Decyzja

                                                     

 

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 z późn. zm.) oraz art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) oraz lit. i) w związku z art. 5 ust. 1 lit. a), art. 6 ust. 1, art. 9 ust. 1 w związku z art. 9 ust. 2, a także art. 83 ust. 1 - 3 i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych w związku z przetwarzaniem danych osobowych przez  Wspólników spółki cywilnej Kancelaria PIONIER [...] s.c. z miejscem wykonywania działalności w L [...], Prezes Urzędu Ochrony Danych Osobowych

 

stwierdzając naruszenie przez N.B oraz T. M, wspólników spółki cywilnej Kancelaria PIONIER [...] s.c. z miejscem wykonywania działalności w L [...], a także R. B., byłego wspólnika tej spółki, przepisów:

1. art. 6 ust. 1 rozporządzenia 2016/679 polegające na przetwarzaniu danych osobowych swoich potencjalnych klientów bez podstawy prawnej, a w szczególności bez uzyskania ich zgody na przetwarzanie, o której mowa w art. 6 ust. 1 lit. a) rozporządzenia 2016/679, co stanowi naruszenie zasady przetwarzania danych osobowych zgodnie z prawem, o której mowa w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,
2. art. 9 ust. 1 w związku z art. 9 ust. 2 rozporządzenia 2016/679 polegające na przetwarzaniu danych dotyczących zdrowia swoich potencjalnych klientów bez podstawy prawnej, a w szczególności bez uzyskania ich wyraźnej zgody na przetwarzanie, o której mowa w art. 9 ust. 2 lit. a) rozporządzenia 2016/679, co stanowi naruszenie zasady przetwarzania danych osobowych zgodnie z prawem, o której mowa w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,

1. nakazuje N. B. oraz T. M., wspólnikom spółki cywilnej Kancelaria PIONIER [...] s.c., dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej, tj. bez uzyskania zgody na przetwarzanie ich danych osobowych, o której mowa w art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) rozporządzenia 2016/679, w terminie 14 dni od dnia doręczenia niniejszej decyzji.
2. nakłada na N. B. oraz T. M., wspólników spółki cywilnej Kancelaria PIONIER [...] s.c., oraz na R. B., byłego wspólnika spółki cywilnej Kancelaria PIONIER [...] s.c., wszystkich odpowiadających solidarnie, za naruszenie przepisów wskazanych w pkt a) i b) sentencji niniejszej decyzji, administracyjną karę pieniężną w wysokości 45 697,00 zł (słownie: czterdzieści pięć tysięcy sześćset dziewięćdziesiąt siedem złotych).

 

 

Uzasadnienie

 

Prezes Urzędu Ochrony Danych Osobowych, zwany dalej „Prezesem UODO”, na podstawie art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „ustawą”, w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b) i e) rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dokonał czynności kontrolnych u R. B. oraz T. M., Wspólników Kancelarii PIONIER [...] s.c. z miejscem wykonywania działalności w L [...], zwanych dalej „Wspólnikami Spółki” lub „Administratorami” (sygn. akt DKN [...]).

Ww. czynności kontrolne zostały przeprowadzone w rezultacie otrzymania przez Prezesa UODO informacji wskazujących na możliwość naruszenia przez Administratorów przepisów o ochronie danych osobowych. Informacje te zostały przekazane Prezesowi UODO w piśmie Komendanta Powiatowego Policji w L. z  [...] marca 2021 r., w którym w ramach czynności zleconych przez Prokuraturę Rejonową w L., Komendant Powiatowy Policji w L. zwrócił się do Prezesa UODO o przeprowadzenie czynności kontrolnych u Administratorów.

Prezes UODO, po otrzymaniu ww. pisma, w pierwszej kolejności podjął wobec Administratorów czynności sprawdzające, wzywając pismami z  [...] marca oraz [...] maja 2021 r. do dostarczenia, zgodnie z art. 58 ust. 1 lit. a) rozporządzenia 2016/679, wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań, tj. informacji dotyczących przede wszystkim sposobu, celu i podstawy prawnej przetwarzania danych osobowych przez Administratorów w związku z prowadzoną przez nich działalnością gospodarczą.

Z uwagi na brak dostatecznej współpracy Wspólników Spółki z organem nadzorczym przy wyjaśnianiu okoliczności niniejszej sprawy, przejawiające się w przeciąganiu w czasie udzielania odpowiedzi na pytania skierowane do Wspólników Spółki przez Prezesa UODO, a także ich niewyczerpującą treść, Prezes UODO uznał, że konieczne jest przeprowadzenie kontroli w przedsiębiorstwie Wspólników Spółki na podstawie art. 78, art. 79 ust. 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b), e) i f) rozporządzenia 2016/679.

Zakresem kontroli objęto przetwarzanie przez Administratorów danych osobowych klientów i potencjalnych klientów Wspólników Spółki.W toku kontroli odebrano od pracowników Administratorów ustne wyjaśnienia. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Wspólników Spółki.

Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Wspólnicy Spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, tj. art. 6 ust. 1 oraz art. 9 ust. 2 w związku z art. 5 ust. 1 lit. a) oraz art. 9 ust. 1 rozporządzenia 2016/679, poprzez przetwarzanie bez podstawy prawnej danych osobowych potencjalnych klientów Wspólników Spółki, w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych, o której mowa w art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) rozporządzenia 2016/679.

W związku z powyższym, Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu wyjaśnienia okoliczności sprawy (pismo z [...] lutego 2022 r., znak:[...]). Wspólnicy Spółki nie ustosunkowali się pisemnie do stwierdzonych naruszeń przepisów o ochronie danych osobowych, stanowiących przedmiot postępowania administracyjnego, wymienionych w zawiadomieniu o wszczęciu postępowania. Należy zaznaczyć, że w trakcie postępowania administracyjnego dotyczącego przedmiotowej sprawy, R. B. przestał być stroną umowy spółki zawartej przez Wspólników Spółki i prowadzić w jej ramach działalność gospodarczą. Do umowy spółki wraz z T. M. przystąpiła natomiast N. B., zostając Wspólnikiem Spółki, i prowadzi działalność gospodarczą w jej ramach od [...] kwietnia 2022 r. Z powyższego względu do N. B. jako Wspólnika Spółki zostało skierowane pismo z [...] października 2022 r. (znak: [...]) z zawiadomieniem o wszczęciu wobec niej postępowania w przedmiotowej sprawie. N. B., podobnie jak wcześniej pozostali Wspólnicy Spółki, nie złożyła wyjaśnień odnośnie do ww. pisma.   

 

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje.

W art. 5 rozporządzenia 2016/679 sformułowane są zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W myśl art. 5 ust. 1 lit. a) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Ponadto, zgodnie z art. 6 ust. 1 rozporządzenia 2016/679, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Z kolei w myśl art. 9 ust. 1 rozporządzenia 2016/679, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Uregulowane w art. 9 ust. 1 rozporządzenia 2016/679 przetwarzanie szczególnej kategorii danych osobowych, w tym danych dotyczących zdrowia, jest więc co do zasady zabronione. Wyżej wymieniony przepis nie ma jednak zastosowania w przypadkach wskazanych w art. 9 ust. 2, m.in. gdy jest spełniony warunek, iż osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie ww. danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić rzeczonego zakazu (art. 9 ust. 2 lit. a) rozporządzenia 2016/679). Katalog warunków wymieniony w art. 9 ust. 2 rozporządzenia 2016/679 jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych podlegających szczególnej ochronie, w tym danych o stanie zdrowia, o których mowa w tym przepisie, ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 rozporządzenia 2016/679. Do zasad tych zalicza się między innymi przetwarzanie danych osobowych zgodnie z prawem (lit. a). Wspomniana zasada wymaga, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).

Wspólnicy Spółki oraz ich pracownicy w złożonych w toku kontroli wyjaśnieniach wskazali, że przeważającą działalnością gospodarczą prowadzoną przez Wspólników Spółki, zgodnie z wpisem do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, jest działalność związana z oceną ryzyka i szacowaniem poniesionych strat (PKD: 66.21.Z). Jak ustalono w toku kontroli, działalność prowadzona przez Wspólników Spółki polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, przed sądami, a także innymi podmiotami, w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Działalność Wspólników Spółki polega także na pośredniczeniu pomiędzy klientami a placówkami medycznymi w zakresie uzyskania usług medycznych. W ramach świadczonych usług osoby zatrudnione przez Wspólników Spółki reprezentują klientów w postępowaniach sądowych, których przedmiotem są roszczenia odszkodowawcze.

Podczas pierwszej rozmowy z potencjalnym klientem, prosi się go na wstępie o udzielenie Wspólnikom Spółki ustnej zgody na pozyskanie i przetwarzanie jego danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług. Jeżeli potencjalny klient udzieli ustnej zgody na przetwarzanie jego danych, rozmowa jest kontynuowana, w przypadku zaś odmowy, rozmowa jest przerywana. Tak więc, do pozyskania i późniejszego przetwarzania danych potencjalnego klienta przez Wspólników Spółki dochodzi wyłącznie w przypadku, jeżeli przedstawiciel Administratorów odbierze od potencjalnego klienta ustne oświadczenie o zgodzie na przetwarzanie jego danych osobowych.

W związku z powyższym, zgoda udzielona przez potencjalnego klienta ma formę wyłącznie ustną, tj. poprzez oświadczenie potencjalnego klienta złożone podczas pierwszej rozmowy telefonicznej lub pierwszej bezpośredniej rozmowy ze wspólnikami, przedstawicielami lub pracownikami Wspólników Spółki. Celem pozyskiwania danych od potencjalnych klientów w ww. sposób jest zapewnienie sobie przez Wspólników Spółki możliwości ponownego kontaktu z tymi klientami i przedstawienia im oferty.

Działania prowadzące do pozyskiwania ww. danych osobowych i nawiązywania kontaktów z potencjalnymi klientami są prowadzone na podstawie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych (np. serwisie „[...]”), a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną (np. fundacje). Wspólnicy Spółki nie przedstawili dowodów potwierdzających  fakt uzyskania przez nich zgody na pozyskiwanie danych osobowych osób wspieranych przez ww. fundacje.

Dane osobowe potencjalnych klientów są pozyskiwane także na podstawie treści powszechnie dostępnych prywatnych profili osób fizycznych w ww. mediach społecznościowych, zawierających informacje o śmierci osób fizycznych, wypadkach i innych zdarzeniach mających znaczenie ze względu na działalność Administratorów i sugerujące, iż ww. osoby mogą być potencjalnymi klientami Wspólników Spółki. Działania, o których wyżej mowa, prowadzone są również poprzez czynności o charakterze wywiadu środowiskowego, tj. pozyskiwanie informacji o potencjalnych klientach Wspólników Spółki oraz o ich danych osobowych w rezultacie bezpośrednich rozmów z osobami zamieszkującymi, pracującymi lub w inny sposób funkcjonującymi w środowisku ww. klientów (np. rozmowy z sąsiadami, sołtysem, zapoznanie się z treścią rozpowszechnionych nekrologów na cmentarzach itd.). Miejsca przeprowadzenia wywiadu środowiskowego są typowane także na podstawie doniesień prasowych i publikacji internetowych. Na podstawie wszystkich ww. działań Wspólnicy Spółki, ich przedstawiciele lub pracownicy pozyskują dane osobowe potencjalnych klientów przede wszystkim w postaci informacji pozwalających na identyfikację adresu zamieszkania, co pozwala im nawiązać następnie bezpośredni kontakt z tymi klientami i złożyć ofertę świadczenia usług przez Wspólników Spółki (np. informacja o barwie elewacji domu, jego położenia topograficznego, itp.).

W przypadku dotarcia do potencjalnego klienta, podczas bezpośredniej rozmowy przedstawiana jest mu oferta usług świadczonych przez Administratorów. W przypadku gdy potencjalny klient wyraża wolę nawiązania ze Wspólnikami Spółki lub osobą przez nich upoważnioną do kontaktu, przeprowadzana jest z nim osobiście rozmowa, podczas której pozyskiwane są inne, dokładniejsze dane osobowe, tj. m.in. numer telefonu, imię i nazwisko.

Ponadto, oferta Administratorów przedstawiana jest potencjalnym klientom, którzy z własnej woli inicjują pierwszy kontakt ze Wspólnikami Spółki za pomocą kanałów elektronicznej komunikacji. W przeważającej liczbie przypadków kontakt z inicjatywy potencjalnego klienta nawiązywany jest drogą telefoniczną.

Dane te są przechowywane przez Wspólników Spółki w formie elektronicznej (np. wiadomość e-mail) lub w formie papierowej do momentu odbycia z potencjalnym klientem spotkania i podjęcia przez niego decyzji co do nawiązania współpracy i zawarcia umowy o świadczenie usług. W sytuacji, kiedy nie dochodzi do zawarcia umowy z potencjalnym klientem, jego dane osobowe są niszczone po upływie maksymalnie 5-7 dni od dnia nawiązania z nim pierwszego kontaktu i pozyskania danych. Po tym czasie, dane są trwale niszczone. W przypadku potencjalnych klientów, Wspólnicy Spółki pozyskują, jeszcze przed zawarciem z nimi umowy, następujące dane: imię, nazwisko, numer telefonu, adres poczty elektronicznej, informację o śmierci innej osoby oraz dane dotyczące stanu zdrowia, w związku ze zdarzeniami wypadkowymi.

Należy nadmienić, że zgodnie z treścią motywu 35 rozporządzenia 2016/679, „Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE (1); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.”

Zważywszy na przedmiot i okoliczności działalności gospodarczej wykonywanej przez Wspólników Spółki, przetwarzanie w jej ramach danych osobowych potencjalnych klientów, jak czynią to Wspólnicy Spółki, może się odbywać na podstawie wymienionych już wyżej art. 6 ust. 1 lit. a) oraz art. 9 ust. 2 lit. a) w związku z art. 5 ust. 1 lit. a) rozporządzenia 2016/679, tj. wówczas, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (w odniesieniu do danych, które nie podlegają szczególnej ochronie) oraz gdy ww. osoba udzieliła wyraźnej zgody na przetwarzanie danych podlegających szczególnej ochronie, w tym przypadku danych o stanie zdrowia.

Jak ustalono w toku kontroli, w przypadku potencjalnych klientów, tj. osób, do których Wspólnicy Spółki dopiero kierują ofertę w przedmiocie świadczonych przez nich usług i z którymi nie zostały jeszcze zawarte umowy w tym zakresie, powyższa zgoda uzyskiwana jest, według oświadczenia Administratorów i jego pracowników, jedynie w formie ustnej. W takim przypadku, także z uwagi na fakt przetwarzania danych dotyczących zdrowia potencjalnych klientów (np. informacji o odniesionych obrażeniach przez ofiary wypadków), wskazywana przez Administratorów przesłanka z art. 6 ust. 1 lit. b) rozporządzenia 2016/679 nie ma zastosowania jako podstawa prawna przetwarzania (przetwarzanie niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy).

 Należy przypomnieć, że w myśl art. 6 ust. 1 rozporządzenia 2016/679, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Z kolei zgodnie z treścią art. 9 ust. 1 rozporządzenia 2016/679, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; 4.5.2016 L 119/38 Dziennik Urzędowy Unii Europejskiej PL;
10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

 

W świetle materiału dowodowego zebranego w toku kontroli przeprowadzonej u Wspólników Spółki przez Prezesa UODO, jak również zważywszy na szczególne okoliczności pozyskiwania i przetwarzania danych potencjalnych klientów przez Wspólników Spółki, a także z uwagi na brzmienie przepisu art. 6 ust. 1 rozporządzenia 2016/679 uznać należy, że w przypadku tzw. danych zwykłych, tj. takich danych osobowych potencjalnych klientów Wspólników Spółki, jak: imię, nazwisko, numer telefonu oraz adres poczty elektronicznej, jedyną przesłanką legitymizującą przetwarzanie tych danych przez Wspólników Spółki jest uzyskanie na to zgody od osoby, której dane dotyczą, tj. od potencjalnego klienta. Z zebranego materiału dowodowego w toku kontroli, w tym z wyjaśnień Wspólników Spółki i ich pracowników wynika bowiem, że przetwarzanie danych potencjalnych klientów przez Administratorów nie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (nie jest ona jeszcze w ogóle zawarta z potencjalnym klientem), lub do podjęcia działań na żądanie potencjalnych klientów, przed zawarciem z nimi umów (art. 6 ust. 1 lit. b rozporządzenia 2016/679), skoro na etapie kontaktu Administratorów z potencjalnymi klientami nie ma w ogóle mowy o ich „żądaniach”, a dane są pozyskiwane i przetwarzane przez Administratorów jedynie w celu określenia przez niego na swoje potrzeby stopnia opłacalności zawarcia umowy z potencjalnym klientem oraz celem nawiązania z nim ponownie kontaktu i wyrażenia przez niego swojej woli, czy w ogóle chce zawrzeć umowę z Administratorami czy nie. Należy zaznaczyć, że Wspólnicy Spółki w toku kontroli nie przedstawili dowodów na potwierdzenie faktu składania wobec nich przez potencjalnych klientów „żądań” podjęcia określonych działań przed zawarciem umowy.

Ponadto, w przedmiotowej sprawie nie może być mowy o niezbędności przetwarzania przez Administratorów danych potencjalnych klientów do ochrony ich żywotnych interesów, lub innych osób fizycznych w sytuacji gdy ci potencjalni klienci byliby fizycznie lub prawnie niezdolni do wyrażenia zgody (art. 6 ust. 1 lit. d rozporządzenia 2016/679). Rzeczone przetwarzanie nie jest także niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorach (art. 6 ust. 1 lit. c rozporządzenia 2016/679), wykonania przez niego zadania realizowanego w interesie publicznym lub w ramach sprawowania powierzonej mu władzy publicznej (art. 6 ust. 1 lit. e rozporządzenia 2016/679), ani do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratorów lub przez stronę trzecią (art. 6 ust. 1 lit. f rozporządzenia 2016/679).

Należy pamiętać, że przetwarzanie danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratorów danych osobowych co do zasady nie może być dokonywane w dowolnej sytuacji i w dowolnych celach Administratorów. Przy przetwarzaniu danych na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679 należy wziąć pod uwagę okoliczność, czy przetwarzanie takie jest niezbędne i proporcjonalne ze względu na cel określony przez Administratorów. Ponadto, należy także mieć na względzie prawa i wolności osób, których dane mają być przetwarzane i ich ewentualną priorytetowość w stosunku do celów Administratorów. Aby powyższe kwestie rozstrzygnąć, każdy administrator powinien przeprowadzić tzw. test równowagi, którego celem jest uzyskanie bilansu ważenia ww. dóbr leżących zarówno po stronie podmiotu danych, jak i ich Administratorów. Jeżeli w rezultacie takiego testu okaże się, że cel określony przez danych Administratorów można osiągnąć w inny sposób, niż poprzez przetwarzanie danych osobowych w określony sposób i w określonym zakresie, a szczególnie gdy narusza ono prawa lub wolności podmiotu danych, należy uznać, że administrator nie ma podstaw do przetwarzania danych na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679.

W przedmiotowej sprawie Wspólnicy Spółki jako Administratorzy pozyskują i przetwarzają dane potencjalnych klientów w celu utrzymywania z nimi kontaktów dla uzyskania deklaracji co do zawarcia albo niezawarcia umowy o świadczenie usług przez Wspólników Spółki. W czasie przetwarzania Wspólnicy Spółki oceniają również stopień ryzyka gospodarczego związanego z zawarciem umowy. W ocenie Prezesa UODO, uzyskanie celu, o którym wyżej mowa, nie wymaga pozyskiwania od potencjalnych klientów ich danych osobowych, a w szczególności danych dotyczących zdrowia. Wskazany wyżej cel Administratorzy byliby w stanie osiągnąć np. poprzez zostawienie potencjalnemu klientowi ulotki informującej o jego usługach i możliwości zawarcia umowy o świadczenie usług dotyczących dochodzenia odszkodowania (zadośćuczynienia).

Tak więc należy uznać, że przetwarzanie danych potencjalnych klientów przez Administratorów w przedmiotowej sprawie jest nieproporcjonalne do pożądanego rezultatu, który chcą oni osiągnąć i nie jest do tego celu niezbędne. Należy podnieść, że przez „niezbędność” należy w tym przypadku rozumieć taki stan faktyczny, w którym bez przetwarzania danych potencjalnych klientów w ww. sposób Administratorzy w ogóle nie byliby w stanie zawierać umów o świadczenie usług. W przedmiotowej sprawie, w ocenie Prezesa UODO, taki stan niezbędności nie występuje.

W szczególności nie można uznać opisanych wyżej działań Administratorów związanych z przetwarzaniem danych ich potencjalnych klientów za marketing bezpośredni, o którym mowa w końcowym zdaniu motywu 47 rozporządzenia 2016/679. Zgodnie z treścią ww. zdania, „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Według powszechnie przyjmowanej teorii marketingu bezpośredniego, polega on na bezpośrednim kierowaniu do wybranych klientów określonych treści, między innymi poprzez indywidualny kontakt, w celu uzyskania ich oświadczeń w przedmiocie postrzegania określonych towarów lub usług albo chęci ich zakupu.

Marketing bezpośredni pozwala konsumentom kupować produkty dzięki wykorzystaniu różnych metod komunikacji i reklamy. Oprócz kształtowania wizerunku przedsiębiorcy, celem marketingu bezpośredniego jest uzyskanie bezpośrednio od konsumenta informacji w zakresie jego postrzegania określonych towarów i usług.

W przedmiotowej sprawie, zarówno ze względu na rodzaj części przetwarzanych danych potencjalnych klientów przez Administratorów (dane o zdrowiu), jak i cel ich przetwarzania, w ocenie Prezesa UODO nie może być mowy o przetwarzaniu dla celów marketingu bezpośredniego. Przetwarzanie danych o zdrowiu dla celów marketingowych bez zgody osoby zainteresowanej należy uznać za niedopuszczalne i niewspółmierne do innych dóbr klientów, które potencjalnie mogłyby być realizowane poprzez takie przetwarzanie. Należy przy tym podnieść, że dane o zdrowiu podlegają szczególnej ochronie w świetle treści art. 9 rozporządzenia 2016/679, który nie zawiera przesłanek umożliwiających ich przetwarzanie analogicznie do przesłanki związanej z uzasadnionym celem realizowanym przez Administratorów, o której mowa w art. 6 ust. 1 lit. f rozporządzenia 2016/679. Z ww. powodu, a także z uwagi na fakt, iż ochrona niezwykle ważnych dóbr osobistych osoby fizycznej, tj. jej prywatności, do której sfery należą także informacje o zdrowiu, wyklucza możliwość przetwarzania danych zawierających ww. informacje dla celów marketingowych bez uprzedniego uzyskania zgody, bowiem cele te związane są z realizacją dóbr o niewspółmiernie niższej wartości, niż prywatność osoby fizycznej. Należy także zwrócić uwagę na okoliczność, że oferta nawiązania współpracy kierowana przez Wspólników Spółki wobec potencjalnych klientów jest ściśle związana z pozyskiwaniem od nich przez Wspólników Spółki danych o stanie zdrowia, a więc bez pozyskania tych danych Wspólnicy Spółki w ogóle nie zwracaliby się do potencjalnych klientów z ofertą współpracy w sposób, w jaki to czynią przy nawiązywaniu osobistego, bezpośredniego kontaktu z ww. osobami.

Należy przy tym zwrócić uwagę na fakt, że Wspólnicy Spółki pozyskują, a następnie przetwarzają dane potencjalnych klientów w szczególnych okolicznościach, bowiem dzieje się tak w związku ze zdarzeniami ubezpieczeniowymi, o których wiedzę Wspólnicy Spółki pozyskują z ogólnie dostępnych źródeł (media społecznościowe, prasa lokalna itp.). Tak więc dotarcie do potencjalnego klienta odbywa się na podstawie ww. informacji, a celem samym w sobie wizyty u potencjalnego klienta jest pozyskanie i przetwarzanie jego danych do dalszego kontaktowania się z nim w kwestii zawarcia umowy i oceny biznesowego ryzyka jej zawarcia, nie zaś działania marketingowe, polegające na przedstawieniu oferty usług.

Należy zauważyć, że jeżeli pozyskiwanie i dalsze przetwarzanie przez Wspólników Spółki danych potencjalnych klientów miałoby być czynione dla celów marketingu bezpośredniego, Wspólnicy Spółki musieliby zasadniczo dysponować tymi danymi już w chwili nawiązania pierwszego kontaktu z tymi klientami. W przedmiotowej sprawie natomiast pozyskanie danych następuje dopiero z chwilą nawiązania kontaktu z potencjalnym klientem, a dalsze przetwarzanie nie wiąże się z działaniami marketingowymi (badanie nastawienia klienta, reklama, prezentacja oferty itp.), ale związane jest wyłącznie, jak wyżej wspomniano, z uzyskaniem od ww. klienta oświadczenia w przedmiocie jego woli zawarcia ze Wspólnikami Spółki umowy z jednej strony, z drugiej zaś oszacowanie biznesowego ryzyka związanego z zawarciem umowy dla Wspólników Spółki.

Należy ponadto pamiętać, że działalność Administratorów w znacznej części sprowadza się do świadczenia usług prawniczych, polegających na działaniu profesjonalnych pełnomocników procesowych (radców prawnych, adwokatów) na rzecz osób ubiegających się o odszkodowanie od podmiotów świadczących usługi ubezpieczeniowe, reprezentowaniu ich w procesach sądowych itp. Jak zeznał w toku kontroli Wspólnik Spółki T. M., działalność prowadzona przez Wspólników Spółki „polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, przed sądami, a także innymi podmiotami w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji”.

Odnosząc się do powyższego wskazać należy, że zgodnie z § 23 Zbioru Zasad Etyki Adwokackiej i Godności Zawodu (Kodeksu Etyki Adwokackiej) (uchwała nr 2/XVIII/98 Naczelnej Rady Adwokackiej z 10 października 1998 r. ze zm.), adwokata obowiązuje zakaz korzystania z reklamy, jak również zakaz pozyskiwania klientów w sposób sprzeczny z godnością zawodu oraz współpracy z podmiotami pozyskującymi klientów z naruszeniem prawa lub zasad współżycia społecznego. Ponadto, w myśl § 23b ust. 1 kodeksu, adwokatowi nie wolno proponować usług potencjalnym klientom w formie oferty skierowanej do osób, które uprzednio nie wyraziły takiego wyraźnego życzenia, natomiast według treści § 23b ust. 4 oraz ust. 5 kodeksu, niedopuszczalne jest zwracanie się do potencjalnych klientów w celu przekazywania informacji o swojej działalności, również podczas nieproszonych wizyt, rozmów telefonicznych i w korespondencji do osób nie zwracających się do adwokata o pomoc prawną, a także niedopuszczalne jest zlecanie osobom trzecim rozpowszechniania informacji o adwokacie.

Z kolei zgodnie z treścią art. 32 ust. 1 pkt 6 Kodeksu Etyki Radcy Prawnego (załącznik do uchwały Nr 3/2014 Nadzwyczajnego Krajowego Zjazdu Radców Prawnych z dnia 22 listopada 2014 r. w sprawie Kodeksu Etyki Radcy Prawnego ze zm.), zakazane jest informowanie o wykonywaniu zawodu sprzeczne z prawem, dobrymi obyczajami oraz stanowiące naruszenie postanowień Kodeksu, w tym narzucające się, w szczególności naruszające sferę prywatności, natarczywe, w nieodpowiednim miejscu, mogące wywrzeć wpływ na decyzję o skorzystaniu z pomocy prawnej.

Wobec powyższego wywodu dotyczącego przedmiotu działalności Administratorów oraz przytoczonych przepisów kodeksów etycznych samorządów zawodowych adwokatów oraz radców prawnych, należy przyjąć, że pozyskiwanie i przetwarzanie danych potencjalnych klientów Administratorów w wyżej opisany sposób nie może być także z powyższych powodów uzasadniane prawnie uzasadnionymi interesami realizowanymi przez Administratorów lub przez stronę trzecią, o których mowa w art. 6 ust. 1 lit. f) rozporządzenia 2016/679. Wskazane wyżej przepisy regulujące zasady informowania przez radców prawnych oraz adwokatów o ich działalności w ocenie Prezesa UODO stoją w sprzeczności ze sposobem, w jaki czynią to Administratorzy. I jakkolwiek nie należy zasadniczo do kompetencji Prezesa UODO ocena sposobu świadczenia przez Administratorów usług w zakresie doradztwa prawnego, w tym prezentowania swojej oferty potencjalnym klientom, a także dokonywanie analizy przepisów wewnętrznych prawniczych samorządów zawodowych, to jednak brzmienie rzeczonych przepisów stanowi w przedmiotowej sprawie dodatkową wskazówkę do wysnucia wniosku, iż Administratorzy nie mogą powołać się na realizowane przez nich prawnie uzasadnione interesy w postaci marketingu bezpośredniego, skoro ww. przepisy co do zasady nie dozwalają pozyskiwania klientów w sposób, w jaki czynią to Administratorzy, pomijając już samą kwestię, że ich działania podejmowane wobec potencjalnych klientów nie mogą być w ogóle uznane w przedmiotowej sprawie za marketing bezpośredni.   

W toku kontroli, Administratorzy nie wykazali, iż którakolwiek z ww. przesłanek była spełniona, co uzasadniałoby pozyskiwanie przez niego i przetwarzanie danych osobowych potencjalnych klientów bez uzyskania od nich możliwej do wykazania przed organem nadzorczym zgody. 

Z kolei w przypadku przetwarzanych przez Administratorów danych szczególnych potencjalnych klientów, tj. dotyczących ich zdrowia lub zdrowia innych osób, tym bardziej jedyną przesłanką legitymizującą przetwarzanie ww. danych jest udzielenie zgody przez tych klientów i to zgody „wyraźnej”, jak stanowi art. 9 ust. 2 lit. a) rozporządzenia 2016/679. Żadna z pozostałych przesłanek statuowanych w ww. przepisie nie stanowi w przedmiotowej sprawie podstawy prawnej do przetwarzania przez Wspólników Spółki danych o zdrowiu potencjalnych klientów. Przetwarzanie tych danych nie jest bowiem Administratorom niezbędne do wypełnienia przez nich obowiązków i wykonywania szczególnych praw Administratorów lub przez osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (art. 9 ust. 2 lit. b rozporządzenia 2016/679). Przetwarzanie ww. danych szczególnych nie jest też niezbędne do ochrony żywotnych interesów osób, których dane dotyczą, lub innych osób fizycznych, skoro Wspólnicy Spółki nie wykazali w toku kontroli, aby osoby, których dane dotyczą, tj. potencjalni klienci Wspólników Spółki, byli fizycznie lub prawnie niezdolni do wyrażenia zgody na przetwarzanie (art. 9 ust. 2 lit. c rozporządzenia 2016/679).

Przetwarzanie przez Administratorów danych o zdrowiu potencjalnych klientów nie jest też uzasadnione dokonywaniem tego w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych. Wspólnicy Spółki nie działają ani w formach prawnych ani w celach, o których wyżej mowa i które wymieniono w art. 9 ust. 2 lit. d) rozporządzenia 2016/679.

Administratorzy nie wykazali również, aby przetwarzanie przez nich danych o zdrowiu potencjalnych klientów dotyczyło danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (art. 9 ust. 2 lit. e rozporządzenia 2016/679) ani że jest ono niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (art. 9 ust. 2 lit. f rozporządzenia 2016/679). Co prawda działalność Wspólników Spółki wiąże się z ustalaniem na rzecz klientów, dochodzeniem i obroną roszczeń, jednakże charakter relacji pomiędzy potencjalnymi klientami Administratorów a nimi samymi nie upoważnia ich do przetwarzania danych o zdrowiu bez uzyskania na to wyraźnej zgody. Przetwarzanie danych potencjalnych klientów przez Wspólników Spółki bez ich zgody nie jest niezbędne do ustalania na ich rzecz, dochodzenia i obrony roszczeń. Przesłanka wskazana w art. 9 ust. 2 lit. f) rozporządzenia 2016/679 dotyczy przypadków, gdy dla celów w nim wskazanych przetwarzanie to jest niezbędne, a więc dane muszą być przetwarzane z pominięciem dobrowolnej zgody osoby, której dane dotyczą. W sytuacji, w której potencjalny klient, według ustaleń kontroli przeprowadzonej u Administratorów, podejmuje rozmowę z przedstawicielem Administratorów jedynie dla celów nawiązania ewentualnej współpracy i przedłożenia wstępnej oferty Administratorów, nie ma przesłanek ku temu, aby Administratorzy pozyskiwali, a następnie przetwarzali nawet krótkotrwale dane potencjalnego klienta bez jego zgody, bowiem jej uzyskanie w takim przypadku jest z jednej strony konieczne z uwagi na cel przetwarzania danych, a z drugiej możliwe do uzyskania bez konieczności ponoszenia większych nakładów i, co najważniejsze, bez naruszenia jakichkolwiek interesów potencjalnego klienta związanych z możliwością dochodzenia roszczeń. Jak wskazali Administratorzy w wyjaśnieniach uzyskanych w toku kontroli, dane potencjalnego klienta są przechowywane w formie elektronicznej (np. wiadomość e-mail) lub w formie papierowej do momentu odbycia z nim spotkania i podjęcia przez niego decyzji co do nawiązania współpracy i zawarcia umowy o świadczenie usług ze Wspólnikami Spółki. W przypadku rezygnacji potencjalnego klienta z zawarcia umowy, dane osobowe takiego klienta są przechowywane w ww. formach maksymalnie do 5 - 7 dni. Z powyższego wynika zatem, że pozyskiwanie i przetwarzanie przez Wspólników Spółki danych potencjalnych klientów przed zawarciem umowy służy jedynie umożliwieniu im zapoznania się z ofertą i podjęcia decyzji o nawiązaniu współpracy ze Wspólnikami Spółki, nie jest zatem niezbędne do ustalenia, dochodzenia i obrony roszczeń potencjalnych klientów.

Przetwarzanie przez Administratorów danych o zdrowiu potencjalnych klientów nie jest także niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego (art. 9 ust. 2 lit. g rozporządzenia 2016/679), ani do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia (art. 9 ust. 2 lit. h rozporządzenia 2016/679).

Ww. przetwarzanie nie jest również niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i rozporządzenia 2016/679).

W przypadku Wspólników Spółki, z uwagi na charakter i zakres prowadzonej przez nich działalności gospodarczej, nie może też być mowy o niezbędności przetwarzania danych potencjalnych klientów do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 rozporządzenia 2016/679, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. j rozporządzenia 2016/679).

W tej sytuacji uznać należy, że podstawą prawną pozyskania, a następnie dalszego przetwarzania, w tym przechowywania, ww. danych potencjalnych klientów może być wyłącznie art. 6 ust. 1 lit. a) oraz art. 9 ust. 2 lit. a) rozporządzenia 2016/679 w związku z art. 5 ust. 1 lit. a) rozporządzenia 2016/679. Powyższe oznacza, że Wspólnicy Spółki, z uwagi na fakt pozyskiwania od potencjalnych klientów danych o stanie zdrowia, zobowiązani byli uzyskać wyraźną zgodę na przetwarzanie ich danych osobowych. Ponieważ, jak wyżej wskazano, Wspólnicy Spółki, zgodnie z treścią złożonych przez nich i ich pracowników w toku kontroli zeznań w charakterze świadków, uzyskują na przetwarzanie danych potencjalnych klientów wyłącznie ustne i nierejestrowane w żaden sposób zgody (np. w formie nagrań dźwiękowych, rejestrów albo spisów uzyskanych zgód oraz osób, które ich udzieliły, itp.), działanie takie należy uznać za naruszające ww. przepisy rozporządzenia 2016/679.

Zgodnie z treścią art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 rozporządzenia 2016/679 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Z kolei w myśl art. 7 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jednak w sytuacji, gdy zgody na przetwarzanie danych udzielone przez potencjalnych klientów Wspólników Spółki mają formę wyłącznie ustną, wykazanie faktu udzielenia zgody na przetwarzanie danych potencjalnych klientów Administratorów oraz zakresu udzielonej zgody jest niemożliwe, ponieważ same oświadczenia Wspólników Spółki i osób przez nich zatrudnionych są w tym względzie niewystarczającym dowodem. Powyższe stwierdzenie w szczególności odnosi się do zgody na przetwarzanie danych dotyczących zdrowia, która musi mieć, w myśl art. 9 ust. 1 lit. a) rozporządzenia 2016/679, wyraźny charakter.

Należy podnieść, że w kwestii wyrażenia zgody na przetwarzanie tzw. danych zwykłych (na podstawie art. 6 ust. 1 lit. a) rozporządzenia 2016/679), Grupa Robocza Art. 29 w Wytycznych dotyczących zgody na mocy rozporządzenia 2016/679 (WP259 rev. 01) wskazała, iż „w art. 7 ust. 1 RODO jasno wskazano wyraźny obowiązek wykazania przez administratora, że osoba, której dane dotyczą, wyraziła zgodę. Zgodnie z art. 7 ust. 1 ciężar dowodu spoczywa na administratorze”. Ponadto ww. Grupa Robocza powołała w swoich wyjaśnieniach motyw 42 rozporządzenia 2016/679, który stanowi, że „jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania”. Grupa Robocza podkreśliła również, że „do administratora należy udowodnienie, że osoba, której dane dotyczą, wyraziła ważną zgodę. W RODO nie określono dokładnie, w jaki sposób należy to zrobić. Administrator musi być jednak w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę w danym przypadku. Dopóki dane są przetwarzane, dopóty istnieje obowiązek wykazania prawidłowo wyrażonej zgody. (…) Na przykład administrator może prowadzić rejestr uzyskanych oświadczeń o wyrażeniu zgody, tak aby mógł wykazać, w jaki sposób i kiedy uzyskano zgodę oraz jakie informacje przekazano osobie, której dane dotyczą, w momencie uzyskania zgody. Administrator musi być również w stanie wykazać, że osoba, której dane dotyczą, została poinformowana, a procedura zastosowana przez administratora spełniała wszystkie właściwe kryteria uzyskania ważnej zgody. Argumentem za takim wymogiem w przepisach RODO jest fakt, że to administrator jest odpowiedzialny za uzyskanie ważnej zgody od osób, które dane dotyczą, i wdrożone mechanizmy zgody.”

Z kolei Europejska Rada Ochrony Danych (EROD) w Wytycznych 05/2020 dotyczących zgody na mocy rozporządzenia 2016/679 wyjaśniła, że „w art. 4 pkt 11 RODO wyjaśniono, że ważna zgoda wymaga „jednoznacznego” okazania woli w formie „oświadczenia lub wyraźnego działania potwierdzającego” zgodnie z poprzednimi wytycznymi wydanymi przez GR29. „Wyraźne działanie potwierdzające” oznacza, że osoba, której dane dotyczą, musiała podjąć celowe działanie, aby wyrazić zgodę na określone przetwarzanie. Motyw 32 zawiera dodatkowe wskazówki w tym zakresie. Zgodę można uzyskać w formie pisemnego lub (zarejestrowanego) ustnego oświadczenia, w tym drogą elektroniczną. Być może najbardziej dosłownym sposobem spełnienia kryterium „pisemnego oświadczenia” jest zapewnienie, by osoba, której dane dotyczą, wysłała pismo lub wiadomość e-mail do administratora, wyjaśniając, na co dokładnie się zgadza (…). Oświadczenia pisemne mogą przybierać różne formy i rozmiary, które mogłyby być zgodne z RODO. Bez uszczerbku dla istniejącego (krajowego) prawa umów zgodę można uzyskać w formie zarejestrowanego oświadczenia ustnego, chociaż przed wyrażeniem zgody należy właściwie uwzględnić informacje dostępne dla osoby, której dane dotyczą. Zastosowanie wcześniej zaznaczonych pól ze zgodą jest nieważne na mocy RODO. Milczenie lub bezczynność po stronie osoby, której dane dotyczą, jak również po prostu kontynuowanie korzystania z usługi nie mogą zostać uznane za aktywne wskazanie wyboru.”.

Ponadto, w przedmiocie wymagań dotyczących uzyskania wyraźnej zgody w przypadku przetwarzania danych szczególnych wymienionych w art. 9 ust. 1 rozporządzenia 2016/679, a więc także danych dotyczących zdrowia, Europejska Rada Ochrony Danych (EROD) w Wytycznych 05/2020 dotyczących zgody na mocy rozporządzenia 2016/679 wskazała: „Termin „wyraźna” odnosi się do sposobu wyrażenia zgody przez osobę, której dane dotyczą. Oznacza to, że osoba, której dane dotyczą, musi złożyć w sposób wyraźny oświadczenie o wyrażeniu zgody. Oczywistym sposobem zapewnienia, aby zgoda była wyraźna, byłoby jej wyraźne potwierdzenie w pisemnym oświadczeniu. W stosownych przypadkach administrator mógłby zapewnić podpisanie pisemnego oświadczenia przez osobę, której dane dotyczą, aby rozwiać wszelkie możliwe wątpliwości i zapobiec możliwemu brakowi dowodów w przyszłości. Takie podpisane oświadczenie nie jest jednak jedynym sposobem uzyskania wyraźnej zgody i nie można stwierdzić, iż w RODO przewidziano obowiązek uzyskania pisemnych i podpisanych oświadczeń we wszystkich okolicznościach, w których wymagane jest uzyskanie ważnej wyraźnej zgody. Na przykład w kontekście cyfrowym lub online osoba, której dane dotyczą, może być w stanie złożyć wymagane oświadczenie przez wypełnienie formularza elektronicznego, wysłanie wiadomości e-mail, przesłanie zeskanowanego dokumentu opatrzonego podpisem osoby, której dane dotyczą, lub złożenie podpisu elektronicznego. W teorii wykorzystanie oświadczeń ustnych również może zostać uznane za wystarczająco wyraźny sposób uzyskania ważnej wyraźnej zgody, jednak administratorowi może być trudno udowodnić, że spełniono wszystkie przesłanki ważnej wyraźnej zgody w chwili, gdy przyjmowano oświadczenie”. W opinii Prezesa UODO, treść wyżej powołanych Wytycznych EROD wskazuje, że ustne oświadczenie w przedmiocie zgody na przetwarzanie danych, zarówno w przypadku danych „zwykłych”, jak i tym bardziej „szczególnych”, nie jest formą dostatecznie gwarantującą wykazanie jednoznaczności, a tym bardziej wyraźności wyrażonej zgody. Forma taka, w przypadku danych „zwykłych”, mogłaby być uznana za wystarczającą wyjątkowo w przypadku, gdy w ślad za nią podążałyby inne, dodatkowe działania administratora, np. polegające na sporządzeniu stosownego rejestru zgód lub rejestrowaniu dźwiękowym rozmów z osobami, których dane dotyczą. Działania takie, w przypadku Administratorów, nie były jednak podejmowane.    

Tak więc pozyskiwanie, a następnie dalsze, kilkudniowe (od 5 do 7 dni) przetwarzanie danych osobowych w zakresie obejmującym także dane o stanie zdrowia potencjalnych klientów przez Wspólników Spółki odbywało się bez podstawy prawnej i stanowiło naruszenie art. 6 ust. 1 lit. a) rozporządzenia 2016/679 oraz art. 9 ust. 1 w związku z art. 9 ust. 2 lit. a) rozporządzenia 2016/679. Należy bowiem ponownie podnieść, że zgodnie z art. 9 ust. 1 rozporządzenia 2016/679 przetwarzanie danych podlegających szczególnej ochronie, do których zaliczane są dane o stanie zdrowia, jest co do zasady zabronione, a Wspólnicy Spółki nie wypełnili warunków ich przetwarzania, stanowiących wyjątek od powyższej zasady, określonych w art. 9 ust. 2 rozporządzenia 2016/679, wobec nie uzyskania na to przetwarzanie wyraźnej zgody, o której mowa pod literą a) ww. przepisu.

Ponadto, zgodnie z treścią art. 4 pkt 11 rozporządzenia 2016/679, „zgoda” osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Biorąc powyższe wskazanie pod uwagę należy uznać, że w przypadku pozyskiwania danych osobowych potencjalnych klientów przez Wspólników Spółki, brak jest zarówno jednoznacznego dowodu na wyrażenie przez tych klientów zgody na przetwarzanie ich danych nie tylko w formie nie budzącego wątpliwości oświadczenia, ale również wyraźnego działania. Zeznania świadków uzyskane w toku przeprowadzonej kontroli jednoznacznie wskazują, że Wspólnicy Spółki, przy okazji pozyskania danych osobowych potencjalnych klientów, ograniczają się tylko do odebrania ustnego oświadczenia.

Należy przy tym wskazać, że w relacji biznesowej zaistniałej pomiędzy Wspólnikami Spółki a ich potencjalnymi klientami na etapie złożenia tym ostatnim wstępnych założeń oferty przez Wspólników Spółki, brak jest również wyraźnych działań potencjalnych klientów, które potwierdzałyby wyrażenie przez nich zgody na przetwarzanie ich danych osobowych. Za zgodę taką nie można uznać np. telefonicznego zgłaszania się z własnej inicjatywy potencjalnych klientów do Wspólników Spółki, skoro Wspólnicy Spółki nie są w stanie wykazać celu takiego kontaktu ani okoliczności, iż podczas rozmowy telefonicznej lub w związku z jej zainicjowaniem potencjalni klienci wyrażają zgodę na przetwarzanie ich danych. Należy nadmienić, że ww. rozmowy telefoniczne były jednym z kilku sposobów nawiązywania kontaktów z potencjalnymi klientami, a nadto nie były one przez Wspólników Spółki utrwalane, przez co weryfikacja ich treści i składanych podczas nich oświadczeń przez Wspólników Spółki oraz potencjalnych klientów jest niemożliwa.

Wobec powyższego uznać należy, że Wspólnicy Spółki przetwarzali i nadal przetwarzają dane osobowe potencjalnych klientów bez podstawy prawnej (bez spełnienia przesłanek określonych w art. 6 ust. 1 lit. a) rozporządzenia 2016/679, a w przypadku danych dotyczących ich zdrowia - art. 9 ust. 2 lit. a) rozporządzenia 2016/679, tj. bez uzyskania uprzedniej wyraźnej zgody osób, których dane dotyczą. W związku z tym, że Wspólnicy Spółki nie legitymują się żadną z przesłanek przetwarzania danych, to tym samym naruszają art. 5 ust. 1 lit. a) rozporządzenia 2016/679 wyrażający, między innymi, zasadę przetwarzania danych osobowych zgodnie z prawem.

Jak wskazuje się w komentarzu do rozporządzenia 2016/679 pod redakcją naukową Edyty Bielak-Jomaa oraz Dominika Lubasza („RODO Ogólne rozporządzenie o ochronie danych”, wyd. Wolters Kluwer Polska S.A., 2018, s. 326), „Wymóg zapewnienia zgodności z prawem operacji przetwarzania danych oznacza nie tylko konieczność spełnienia przesłanek legalności przetwarzania danych, które zostały określone w art. 6 i 9, lecz także konieczność zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg ten oznacza również konieczność zapewnienia zgodności z całokształtem przepisów regulujących działalność podmiotów przetwarzających dane.”

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. W myśl art. 58 ust. 2 lit. d) rozporządzenia 2016/679, Prezes UODO może nakazać administratorowi lub podmiotowi przetwarzającemu dostosowanie operacji przetwarzania do obowiązujących przepisów.

Zważywszy na okoliczność, iż Administratorzy przetwarzają dane osobowe, w tym dane dotyczące zdrowia, potencjalnych klientów bez podstawy prawnej, Prezes UODO nakazał  im zaprzestanie ww. działań, zastrzegając jednocześnie, że w przypadku uzyskania przez niego uprzedniej wyraźnej zgody potencjalnych klientów, rzeczone przetwarzanie będzie mogło być kontynuowane albo wznowione.

Ponadto, zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na Wspólników Spółki administracyjnej kary pieniężnej.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) rozporządzenia 2016/679. Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 lub w art. 83 ust. 5 i 6 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią lub znaczną), wskazują charakter naruszenia, jak również zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody. Z celem przetwarzania danych osobowych wiąże się określenie, w jakim stopniu przetwarzanie spełnia dwa kluczowe elementy zasady „ograniczonego celu”, tj. określenie celu i zgodnego zastosowania przez administratora lub podmiot przetwarzający. Przy wyborze środka naprawczego organ nadzorczy uwzględnia, czy szkoda została lub może zostać poniesiona z powodu naruszenia rozporządzenia 2016/679, chociaż sam organ nadzorczy nie jest właściwy do przyznania szczególnego odszkodowania za poniesioną szkodę. Zakreślając czas trwania naruszenia można stwierdzić, że zostało ono niezwłocznie usunięte, jak długo trwało, co w konsekwencji pozwala na ocenę np. celowości czy też skuteczności działań administratora lub podmiotu przetwarzającego. Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora albo podmiot przetwarzający wymaganego prawem obowiązku staranności. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej.

Prezes UODO decydując o nałożeniu na Wspólników Spółki administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679, wziął pod uwagę jako okoliczności poczytywane na niekorzyść Wspólników Spółki i wpływające obciążająco na wymiar nałożonej kary:

1. charakter, waga i czas trwania naruszenia przepisów rozporządzenia 2016/679, przy uwzględnieniu charakteru, zakresu lub celu przetwarzania (art. 83 ust. 2 lit. a rozporządzenia 2016/679) – naruszenie zasad przetwarzania danych osobowych w związku z przetwarzaniem danych potencjalnych klientów Wspólników Spółki bez podstawy prawnej (bez możliwej do wykazania zgody na przetwarzanie danych osobowych, w tym także wyraźnej zgody w zakresie danych dotyczących zdrowia), tj. naruszenie zasady przetwarzania danych zgodnie z prawem, miało znaczną wagę i poważny charakter z uwagi na fakt, iż zasada zgodności przetwarzania z prawem ma kluczowe znaczenie dla ochrony danych osobowych. Dodatkowo, jak wynika z zebranego materiału dowodowego w toku przeprowadzonej u Wspólników Spółki kontroli, przetwarzanie ww. danych odbywało się i nadal odbywa w sposób ciągły i zaplanowany, od dnia wejścia w życie przepisów rozporządzenia 2016/679, tj. od 25 maja 2018 r., do dnia wydania niniejszej decyzji, a więc długotrwale, bo przez okres co najmniej 4 lat. Należy również zwrócić uwagę na szczególny charakter naruszenia przepisów rozporządzenia 2016/679 determinowany faktem przetwarzania danych podlegających szczególnej ochronie prawnej (dotyczących zdrowia), a nadto okoliczności ich pozyskiwania i sytuacji życiowej osób, których dane dotyczą. Pozyskiwanie a następnie przetwarzanie danych potencjalnych klientów przez Administratorów odbywa się w warunkach traumy psychicznej, a czasem także fizycznej związanej z tragicznymi wydarzeniami, przez które przeszli ci klienci. Zdarzenia (głównie wypadki komunikacyjne), w związku z którymi Administratorzy świadczą swoje usługi, mają z natury rzeczy tak silny wpływ na psychikę potencjalnych klientów, iż mogą oni podejmować decyzje, w tym także dotyczące zgody na przetwarzanie swoich danych, w sposób nie zawsze w pełni racjonalny i świadomy. Z tego też względu w ww. warunkach kluczowe znaczenie ma kwestia dołożenia przez Administratorów należytej staranności tak, aby jego potencjalni klienci mieli możliwość wyrażenia, w sposób jasny i niebudzący wątpliwości co do treści oświadczenia, woli odnośnie przetwarzania ich danych, w tym jego celu, sposobu i zakresu. Administratorzy powinni także poczynić wszelkie starania, aby wykluczyć możliwość znajdowania się potencjalnych klientów pod jakąkolwiek presją, w chwili udzielania zgody na przetwarzanie ich danych, np. wynikającą z ich złego stanu psychicznego spowodowanego traumatycznym zdarzeniem, jakim jest wypadek, w którym określone osoby, najczęściej bardzo bliskie dla ww. osób, utraciły życie albo w znacznym stopniu zdrowie. W sytuacji, w której potencjalni klienci wyrażają, według oświadczenia Administratorów, zgody wyłącznie w ustnej formie, to pomijając już sam fakt naruszenia przepisów rozporządzenia 2016/679 dotyczących zasad wyrażania ww. zgód i rozliczalności działań Administratorów, nie może być w przedmiotowej sprawie mowy o dołożeniu należytej staranności, do której Administratorzy co do zasady są zobowiązani i to w stopniu uwzględniającym profesjonalny charakter podejmowanych przez nich działań usługowych;
2. nieumyślny charakter naruszenia przepisów rozporządzenia 2016/679 przez Wspólników Spółki, jednak w warunkach rażącego zaniedbania z ich strony (art. 83 ust. 2 lit. b rozporządzenia 2016/679), tj.  pozyskiwanie i przetwarzanie danych potencjalnych klientów pomimo nieuzyskania na to od nich, w rozliczalny i zgodny z przepisami rozporządzenia 2016/679 sposób, zgód. Wspólnicy Spółki jako przedsiębiorcy powinni byli dołożyć przy przetwarzaniu danych potencjalnych klientów należytej staranności, tym bardziej, że wśród danych tych były także dane szczególne, tj. dotyczące zdrowia. Mając powyższe na uwadze, Wspólnicy Spółki jako administratorzy powinni przedsięwziąć wszelkie działania skutkujące dopełnieniem obowiązków wynikających z przepisów rozporządzenia 2016/679. W szczególności, z uwagi na charakter wykonywanej działalności gospodarczej, powinni byli upewnić się, jakie działania są niezbędne do zgodnego z prawem przetwarzania danych potencjalnych klientów, a następnie wprowadzić je w życie. Wspólnicy Spółki zaniechali ww. działań, a przetwarzanie danych potencjalnych klientów odbywało się na podstawie bliżej nieokreślonych i niemożliwych do wykazania, w świetle przepisów rozporządzenia 2016/679, ustnych uzgodnień z nimi;
3. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) – z uwagi na fakt, iż Administratorzy przed rozpoczęciem kontroli udzielali niekompletnych i ogólnikowych informacji w związku z kierowanymi do nich przez Prezesa UODO wezwaniami do złożenia wyjaśnień, co spowodowało potrzebę jej przeprowadzenia, stopień współpracy Administratorów z organem nadzorczym należy ocenić jako niewystarczający;
4. kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679) – wśród danych osobowych potencjalnych klientów przetwarzanych przez Wspólników Spółki, oprócz danych zwykłych, takich jak: imię, nazwisko, numer telefonu, itp., znalazły się również dane szczególne, tj. dotyczące zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679. Wobec powyższego, Administratorzy, przetwarzając dane osobowe potencjalnych klientów bez możliwej do wykazania zgody, a przypadku danych szczególnych bez ich wyraźnej zgody, w znacznym stopniu naruszyli przepisy ww. rozporządzenia. Przetwarzanie danych osobowych określonych w art. 9 ust. 1 rozporządzenia 2016/679 jest szczególnie chronione, przez co zaniechanie Wspólników Spółki w zakresie uzyskania stosownych zgód od osób, których dane dotyczą, należy ocenić tym bardziej krytycznie;
5. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – organ nadzorczy dowiedział się o naruszeniu przepisów rozporządzenia 2016/679 w wyniku przeprowadzonych przez niego czynności kontrolnych. Dodatkowo stwierdzić należy, że kontrola organu nadzorczego została przeprowadzona w rezultacie niepełnych, ogólnikowych informacji otrzymanych od Administratorów w toku poprzedzających kontrolę czynności wyjaśniających organu nadzorczego, prowadzonych pod sygn. DKN.[...]. Innymi słowy, kontrola organu nadzorczego została przeprowadzona na skutek problemów w uzyskaniu od Administratorów pełnej i niebudzącej wątpliwości informacji w przedmiocie przetwarzania przez nich danych w ramach prowadzonej działalności gospodarczej. 

 

Za okoliczności łagodzące w niniejszej sprawie uznano następujące okoliczności:

1. liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679) – nie stwierdzono w toku kontroli wyrządzenia potencjalnym klientom przez Wspólników Spółki szkód spowodowanych naruszeniem przepisów rozporządzenia 2016/679;
2. wcześniejsze naruszenia ze strony Administratorów (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – nie stwierdzono wcześniejszych uchybień przepisów rozporządzenia 2016/679 ze strony Administratorów;

 

Na fakt nałożenia, jak i sam wymiar administracyjnej kary pieniężnej nie miały wpływu następujące okoliczności:

1. działania podjęte przez Administratorów w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – działania podjęte przez Administratorów nie były brane pod uwagę ze względu na niestwierdzenie poniesienia szkód przez osoby, których dane dotyczą;
2. stopień odpowiedzialności Administratorów z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d) - środki techniczne i organizacyjne służące ochronie danych osobowych przetwarzanych przez Administratorów nie były przedmiotem kontroli Prezesa UODO;
3. okoliczność, że wobec Administratorów nie były orzekane środki naprawcze określone w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – nie stwierdzono orzeczenia wobec Administratorów przez Prezesa UODO środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679;
4. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – Wspólnicy Spółki nie stosują zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679;
5. osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – w toku kontroli nie stwierdzono wpływu naruszenia przepisów rozporządzenia 2016/679 na osiągnięcie przez Administratorów korzyści finansowych lub uniknięcie straty.

 

Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejsze Prezes UODO uznał poważny charakter naruszenia wynikający z naruszenia zasady zgodności z prawem w związku z nieuzyskaniem wyraźnej zgody na przetwarzanie danych potencjalnych klientów przez Wspólników Spółki, a w szczególności ich danych dotyczących zdrowia, przez co przetwarzanie danych ww. osób odbywało się bez podstawy prawnej.

Prezes UODO nakładając karę w niniejszej sprawie wziął pod uwagę także treść art. 83 ust. 3 rozporządzenia 2016/679, zgodnie z którym jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

Odnosząc się do wysokości wymierzonej Wspólnikom Spółki administracyjnej kary pieniężnej, Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy, tj. naruszeniu zasady zgodności z prawem wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, zastosowanie znajdzie art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Zgodnie z tymi przepisami naruszenia podstawowych zasad przetwarzania, o których mowa w art. 5 rozporządzenia 2016/679, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz.1781) równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 3 i art. 83 ust. 5 lit. a) rozporządzenia 2016/679 w związku z art. 103 ustawy o ochronie danych osobowych, za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Wspólników Spółki – stosując średni kurs euro ogłoszony przez Narodowy Bank Polski z dnia 28 stycznia 2022 r. (1 EUR = 4,5697 PLN) – administracyjną karę pieniężną w kwocie 45 697 zł (co stanowi równowartość 10 000 EUR).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna w kwocie  45 697 zł (czterdzieści pięć tysięcy sześćset dziewięćdziesiąt siedem złotych) spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy uznać, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Wspólnicy Spółki będą przetwarzać dane osobowe potencjalnych klientów na podstawie ich zgód (a w przypadku przetwarzania danych dotyczących zdrowia – wyraźnych zgód) udzielonych w takiej formie, iż wykazanie ich uzyskania oraz ich zakresu przez Wspólników Spółki nie będzie budzić wątpliwości w razie kolejnej kontroli Prezesa UODO.

W ocenie Prezesa UODO zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu na brak realizacji obowiązków Wspólników Spółki jako Administratorów co najmniej od 15 maja 2018 r., tj. od daty wejścia w życie przepisów rozporządzenia 679/2016.

Odnosząc się do wysokości wymierzonej Wspólnikom Spółki administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna zarówno do wagi stwierdzonego w niniejszej sprawie naruszenia, jak i do sytuacji finansowej Wspólników Spółki i nie będzie stanowiła dla nich nadmiernego obciążenia. Z przesłanego rachunku zysków i strat wynika, że przychody z działalności Wspólników Spółki w okresie 1 stycznia 2021 r. – 31 grudnia 2021 r. wyniosły 3 868 531,36 złotych (trzy miliony osiemset sześćdziesiąt osiem tysięcy pięćset trzydzieści jeden 36/100 złotych), w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 1,18 % przychodów osiągniętych przez Wspólników Spółki w okresie, za który Wspólnicy Spółki przedstawili dane finansowe. Jednocześnie warto podkreślić, że kwota nałożonej kary (45 697,00 złotych) to jedynie ok. 0,05 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując, zgodnie z art. 83 ust. 5 rozporządzenia 2016/679, maksymalny próg 20 000 000 EUR (zgodnie ze średnim kursem euro z dnia 28 stycznia 2022 r. – 91 394 000 zł) – nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679.

Odstraszający charakter kary pieniężnej wiąże się z zapobieganiem naruszeniom w przyszłości oraz przykładaniem większej wagi do realizacji  zadań Administratorów. Kara ma odstraszać zarówno Administratorów przed ponownym naruszeniem, jak i inne podmioty uczestniczące w przetwarzaniu danych. Nakładając niniejszą decyzją administracyjną karę pieniężną za naruszenie przepisów o ochronie danych osobowych Prezes UODO wziął pod uwagę oba aspekty: po pierwsze – charakter represyjny (Wspólnicy Spółki naruszyli przepisy rozporządzenia 2016/679), po drugie – charakter prewencyjny (zarówno Wspólnicy Spółki, jak i inne podmioty uczestniczące w przetwarzaniu danych osobowych, będą z większą uwagą i należytą starannością realizować swoje obowiązki wynikające z rozporządzenia 2016/679). Innymi słowy, w ocenie Prezesa UODO, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Wspólników Spółki przepisów rozporządzenia 2016/679, ale i prewencyjną, jako że sami Wspólnicy Spółki będą skutecznie zniechęceni do naruszania w taki sposób przepisów ochrony danych osobowych w przyszłości.

Celem nałożonej kary jest zobligowanie Wspólników Spółki do właściwego wykonywania obowiązków wynikających z rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa. Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Wspólnicy Spółki dostosują swoje procesy przetwarzania danych do stanu zgodnego z prawem. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Wspólnicy Spółki całkowicie zignorowali obowiązek uzyskania wyraźnej zgody na przetwarzanie danych ich potencjalnych klientów w szczególności w zakresie danych dotyczących zdrowia.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W związku z powyższym wskazać należy, że administracyjna kara pieniężna w wysokości 45 697,00 zł spełnia przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowej zasady rozporządzenia 2016/679 – zasady przetwarzania danych zgodnie z prawem.

 

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.