Prezes UODO wymierzył 45 tys. zł kary pieniężnej na wspólników spółki cywilnej prowadzących działalność w ramach kancelarii odszkodowawczej. Kara wynikała z przetwarzania danych osobowych bez właściwej podstawy prawnej jak również z niezapewnienia rozliczalności z pozyskanych zgód na przetwarzanie danych.
Sprawa dotyczyła wspólników spółki cywilnej prowadzących działalność w zakresie:
świadczeniu pomocy prawnej w zakresie reprezentowania poszkodowanych (najczęściej w wypadkach komunikacyjnych) przed ubezpieczycielami, sądami i innymi podmiotami,
pośredniczeniu pomiędzy klientami a placówkami medycznymi w zakresie uzyskania usług medycznych.
Wspólnicy przetwarzali dane osobowe potencjalnych klientów, pozyskując je:
na bazie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną,
z bezpośrednich rozmów np. z sąsiadami takich osób.
Na tej podstawie ustalano adres zamieszkania klienta i nawiązywano z potencjalnymi klientami bezpośredni kontakt w celu złożenia im oferty świadczenia usług. W tym momencie pozyskiwano też zgodę klienta na przetwarzanie jego danych osobowych do momentu zawarcia umowy. W razie odmowy, kontakt przerywano.
W toku postępowania kontrolnego ustalono, że zgoda potencjalnych klientów na przetwarzanie danych osobowych była pozyskiwana ustnie (w rozmowie telefonicznej). Nie była w żaden sposób ewidencjonowana, przez co administrator nie mógł wykazać, w jakich konkretnych przypadkach tę zgodę pozyskano.
Ewidencja zgód na przetwarzanie danych, choć nie jest wprost wymieniona w RODO, to jednak powinna być prowadzona przez każdego administratora pozyskującego zgody ustne.
Z wyjaśnień wspólników wynikało, że przetwarzanie danych osobowych na tym etapie można było też uzasadnić koniecznością podjęcia czynności przed zawarciem umowy (art. 6 ust. 1 lit. b RODO) . Z tym nie zgodził się Prezes UODO, wskazując, że ta podstawa przetwarzania danych osobowych nie może być zastosowana względem potencjalnego klienta, ponieważ czynności te nie były podejmowane na jego żądanie.
Jeżeli klient nie zażądał podjęcia działań w celu zawarcia umowy, wówczas jego dane osobowe nie mogą być przetwarzane na podstawie art. 6 ust. 1 lit. b RODO.
decyzja Prezesa UODO z 30 listopada 2022 r. (DKN.5112.5.2021)
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
