RODO a windykacja: Jak przetwarzać dane osobowe dłużnika zgodnie z prawem

Wielu dłużników, chcąc uniknąć kontaktu z windykacją, powołuje się na przepisy RODO, ale czy rzeczywiście je one chronią? Rozporządzenie o Ochronie Danych Osobowych (RODO) dopuszcza przetwarzanie danych osobowych, uznając za przesłankę "prawnie uzasadniony cel". Dochodzenie roszczenia można w tym przypadku uznać za jej spełnienie.

Istnieją jednak pewne ograniczenia, zwłaszcza w kwestii upublicznienia danych dłużnika. Wierzyciel, który powierza odzyskanie zadłużenia firmie windykacyjnej na zasadzie zlecenia, powinien pamiętać o art. 28 RODO, który mówi o konieczności zawarcia umowy powierzenia przetwarzania danych osobowych. Po zawarciu takiej umowy i przekazaniu danych, firma windykacyjna staje się ich administratorem.

W przypadku powierzenia danych firmie windykacyjnej lub wpisania do rejestru dłużników, wycofanie zgody na przetwarzanie danych niczego nie zmieni. Prawo do bycia zapomnianym nie ma zastosowania wobec omawianej sytuacji.

Podstawa prawna przetwarzania danych w windykacji

Do przeprowadzenia skutecznej windykacji niezbędne jest posiadanie danych osobowych dłużnika. Przetwarza je nie tylko wierzyciel, ale również inne podmioty, za pomocą których dochodzi on wierzytelności, jak komornik czy firma windykacyjna. W konsekwencji pojawiają się wątpliwości co do podstawy przetwarzania danych oraz obowiązku informacyjnego wobec dłużnika.

Najczęściej dochodząc wierzytelności, korzysta się z usług firm windykacyjnych lub zleca się wszczęcie egzekucji komornikowi sądowemu. W obu przypadkach niezbędne jest przekazanie danych osobowych dłużnika. Jego zgoda nie jest wymagana.

Podstawą przetwarzania, jak wskazuje PUODO w decyzji, jest prawnie uzasadniony interes administratora. Jest on nadrzędny nad prawami i wolnościami dłużnika, ponieważ dochodzenie roszczeń nieproporcjonalnie ich nie ogranicza.

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba musi żyć, ponieważ przepisy o ochronie danych osobowych nie stosuje się do zmarłych. Nawet cząstkowe informacje, które w połączeniu z innymi mogą prowadzić do identyfikacji, również zostaną uznane za dane osobowe.

W związku z tym, że przepisy dotyczą ochrony danych osobowych osób fizycznych, RODO stosuje się także w windykacji do ochrony danych osobowych dłużników będących osobami fizycznymi.

Kogo poinformować o przetwarzaniu danych osobowych?

RODO wymaga, aby osoba, której dane są przetwarzane, została odpowiednio poinformowana o tym fakcie. W przypadku windykacji najczęściej nie jest wymagane uzyskanie zgody dłużnika na przetwarzanie jego danych osobowych, ponieważ przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora danych (firmy windykacyjnej lub wierzyciela).

Zgodnie z art. 13 i 14 RODO, osoby, których dane dotyczą, mają prawo do:

• otrzymania informacji o tym, kto i w jakim celu przetwarza ich dane,
• sprawdzenia informacji na temat okresu przechowywania danych osobowych,
• poprawienia, usunięcia lub ograniczenia przetwarzania danych,
• wniesienia sprzeciwu wobec przetwarzania danych osobowych.

W praktyce oznacza to, że każda osoba, której dane osobowe są wykorzystywane w procesie windykacyjnym, powinna być poinformowana o tym w sposób jasny i przejrzysty. Powinna też mieć możliwość skorzystania z praw przewidzianych w RODO, takich jak prawo dostępu do danych czy prawo do sprzeciwu.

Firma, która przetwarza dane, musi informować dłużników o tym, że ich dane będą przetwarzane w celu dochodzenia należności. W wiadomości nie ma pełnej informacji o tym, w jakim celu dane są przetwarzane, a także jakie prawa przysługują dłużnikowi na mocy RODO.

W takiej sytuacji firma nie musi prosić o zgodę na przetwarzanie danych, jeśli podstawą jest uzasadniony interes. Należy wysłać dłużnikowi kompletną informację o przetwarzaniu danych, zgodnie z wymogami RODO.

Z kim wierzyciel powinien zawrzeć umowę powierzenia danych osobowych?

Wierzyciel, który korzysta z pomocy kancelarii prawnej, nie musi zawierać z nią umowy powierzenia danych osobowych. Mimo że w praktyce świadczenie pomocy prawnej wiąże się z udostępnieniem danych osobowych dłużnika, kancelaria występuje w roli odrębnego administratora.

Analogicznie w przypadku kancelarii komorniczych. Komornik staje się odrębnym administratorem danych osobowych. W konsekwencji kancelaria prawna / komornicza odpowiada za bezpieczeństwo przetwarzania danych.

Inaczej jest w przypadku firmy windykacyjnej, która nie działa w swoim imieniu, lecz na rzecz wierzyciela. Nie przejmuje długu w wyniku cesji, zatem konieczne jest zawarcie z nią umowy powierzenia zgodnie z art. 28 RODO.

Wierzyciel zlecający windykację windykatorowi (kancelarii prawnej lub wyspecjalizowanej firmie) musi pamiętać o podpisaniu umowy powierzenia przetwarzania danych osobowych. Między wierzycielem a windykatorem będzie występowało powierzenie przetwarzania, a nie udostępnienie danych. Wierzyciel i windykator nie będą osobnymi administratorami danych osobowych dłużnika. Wierzyciel pozostanie administratorem danych, a windykator stanie się podmiotem przetwarzającym.

Cesja wierzytelności a RODO

Cesja polega na przeniesieniu wierzytelności przez wierzyciela (cedenta) na osobę trzecią (cesjonariusza). Wiąże się ona z uprawnieniem do przekazania cesjonariuszowi danych osobowych dłużnika, co umożliwi podjęcie działań. Dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym i nie wymaga zgody dłużnika.

Cesjonariusz staje się nowym administratorem danych osobowych, a podstawą przekazania danych jest umowa cesji. W umowie przelewu wierzytelności (cesji) powinny znaleźć się odnośniki do klauzuli informacyjnej, o której mowa w art. 13 i 14 RODO.

Wierzyciel, podczas sprzedaży portfeli wierzytelności do zewnętrznej firmy windykacyjnej lub kancelarii, może ujawnić tylko niektóre dane osobowe dłużnika. Zgodnie z zasadą minimalizacji danych, wierzyciel może podać tylko te informacje, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Informacje przekazane do wiadomości publicznej w celu sprzedaży wierzytelności nie mogą zbytnio ingerować w prywatność dłużnika, ale ich zakres musi być na tyle wystarczający, aby kupujący mógł podjąć racjonalną decyzję o przejęciu danej wierzytelności. W tym przypadku będą to: imię i nazwisko dłużnika, miejscowość z kodem pocztowym i ulica, ale bez wskazania numeru nieruchomości i numeru mieszkania.

Obowiązki informacyjne względem dłużnika

Administrator ma obowiązek zrealizowania obowiązku informacyjnego z art. 13 RODO względem dłużnika. Rekomenduje się, aby już w momencie zawarcia umowy z klientem, podmiot prywatny przekazywał mu klauzulę, która uwzględnia informacje o przetwarzaniu danych osobowych do celów ewentualnego dochodzenia roszczeń. Dzięki temu w momencie powstania zadłużenia, ADO nie będzie musiał aktualizować klauzuli. Klauzula powinna zawierać:

• cel przetwarzania;
• podstawę prawną (w przypadku podmiotu prywatnego - uzasadniony interes ADO, a w przypadku podmiotu publicznego - interes publiczny);
• spis potencjalnych odbiorców danych (np. firma windykacyjna);
• czas przechowywania danych.

Co zrobić w sytuacji, gdy nasza klauzula nie zawierała takich informacji? Wystarczy przesłać dłużnikowi zaktualizowaną klauzulę. Może zrobić to w naszym imieniu podmiot przetwarzający. Co istotne, autorem klauzuli nadal musi być ADO.

W wyniku przelewu wierzytelności powstaje nowy ADO. On również musi wywiązać się z obowiązku informacyjnego i zgodnie z art. 14 ust. 3 lit. a i b RODO ma na to miesiąc. Najlepiej przekazać klauzulę przy pierwszym kontakcie z dłużnikiem.

Jakie dane osobowe są przetwarzane w procesie windykacji?

W procesie windykacji przetwarzane są dane osobowe, które umożliwiają identyfikację dłużnika, takie jak imię, nazwisko, adres zamieszkania, PESEL, dane kontaktowe oraz informacje dotyczące zadłużenia. Firma windykacyjna będzie operować tymi danymi, tak aby mieć pewność, że procesowi windykacji podlega odpowiednia osoba.

Windykator ma obowiązek ustalić dane dłużnika, informacje dotyczące zadłużenia. Oczywiście opiera się na informacjach udzielonych mu przez wierzyciela, ale nie może z nich czynić podstawy - do spraw takich jak na przykład windykacja faktur lub sprzedaż wierzytelności konieczna będzie też odpowiednia dokumentacja.

Żeby windykator mógł ustalić harmonogram spłat, konieczne jest określenie wysokości roszczeń wraz z kosztami windykacji. Musi też on zweryfikować stan majątku dłużnika, przyczynę niespłacania przez niego długów. Żeby przeanalizować te informacje, konieczne jest dostęp do pewnego zakresu danych osobowych.

Na pytanie - czy windykator ma prawo przetwarzać dane osobowe dłużnika na cele windykacji - odpowiedzieć należy twierdząco. Istotna jest jednak podstawa prawna. W tym wypadku dopuszczalność przetwarzania danych uzasadniona jest realizacją prawnie uzasadnionych interesów wierzyciela.

Firma windykacyjna musi jasno określić, jakie dane są niezbędne do prowadzenia procesów windykacyjnych. Zgodnie z przepisami RODO przetwarzane powinny być tylko te informacje, które są rzeczywiście konieczne podczas realizacji działań operacyjnych. Oznacza to, że firma windykacyjna nie powinna zbierać ani przechowywać danych osobowych, które z perspektywy dochodzenia roszczeń nie są niezbędne.

Firma windykacyjna podczas procedury windykacyjnej gromadziła dane dłużnika, w tym informacje wykraczające poza to, co jest konieczne do dochodzenia roszczeń. Firma zbierała dane dotyczące zatrudnienia dłużnika, informacje o jego rodzinie oraz szczegóły związane z jego majątkiem, które nie są bezpośrednio związane z zaległą płatnością. Gromadzenie nadmiarowych informacji stanowi naruszenie tej zasady. W związku z tym zbieranie zbędnych danych może skutkować nałożeniem kar przez organ nadzorczy, ponieważ narusza to jedną z podstawowych zasad ochrony danych osobowych.

Firma windykacyjna powinna zbierać tylko niezbędne dane, które są wymagane do przeprowadzenia windykacji. Przykładowo, w przypadku przeterminowanej faktury wystarczy znać dane kontaktowe dłużnika, numer konta bankowego oraz wysokość zaległości. Firma powinna dokumentować, dlaczego te dane są niezbędne, i w razie potrzeby wykazać, że ich przetwarzanie jest proporcjonalne do celu, jakim jest odzyskanie należności.

Czy dłużnik może powołać się na prawo do bycia zapomnianym zgodnie z RODO?

Dłużnik nie może skorzystać z prawa do bycia zapomnianym w przypadku, gdy jego dane są przetwarzane w celu dochodzenia roszczeń. Prawo do bycia zapomnianym nie ma zastosowania wobec omawianej sytuacji.

Gdyby bowiem dłużnik skorzystał z prawa do bycia zapomnianym, uniemożliwiłoby to odzyskanie długu przez firmę windykacyjną. Przepisy RODO nie mogą służyć uchylaniu się od odpowiedzialności wobec drugiej strony.

Co jednak istotne, dłużnik mógłby powołać się na prawo do bycia zapomnianym w odniesieniu do danych, których przetwarzanie nie jest konieczne z punktu widzenia windykacji należności.

Osoba zadłużona co do zasady nie ma możliwości skutecznego żądania zaprzestania przetwarzania danych osobowych przez wierzyciela. Windykacja roszczeń stanowi bowiem prawnie uzasadniony interes wierzyciela (jako administratora danych), uprawniający go do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO.

Dłużnikowi nie przysługuje sprzeciw wobec przetwarzania jego danych osobowych, o którym mowa w art. 21 ust. 1 RODO. Dłużnik może powołując się na swoją szczególną sytuację złożyć sprzeciw wobec przetwarzania jego danych osobowych i wierzycielowi jako administratorowi co do zasady nie będzie wolno przetwarzać danych dłużnika. Przytoczony powyżej przepis pozwala jednak wierzycielowi na dalsze przetwarzanie danych dłużnika, o ile wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. A za taką podstawę uprawniającą wierzyciela jako administratora do przetwarzania danych dłużnika, uznać należy prowadzenie windykacji celem wyegzekwowania długu.

Bezpieczeństwo danych osobowych w procesie windykacji

Bezpieczeństwo danych osobowych jest istotnym aspektem w procesie windykacji, dlatego też firmy windykacyjne powinny dołożyć wszelkich starań, by dopełnić wymaganych prawem obowiązków. Istotne jest nie tylko ograniczenie zakresu przetwarzanych danych, lecz także skrócenie czasu trwania tego procesu.

Po zakończeniu procedury windykacyjnej (np. po spłacie długu) dane dłużnika należy usunąć lub zanonimizować. Firmy windykacyjne muszą jasno określić, jak długo dane dłużników będą przechowywane i poinformować ich o tym w momencie zebrania danych.

Informacje poufne znajdujące się w firmowych systemach muszą być właściwie zabezpieczone. Mowa zarówno o zabezpieczeniu ich przed cyberprzestępcami, jak i pracownikami, którzy nie są uprawnieni do przeglądania danych osobowych dłużników.

Aby zapewnić wysoki poziom bezpieczeństwa danych, warto też regularnie monitorować proces ich gromadzania i przetwarzania, aktualizować i testować firmowy system bezpieczeństwa, a także zapewnić pracownikom odpowiednie szkolenia w zakresie ochrony danych osobowych.

Firma windykacyjna przechowywała dane osobowe dłużników przez 10 lat po zakończeniu procedury windykacyjnej, mimo że roszczenie zostało już spłacone i cała sprawa została zakończona. Dłużnik nie został poinformowany o terminie przechowywania danych, a firma nie podjęła żadnych działań w celu ich usunięcia. RODO nakłada obowiązek przechowywania danych osobowych tylko przez czas niezbędny do celów, w których dane zostały zgromadzone. Przechowywanie danych dłużej niż to konieczne może skutkować karami. Dłużnik może zgłosić skargę do organu nadzorczego, co może skutkować kontrolą oraz nałożeniem sankcji finansowych na firmę.

Firma powinna określić, jak długo dane dłużników będą przechowywane. Po zakończeniu windykacji dane należy usunąć lub zanonimizować, jeśli nie ma już potrzeby ich przechowywania. Dłużnicy powinni zostać poinformowani o czasie przechowywania ich danych w momencie, gdy zostaną one zebrane. Na przykład, firma windykacyjna może w swojej polityce poinformować, że dane będą przechowywane przez maksymalnie 5 lat po zakończeniu sprawy windykacyjnej.

Co grozi za naruszenie przepisów o ochronie danych osobowych?

Niewykonanie zobowiązań wynikających z RODO przez firmę windykacyjną lub inne przedsiębiorstwo może prowadzić do poważnych konsekwencji prawnych i finansowych:

• Kary finansowe - organy nadzorujące ochronę danych osobowych mogą nałożyć na wierzyciela kary finansowe za naruszenie przepisów, a ich wysokość zależy od rodzaju naruszenia. Prezes Urzędu Ochrony Danych Osobowych (UODO) może nałożyć karę w wysokości nawet 20 mln euro lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Za mniej poważne naruszenia grozi kara do 10 mln euro lub 2% obrotu.
• Odpowiedzialność cywilna - osoby, których dane osobowe zostały naruszone, mają prawo dochodzić odszkodowania bezpośrednio od wierzyciela. Może ono obejmować koszty poniesione na ochronę danych, straty poniesione w wyniku ich naruszenia, a także zadośćuczynienie moralne.
• Sankcje karno-prawne - w niektórych przypadkach naruszenie ochrony danych osobowych bywa karalne. Pracownicy firmy windykacyjnej lub członkowie kadry kierowniczej ponoszą wówczas odpowiedzialność karną za przetwarzanie danych niezgodne z przepisami, co może skutkować grzywną, ograniczeniem wolności lub pozbawieniem wolności do lat dwóch.
• Nakaz usunięcia błędów - prezes UODO ma również prawo nakazać firmie windykacyjnej przywrócenie stanu zgodnego z prawem, np. poprzez usunięcie uchybień lub wstrzymanie przetwarzania pewnych danych.
• Konsekwencje reputacyjne - naruszenie przepisów dotyczących ochrony danych osobowych może również negatywnie wpłynąć na reputację firmy windykacyjnej, a w efekcie na jej sytuację finansową.

Nieprzestrzeganie zasad ochrony danych osobowych może wpłynąć negatywnie na reputację firmy. Klienci i dłużnicy, którzy dowiedzą się, że ich dane osobowe są niewłaściwie przetwarzane, mogą stracić zaufanie do firmy, co może prowadzić do utraty klientów i spadku obrotów.

Jak zapewnić zgodność z RODO podczas windykacji?

Jeśli chcesz zminimalizować ryzyko związane z niewłaściwym przetwarzaniem danych osobowych w windykacji, warto opracować politykę ochrony danych. Każda firma zajmująca się windykacją powinna mieć przygotowaną szczegółową politykę ochrony danych osobowych, która określi, jak dane będą zbierane, przechowywane i wykorzystywane w procesie windykacyjnym. Dobrym pomysłem są też szkolenia dla pracowników.

Pracownicy firm windykacyjnych oraz działów zajmujących się windykacją wewnętrzną powinni przejść szkolenia z zakresu RODO, aby wiedzieli, jak poprawnie przetwarzać dane osobowe. Przeszkoleni pracownicy będą sprawnie obsługiwać narzędzia niezbędne przy zarządzaniu danymi.

Zainwestowanie w oprogramowanie do zarządzania windykacją, które spełnia wymogi RODO, pomoże w zapewnieniu odpowiedniego poziomu ochrony danych. Wykwalifikowany pracownik wie, jak ważne jest dokumentowanie danych. Wszystkie procesy związane z przetwarzaniem danych osobowych, w tym procedury windykacyjne, powinny być odpowiednio dokumentowane, aby w razie potrzeby móc wykazać zgodność z przepisami.

Pomocna może okazać się współpraca z ekspertami ochrony danych. Zatrudnienie specjalisty ds. ochrony danych osobowych (DPO) lub współpraca z firmą zewnętrzną, która specjalizuje się w ochronie danych osobowych, pomoże zapewnić zgodność z przepisami RODO.

Windykacja to skomplikowany proces, który wiąże się z wieloma ryzykami, zarówno finansowymi, jak i prawnymi. Zgodność z przepisami ochrony danych osobowych, w tym RODO, jest kluczowa, aby uniknąć kar i problemów związanych z naruszeniem prywatności dłużników. Przedsiębiorcy muszą pamiętać, że proces windykacji nie może odbywać się kosztem ochrony danych osobowych.

tags: #windykacja #wezwanie #do #zaprzestania #przetwarzania #danych

Popularne posty:

• Egzekucja obowiązku naprawienia szkody
• Długi spółki przejmowanej
• Komornik w obrocie nieruchomościami
• Depozyt notarialny w kontekście zajęcia komorniczego
• Okazje na rynku nieruchomości w Lubuskiem