Prezes Urzędu Ochrony Danych Osobowych wydal decyzję nakładającą upomnienie zarówno na administratora jak i na podmiot przetwarzający. Decyzja została wydana w związku ze skargą jaka wpłynęła do urzędu na działania firmy windykacyjnej (podmiot przetwarzający) oraz firmy zlecającej ściągnięcie długu (administrator).
Istota naruszenia
W piśmie wszczynającym postępowanie wskazano, że nie został wypełniony obowiązek informacyjny oraz, że dane osobowe są przetwarzane bez podstawy prawnej. Osoba skarżąca nie była dłużnikiem, wobec którego administrator chciał aby podmiot przetwarzający prowadził windykację, a była to osoba trzecia, której e-mail oraz numer telefonu został pozyskany bezpośrednio przez podmiot przetwarzający.
Co istotne, niedawno głośno było o sprawie, w której Wojewódzki Sąd Administracyjny uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych, w sprawie dotyczącej ID Finance Poland ( portal Moneyman), w której organ nadzoru nałożył na ten podmiot karę w wysokości 1.069.850,00 zł. Sąd wskazał, że organ nie wziął pod uwagę roli jaką w procesie odegrał podmiot przetwarzający.
Brak podstawy prawnej
Upomnienia na oba podmioty zostały nałożone w związku z brakiem podstawy przetwarzania danych osobowych. Podmiot przetwarzający w wyjaśnieniach wskazywał, że podstawą jego przetwarzania była umowa powierzenia, którą miał zawartą z administratorem. Co wydaje się oczywistym standardem i obowiązkiem zarazem. Organ nie podzielił takiego stanowiska. Wskazał, że na podstawie umowy podmiot przetwarzający miał podstawę do przetwarzania danych konkretnego podmiotu gospodarczego wskazanego przez administratora, a nie osoby skarżącej. Ponadto, uznał, że podmiot przetwarzający nie dochował zasady rzetelności oraz prawidłowości przetwarzania danych.
Za to odnosząc się do upomnienia administratora, organ w decyzji wskazał, że to on ponosi odpowiedzialność za przestrzeganie przepisów prawa. Tym samym, ponosi on odpowiedzialność za działania podmiotu przetwarzającego i za jego wybór. Tak by działania podmiotu przetwarzającego dawały gwarancje, że prowadzone przez niego działania są zgodne z przepisami RODO. Organ uznał również, że na administratorze ciążył obowiązek informacyjny wobec osoby skarżącej, który nie został dopełniony i również to uzasadniało upomnienie.
Sporne rozstrzygnięcie
Po wydanej decyzji pojawiło się wiele komentarzy co do jej słuszności. Kontrowersje wzbudza jednoczesne ukaranie administratora jak i podmiotu przetwarzającego. Część ekspertów wskazuje, że ukaranie obu podmiotów nie ma uzasadnienia w przepisach.
Jedni wskazują, że wyłącznie winny w takim stanie faktycznym jest administrator, który decyduje o celach i sposobie przetwarzania danych. Zatem podmiot przetwarzający nie może ponosić odpowiedzialności skoro działał na polecenie administratora.
Inni wskazali, że ukarany powinien być jedynie podmiot przetwarzający. To on bowiem wykroczył w swoich działaniach poza postanowienia umowy powierzenia (zatem stał się „nielegalnym ADO) – jego działania nie były zgodne z wytycznymi administratora. Jednocześnie administrator dochował wszelkiej staranności w wyborze podmiotu przetwarzającego i właściwie go nadzorował, a więc nie może ponosić odpowiedzialność za jego działania.
Jeszcze inni eksperci wskazują, że decyzja PUODO jest właściwa. Ich zdaniem działanie podmiotu przetwarzającego wykraczało poza umowę z administratorem, w związku z tym sam stał się administratorem danych, które pozyskał. Wobec czego oba podmioty ponoszą odpowiedzialność. Podmiot przetwarzający w związku z wykroczeniem w swoich działaniach poza umowę, jak również administrator ponieważ niewłaściwie wybrał, nadzorował i decydował o działaniach podmiotu przetwarzającego. Zatem w świetle przepisów każdego z tych stanowisk można bronić, nam trudno jest nawet wskazać które jest tym właściwym, z całą pewnością nie upatrujemy w decyzji UODO czegoś nadzwyczajnego.
Wydana decyzja może wpłynąć na rynek usług windykacyjnych i wymusić konieczność wprowadzenia odmiennych od obecnych praktyk. Jednak za nim to nastąpi możemy spodziewać się odwołania od decyzji, którą już zapowiedział podmiot przetwarzający.
Zapraszamy na szkolenie
