Może on oznaczać poważne kłopoty m.in. dla firm windykacyjnych oraz ich klientów. Szczególnie gdy przetwarzający pozyska dane niezgodnie z RODO
Urząd Ochrony Danych Osobowych nałożył sankcję (karę upomnienia) równocześnie na administratora danych osobowych (ADO) oraz na podmiot przetwarzający działający na jego zlecenie. Eksperci uważają tę decyzję za przełomową, bo po raz pierwszy de facto za to samo przewinienie (w tym wypadku chodziło o przetwarzanie danych osobowych bez podstawy prawnej) ukarane zostały obie strony. Mowa o decyzji nr ZSPR.440.1250.2018 (do tej pory jeszcze nieopublikowanej, którą uzyskaliśmy w trybie dostępu do informacji publicznej).
Istota sporu
W uproszczeniu sprawa dotyczyła sytuacji, w której pewna firma zleciła w stosunku do swojego dłużnika działania windykacyjne innej firmie wyspecjalizowanej w tym zakresie. Ta miała skontaktować się z przedstawicielem dłużnika (chodziło o podmiot gospodarczy) w celu zaspokojenia wierzytelności. Poszukując jednak kontaktu telefonicznego oraz e-mailowego, popełniła błąd i zaczęła nękać postronną osobę fizyczną, wydzwaniając do niej oraz kierując na adres jej poczty elektronicznej wezwania do zapłaty. Osoba ta złożyła skargę do prezesa UODO na nieprawidłowości w procesie przetwarzania jej danych osobowych. Wskazała, że nie spełniono względem niej obowiązku informacyjnego wynikającego z art. 14 RODO, a także że jej dane są przetwarzane bez podstawy prawnej (o której stanowi art. 6 ust. 1 RODO). Co ważne, wierzyciela i firmę windykacyjną łączyła ogólna umowa, z której wynikało, że wierzyciel był administratorem danych osobowych (ADO), a firma windykacyjna - w rozumieniu RODO - pełniła funkcję procesora, który na zlecenie ADO mógł zbierać i przetwarzać dane osobowe osób fizycznych.
Zdaniem nadzorcy
Po rozpatrzeniu skargi UODO nałożył karę upomnienia zarówno na administratora, jak i procesora ‒ za brak przesłanki przetwarzania danych osobowych. Na nic zdały się tłumaczenia procesora, że w jego przypadku taką podstawą była umowa zawarta z ADO. Organ nadzorczy zwrócił uwagę, że dłużnikiem administratora był określony podmiot gospodarczy, a nie skarżąca. A skoro tak, to przetwarzanie jej danych kontaktowych było nieuprawnione. Stwierdził także, że procesor dodatkowo naruszył zasadę rzetelności oraz prawidłowości przetwarzania tychże danych (art. 5 ust. 1 lit. a i d RODO).
Uzasadniając z kolei upomnienie dla ADO za brak przesłanki przetwarzania danych osobowych, UODO stwierdził, że to on jest administratorem danych, w imieniu i na rzecz którego działał procesor. A zgodnie z art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie. Zatem obowiązkiem ADO jest zadbanie, aby korzystać z usług tylko takiego procesora, który zapewnia wystarczające gwarancje, w szczególności ma fachową wiedzę, wiarygodność i zasoby umożliwiające poprawne spełnienie wymogów zawartych w przepisach RODO. Dodatkowo organ nadzorczy ukarał ADO za brak spełnienia obowiązku informacyjnego względem skarżącej. I to mimo stwierdzenia, że procesor samodzielnie pozyskał jej dane osobowe i nie przekazał ich ADO. Organ nadzorczy podkreślił, że to jednak na administratorze spoczywa odpowiedzialność za spełnienie obowiązku informacyjnego.
Wnioski na przyszłość
Choć nałożona sankcja była tylko upomnieniem, to decyzja - z racji tego, że ukarane zostały dwa podmioty de facto za ten sam czyn, czyli procesor i administrator - już spowodowała dyskusję w środowisku prawników. Piotr Liwszic, prawnik i autor serwisu Judykatura.pl, mówi, że to pierwszy znany mu przypadek, w którym zarówno ADO, jak i procesor zostali ukarani za brak podstawy do przetwarzania danych osobowych. Na dodatek podmiot przetwarzający został ukarany za wykonywanie czynności na podstawie kontraktu z ADO i w ustalonym przez niego celu.
- To niezwykle kontrowersyjna decyzja UODO - przyznaje adwokat Łukasz Pociecha, senior associate w zespole cyberbezpieczeństwa i danych osobowych Olesiński i Wspólnicy. ‒ Procesor wykonywał bowiem czynności polegające na prowadzeniu działań windykacyjnych zgodnie z kontraktem. Ta umowa była dla procesora przesłanką uzasadniającą wykonywanie czynności. Co do zasady w takiej sytuacji odpowiedzialność, np. za brak podstawy prawnej, powinien więc ponosić ADO.
I choć w decyzji mamy do czynienia z nałożeniem na procesora sankcji tylko w postaci upomnienia, to eksperci są zgodni, że w przyszłości w tego typu sprawach pomyłka najprawdopodobniej będzie skutkować już karą finansową. Podejście organu nadzorczego może więc oznaczać potencjalnie nie lada kłopoty dla wielu przedsiębiorców będących podmiotami przetwarzającymi.
Zaniepokojenie jest duże, bo to powszechna praktyka, że wierzyciele powierzają windykację podmiotom specjalizującym się m.in. w zarządzaniu wierzytelnościami. I właśnie to one poszukują dłużników w imieniu swoich klientów. A istotna część dłużników próbuje uciekać przed odpowiedzialnością. Zmieniają adresy i numery telefonów. Skutkuje to nierzadko tym, że do nowych lokatorów albo abonentów docierają wiadomości kierowane do dłużników. Po decyzji UODO potencjalnie każda taka nieintencjonalna pomyłka może skutkować odpowiedzialnością nie tylko firmy windykacyjnej (procesora), lecz także tej, której zleciła ściągnięcie długu (administratora).
Podzielone zdania ekspertów
Czy UODO mógł ukarać w tym przypadku obie strony? Prawnicy są w tej kwestii podzieleni. Od części z nich słyszymy, że nie. I że decyzja UODO wypacza sens relacji ADO z procesorem.
Formalnie rzecz biorąc, o podstawę prawną do przetwarzania danych osobowych powinien zadbać administrator - a więc tylko on powinien być ukarany. Procesor nie ma takich uprawnień, bo wykonuje swoje obowiązki na podstawie art. 28 RODO (dotyczącego czynności wykonywanych przez podmioty przetwarzające). Skoro prowadził on działania w celu umówionym z ADO, to - zdaniem części prawników ‒ niesłusznie otrzymał upomnienie. Teoretycznie chcąc poszukiwać takiej przesłanki, podmiot przetwarzający musiałby bowiem wejść w buty ADO - wówczas jednak stałby się samodzielnym administratorem danych osobowych.
Piotr Liwszic wskazuje, że wprawdzie procesor samodzielnie poszukiwał kontaktu do dłużnika na zlecenie ADO, ale to administrator powinien ponosić wyłączną odpowiedzialność za przestrzeganie postanowień RODO. - Procesor nie legitymuje się własną podstawą do przetwarzania danych pozyskiwanych dla administratora - uważa Liwszic. Jednocześnie prawnik zastrzega, że takie postrzeganie sprawy nie wyklucza odpowiedzialności cywilnej procesora za nienależyte wykonanie umowy.
Podobnego zdania jest mec. Łukasz Pociecha, który dodaje, że przywołany w decyzji art. 5 ust. 2 RODO jasno wskazuje, że to administrator (a nie procesor) jest odpowiedzialny za przetwarzanie danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. - Można odnieść wrażenie, że organ rozszerzająco zastosował do podmiotu przetwarzającego przepisy kierowane do administratora i w konsekwencji ukarał również procesora. W kontekście sankcyjnym trudno uzasadnić przyjętą przez organ rozszerzającą wykładnię, szczególnie że nie jest ona wyjaśniona w uzasadnieniu decyzji - wskazuje mec. Pociecha. Tym bardziej że UODO nie stwierdził, aby upomniany podmiot przetwarzający działał niezgodnie z poleceniami administratora dotyczącymi celów i sposobów przetwarzania danych osobowych w procesie, co wydaje się kluczowe dla oceny sprawy.
Jednak inni pytani przez nas eksperci oceniają, że UODO słusznie nałożył kary na oba podmioty. Tak uważa np. radca prawny Bartosz Lasota, prezes zarządu Lasota Consulting. Prawnik wyjaśnia, że o ile procesor działa zgodnie z umową zawartą z administratorem, to podstawą legalizującą działania podmiotu przetwarzającego jest zawarta umowa. W takiej sytuacji procesor nie musi poszukiwać innej podstawy prawnej, a samo powoływanie się przez niego na przetwarzanie danych osobowych na podstawie art. 6 ust. 1 RODO należałoby uznać za błędne. Podstawa ta leży po stronie ADO, w imieniu którego działa procesor na mocy umowy powierzenia.
Sytuacja jest jednak inna, gdy procesor naruszy postanowienia zawartej z ADO umowy, w szczególności wykroczy poza określony przez ADO cel i sposób przetwarzania. W omawianej sprawie to procesor zaczął przetwarzać dane niewłaściwej osoby. Zgodnie z art. 4 pkt 7, jak również art. 28 ust. 10 RODO powinno się go więc uznać za administratora w odniesieniu do tego przetwarzania. - Można przyjąć, że z taką sytuacją mamy do czynienia, gdy procesor wychodzi poza zakres zlecenia od ADO albo wykazuje się nienależytą starannością przy realizacji zlecenia, w szczególności realizuje je w sposób ewidentnie nieoczekiwany. Próbuje np. windykować niewłaściwą osobę, jak w sprawie, której dotyczy decyzja - wyjaśnia mec. Lasota. Mówiąc wprost: procesor pomylił się co do danych dłużnika i stał się ich administratorem, bo wykroczył poza polecenie ADO, które dotyczyło tylko i wyłącznie kontaktu z właściwym dłużnikiem.
Jednak są i tacy eksperci, którzy twierdzą, że sankcja powinna być nałożona wyłącznie na procesora. - Bezsporne jest, że to podmiot przetwarzający wyszedł poza granice powierzenia - mówi Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO. I tłumaczy, że skarżąca nie była dłużniczką, a podmiot przetwarzający kontaktował się z nią przez pomyłkę. Gdyby zaś podmiot ten nie popełnił błędu, skarżąca nigdy nie byłaby zaangażowana w sprawę i nie dochodziłoby do przetwarzania jej danych osobowych. - Procesor przetwarzał zatem jej dane jako administrator - twierdzi Klimowski, dodając, że w tej sytuacji kara upomnienia jest adekwatna do popełnionego czynu.
Udało nam się dowiedzieć, że procesor zamierza odwołać się od decyzji UODO do wojewódzkiego sądu administracyjnego. Niewątpliwie rozstrzygnięcie sądu może mieć duże znaczenie - zarówno dla firm, które powierzają windykację firmom zewnętrznym, jak i dla samych firm windykacyjnych. ©℗
