Jedną z podstawowych zasad dotyczących przetwarzania danych osobowych zgodnie z art. 5 ust. 2 RODO jest rozliczalność.
Jak ważna jest to zasada i jakie konsekwencje w praktyce może nieść jej nieprzestrzeganie przypomniał PUODO wraz z Wojewódzkim Sądem Administracyjnym w Warszawie.
Sąd ten w wyroku z dnia 31 stycznia 2024 roku sygn. Akt II SA/Wa 1861/23 oddalił skargę administratora na decyzję Prezesa Urzędu Ochrony Danych Osobowych, nakładającą na tego administratora karę w wysokości ponad 45 tys. zł.
Kara została nałożona za to, że administrator przetwarzał dane osobowe bez podstawy prawnej – administrator de facto nie był w stanie wykazać prawidłowości pozyskania zgód na przetwarzanie danych osobowych – zgód wyrażanych ustnie.
Jaki był kontekst sytuacji?
Administrator w ramach swojej działalności pozyskiwał dane osobowe osób poszkodowanych np. w wypadkach komunikacyjnych w celu nawiązania z nimi współpracy – głównie reprezentowania poszkodowanych w postępowaniach odszkodowawczych, procesach sądowych związanych z odszkodowaniami, zadośćuczynieniami, zwrotem kosztów leczenia i rehabilitacji. Informacje o potencjalnych klientach administrator pozyskiwał z powszechnie dostępnych źródeł, takich jak prasa, internet, media społecznościowe, a następnie kontaktował się z takimi osobami.
Administrator podczas kontaktu z potencjalnymi klientami pobierał ustną zgodę na przetwarzanie danych osobowych (w tym także danych o stanie zdrowia) i przetwarzał dane na tej podstawie do czasu ewentualnego zawarcia umowy (głównie w celu oszacowania opłacalności zawarcia umowy i kontaktu). Jednocześnie administrator nie utrwalał/ nie rejestrował w żaden sposób wyrażanych zgód np. w formie oświadczeń, nagrań dźwiękowych lub spisów/rejestrów wyrażonych zgód i osób, które je wyraziły. W konsekwencji nie był w stanie wykazać za pomocą jednoznacznego dowodu, że zgody są wyrażane w sposób zgodny z RODO i spełniają wszystkie kryteria art. 7 ust. 1 RODO oraz art. 9 ust. 2 lit. a) RODO (w przypadku danych o stanie zdrowia).
Ustna zgoda nie wystarczy.
W ocenie organu i sądu samo ustne oświadczenie jako forma zgody na przetwarzanie danych, a zwłaszcza tzw. danych wrażliwych - bez podjęcia dodatkowych działań dla celów dowodowych - w zasadzie uniemożliwia wykazanie jednoznaczności, wyraźności oraz ważności tak wyrażonej zgody.
Takie „dokumentowanie” prawidłowości wyrażenia zgód nie musi odbywać się w formie pisemnego oświadczenia (administrator może prowadzić np. rejestr uzyskanych oświadczeń o wyrażeniu zgody, tak aby mógł wykazać, w jaki sposób i kiedy uzyskano zgodę), jednak w przypadku danych o stanie zdrowia, gdy administrator musi spełnić także wymagania art. 9 ust. 2 lit a ) RODO w kontekście „wyraźności” wyrażenia zgody, należy mieć na względzie, że administratorowi może być trudno udowodnić, iż spełniono wszystkie przesłanki ważnej wyraźnej zgody w chwili, gdy przyjmowano oświadczenie.
Ustna forma może być więc w ocenie PUODO i Sądu wystarczająca w przypadku tzw. danych zwykłych, przy podjęciu przez administratora dodatkowych działań „dokumentujących” np. w formie rejestru zgód, nagrań, natomiast w przypadku danych szczególnej kategorii taka forma będzie niewystarczająca.
Stosując przepisy RODO i powołując się na konkretne podstawy prawne przetwarzania danych osobowych administrator powinien zawsze mieć na względzie zasadę rozliczalności i to, czy będzie w stanie udowodnić spełnienie wszystkich przesłanek stawianych w tym kontekście przez RODO.
Ewa Eluszkiewicz – radca prawny
Comments