Prezes UODO wymierzył 45 tys. zł kary pieniężnej na wspólników spółki cywilnej prowadzących działalność w ramach kancelarii odszkodowawczej. Kara wynikała z przetwarzania danych osobowych bez właściwej podstawy prawnej jak również z niezapewnienia rozliczalności z pozyskanych zgód na przetwarzanie danych.
Sprawa dotyczyła wspólników spółki cywilnej prowadzących działalność w zakresie:
świadczeniu pomocy prawnej w zakresie reprezentowania poszkodowanych (najczęściej w wypadkach komunikacyjnych) przed ubezpieczycielami, sądami i innymi podmiotami,
pośredniczeniu pomiędzy klientami a placówkami medycznymi w zakresie uzyskania usług medycznych.
Wspólnicy przetwarzali dane osobowe potencjalnych klientów, pozyskując je:
na bazie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną,
z bezpośrednich rozmów np. z sąsiadami takich osób.
Na tej podstawie ustalano adres zamieszkania klienta i nawiązywano z potencjalnymi klientami bezpośredni kontakt w celu złożenia im oferty świadczenia usług. W tym momencie pozyskiwano też zgodę klienta na przetwarzanie jego danych osobowych do momentu zawarcia umowy. W razie odmowy, kontakt przerywano.
W toku postępowania kontrolnego ustalono, że zgoda potencjalnych klientów na przetwarzanie danych osobowych była pozyskiwana ustnie (w rozmowie telefonicznej). Nie była w żaden sposób ewidencjonowana, przez co administrator nie mógł wykazać, w jakich konkretnych przypadkach tę zgodę pozyskano.
Ewidencja zgód na przetwarzanie danych, choć nie jest wprost wymieniona w RODO, to jednak powinna być prowadzona przez każdego administratora pozyskującego zgody ustne.
Z wyjaśnień wspólników wynikało, że przetwarzanie danych osobowych na tym etapie można było też uzasadnić koniecznością podjęcia czynności przed zawarciem umowy (art. 6 ust. 1 lit. b RODO) . Z tym nie zgodził się Prezes UODO, wskazując, że ta podstawa przetwarzania danych osobowych nie może być zastosowana względem potencjalnego klienta, ponieważ czynności te nie były podejmowane na jego żądanie.
Jeżeli klient nie zażądał podjęcia działań w celu zawarcia umowy, wówczas jego dane osobowe nie mogą być przetwarzane na podstawie art. 6 ust. 1 lit. b RODO.
decyzja Prezesa UODO z 30 listopada 2022 r. (DKN.5112.5.2021)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
