RODO: Ochrona danych osobowych w windykacji

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku o ochronie danych osobowych (dalej jako: „RODO” lub „Rozporządzenie”), które zacznie obowiązywać od 25 maja bieżącego roku, wprowadza szereg restrykcji w zakresie ochrony danych osobowych. Obowiązki dotkną każdy podmiot przetwarzający dane osób fizycznych. Oznacza to, że normy Rozporządzenia obejmą również uczestników procesu windykacyjnego. Jak zatem rysuje się kwestia ochrony danych osobowych w windykacji?  

Ochrona danych dłużnika

Dane dłużnika będącego osobą fizyczną są chronione w myśl przepisów RODO. Zgodnie z definicją umieszczoną w artykule 4 Rozporządzenia w skład danych osobowych wchodzą informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Warto podkreślić, że przepis nie wyznacza zamkniętego katalogu informacji mogących być uznane za dane osobowe. Co więcej, prawodawca wskazał, że w pojęciu mieszczą się również czynniki określające ekonomiczną tożsamość osoby fizycznej. W związku z powyższym, przyjąć należy, że informacje takie jak: wysokość zadłużenia, charakter roszczenia czy wypłacalność dłużnika są chronionymi danymi osobowymi. Wynika z tego, że wierzyciele muszą zadbać oto, aby powyższe dane były przez nich wykorzystywane w sposób zgodny z prawem.  

Zasady ochrony danych osobowych w windykacji

RODO dopuszcza przetwarzanie danych osobowych na podstawie przesłanki realizacji prawnie uzasadnionych celów. Wskazana wyżej przesłanka mieści się w katalogu warunków zgodnego z prawem przetwarzania danych osobowych. Oznacza to, że na cele dochodzenia roszczenia, dane osobowe dłużnika może wykorzystywać również wierzyciel, który nie uzyskał od zadłużonej osoby zgody na przetwarzanie jego danych. Dotyczy to podmiotów, które uzyskały prawo do danej należności na podstawie np. cesji wierzytelności czy sukcesji uniwersalnej.  

---

 

WARTO WIEDZIEĆ

Podkreślenia wymaga fakt, że Rozporządzenie zezwala na przetwarzanie danych osobowych jedynie tak długo, jak długo istnieje usprawiedliwiający je powód. Oznacza to, że wierzyciel powinien usunąć dane osobowe dłużnika po odzyskaniu dochodzonej należności.  

---

 

Powierzenie windykacji podmiotom zewnętrznym

Zdarza się, że wierzyciele decydują się zlecić prowadzenie windykacji podmiotom zewnętrznym, specjalizującym się w dochodzeniu należności. Czynność taka wypełnia przesłanki powierzenia przetwarzania danych osobowych, co oznacza, że musi ona spełniać wymogi, jakie RODO stawia wobec takich czynności. Zgodnie z Rozporządzeniem, powierzenie przetwarzania powinno odbyć się na podstawie umowy. Organy publiczne odpowiadające za ochronę danych osobowych stworzą katalog klauzul, które powinna zawierać umowa, o powierzenie przetwarzania. Firma windykacyjna, której dane zostaną powierzone, zobowiązana jest do przestrzegania obowiązków jakie RODO nakłada na podmiot przetwarzający dane. Oznacza to, że będzie ona zobowiązana odpowiadać na wnioski dłużników o dostęp do danych oraz, jeżeli będzie to zasadne, na wnioski o ograniczenie przetwarzania lub sprostowania danych. Warto podkreślić, że firma windykacyjna, której powierzone dane osobowe dłużników – może je wykorzystywać tylko i wyłącznie na cele określone w umowie zawartej przez nią z wierzycielem.  

Porada praktyczna

Wierzyciel powierzający windykację podmiotom trzecim powinien zadbać o prawidłowe sporządzenie umowy i zawarcie w niej postanowień dotyczących przetwarzania danych osobowych zgodnie z wymogami prawa. Kontrakt taki powinien definiować zbiory przetwarzanych danych, zakres transferu oraz opierać się na klauzulach sporządzonych przez odpowiedni urząd. Ponadto, odpowiednie zdefiniowanie celów przetwarzania pozwoli wierzycielom oraz windykatorom uniknąć sankcji za niedopełnieni obowiązków w zakresie przetwarzania danych osobowych.

Podsumowując

Wielkimi krokami zbliża się dzień, w którym zacznie obowiązywać RODO. Warto rozeznać swoje prawa i obowiązki, jakie z powyższego faktu wynikają. Zdecydowanie pomóc mogą pozostałe artykuły z zakresu ochrony danych osobowych, jakie znajdują się na stronie Akademii LTCA!

Podstawa:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).