Kancelaria odszkodowawcza pozyskiwała dane osobowe potencjalnych klientów, w tym dane o stanie zdrowia, bez podstawy prawnej, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych. Urząd Ochrony Danych Osobowych nałożył na wspólników kancelarii karę administracyjną w wysokości 45 tys. zł. Nakazał jednocześnie dostosowanie działań firmy do przepisów RODO.
Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja wskazująca na możliwość naruszenia przez administratorów przepisów o ochronie danych osobowych przez spółkę cywilną Kancelaria PIONIER. Urząd po przeprowadzeniu kontroli stwierdził, że wspólnicy spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, poprzez przetwarzanie bez podstawy prawnej danych osobowych ich potencjalnych klientów, w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych.
Dane z prasy, internetu mediów społecznościowych i sąsiadów
UODO podkreśla, że działalność prowadzona przez wspólników spółki polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, przed sądami, a także innymi podmiotami, w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Spółka zajmuje się też pośredniczeniem pomiędzy klientami, a placówkami medycznymi w zakresie uzyskania usług medycznych.
Urząd ustalił, ze wspólnicy spółki pozyskiwali dane osobowe i nawiązywali kontakt z potencjalnymi klientami na podstawie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną. Dane pozyskiwali także na podstawie bezpośrednich rozmów np. z sąsiadami osób, których dane dotyczą. W ten sposób pozyskane informacje pozwalały na identyfikację adresu zamieszkania, a następnie nawiązanie przez wspólników spółki bezpośredniego kontaktu z potencjalnymi klientami i złożenie im oferty świadczenia usług.
Podczas pierwszej rozmowy z potencjalnym klientem, osoba reprezentująca wspólników spółki prosiła go o udzielenie im ustnej zgody na pozyskanie i przetwarzanie jego danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług. Jeżeli potencjalny klient udzielił ustnej zgody na przetwarzanie jego danych, rozmowa była kontynuowana i pozyskiwane były inne, dokładniejsze dane osobowe, m.in.: imię i nazwisko, numer telefonu. W przypadku zaś odmowy, rozmowa była przerywana.
Przetwarzanie danych bez podstawy prawnej
W ocenie UODO przetwarzanie danych osobowych potencjalnych klientów, jak czynią to wspólnicy spółki, może się odbywać na podstawie możliwej do wykazania przed organem nadzorczym , w tym także ich wyraźnej zgody na przetwarzanie danych podlegających szczególnej ochronie, w tym konkretnym przypadku danych o stanie zdrowia.
Jak ustalono w toku kontroli, w przypadku potencjalnych klientów, tj. osób, do których wspólnicy spółki dopiero kierują ofertę , powyższa zgoda uzyskiwana jest jedynie w formie ustnej, przy czym uzyskania zgód nie ewidencjonowano w sposób, który dla organu nadzorczego mógłby stanowić dowód na ich udzielenie (np. rejestr zgód).
Ponadto z wyjaśnień wspólników spółki jako administratora oraz jego pracowników wynika, że przetwarzają oni dane potencjalnych klientów, ponieważ jest to im niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie potencjalnych klientów, przed zawarciem z nimi umów.
Zdaniem Urzędu, nie można uznać przesłanki legalizującej przetwarzanie danych ze względu na niezbędność wykonania umowy, ponieważ nie jest ona jeszcze z potencjalnym klientem w ogóle zawarta . W przedmiotowej sprawie nie można również mówić o podejmowaniu przez wspólników spółki działań na żądanie potencjalnych klientów, skoro na etapie ich kontaktu jako administratora z potencjalnymi klientami nie ma w ogóle mowy o „żądaniach” tych osób. Tym samym dane są pozyskiwane i przetwarzane przez administratorów jedynie w celu określenia przez niego na swoje potrzeby stopnia opłacalności zawarcia umowy z potencjalnym klientem oraz celem nawiązania z nim ponownie kontaktu i wyrażenia przez niego swojej woli, czy w ogóle chce zawrzeć umowę z administratorami czy nie.
UODO stwierdził więc naruszenie zasad przetwarzania danych osobowych poprzez przetwarzanie danych potencjalnych klientów administratora bez podstawy prawnej.
prawo.pl