In legibus magis simplicitas quam difficultas placet. (I.2.23.7)

W prawie podoba się bardziej prostota niż zawiłość.
Urząd ochrony danych osobowych (UODO) nałożył kary jednocześnie na administratora oraz procesora danych osobowych
2021-11-30

Po raz pierwszy za to samo przewinienie, to jest przetwarzanie danych osobowych bez podstawy prawnej, ukarane zostały dwa podmioty – administrator danych osobowych oraz podmiot przetwarzający działający na jego zlecenie. W przedmiotowej sprawie procesor - firma windykacyjna - miała kontaktować się z przedstawicielem dłużnika, celem odzyskania wierzytelności. W trakcie podejmowanych działań odnalazła ona jednak niewłaściwą osobą, którą nękała dzwoniąc do niej oraz wysyłając na jej adres e-mail wezwania do zapłaty. Osoba ta złożyła skargę do Prezesa UODO, który w wyniku przeprowadzonego postępowania nałożył karę upomnienia równocześnie na administratora oraz procesora. Tym samym po raz pierwszy za to samo naruszenie została nałożona kara na dwa podmioty.

Procesor tłumaczył, iż w jego przypadku podstawę przetwarzania danych osobowych stanowiła umowa, którą zawarł z administratorem. Zdaniem organu nadzorczego natomiast, dłużnikiem administratora był określony podmiot gospodarczy, a nie sama skarżąca, a związku z tym przetwarzanie jej danych osobowych było nieuprawnione. Ponadto stwierdzono, iż procesor naruszył również zasady rzetelności oraz prawidłowości przetwarzania tych danych (art. 5 ust. 1 lit. a i d RODO). Natomiast w uzasadnieniu nałożenia sankcji na administratora, organ stwierdził, iż to właśnie on jest administratorem danych osobowych, w imieniu i na rzecz którego działał procesor.

 

autor: adwokat Anna Kolesińska