RODO a windykacja: Jak chronić dane dłużnika i odzyskiwać należności?
Kwestie związane z RODO (Rozporządzeniem o Ochronie Danych Osobowych) w dalszym ciągu nastręczają wielu problemów i wątpliwości podczas próby ich zastosowania w konkretnych sytuacjach. Jednym z takich przypadków są kwestie związane z odzyskiwaniem zadłużenia. W 2016 roku Parlament Europejski zobowiązał wszystkie kraje członkowskie UE do wdrożenia rozporządzenia o ochronie danych osobowych, w skrócie RODO. Przede wszystkim spowodowało konieczność nowelizacji ustawy o ochronie danych osobowych z 1997 roku, która została zastąpiona nową ustawą z dnia 10 maja 2018 roku. Rolę Generalnego Inspektora Danych Osobowych przejął Urząd Ochrony Danych Osobowych (w skrócie: UODO) na czele z Prezesem tegoż Urzędu (PUODO). Wszystkie polskie przedsiębiorstwa, także te, które świadczą usługi windykacyjne, musiały dostosować swoją politykę do przepisów RODO.
Warto na początek ustalić, czym tak naprawdę są dane osobowe. Są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Osoba musi żyć, bo przepisów o ochronie danych osobowych nie stosujemy do zmarłych. Nawet cząstkowe informacje, które w połączeniu z innymi informacjami mogą prowadzić do zidentyfikowania danej osoby fizycznej, także zostaną uznane za dane osobowe. Na przykład informacje o noszeniu okularów i przebywaniu w danym pomieszczeniu mogą stanowić dane osobowe, ponieważ informacje te mogą wspólnie pozwolić na identyfikację tej osoby, w sytuacji gdy inne osoby przebywające w tym pomieszczeniu nie noszą okularów. Dlatego nie używamy pojęcia „dana osobowa” w liczbie pojedynczej, lecz „dane osobowe” w liczbie mnogiej na podkreślenie zestawu połączonych ze sobą informacji. W związku z tym, że przepisy dotyczą ochrony danych osobowych osób fizycznych, RODO stosuje się także w windykacji do ochrony danych osobowych dłużników będących osobami fizycznymi.
Często pojawia się pytanie: czy można przetwarzać dane osobowe dłużnika do celów windykacji. Odpowiedź skrócona: TAK - można. Zgodnie z RODO, przesłanką do tego, by przetwarzać czyjeś dane osobowe są „prawnie uzasadnione interesy”. Jeżeli celem jest dochodzenie roszczenia (czyli odzyskanie długów) to wierzyciel może przetwarzać dane dłużnika - również wtedy, gdy nie uzyskał na to jego zgody. Podstawą prawną przetwarzania danych osobowych naszych kontrahentów jest art. 6 ust 1 lit b RODO, ponieważ przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą. Gdy pojawia się zaległość, wówczas dane osobowe naszego kontrahenta, który staje się dłużnikiem, będą przetwarzane na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora). Podstawą prawną przetwarzania może być prawnie uzasadniony interes wierzyciela, o ile w świetle powiązania z dłużnikiem nadrzędne nie są jego interesy lub podstawowe prawa i jego wolności. Zgodnie z motywem 47 RODO taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem - na przykład, gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. W każdym przypadku należy przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. W analizowanym przypadku dłużnik popadając w zwłokę musi spodziewać się, że wierzyciel podejmie działania w celu odzyskania swoich należności.
Przetwarzanie danych w tym celu nie wymaga zgody osoby, której dane dotyczą. Zgoda dłużnika jako podstawa przetwarzania danych osobowych nie jest więc potrzebna. W praktyce najpewniej żaden dłużnik nie wyraziłby zgody wierzycielowi na przetwarzanie jego danych osobowych w celu ściągnięcia długu. Nierzadko zdarzały się sytuacje po wejściu w życie przepisów RODO, że dłużnicy powołując się na ochronę danych osobowych informowali wierzyciela, że nie wyrażają zgody na przetwarzanie swoich danych osobowych lub korzystają z prawa do tzw. bycia zapomnianym i żądają zaprzestania windykacji. Uznać również należy, że dłużnikowi nie przysługuje sprzeciw wobec przetwarzania jego danych osobowych, o którym mowa w np. 21 ust. 1 RODO. „Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na np. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Dłużnik może powołując się na swoją szczególną sytuację złożyć sprzeciw wobec przetwarzania jego danych osobowych i wierzycielowi jako administratorowi co do zasady nie będzie wolno przetwarzać danych dłużnika. Przytoczony powyżej przepis, pozwala jednak wierzycielowi na dalsze przetwarzanie danych dłużnika, o ile wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. A za taką podstawę uprawniającą wierzyciela jako administratora do przetwarzania danych dłużnika, uznać należy prowadzenie windykacji celem wyegzekwowania długu. Podkreślić w tym miejscu należy, że przepisy RODO mają za zadanie chronić dane osobowe, a nie działania niesolidnych dłużników. Dłużnik nie może wykorzystać RODO jako furtki do uniknięcia odpowiedzialności za zobowiązanie.
Wierzyciel po odzyskaniu długu (osiągnięciu swojego celu) powinien zaprzestać przetwarzania danych w tym celu, jednakże część danych mu pozostanie np. ze względu na obowiązki rachunkowe. Zgodnie z przepisami ustawy o rachunkowości, dokumentacja finansowa musi być przechowywana przez okres 5 lat, co może obejmować także niektóre informacje dotyczące dłużników a w szczególności w sytuacji sprzedaży wierzytelności.
Windykacja to słowo, którego obawiają się niesolidni dłużnicy. Celem windykacji jest rozpoczęcie procedury odzyskiwania należności. Musimy pamiętać, że wierzyciel i windykator to niekoniecznie ta sama osoba. Wierzyciel to podmiot (może to być zarówno osoba fizyczna, ale i firma np. bank udzielający pożyczek), która ma prawo żądania od innej osoby, czyli właśnie od dłużnika, spełnienia jakiegoś roszczenia. Windykator zaś to podmiot zajmujący się windykacją, czyli odzyskiwaniem należności, ściąganiem długów. Windykatorem może być wierzyciel, ale niekoniecznie tak być musi. Do przeprowadzenia skutecznej windykacji konieczne jest operowanie w pewnym zakresie danymi osobowymi. Żeby dobrze zrozumieć zakres ochrony danych osobowych, należy przede wszystkim wiedzieć jakiego rodzaju są to dane. Firma windykacyjna będzie operować tymi danymi, tak aby mieć pewność, że procesowi windykacji podlega odpowiednia osoba. Danymi osobowymi określić możemy wszelkie informacje, które odnoszą się do żyjącej osoby fizycznej i umożliwiają jej identyfikację. Na przykład - samo imię nie będzie jeszcze daną osobową (chyba, że nosi je zaledwie jedna osoba na świecie), ale imię w zestawieniu z nazwiskiem - owszem. Windykator ma obowiązek ustalić dane dłużnika, informacje dotyczące zadłużenia. Oczywiście opiera się na informacjach udzielonych mu przez wierzyciela, ale nie może z nich czynić podstawy - do spraw takich jak na przykład windykacja faktur lub sprzedaż wierzytelności konieczna będzie też odpowiednia dokumentacja. Żeby windykator mógł ustalić harmonogram spłat, konieczne jest określenie wysokości roszczeń wraz z kosztami windykacji. Musi też on zweryfikować stan majątku dłużnika, przyczynę niespłacania przez niego długów. Żeby przeanalizować te informacje, konieczne jest dostęp do pewnego zakresu danych osobowych. Na pytanie - czy windykator ma prawo przetwarzać dane osobowe dłużnika na cele windykacji odpowiedzieć należy twierdząco. Istotna jest jednak podstawa prawna. W tym wypadku dopuszczalność przetwarzania danych uzasadniona jest realizacją prawnie uzasadnionych interesów wierzyciela.
Firma windykacyjna może przetwarzać dane osobowe dłużnika bez jego zgody, ponieważ jest to zgodne z prawnie uzasadnionym interesem wierzyciela w dochodzeniu roszczeń. Jakie dane osobowe są przetwarzane w procesie windykacji? W procesie windykacji przetwarzane są dane osobowe, które umożliwiają identyfikację dłużnika, takie jak imię, nazwisko, adres zamieszkania, PESEL, dane kontaktowe oraz informacje dotyczące zadłużenia. Firma zlecająca windykację innemu podmiotowi musi zadbać o podpisanie umowy powierzenia danych osobowych. Wierzyciel, który korzysta z pomocy kancelarii prawnej, nie musi zawierać z nią umowy powierzenia danych osobowych. Mimo, że w praktyce świadczenie pomocy prawnej wiąże się z udostępnieniem danych osobowych dłużnika, kancelaria występuje w roli odrębnego administratora. Analogicznie w przypadku kancelarii komorniczych. Komornik staje się odrębnym administratorem danych osobowych. W konsekwencji kancelaria prawna / komornicza odpowiada za bezpieczeństwo przetwarzania danych. Inaczej jest w przypadku firmy windykacyjnej, która nie działa w swoim imieniu, lecz na rzecz wierzyciela. Nie przejmuje długu w wyniku cesji, zatem konieczne jest zawarcie z nią umowy powierzenia zgodnie z art. 28 RODO.
Giełdy wierzytelności, zwane też giełdami długów, to miejsca w sieci, gdzie można kupić lub sprzedać dług. Oferty sprzedaży, poza ceną kupna, zawierają dane osobowe dłużnika, kwotę długu i jego pochodzenie (faktura, umowa cywilnoprawna itd.). Wierzyciel może zamieścić na giełdzie wierzytelności wszystkie te informacje całkowicie legalnie, powołując się na prawnie usprawiedliwiony interes. W przypadku osób fizycznych - imię, nazwisko, miasto zamieszkania i kod pocztowy. Warto też pamiętać, że za poprawność danych, które są publikowane w takim serwisie odpowiada przedsiębiorca, który je tam zamieszcza. Dłużnik może zakwestionować poprawność swoich danych.
Według danych największych biur informacji gospodarczej w Polsce jest około 2,8 miliona dłużników, którzy zalegają z zapłatą swoich zobowiązań - głównie z tytułu różnych faktur i rachunków. Biuro Informacji Gospodarczej InfoMonitor S.A. w raporcie Rekordowy wzrost zadłużenia Polaków. Inflacja bardziej zaszkodziła Polsce Wschodniej przedstawia tendencję wzrostową w zadłużeniach Polaków i pokazuje, jakie obszary kraju posiadają największą ilość osób zadłużonych. Nadal najwięcej niesolidnych dłużników i najwyższa wartość zadłużenia przypada na Mazowsze i Śląsk, które skupiają ponad jedną czwartą mieszkańców kraju. W woj. mazowieckim i śląskim mieszka blisko jedna czwarta notowanych BIG InfoMoniotor i BIK niesolidnych dłużników. Mają oni niemal jedną trzecią wszystkich zaległości.
Zgodnie z zasadą „minimalizacji danych” -, udostępniać można tylko te dane, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne jest do celów, w których są przetwarzane. Firma windykacyjna może wtedy wykorzystać dane osobowe wyłącznie w określonych celach, które zostały zapisane w umowie powierzenia. Firmy takie po porozumieniu się z administratorem zostają także zobowiązane do reagowania na wnioski dłużników np. dotyczące dostępu do danych. Wierzyciel powinien przewidzieć mechanizmy umożliwiające regularne aktualizowanie i weryfikację przetwarzanych danych, aby zapewnić, że przetwarza prawidłowe dane osobowe dłużnika. Utrzymanie prawidłowych danych osobowych dłużnika, może nastąpić w wyniku współpracy wierzyciela z firmami detektywistycznych lub detektywem, który ustala miejsce pobytu dłużnika, jego aktualne dane kontaktowe czy też aktualne dane identyfikacyjne. Należy podkreślić, że w relacjach z firmą detektywistyczną czy detektywem w zakresie podejmowanych działań, o których mowa w art. 2. ustęp 1 Ustawy z dnia 6 lipca 2001 r. o usługach detektywistycznych, firma detektywistyczna/detektyw jest odrębnym administratorem danych osobowych realizującym własny cel przetwarzania danych osobowych. Alternatywą firm detektywistycznych są firmy wzbogacające, ustalające dane osobowe dłużników na zlecenie wierzyciela. Firmy te prowadzą działalność gospodarczą polegającą na wykorzystywaniu własnych lub wynajmowanych baz danych osobowych i działają jako podmioty realizujące cel wierzyciela, dlatego też w tej relacji niezbędne będzie zawarcie umowy powierzenia przetwarzania danych, o której mowa w art. 28 RODO.
Każdy podmiot posiadający uzasadnioną podstawę prawną do żądania ujawnienia danych osobowych, może wnioskować o ich ujawnienie z rejestru PESEL. Wierzyciel jako osoba posiadająca takie uprawnienie została wprost wskazana na stronie internetowej Ministerstwa Spraw Wewnętrznych i Administracji. Wniosek można złożyć przez Internet w gminie lub listownie. Ministerstwo udostępnia dane osobowe po weryfikacji wniosku i podstawy prawnej żądania ujawnienia danych osobowych dłużnika.
Rozporządzenie o Ochronie Danych Osobowych - RODO przewiduje prawo do bycia zapomnianym. Zgodnie z tymi przepisami podmiot, którego dane są przetwarzane może zgłosić wniosek o usunięcie danych przez podmiot, który zajmuje się publikacją danych osobowych. Warto jednak wiedzieć, że powołanie się na te przepisy przez dłużnika będzie bezskuteczne, ponieważ ich stosowanie jest wyłączone w odniesieniu do dochodzenia roszczeń od dłużnika. Zgodnie z art. 17 RODO, prawo do usunięcia danych (prawo do bycia zapomnianym) nie ma zastosowania, jeżeli ich przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego, któremu podlega administrator oraz dochodzenia roszczeń. Dopiero spłata zobowiązań jest podstawą do wykreślenia dłużnika zgłoszonego do biura informacji gospodarczej.
Dłużnik, który nie spłacił swoich zobowiązań nie może żądać wykreślenia go z rejestru, ale ma prawo wnieść sprzeciw wobec nieprawdziwości lub niekompletności swoich danych. Jeśli dane na temat wierzytelności są nieaktualne, należy przesłać dokument potwierdzający spłatę długu. BIG InfoMonitor podaje, że informacja w pierwszym wezwaniu do zapłaty o zamiarze umieszczenia danych dłużnika w rejestrze dłużników jest całkiem skuteczna. 40% dłużników spłaca swoje należności po otrzymaniu takiego pisma. W drugim etapie płacą ci, którzy zostali wpisani do rejestru. Taka kara mobilizuje kolejnych 35% dłużników.
Wierzyciel musi zapewnić, że dostęp do danych osobowych dłużnika otrzymają wyłącznie osoby upoważnione do przetwarzania danych osobowych lub podmioty działająca w jego imieniu na podstawie art. 28 RODO. Dodatkowo dla zabezpieczenia danych dłużników przed nieautoryzowanym dostępem, wierzyciel powinna wdrożyć odpowiednie zabezpieczenia. Mogą to być np. systemy do zarządzania dostępem do danych, gdzie jedynie uprawnione osoby mają możliwość wglądu i edycji informacji dotyczących dłużników, szyfrowane bazy danych, monitorowanie dostępu do informacji czy regularne szkolenia dla pracowników w zakresie ochrony danych. Art. 32 RODO wymaga od administratorów danych stosowania środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa. Jednym z zalecanych środków ochrony jest stosowanie pseudonimizacji i szyfrowania danych. Praktyki windykacyjne powinny obejmować szczegółowe zasady kontroli dostępu do danych osobowych. Oznacza to, że dostęp do danych powinien być przyznany jedynie tym pracownikom, którzy faktycznie są zaangażowani w proces dochodzenia roszczeń. Wierzyciel powinien regularnie poddawać proces przetwarzania danych pod kontrolę, ocenę i skuteczności wdrożonych środków ochrony danych. W tym celu należy przewidzieć cykliczne audyty wewnętrzne, które sprawdzą, czy dane są odpowiednio chronione.
Dobre praktyki windykacyjne, opracowane przez Związek Przedsiębiorstw Finansowych w Polsce (ZPF), nie są wprawdzie bezpośrednio wiążące prawnie, ale stanowią standard, który podmioty na rynku finansowym powinny stosować, aby zapewnić zgodność z przepisami prawa oraz etyczne podejście do dłużników. Zgodnie z wytycznymi ZPF w procesie windykacyjnym Wierzyciel powinien prowadzić działania zgodnie z poszanowaniem godności dłużników. Oznacza to unikanie agresywnych, nachalnych lub poniżających metod dochodzenia należności. Wierzyciel powinien w sposób jasny informować dłużnika o wszelkich dochodzonych należnościach, dodatkowych kosztach związanych z procesem windykacyjnym, np. odsetkach za zwłokę czy kosztach postępowania sądowego, egzekucyjnego. Kodeks dobrych praktyk ZPF zaleca, aby przed podjęciem kroków prawnych, dążyły do polubownego rozwiązania sprawy.
Ważnym aspektem dochodzenia spłaty zadłużenia poza standardowym postępowaniem sądownym i egzekucyjnym jest udostępnienie danych dłużnika do rejestrów Biur Informacji Gospodarczych. Wpisanie dłużnika do Biura Informacji Gospodarczej (BIG), musi spełniać określone wymogi formalne i proceduralne, w tym odpowiednie terminy oraz komunikację z dłużnikiem. Aby wierzyciel mógł wpisać dłużnika do Biura Informacji Gospodarczej, musi posiadać podstawę prawną do przekazania danych. Może to być zobowiązanie wynikające z umowy cywilnoprawnej, faktury, umowy kredytowej lub innego tytułu prawnego, który potwierdza istnienie długu. Zadłużenie musi być przeterminowane co najmniej o 30 dni. Zanim wierzyciel wpisze dłużnika do BIG, musi podjąć próbę polubownego rozwiązania sprawy poprzez wezwanie dłużnika do zapłaty. Zgodnie z ustawą o udostępnianiu informacji gospodarczych, przed dokonaniem wpisu wierzyciel ma obowiązek przesłać dłużnikowi wezwanie do zapłaty z informacją o zamiarze przekazania danych do BIG. Wezwanie to musi spełniać kilka warunków formalnych, które zostały określone w ustawie. Wezwanie do zapłaty jest jednym z kluczowych wymogów, ponieważ nie można wpisać dłużnika do BIG bez uprzedniego poinformowania go o planowanym wpisie i umożliwienie mu spłaty zadłużenia jeszcze przed wpisem. Wierzyciel, zgłaszając dłużnika do BIG, musi przekazać zestaw danych wymaganych przez ustawę. Ustawa wymusza na Wierzycielu obowiązek aktualizacji wpisu. Jeżeli dłużnik spłaci swoje zobowiązanie, wierzyciel ma obowiązek niezwłocznie poinformować BIG o spłacie długu, aby dane dłużnika zostały zaktualizowane lub usunięte z rejestru. Ustawowo wierzyciel musi dokonać tego w ciągu 14 dni od momentu spłaty. Ponadto Wierzyciel ma obowiązek regularnie weryfikować wpisane do BIG dane.
Jakie są 7 zasad RODO?
Komornicy sądowi przetwarzają dane osobowe dłużników w ramach prowadzonych postępowań egzekucyjnych na podstawie Kodeksu postępowania cywilnego oraz ustawy o komornikach sądowych. Podstawę prawną legalności przetwarzania danych osobowych dłużników przez firmy windykacyjne znajdziemy w ogólnym rozporządzeniu o ochronie danych osobowych (RODO), w artykule 6 „Zgodność przetwarzania z prawem”. W punkcie f czytamy, że przetwarzanie jest zgodne z prawem, jeśli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W przypadku dochodzenia roszczeń przez wierzycieli, firmy windykacyjne oraz komorników sądowych przesłanką dopuszczalności przetwarzania danych osobowych dłużników jest właśnie realizacja prawnie uzasadnionych interesów administratora lub stron trzecich.
W piśmie wzywającym do zapłaty powinna również poinformować dłużnika, jaka jest podstawa prawna i cel przetwarzania jego danych osobowych. Ale to nie wszystko. W takim piśmie powinna znaleźć się również informacja, że dłużnikowi przysługuje prawo poprawiania swoich danych i dostępu do nich. W tym przypadku zastosowanie ma artykuł 14 RODO określający, jakie informacje administrator musi podać osobie, której dane dotyczą, jeśli to nie od niej pozyskał te dane.
Wierzyciel, aby przetwarzać w procesie windykacji dane osobowe dłużnika, musi wykazać jedną z wyżej wymienionych przesłanek. W motywie 40 RODO zaznaczono to, że, aby przetwarzanie danych było zgodne z prawem, powinno opierać się na podstawie zgody osoby, której dane dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem. Należy pamiętać, że nie jest wykluczone występowanie w danym stanie faktycznym więcej niż jednej wskazanej powyżej przesłanki legalizacyjnej. Wybór przesłanki legalizacyjnej, na której będzie opierało się przetwarzanie danych osobowych, należy do administratora danych osobowych. Mówiąc najprościej do właściciela pozyskanych danych osobowych, czyli w naszej sytuacji do wierzyciela.
Dobre praktyki windykacyjne wskazują, że pierwsze wezwanie do zapłaty powinno zawierać klauzulę informacyjną. Klauzula powinna obejmować informację tj. nazwa i dane kontaktowe wierzyciela, dane kontaktowe inspektora ochrony danych (jeżeli został powołany), cel przetwarzania danych osobowych, podstawy prawne przetwarzania danych, zakres danych osobowych, które podlegają przetwarzaniu, przybliżony czas przetwarzania danych osobowych, kategorię odbiorców, przysługujące uprawnienia wynikające z RODO w tym prawo skargi do Prezesa Urzędu Ochrony Danych Osobowych. Mając określoną celowość tego przetwarzania oraz uzasadniony interes dochodzenia nieopłaconych wierzytelności, należy podjąć decyzję jaki zakres danych będzie niezbędny do realizacji celu i odzyskania należności. W tym zakresie należy przyjąć możliwą strategię postępowania z podziałem na postępowanie przedsądowe, postępowanie sądowe oraz postępowanie egzekucyjne, które będą wymagały przetwarzania danych w różnym zakresie. Wierzyciel powinien unikać nadmiernego gromadzenia danych osobowych dłużnika. Temat dłużników. Przetwarzanie dodatkowych informacji (np. ilości osób na utrzymaniu, otrzymywana kwota wynagrodzenia, zajęcia komornicze, informacja o stanie zdrowia dłużnika czy rodziny), które nie mają bezpośredniego związku z windykacją, może być uznane za naruszenie zasady minimalizacji.
W przypadku naruszenia przepisów RODO, wierzyciel może ponieść odpowiedzialność cywilną lub zostać ukarany karą finansową, dlatego też należy zachować ostrożność i dbałość o przetwarzanie danych osobowych dłużników w procesie windykacji.
Niewykonanie zobowiązań wynikających z RODO przez firmę windykacyjną lub inne przedsiębiorstwo może prowadzić do poważnych konsekwencji prawnych i finansowych. Zaliczamy do nich m.in.: Kary finansowe - organy nadzorujące ochronę danych osobowych mogą nałożyć na wierzyciela kary finansowe za naruszenie przepisów, a ich wysokość zależy od rodzaju naruszenia. Prezes Urzędu Ochrony Danych Osobowych (UODO) może nałożyć karę w wysokości nawet 20 mln euro lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Za mniej poważne naruszenia grozi kara do 10 mln euro lub 2% obrotu. Odpowiedzialność cywilna - osoby, których dane osobowe zostały naruszone, mają prawo dochodzić odszkodowania bezpośrednio od wierzyciela. Może ono obejmować koszty poniesione na ochronę danych, straty poniesione w wyniku ich naruszenia, a także zadośćuczynienie moralne. Sankcje karno-prawne - w niektórych przypadkach naruszenie ochrony danych osobowych bywa karalne. Pracownicy firmy windykacyjnej lub członkowie kadry kierowniczej ponoszą wówczas odpowiedzialność karną za przetwarzanie danych niezgodne z przepisami, co może skutkować grzywną, ograniczeniem wolności lub pozbawieniem wolności do lat dwóch. Nakaz usunięcia błędów - prezes UODO ma również prawo nakazać firmie windykacyjnej przywrócenie stanu zgodnego z prawem, np. poprzez usunięcie uchybień lub wstrzymanie przetwarzania pewnych danych. Konsekwencje reputacyjne - naruszenie przepisów dotyczących ochrony danych osobowych może również negatywnie wpłynąć na reputację firmy windykacyjnej, a w efekcie na jej sytuację finansową.
tags: #dyrektywa #rodo #a #windykacja