Urząd Ochrony Danych Osobowych nałożył ponad 45 tys. zł administracyjnej kary pieniężnej za naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez wspólników spółki cywilnej Kancelaria Pionier. Równocześnie nakazał zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej.
Działalność prowadzona przez wspólników Pioniera polega na świadczeniu pomocy prawnej w zakresie reprezentowania poszkodowanych w wypadkach – głównie komunikacyjnych – w celu uzyskania na ich rzecz odszkodowań, zadośćuczynień i rent, a także zwrotu kosztów leczenia i rehabilitacji. Oprócz tego pośredniczą oni pomiędzy klientami a placówkami medycznymi w celu uzyskania usług medycznych.
Urząd wskazał, że wspólnicy pozyskiwali dane osobowe i nawiązywali kontakt z potencjalnymi klientami na podstawie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną. W ten sposób mogli oni zidentyfikować adres zamieszkania, a następnie nawiązać bezpośredni kontakt z potencjalnymi klientami i złożyć im ofertę świadczenia usług.
Podczas pierwszej rozmowy z potencjalnym klientem osoba reprezentująca Pioniera prosiła o udzielenie ustnej zgody na pozyskanie i przetwarzanie danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług. Jeżeli rozmówca jej udzielił, rozmowa była kontynuowana i pozyskiwane były inne, dokładniejsze dane osobowe, m.in. imię i nazwisko, numer telefonu. W przypadku odmowy rozmowa była przerywana.
Przetwarzanie danych bez podstawy prawnej
W ocenie UODO przetwarzanie danych osobowych potencjalnych klientów, jak czynią to wspólnicy spółki, może się odbywać na podstawie możliwej do wykazania przed organem nadzorczym, w tym także ich wyraźnej zgody na przetwarzanie danych podlegających szczególnej ochronie, w tym konkretnym przypadku danych o stanie zdrowia.
Jak ustalono w toku kontroli, w przypadku potencjalnych klientów powyższa zgoda uzyskiwana jest jedynie w formie ustnej, przy czym tego faktu nie ewidencjonowano w sposób, który dla UODO mógłby stanowić dowód na ich udzielenie (np. rejestr zgód).
Ponadto z wyjaśnień Pioniera jako administratora oraz jego pracowników wynika, że przetwarzają oni dane potencjalnych klientów, ponieważ jest to im niezbędne do wykonania umowy, której stroną jest dana osoba, lub do podjęcia działań na żądanie potencjalnych klientów, przed zawarciem z nimi umów.
Zdaniem Urzędu nie można uznać przesłanki legalizującej przetwarzanie danych ze względu na niezbędność wykonania umowy, ponieważ nie jest ona jeszcze z potencjalnym klientem w ogóle zawarta. W tej sprawie nie można również mówić o podejmowaniu przez wspólników spółki działań na żądanie potencjalnych klientów, skoro na etapie ich kontaktu nie ma w ogóle mowy o „żądaniach”. Tym samym dane są pozyskiwane i przetwarzane przez administratorów jedynie w celu określenia stopnia opłacalności zawarcia umowy z potencjalnym klientem oraz nawiązania z nim ponownie kontaktu i wyrażenia przez niego woli zawarcia umowy bądź też nie.
Z tych powodów UODO stwierdził naruszenie zasad przetwarzania danych osobowych poprzez przetwarzanie danych potencjalnych klientów administratora bez podstawy prawnej.
(AM, źródło: UODO)