnych klientów, tj. dotyczących ich zdrowia lub zdrowia innych osób, tym bardziej jedyną przesłanką legitymizującą przetwarzanie ww. danych jest udzielenie zgody przez tych klientów i to zgody «wyraźnej», jak stanowi art. 9 ust. 2 lit. a) RODO. Żadna z pozostałych przesłanek statuowanych w ww. przepisie nie stanowi w przedmiotowej sprawie podstawy prawnej do przetwarzania przez Wspólników Spółki danych o zdrowiu potencjalnych klientów”.
CZY ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH MOŻE BYĆ ZAWARTA W FORMIE USTNEJ?
Przepisy RODO nie rozstrzygają wprost, czy zgoda (zarówno zwykła, jak i wyraźna) na przetwarzanie danych osobowych może być wyrażona jedynie w formie pisemnej. Motyw (32) RODO stanowi jednak, że zgoda może mieć „formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia”. O ile w sytuacji zgody wyrażonej na piśmie możliwość udowodnienia tego faktu nie sprawia trudności, to w przypadku zgody wyrażonej ustnie, może stanowić to poważny problem, o czym przekonali się wspólnicy kancelarii.
Dlatego w przypadku pozyskania zgody na przetwarzanie danych osobowych w formie ustnej należy prowadzić czynności zmierzające do ewidencjonowania tego faktu. Może to odbywać się np. poprzez rejestrowanie rozmów (o czym należy uprzednio powiadamiać rozmówców).