Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska (spr.), Sędzia WSA Sławomir Antoniuk, Sędzia WSA Karolina Kisielewicz, , Protokolant starszy specjalista Bogumiła Kobierska, po rozpoznaniu na rozprawie w dniu 31 stycznia 2024 r. sprawy ze skargi N. B. i T. M. wspólników spółki cywilnej Kancelaria [...] w L. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Zaskarżoną w niniejszej sprawie decyzją z [...] listopada 2022 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ"), mając za podstawę art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (obecnie tekst jednolity: Dz. U. z 2023 r., poz. 775 ze zm.; dalej: "k.p.a."), art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781; dalej: "u.o.d.o."), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) oraz lit. i) w związku z art. 5 ust. 1 lit. a), art. 6 ust. 1, art. 9 ust. 1 w związku z art. 9 ust. 2, a także art. 83 ust. 1 - 3 i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1 ze sprost.; dalej: "RODO"), po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych w związku z przetwarzaniem danych osobowych przez obecnych wspólników [...] "Kancelaria [...] z miejscem wykonywania działalności w [...] – N. B. (dalej: "skarżąca N. B.") i T. M. (dalej: "skarżący T. M."), jak również byłego wspólnika tej spółki – R. B. (dalej: "uczestnik postępowania"), stwierdził, że skarżący i uczestnik postępowania (dalej też: "administratorzy", "wspólnicy") dopuścili się naruszeń następujących przepisów:

art. 6 ust. 1 RODO poprzez przetwarzanie danych osobowych swoich potencjalnych klientów bez podstawy prawnej, a w szczególności bez uzyskania ich zgody na przetwarzanie, o której mowa w art. 6 ust. 1 lit. a) RODO, co stanowi naruszenie zasady przetwarzania danych osobowych zgodnie z prawem, określonej w art. 5 ust. 1 lit. a) RODO;

• art. 9 ust. 1 w związku z art. 9 ust. 2 RODO poprzez przetwarzanie danych dotyczących zdrowia swoich potencjalnych klientów bez podstawy prawnej, a w szczególności bez uzyskania ich wyraźnej zgody na przetwarzanie, przewidzianej w art. 9 ust. 2 lit. a) RODO, co stanowi naruszenie zasady przetwarzania danych osobowych zgodnie z prawem, ujętej w art. 5 ust. 1 lit. a) RODO.

W oparciu o te ustalenia organ w pkt 1 decyzji nakazał skarżącym dostosowanie operacji przetwarzania do przepisów RODO poprzez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej, tj. bez uzyskania zgody na przetwarzanie ich danych osobowych, o której mowa w art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO w terminie 14 dni od dnia doręczenia niniejszej decyzji. Natomiast w pkt 2 omawianej decyzji PUODO nałożył na skarżących oraz uczestnika postępowania - jako odpowiadających solidarnie za ww. naruszenia - administracyjną karę pieniężną w wysokości 45 697,00 zł.

Do wydania powołanej na wstępie decyzji doszło w następujących okolicznościach faktycznych i prawnych sprawy.

W ramach czynności zleconych przez Prokuraturę Rejonową w [...], Komendant Powiatowy Policji w [...], pismem z [...] marca 2021 r. znak [...], wystąpił do PUODO o przeprowadzenie czynności kontrolnych u administratorów. Zatem organ przystąpił do czynności sprawdzających, wzywając wspólników, stosownie do treści art. 58 ust. 1 lit. a) RODO, do udzielenia wszelkich informacji potrzebnych do realizacji zadań przez PUODO, w szczególności informacji odnośnie sposobu, celu i podstawy prawnej przetwarzania danych w związku z prowadzoną przez nich działalnością gospodarczą. Jednakże z uwagi na brak dostatecznej współpracy skarżących i uczestnika postępowania z organem, poprzez odwlekanie udzielenia odpowiedzi na pytania oraz ich niepełne wyjaśnienia, PUODO uznał za konieczne przeprowadzenie kontroli w przedsiębiorstwie administratorów na mocy art. 78, art. 79 ust. 1 oraz art. 84 ust. 1 pkt 1-4 u.o.d.o. w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b), e) i f) RODO. Kontrolą objęto przetwarzanie danych osobowych klientów oraz potencjalnych klientów skarżących i uczestnika postępowania. Z kontroli tej został sporządzony protokół, podpisany przez wspólników z zastrzeżeniami, w którym szczegółowo opisano poczynione ustalenia faktyczne, w tym wyjaśnienia złożone ustnie przez pracowników administratorów.

W toku postępowania administracyjnego, wszczętego z urzędu w zakresie ujawnionych podczas kontroli uchybień, organ stwierdził, że działalność gospodarcza administratorów była przede wszystkim związana z oceną ryzyka i szacowaniem poniesionych strat (wedle wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej PKD: [...]). Otóż w ramach zawiązanej spółki wspólnicy świadczyli pomoc prawną poprzez reprezentowanie klientów poszkodowanych - głównie w wypadkach komunikacyjnych - przed towarzystwami ubezpieczeniowymi, przed sądami, a także względem innych podmiotów, w celu uzyskania na rzecz klientów odszkodowań, zadośćuczynienia i rent, jak również zwrotu kosztów leczenia i rehabilitacji. Działalność wspólników obejmowała także pośredniczenie pomiędzy klientami a placówkami medycznymi w zakresie uzyskania usług medycznych. W ramach świadczonych usług osoby, zatrudnione przez administratorów, podczas pierwszej rozmowy z potencjalnym klientem prosiły go na wstępie o udzielenie wspólnikom ustnej zgody na pozyskanie i przetwarzanie jego danych osobowych do czasu ewentualnego zawarcia umowy o świadczenie usług. Jeżeli potencjalny klient udzielił ustnie zgodę na przetwarzanie jego danych, rozmowa była kontynuowana, zaś w przypadku odmowy - rozmowę przerywano. Tak więc do pozyskania i późniejszego przetwarzania danych potencjalnego klienta przez administratorów dochodziło wyłącznie wówczas, gdy ich przedstawiciel odebrał od potencjalnego klienta ustne oświadczenie o zgodzie na przetwarzanie jego danych osobowych. Zgoda ta miała wyłącznie ustną formę. Pozyskiwanie danych od potencjalnych klientów w ten sposób miało na celu zapewnienie przez wspólników możliwości ponownego kontaktu z tymi klientami oraz przedstawienia im oferty.

Działania prowadzące do pozyskiwania danych osobowych i nawiązywania kontaktów z potencjalnymi klientami były prowadzone na podstawie wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych (np. serwisie "[...]"), jak też informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną (np. fundacje). Wspólnicy nie przedstawili dowodów potwierdzających udzielenie im zgody na pozyskiwanie danych osobowych osób wspieranych przez fundacje.

Dane osobowe potencjalnych klientów administratorów pozyskiwano także na podstawie treści powszechnie dostępnych prywatnych profili osób fizycznych w mediach społecznościowych, a zawierających informacje o śmierci osób fizycznych, wypadkach bądź innych zdarzeniach mających znaczenie ze względu na działalność gospodarczą wspólników. Wreszcie potencjalnych klientów administratorów poszukiwano z wykorzystaniem czynności o charakterze wywiadu środowiskowego – poprzez bezpośrednie rozmowy z osobami zamieszkującymi, pracującymi lub w inny sposób funkcjonującymi w środowisku ww. klientów (np. rozmowy z sąsiadami, sołtysem) czy zapoznawanie się z treścią rozpowszechnionych na cmentarzach nekrologów. Miejsca przeprowadzenia wywiadu środowiskowego typowano m.in. w oparciu o doniesienia prasowe i publikacje internetowe.

W ramach ww. działań wspólnicy lub ich pracownicy pozyskiwali dane osobowe potencjalnych klientów przede wszystkim w zakresie adresu zamieszkania, co pozwalało im nawiązać bezpośredni kontakt z tymi klientami i złożyć ofertę usług świadczonych przez administratorów. W przypadku gdy potencjalny klient wyraził wolę nawiązania kontaktu, przeprowadzano z nim osobiście rozmowę, podczas której były pozyskiwane inne - dokładniejsze dane osobowe, tj. m.in. numer telefonu, imię i nazwisko. W przeważającej liczbie przypadków kontakt z inicjatywy potencjalnego klienta był nawiązywany drogą telefoniczną. Również część potencjalnych klientów inicjowała pierwszy kontakt ze wspólnikami za pomocą kanałów komunikacji elektronicznej.

Tak pozyskane dane były przechowywane przez administratorów w formie elektronicznej (np. wiadomości e-mail) lub w formie papierowej do momentu odbycia z potencjalnym klientem spotkania i podjęcia przez niego decyzji co do nawiązania współpracy oraz zawarcia umowy o świadczenie usług. W sytuacji, gdy nie dochodziło do zawarcia umowy z potencjalnym klientem, jego dane osobowe trwale niszczono po upływie maksymalnie 5-7 dni od dnia nawiązania z nim pierwszego kontaktu i pozyskania danych. Jeszcze przed zawarciem umowy od potencjalnych klientów pozyskiwano następujące dane osobowe: imię, nazwisko, numer telefonu, adres poczty elektronicznej, informację o śmierci innej osoby oraz dane dotyczące stanu zdrowia w związku ze zdarzeniami wypadkowymi. Również zgoda na przetwarzanie danych osobowych dotyczących zdrowia (np. informacji o odniesionych obrażeniach przez ofiary wypadków) była uzyskiwana tylko w formie ustnej.

Organ nie dopatrzył się w opisanych wyżej działaniach administratorów marketingu bezpośredniego, o którym mowa w końcowym zdaniu motywu 47 RODO.

Według powszechnie przyjmowanej teorii marketingu bezpośredniego, polega on na bezpośrednim kierowaniu do wybranych klientów określonych treści, m.in. poprzez indywidualny kontakt, w celu uzyskania ich oświadczeń w przedmiocie postrzegania określonych towarów lub usług albo chęci ich zakupu. Marketing bezpośredni pozwala konsumentom kupować produkty dzięki wykorzystaniu rożnych metod komunikacji i reklamy. Oprócz kształtowania wizerunku przedsiębiorcy, celem marketingu bezpośredniego jest uzyskanie bezpośrednio od konsumenta informacji w zakresie jego postrzegania określonych towarów i usług. W przedmiotowej sprawie, zarówno ze względu na rodzaj części przetwarzanych danych potencjalnych klientów przez administratorów (dane o zdrowiu), jak i cel ich przetwarzania, w ocenie PUODO, nie może być mowy o przetwarzaniu dla celów marketingu bezpośredniego. Przetwarzanie danych o zdrowiu dla celów marketingowych bez zgody osoby zainteresowanej należy uznać za niedopuszczalne i niewspółmierne do innych dóbr klientów, które potencjalnie mogłyby być realizowane poprzez takie przetwarzanie. Dane o zdrowiu podlegają szczególnej ochronie w świetle treści art. 9 RODO, który nie zawiera przesłanek umożliwiających ich przetwarzanie analogicznie do przesłanki związanej z uzasadnionym celem realizowanym przez administratorów, o której mowa w art. 6 ust. 1 lit. f) RODO. Z tego powodu, a także z uwagi na fakt, iż ochrona niezwykle ważnych dóbr osobistych osoby fizycznej, tj. jej prywatności, do której sfery należą także informacje o zdrowiu, wyklucza możliwość przetwarzania danych zawierających ww. informacje dla celów marketingowych bez uprzedniego uzyskania zgody, bowiem cele te związane są z realizacją dóbr o niewspółmiernie niższej wartości, niż prywatność osoby fizycznej.

PUODO zwrócił też uwagę, że oferta nawiązania współpracy, kierowana przez wspólników wobec potencjalnych klientów, jest ściśle związana z pozyskiwaniem od nich danych o stanie zdrowia, a więc bez pozyskania tych danych wspólnicy nie zwracaliby się do potencjalnych klientów z ofertą współpracy w sposób, w jaki to czynią przy nawiązywaniu osobistego, bezpośredniego kontaktu z ww. osobami. Nadto wspólnicy pozyskują, a następnie przetwarzają dane potencjalnych klientów w szczególnych okolicznościach, bowiem dzieje się tak w związku ze zdarzeniami ubezpieczeniowymi, o których wiedzę pozyskują z ogólnie dostępnych źródeł (media społecznościowe, prasa lokalna itp.). Zatem dotarcie do potencjalnego klienta odbywa się na podstawie ww. informacji, a celem samym w sobie wizyty u potencjalnego klienta jest pozyskanie i przetwarzanie jego danych do dalszego kontaktowania się z nim w kwestii zawarcia umowy i oceny biznesowego ryzyka jej zawarcia, nie zaś działania marketingowe, polegające na przedstawieniu oferty usług.

Nawet jeżeli pozyskiwanie i dalsze przetwarzanie przez administratorów danych potencjalnych klientów miałoby być czynione dla celów marketingu bezpośredniego, to musieliby oni z dysponować tymi danymi już w chwili nawiązania pierwszego kontaktu z klientami. Tymczasem pozyskanie danych osobowych następuje dopiero z chwilą nawiązania kontaktu z potencjalnym klientem, a dalsze przetwarzanie nie wiąże się z działaniami marketingowymi (badanie nastawienia klienta, reklama, prezentacja oferty itp.), lecz związane jest wyłącznie z uzyskaniem od ww. klienta oświadczenia w przedmiocie jego woli zawarcia ze wspólnikami umowy z jednej strony, z drugiej zaś oszacowanie biznesowego ryzyka związanego z zawarciem umowy dla wspólników.

Działalność administratorów w znacznej części sprowadza się też do świadczenia usług prawniczych polegających na działaniu profesjonalnych pełnomocników procesowych (radców prawnych, adwokatów) na rzecz osób ubiegających się o odszkodowanie od podmiotów świadczących usługi ubezpieczeniowe, reprezentowaniu ich w procesach sądowych itp. Jak bowiem zeznał w toku kontroli skarżący T. M., działalność ich "polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, przed sądami, a także innymi podmiotami w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji".

W tym kontekście organ przywołał postanowienia § 23 oraz § 23b ust. 1 i ust. 4 Zbioru Zasad Etyki Adwokackiej i Godności Zawodu (Kodeksu Etyki Adwokackiej) -uchwała nr 2/XVIII/98 Naczelnej Rady Adwokackiej z 10 października 1998 r. ze zm., a także art. 32 ust. 1 pkt 6 Kodeksu Etyki Radcy Prawnego (załącznik do uchwały Nr 3/2014 Nadzwyczajnego Krajowego Zjazdu Radców Prawnych z dnia 22 listopada 2014 r. w sprawie Kodeksu Etyki Radcy Prawnego ze zm.), wywodząc, iż brzmienie wewnętrznych prawniczych samorządów zawodowych stanowi dodatkową wskazówkę, że administratorzy nie mogą powołać się na realizowane przez nich prawnie uzasadnione interesy w postaci marketingu bezpośredniego, skoro ww. przepisy co do zasady nie pozwalają na pozyskiwanie klientów w sposób, w jaki czynią to administratorzy, pomijając już samą kwestię, iż ich działania podejmowane wobec potencjalnych klientów nie mogą być w ogóle uznane w niniejszej sprawie za marketing bezpośredni.

Na podstawie zgromadzonego w sprawie materiału dowodowego PUODO ustalił, iż w procesie przetwarzania danych osobowych administratorzy naruszyli art. 6 ust. 1 oraz art. 9 ust. 2 w związku z art. 5 ust. 1 lit. a) oraz art. 9 ust. 1 RODO poprzez przetwarzanie bez podstawy prawnej danych osobowych ich potencjalnych klientów, w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie tych danych osobowych, o której mowa odpowiednio w art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO.

Wspólnicy nie ustosunkowali się do zarzucanych im naruszeń przepisów o ochronie danych osobowych. W toku postępowania administracyjnego uczestnik postępowania przestał być stroną umowy spółki cywilnej, a przystąpiła do niej skarżąca N. B., rozpoczynając w jej ramach prowadzenie działalności gospodarczej od [...] kwietnia 2022 r. (dlatego dopiero pismem z [...] października 2022 r. została ona zawiadomiona przez organ o wszczęciu postępowania).

PUODO - obok zastosowania instrumentu naprawczego w postaci nakazania dostosowania operacji przetwarzania danych osobowych do obowiązujących przepisów - zdecydował się na nałożenie na wspólników administracyjnej kary pieniężnej, aby egzekwowanie przepisów RODO było skuteczniejsze. Ustalając wysokość tej kary, zgodnie z art. 83 ust. 2 lit. a)-k) RODO, organ wziął pod uwagę następujące okoliczności obciążające:

• naruszenie zasad przetwarzania danych osobowych w związku z przetwarzaniem danych potencjalnych klientów bez podstawy prawnej (bez możliwej do wykazania zgody na przetwarzanie danych osobowych, w tym także bez wyraźnej zgody w zakresie danych dotyczących zdrowia), co miało znaczną wagę i poważny charakter z uwagi na fakt, iż zasada zgodności przetwarzania z prawem ma kluczowe znaczenie dla ochrony danych osobowych. W toku przeprowadzonej kontroli, przetwarzanie ww. danych odbywało się i nadal odbywa w sposób ciągły i zaplanowany, od dnia wejścia w życie przepisów RODO, tj. od 25 maja 2018 r. do dnia wydania niniejszej decyzji, a więc jest długotrwale, bo trwa co najmniej 4 lata. Nadto istotny jest fakt przetwarzania danych podlegających szczególnej ochronie prawnej (dotyczących zdrowia) oraz okoliczności ich pozyskiwania, w tym sytuacja życiowa osób, których dane dotyczą (w warunkach traumy psychicznej, a czasem także fizycznej związanej z tragicznymi wydarzeniami, przez które przeszli ci klienci). Wydarzenia te (głównie wypadki komunikacyjne) mają z natury rzeczy tak silny wpływ na psychikę potencjalnych klientów, iż mogą oni podejmować decyzje, w tym również dotyczące zgody na przetwarzanie swoich danych, w sposób nie zawsze w pełni racjonalny i świadomy. Dlatego kluczowe znaczenie ma kwestia dołożenia przez administratorów należytej staranności tak, aby ich potencjalni klienci mieli możliwość wyrażenia, w sposób jasny i niebudzący wątpliwości co do treści oświadczenia, woli odnośnie przetwarzania ich danych, w tym jego celu, sposobu i zakresu. Wspólnicy powinni także poczynić wszelkie starania, aby wykluczyć możliwość znajdowania się potencjalnych klientów pod jakąkolwiek presją w chwili udzielania zgody na przetwarzanie ich danych;

• nieumyślny charakter naruszenia przepisów RODO, ale w warunkach rażącego zaniedbania z ich strony, tj. pozyskiwanie i przetwarzanie danych potencjalnych klientów pomimo nieuzyskania na to od nich zgód w rozliczalny i zgodny z przepisami RODO sposób. Wspólnicy jako przedsiębiorcy powinni byli dołożyć przy przetwarzaniu danych potencjalnych klientów należytej staranności, tym bardziej, że wśród danych tych były też dane szczególne, tj. dotyczące zdrowia. Administratorzy w szczególności, ze względu na charakter wykonywanej działalności gospodarczej, powinni byli upewnić się, jakie działania są niezbędne do legalnego przetwarzania danych potencjalnych klientów, a następnie wprowadzić je w życie. Wspólnicy zaniechali takich działań, a przetwarzanie danych potencjalnych klientów odbywało się na podstawie bliżej nieokreślonych i niemożliwych do wykazania, w świetle przepisów RODO, ustnych uzgodnień z nimi;

• niewystarczającą współpracę z organem w celu usunięcia naruszenia oraz/lub złagodzenia jego ewentualnych negatywnych skutków;

• kategorie danych osobowych, których dotyczyło naruszenie - oprócz danych zwykłych, takich jak: imię, nazwisko, numer telefonu, itp. - znalazły się również dane szczególne, tj. dotyczące zdrowia;

• sposób, w jaki organ dowiedział się o naruszeniu, a mianowicie stwierdził je dopiero w wyniku podjętych czynności kontrolnych.

Jako okoliczności łagodzące PUODO wymienił:

• brak poszkodowanych osób, których dane dotyczą, a tym samym brak wyrządzonej im szkody;

• brak wcześniejszych uchybień przepisów RODO przez administratorów.

Uwzględniając poważny charakter stwierdzonych naruszeń, a także treść art. 83 ust. 3 i ust. 5 lit. a) RODO oraz art. 103 u.o.d.o., organ wymierzył solidarnie wspólnikom karę w wysokości 45 697 zł, co stanowi równowartość 10.000 euro – według kursu euro ogłoszonego przez Narodowy Bank Polski z dnia 28 stycznia 2022 r. (1 EUR = 4,5697 PLN).

W ocenie PUODO, zastosowana administracyjna kara pieniężna jest skuteczna, proporcjonalna i odstraszająca.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na opisaną powyżej decyzję organu z [...] listopada 2022 r. skarżący (reprezentowani przez radcę prawnego J. O.) wnieśli o jej uchylenie i zasądzenie kosztów postępowania według norm prawem przepisanych.

W uzasadnieniu skargi podkreślili, że gdyby klienci nie chcieli zawrzeć umowy, to nigdy nie przekazaliby danych skarżącym. Co więcej, jeśli takie osoby nie byłyby zainteresowane zawarciem umowy i zleceniem prowadzenia spraw przez skarżących, to nigdy nie przekazałyby danych o stanie zdrowia czy danych medycznych.

Skarżący za chybione uznali zarzuty naruszenia zasad Kodeksu Etyki Adwokackiej czy Kodeksu Etyki Radców Prawnych skoro żadne z nich nie wykonuje zawodu adwokata czy radcy prawnego.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.

Uczestnik postępowania nie ustosunkował się do skargi ani do odpowiedzi na skargę.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga nie zasługuje na uwzględnienie, bowiem zaskarżona decyzja odpowiada prawu.

W niniejszej sprawie okoliczności faktyczne nie były sporne między stronami postępowania. Spór sprowadzał się do prawnej kwalifikacji poczynionych ustaleń.

Podstawowe zasady przetwarzania danych osobowych zostały ujęte w art. 5 RODO. I tak stosownie do treści art. 5 ust. 1 lit. a) RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"). Warunki uznania przetwarzania danych osobowych za zgodne z prawem określono przede wszystkim w art. 6 ust. 1 RODO, stanowiącym, iż przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Jak już wzmiankowano, dane osobowe powinny być przetwarzane m.in. "w sposób przejrzysty dla osoby, której dane dotyczą". Oznacza to, że podmiot danych powinien być informowany o przetwarzaniu jego danych, a także powinien mieć świadomość typowych konsekwencji, jakie wiążą się z przetwarzaniem. W motywie 39 RODO (zd. 2 – zd. 5) wyjaśniono, iż dla osób fizycznych powinien być przejrzysty (klarowny) nie tylko sposób, ale i stopień przetwarzania ich danych osobowych. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych były łatwo dostępne, zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta obejmuje również obowiązek informowania osób, których dane dotyczą, o tożsamości administratora, celach przetwarzania ich danych osobowych oraz prawach takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych. Osobom fizycznym trzeba uświadomić zasady przetwarzania, związane z tym ryzyko, wdrożone zabezpieczenia, a także prawa przysługujące w związku z określonym przetwarzaniem.

Natomiast w myśl motywu 35 preambuły RODO, do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Wedle art. 4 pkt 15 RODO, dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia.

Dane o stanie zdrowia objęte są ochroną prawną życia prywatnego. Prawo to należy do praw osobistych ujętych w art. 47 Konstytucji Rzeczypospolitej Polskiej.

Przepis art. 9 w ust. 1 RODO formułuje zakaz przetwarzania tzw. danych wrażliwych, przy czym w ust. 2 zostały przewidziane następujące wyjątki od tego zakazu:

a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Stosownie zaś do treści art. 9 ust. 3 RODO, dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

Na gruncie kontrolowanej sprawy nie ma zastosowania jako podstawa prawna przetwarzania, powoływana przez administratorów, przesłanka z art. 6 ust. 1 lit. b) RODO, tj. przetwarzanie niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Z zebranego materiału dowodowego w toku kontroli, w tym z wyjaśnień wspólników i ich pracowników wynika bowiem, że przetwarzanie danych potencjalnych klientów nie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (nie jest ona jeszcze w ogóle zawarta z potencjalnym klientem) lub do podjęcia działań na żądanie potencjalnych klientów, przed zawarciem z nimi umów. Mianowicie na etapie kontaktu administratorów lub ich pracowników z potencjalnym klientem dane są pozyskiwane i przetwarzane przez nich jedynie w celu określenia potrzeby stopnia opłacalności zawarcia umowy z potencjalnym klientem oraz nawiązania z nim ponownie kontaktu i wyrażenia przez niego swojej woli, czy w ogóle jest zainteresowany zawarciem umowy. W toku kontroli administratorzy nie przedstawili dowodów na potwierdzenie faktu składania wobec nich przez potencjalnych klientów "żądań" podjęcia określonych działań na tym etapie przed zawarciem umowy.

W przedmiotowej sprawie nie może być też mowy o niezbędności przetwarzania danych potencjalnych klientów do ochrony ich żywotnych interesów lub innych osób fizycznych w sytuacji, gdy ci potencjalni klienci byliby fizycznie lub prawnie niezdolni do wyrażenia zgody - art. 6 ust. 1 lit. d) RODO. Omawiane przetwarzanie nie jest także niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorach - art. 6 ust. 1 lit. c) RODO; wykonania przez niego zadania realizowanego w interesie publicznym lub w ramach sprawowania powierzonej mu władzy publicznej - art. 6 ust. 1 lit. e) RODO; ani do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratorów lub przez stronę trzecią - art. 6 ust. 1 lit. f) RODO.

Należy także mieć na względzie prawa i wolności osób, których dane mają być przetwarzane i ich ewentualną priorytetowość w stosunku do celów administratorów. Dlatego każdy administrator powinien przeprowadzić tzw. test równowagi w celu uzyskania bilansu ważenia ww. dóbr leżących zarówno po stronie podmiotu danych, jak i administratorów. Jeżeli w rezultacie takiego testu okaże się, że cel określony przez danych administratorów można osiągnąć w inny sposób aniżeli poprzez przetwarzanie danych osobowych w określony sposób i w określonym zakresie, a szczególnie gdy narusza ono prawa lub wolności podmiotu danych, należy uznać, że

administrator nie ma podstaw do przetwarzania danych na podstawie art. 6 ust. 1 lit. f) RODO.

W niniejszej sprawie wspólnicy pozyskują i przetwarzają dane potencjalnych klientów w celu utrzymywania z nimi kontaktów dla uzyskania deklaracji odnośnie zawarcia umowy o świadczenie usług, szacując w tym czasie stopień ryzyka gospodarczego. Nie sposób uznać, że uzyskanie tego celu (jakim jest zawarcie umowy) wymaga pozyskania danych osobowych potencjalnych klientów, a zwłaszcza danych dotyczących zdrowia. Prawidłowo wskazał organ, iż tego rodzaju cel administratorzy byliby w stanie osiągnąć np. poprzez zostawienie potencjalnemu klientowi stosownej ulotki informującej o jego usługach i możliwości zawarcia umowy.

Należy zgodzić się z PUODO, że przetwarzanie danych potencjalnych klientów przez administratorów jest nieproporcjonalne do pożądanego rezultatu, który chcą oni osiągnąć i nie jest do tego celu niezbędne. Stan "niezbędności" zaistniałby wówczas, gdyby bez przetwarzania danych potencjalnych klientów, wspólnicy nie byliby w stanie doprowadzić do zawarcia umowy.

Tym bardziej w okolicznościach rozpoznawanej sprawy nie można mówić o uprawnionym przetwarzaniu tzw. danych wrażliwych. Wprawdzie działalność administratorów wiąże się z ustalaniem na rzecz klientów, dochodzeniem i obroną roszczeń, jednakże charakter relacji pomiędzy potencjalnymi klientami a wspólnikami nie upoważnia tych ostatnich do przetwarzania danych o zdrowiu bez uzyskania na to wyraźnej zgody.

Jeżeli potencjalny klient podejmuje rozmowę z administratorami lub ich pracowwnikami jedynie dla celów nawiązania ewentualnej współpracy i przedłożenia wstępnej oferty, to nie ma przesłanek do pozyskania, a następnie nawet krótkotrwałego przetwarzania, danych potencjalnego klienta bez jego zgody. Uzyskanie jej jest z jednej strony konieczne z uwagi na cel przetwarzania danych, a z drugiej strony możliwe bez konieczności ponoszenia większych nakładów i - co najistotniejsze - bez naruszenia jakichkolwiek interesów potencjalnego klienta związanych z możliwością dochodzenia roszczeń.

Jak podali wspólnicy w wyjaśnieniach pozyskanych w trakcie kontroli, dane potencjalnego klienta są przechowywane w formie elektronicznej (np. wiadomościach e-mail) lub w formie papierowej do momentu odbycia z nim spotkania i podjęcia przez niego decyzji co do nawiązania współpracy i zawarcia umowy o świadczenie usług. W przypadku rezygnacji potencjalnego klienta z zawarcia umowy, dane osobowe takiego klienta są przechowywane w ww. formach maksymalnie do 5 - 7 dni. Zatem pozyskiwanie i przetwarzanie danych potencjalnych klientów przed zawarciem umowy ma służyć jedynie umożliwieniu im zapoznania się z ofertą oraz podjęcia decyzji co do nawiązania współpracy z administratorami.

Taki sposób działania administratorów nie mógł zostać inaczej oceniony przez PUODO jak naruszający art. 6 ust. 1 oraz art. 9 ust. 1 i ust. 2 RODO. Niewątpliwie wspólnicy, pozyskując od potencjalnych klientów – obok tzw. danych zwykłych – także dane o stanie zdrowia, zobowiązani byli uzyskać wyraźną zgodę na przetwarzanie ich danych osobowych. Tymczasem pozyskiwano wyłącznie ustne zgody, a nadto w żaden sposób ich nie odnotowywano / nie rejestrowano, np. w formie nagrań dźwiękowych bądź spisów (rejestrów) wyrażonych zgód i osób, które je wyraziły.

Stosownie do treści art. 4 pkt 11 RODO, "zgoda" osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Prawidłowo uznał organ, iż w przypadku pozyskiwania danych osobowych potencjalnych klientów przez administratorów, brak jest jednoznacznego dowodu na wyrażenie przez tych klientów zgody na przetwarzanie ich danych nie tylko w formie niebudzącego wątpliwości oświadczenia, ale i wyraźnego działania. Zgromadzony materiał dowodowy jednoznacznie wskazuje, że wspólnicy, przy okazji pozyskania danych osobowych potencjalnych klientów, ograniczali się do odebrania ustnego oświadczenia. W relacji biznesowej zaistniałej pomiędzy wspólnikami a ich potencjalnymi klientami na etapie złożenia tym ostatnim wstępnych założeń oferty próżno szukać wyraźnych działań potencjalnych klientów, które potwierdzałyby wyrażenie przez nich zgody na przetwarzanie danych osobowych. Także telefoniczne zgłaszanie się potencjalnych klientów z własnej inicjatywy nie jest równoznaczne z taką zgodą.

W kwestii wyrażenia zgody na przetwarzanie tzw. danych zwykłych wypowiedziała się Grupa Robocza Art. 29 (tj. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowiona w art. 29 dyrektywy 95/46/WE) w dokumencie pt. "Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679" (WP259 rev. 01), akcentując, że w art. 7 ust. 1 RODO przewidziano wyraźny obowiązek wykazania przez administratora, iż osoba, której dane dotyczą, wyraziła ważną zgodę na ich przetwarzanie. Zatem ciężar dowodu spoczywa na administratorze. Powołując się na motyw 42 RODO, Grupa Robocza Art. 29 podkreśliła, że jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, iż osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania, przy czym w RODO nie określono dokładnie, w jaki sposób należy to uczynić. Jednak dopóki dane są przetwarzane, dopóty istnieje obowiązek wykazania prawidłowo wyrażonej zgody. Jak podano w ww. "Wytycznych (...)", np. administrator może prowadzić rejestr uzyskanych oświadczeń o wyrażeniu zgody, tak aby mógł wykazać, w jaki sposób i kiedy uzyskano zgodę oraz jakie informacje przekazano osobie, której dane dotyczą, w momencie uzyskania zgody. Administrator bowiem musi być również w stanie wykazać, że osoba, której dane dotyczą, została poinformowana, a zastosowana przez niego procedura spełniała wszystkie właściwe kryteria uzyskania ważnej zgody. Argumentem za takim wymogiem w przepisach RODO jest fakt, iż to administrator jest odpowiedzialny za uzyskanie ważnej zgody od osób, które dane dotyczą, jak też wdrożone mechanizmy zgody.

Z kolei Europejska Rada Ochrony Danych (dalej: "EROD") w "Wytycznych 05/2020 dotyczących zgody na mocy rozporządzenia 2016/679" zwróciła uwagę, że w świetle art. 4 pkt 11 RODO ważna zgoda wymaga "jednoznacznego'" okazania woli w formie "oświadczenia lub wyraźnej działania potwierdzającego", aprobując jednocześnie "Wytyczne (...)" Grupy Roboczej Art. 29. "Wyraźne działanie potwierdzające" oznacza, iż osoba, której dane dotyczą, musiała podjąć celowe działanie, aby wyrazić zgodę na określone przetwarzanie. Motyw 32 RODO zawiera dodatkowe wskazówki w tym zakresie. Zgodę można uzyskać w formie pisemnego lub (zarejestrowanego) ustnego oświadczenia, w tym drogą elektroniczną. Wedle EROD, być może najbardziej dosłownym sposobem spełnienia kryterium "pisemnego oświadczenia" jest zapewnienie, by osoba, której dane dotyczą, wysłała pismo lub wiadomość e-mail do administratora, wyjaśniając, na co dokładnie się zgadza. Z "Wytycznych (...)" EROD wynika, iż oświadczenia pisemne mogą przybierać różne formy i rozmiary; istotne jest, aby stanowiły aktywne wskazanie wyboru.

W odniesieniu do wymagań dotyczących uzyskania wyraźnej zgody w przypadku przetwarzania danych szczególnych, o których mowa w art. 9 ust. 1 RODO, w ww. "Wytycznych (...)" EROD wskazała: "Termin >>wyraźna<< odnosi się do sposobu wyrażenia zgody przez osobę, której dane dotyczą. Oznacza to, że osoba, której dane dotyczą, musi złożyć w sposób wyraźny oświadczenie o wyrażeniu zgody. Oczywistym sposobem zapewnienia, aby zgoda była wyraźna, byłoby jej wyraźne potwierdzenie w pisemnym oświadczeniu. W stosownych przypadkach administrator mógłby zapewnić podpisanie pisemnego oświadczenia przez osobę, której dane dotyczą, aby rozwiać wszelkie możliwe wątpliwości i zapobiec możliwemu brakowi dowodów w przyszłości. Takie podpisane oświadczenie nie jest jednak jedynym sposobem uzyskania wyraźnej zgody i nie można stwierdzić, iż w RODO przewidziano obowiązek uzyskania pisemnych i podpisanych oświadczeń we wszystkich okolicznościach, w których wymagane jest uzyskanie ważnej wyraźnej zgody. Na przykład w kontekście cyfrowym lub online osoba, której dane dotyczą, może być w stanie złożyć wymagane oświadczenie przez wypełnienie formularza elektronicznego, wysłanie wiadomości email, przesłanie zeskanowanego dokumentu opatrzonego podpisem osoby, której dane dotyczą, lub złożenie podpisu elektronicznego. W teorii wykorzystanie oświadczeń ustnych również może zostać uznane za wystarczająco wyraźny sposób uzyskania ważnej wyraźnej zgody, jednak administratorowi może być trudno udowodnić, że spełniono wszystkie przesłanki ważnej wyraźnej zgody w chwili, gdy przyjmowano oświadczenie''.

Treść przywołanych "Wytycznych (...)" tak Grupy Roboczej Art. 29, jak i EROD prowadzi do wniosku, że samo ustne oświadczenie jako forma zgody na przetwarzanie danych, a zwłaszcza tzw. danych wrażliwych - bez podjęcia dodatkowych działań dla celów dowodowych - w zasadzie uniemożliwia wykazanie jednoznaczności, wyraźności oraz ważności tak wyrażonej zgody.

W konsekwencji nie sposób zakwestionować konkluzji PUODO, iż ustna forma byłaby akceptowalna (tj. wystarczająca) w przypadku tzw. danych zwykłych, o ile w ślad za nią podążałyby inne, dodatkowe działania administratora, np. polegające na sporządzeniu stosownego rejestru zgód lub rejestrowaniu dźwiękowym rozmów z osobami, których dane dotyczą. Natomiast nie budzi wątpliwości brak takich działań wspólników na gruncie przedmiotowej sprawy. Pozyskiwanie, a następnie dalsze, kilkudniowe (od 5 do 7 dni) przetwarzanie danych osobowych, w tym danych o stanie zdrowia, potencjalnych klientów odbywało się bez podstawy prawnej, co stanowi naruszenie art. 6 ust. 1 oraz art. 9 ust. 1 w związku z art. 9 ust. 2 RODO.

Nie można też podważyć zasadności sankcji nałożonych na administratorów za stwierdzone uchybienia w procesie przetwarzania danych osobowych – poza instrumentem naprawczym w postaci dostosowania operacji przetwarzania do przepisów RODO poprzez zaprzestanie przetwarzania danych bez uzyskania zgód przewidzianych przepisami art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO, organ wymierzył solidarnie skarżącym oraz uczestnikowi postępowania administracyjną karę pieniężną w kwocie 45 697 zł stanowiącą równowartość 10.000 euro.

Zdaniem tutejszego Sądu, zastosowana kara pieniężna jest adekwatna do wagi i czasu trwania naruszenia (trwa ono co najmniej od 15 maja 2018 r., tj. od daty wejścia w życie RODO), a także ze względu na brak dostatecznej współpracy administratorów z PUODO (co zresztą skutkowało koniecznością przeprowadzenia kontroli w spółce). Wreszcie kara ta jest proporcjonalna do sytuacji finansowej wspólników i nie będzie dla nich nadmiernym obciążeniem. Stanowi ona z jednej strony ok. 1,18% przychodów osiągniętych przez administratorów w okresie, za który przedstawili dane finansowe, zaś z drugiej strony - ok. 0,05% maksymalnej wysokości kary, którą PUODO mógł – w myśl art. 83 ust. 5 RODO - nałożyć za stwierdzone w niniejszej sprawie naruszenie (maksymalny próg to 20.000.000 euro).

Kara też spełnia funkcję prewencyjną – ma zapobiec naruszeniom w przyszłości oraz wymusić na administratorach przykładanie większej wagi do realizacji ich zadań w aspekcie przetwarzania danych osobowych, w tym danych szczególnych.

Podsumowując, kontrola zaskarżonej decyzji nie dała podstaw do stwierdzenia, iż została ona wydana z naruszeniem przepisów postępowania lub przepisów prawa materialnego. Brak jest podstaw do uznania, że w postępowaniu zakończonym jej wydaniem nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy. Obszerne uzasadnienie zaskarżonej decyzji zawiera wskazanie istotnych dla rozstrzygnięcia sprawy faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz wyjaśnienie podstawy prawnej decyzji.

Mając na uwadze ba przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.) oddalił skargę.