W artykule opublikowanym przez Dziennik Gazeta Prawna znajdziecie nasz komentarz ekspercki nt. dopuszczalności nałożenia przez UODO kary zarówno dla administratora, jak i procesora w ramach jednego procesu przetwarzania danych osobowych.
Zachęcamy do zapoznania się z publikacją przedsiębiorcom, a szczególnie firmom windykacyjnym. Kontrowersyjna i precedensowa decyzja Urzędu Ochrony Danych Osobowych, który w ramach jednego procesu przetwarzania danych osobowych ukarał zarówno administratora danych osobowych, jak również działającego w jego imieniu procesora. Omawiana decyzja dotyczy często występującego w praktyce przypadku korzystania przez firmy z zewnętrznych usług windykacyjnych.
Komentarz, który dla Dziennika Gazety Prawnej udzialił Bartosz Lasota, prezes zarządu Lasota Consulting sp. z o.o. wyjaśnia powyższą kwestię oraz na pytanie redaktora Dziennika Gazety Prawnej, Pana Jakuba Styczyńskiego „Czy UODO mógł ukarać w tym przypadku obie strony?” Odpowiada tak. Dodatkowo, odpowiada kiedy podstawą prawną przetwarzania danych osobowych przez procesora jest zawarta z administratorem umowa współpracy, w tym umowa powierzenia, a w jakich przypadkach procesor może jednak odpowiadać za przetwarzanie danych osobowych jak administrator.
Gdzie jest dostępny komentarz?
We wtorkowym wydaniu Dziennika Gazety Prawnej z 26 października 2021 r. (nr 208), na pierwszej stronie dodatku FIRMA i PRAWO został opublikowany artykuł pt. „UODO nałożył karę jednocześnie na administratora i procesora.” w którym znajdziecie komentarz.
Materiał jest dostępny online pod linkiem:
e-Dziennik Gazeta Prawna – https://edgp.gazetaprawna.pl/e-wydanie/58181,26-pazdziernika-2021/73579,Firma-i-prawo/769611,UODO-nalozyl-kare-jednoczesnie-na-administratora-i-procesora.html
Dziennik Gazeta Prawna – https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8277984,uodo-kara-administrator-procesor-niebezpieczny-precedens-firmy-windykacyjne-rodo.html?utm_source=linkedin&utm_medium=organic&utm_campaign=accelerator-art-12
Dlaczego istnieje możliwość ukarania w ramach jednego procesu przetwarzania danych osobowych zarówno administratora, jak i podmiot przetwarzający? Kto i w jaki sposób zawinił na tle komentowanej decyzji UODO?
Dlatego, że w naszej ocenie na tle analizowanej sprawy zawinił zarówno administrator, jak i procesor, co stanowiło podstawę do ich ukarania. Procesor wykroczył poza zakres zlecenia i stał się administratorem w stosunku do tego przetwarzania, a w związku z tym nie legitymował się już podstawą prawną do przetwarzania danych osobowych osoby niebędącej dłużnikiem. Z kolei wierzyciel, a więc „pierwotny” administrator danych osobowych nie zadbał o prawidłowe uregulowanie procesu przetwarzania danych na gruncie nawiązywanej współpracy o windykację długu. Co do samej decyzji UODO w stosunku do której poczyniony został komentarz, to nie sposób się z nią w pełni zgodzić. Jej uzasadnienie zostało sporządzone dość chaotycznie, a sentencja daje podstawy do twierdzenia, że rozstrzygnięcie mogłoby być i powinno być nieco odmienne. W szczególności nie sposób zgodzić się z ukaraniem przez UODO administratora za niespełnienie przez niego obowiązku informacyjnego, o którym mowa w art. 14 RODO w stosunku do nieprawidłowo zidentyfikowanego przez firmę windykacyjną dłużnika, w sytuacji, gdy w rzeczywistości administratorem danych osobowych tego nieprawidłowo zidentyfikowanego przez firmę windykacyjną dłużnika, jest właśnie firma windykacyjna (procesor). To jakie naruszenie art. 14 RODO przez administratora (wierzyciela) mogło wystąpić, to w naszej ocenie wyłącznie pośrednie naruszenia art. 14 RODO w związku z zasadami, o których mowa w art. 5 RODO. To jest, że administrator-wierzyciel nie opracował na okoliczność planowanego przetwarzania danych osobowych dłużnika (w tym przypadku danych personelu dłużnika będącego osobą prawną, z którą kontakt miała w jego imieniu nawiązać firma widykacyjna), odpowiedniej klauzuli obowiązku informacyjnego, o której mowa w art. 14 RODO i nie przekazał jej procesorowi, zobowiązując go jednocześnie do jej przekazania jej dłużnikowi, bądź osobą reprezentującym dłużnika. Ponadto można uznać również, że administrator (wierzyciel) postąpił w sposób niezgodny z art. 28 ust. 1 RODO, który stanowi, że „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą„. Dokonał bowiem wyboru „nieprawidłowego procesora”, którego działanie spowodowało wystąpienie omawianego zdarzenia, w tym nie zadbał on o takie uregulowanie współpracy z procesowem, które ograniczyłoby ryzyko nieprawidłowości, które zaistniały. Mając jednak na uwadze, że działanie procesora znacząco wykraczało poza zlecenie i polecenie administratora danych osobowych (wierzyciela). To jest, wiązało się z kontaktem z nieprawidłową osobą – osobą fizyczną niebędącą dłużnikiem w sytuacji, gdy zlecenie polegało na windykacji oznaczonego dłużnika będącego osobą prawną, to w takim przypadku procesora należy uznać za administratora w odniesieniu do tego przetwarzania. Należy oczywiście zasygnalizować, że materiał został opracowany na gruncie przedmiotowej decyzji, mając jednak na celu wyjaśnienie relacji przetwarzania danych osobowych w ramach zlecania tego typu usług i w związku z tym możliwych do wystąpienia ryzyk. Niniejszego opracowania nie należy rozumieć jako komentarz i ocena rzeczywistych działań podmiotów będących Stroną decyzji UODO.
Opracował: Zespół Lasota Consulting Sp. z o.o.
Uważasz że materiał jest godny polecenia? Kliknij poniżej i udostępnij go!