Czy kancelaria odszkodowawcza może zbierać z internetów (i cmentarzy) dane o ofiarach wypadków?

Czy firma pomagająca ludziom dochodzić roszczenia odszkodowawcze ma prawo pozyskiwać informacje o potencjalnych klientach w celu przedstawienia oferty współpracy? Czy jednak zbieranie danych osób pokrzywdzonych w wypadkach bez ich zgody jest niedopuszczalne — a podstawą przetwarzania danych nie może być ani marketing bezpośredni, ani przygotowanie do zawarcia umowy? (nieprawomocny wyrok WSA w Warszawie z 31 stycznia 2024 r., II SA/Wa 1861/23).


cmentarz poniemiecki
Ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

Sprawa dotyczyła kancelarii odszkodowawczej (spółki cywilnej, której wspólnicy nie byli adwokatami czy radcami prawnymi), która w ramach prowadzonej działalności m.in. reprezentowała poszkodowanych w wypadkach przed sądami, ubezpieczycielami, etc., a także pośredniczyła na ich rzecz w zakresie uzyskania usług medycznych.

Po kontroli przeprowadzonej przez PUODO — a to po otrzymanym od policji „cynku — okazało się, że pozyskiwanie klientów zaczynało się od wertowania internetu pod kątem osób pokrzywdzonych w wypadkach i rodzin ofiar (dane te zbierano także ze stron organizacji dobroczynnych), a także wywiadu środowiskowego (m.in. czytania nekrologów i klepsydr cmentarnych). Na podstawie tych ustaleń pracownicy firmy dzwonili do osób potencjalnie zainteresowanych dochodzeniem roszczeń odszkodowawczych, aby podczas rozmowy odebrać wstępną, ustną zgodę na przetwarzanie danych osobowych. Jeśli negocjacje kończyły się pozytywnymi ustaleniami, strony podpisywały odpowiednią umowę, a jeśli rozmówca nie był zainteresowany współpracą, dane były usuwane.

W ocenie urzędu przyjęty model biznesowy był sprzeczny z RODO: przetwarzanie danych dotyczących stanu zdrowia jest dopuszczalne wyłącznie w ściśle określonych przypadkach, wśród których nie ma ani marketingu bezpośredniego administratora, ani wykonania zobowiązań kontraktowych lub przygotowań do zawarcia umowy. Uznając, że zbieranie przez kancelarię odszkodowawczą danych o osobach pokrzywdzonych w wypadkach było nielegalne, na wspólników firmy nałożono karę w wysokości 45 tys. zł (decyzja PUODO z 30 listopada 2022 r., DKN.5112.5.2021).

W skardze na tę decyzję ukarani zwrócili uwagę, że dane były przetwarzane na podstawie zgody zainteresowanych osób, które miały zamiar zawrzeć umowę i zlecić prowadzenie sprawy odszkodowawczej — zaś tak czy inaczej podstawą był uzasadniony interes w postaci marketingu bezpośredniego własnych usług.

art. 4 pkt 15 RODO
„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

art. 9 ust. 1-2 RODO
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. [Zakaz przetwarzania szczególnych kategorii danych osobowych] nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach (…)
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (…);
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych (…);
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym (…);
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (…);
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych (…);
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 (…).

Odnosząc się do tych argumentów Wojewódzki Sąd Administracyjny stwierdził, iż:

  • co do zasady przetwarzanie szczególnych kategorii danych osobowych, do których zalicza się także dane o zdrowiu, jest niedozwolone;
  • zakaz ten uchyla m.in. wyraźna zgoda osoby zainteresowanej lub istnienie innej, ściśle określonej przesłanki;
  • przesłanką przetwarzania danych wrażliwych nie może być jednak marketing bezpośredni traktowany jako uzasadniony cel administratora — w art. 9 ust. 2 RODO brak przepisu podobnego do art. 6 ust. 1 lit. f) RODO);
  • zbieranie danych osób pokrzywdzonych w wypadkach nie może się opierać na przesłance niezbędności do wykonania umowy lub w celu podjęcia działań przygotowawczych przed zawarciem umowy: wszakże kluczowe informacje o zdrowiu są pozyskiwane przed jakimkolwiek kontaktem z klientem, a więc nie tylko przed złożeniem oferty zawarcia umowy, ale też wyłącznie z inicjatywy firmy;
  • zarazem taki cel jak dążenie do zawarcia umowy w ogóle nie wymaga przetwarzania jakichkowiek danych osobowych potencjalnych klientów (a zwłaszcza dotyczących stanu zdrowia) — wszakże ten sam cel kancelaria mogłaby osiągnąć np. zostawiając mu ulotkę informacyjną (sic!);
  • błędem było także odbieranie zgody na przetwarzanie danych wrażliwych wyłącznie w formie ustnego oświadczenia, bez jakiekolwiek udokumentowania (choćby w formie nagrania lub rejestru) — wszakże administrator musi być w stanie wykazać, iż uzyskał — wyraźną, skoro mówimy o danych wrażliwych — zgodę na przetwarzanie (art. 7 ust. 1 RODO).

Sumarycznie w ocenie WSA oznacza to, że ocena uchybień była właściwa, a nałożona przez PUODO kara za nieprawidłowości w przetwarzaniu danych osobowych prawidłowa, zatem skarga została oddalona.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

12 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
12
0
komentarze są tam :-)x