Strefa wiedzy
Strona główna / Strefa wiedzy / RODO w windykacji – jak właściwie chronić i przetwarzać dane dłużnika?

RODO w windykacji – jak właściwie chronić i przetwarzać dane dłużnika?

Proces windykacji, choć niezbędny do odzyskiwania należności, wiąże się z przetwarzaniem wrażliwych danych osobowych dłużnika. Ich prawidłowa ochrona to nie tylko prawny obowiązek, lecz również kwestia etyki i budowania zaufania. Jak prawidłowo przetwarzać dane dłużnika, by nie narazić się na kary finansowe i utratę reputacji? Z jakimi konsekwencjami należy się liczyć w przypadku naruszenia przepisów o ochronie danych osobowych?

RODO a windykacja – co na ten temat mówią przepisy?

RODO, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych, to zbiór przepisów, które regulują przetwarzanie danych osobowych osób fizycznych. Przepisy te weszły w życie 25 maja 2018 roku i miały na celu ujednolicenie zasad przechowywania i przetwarzania danych osobowych w całej Unii Europejskiej. Obejmują wszystkie przedsiębiorstwa, co oznacza, że firmy windykacyjne (tak samo jak ich zewnętrzni partnerzy) są zobowiązane do właściwego przechowywania i przetwarzania danych dłużników.

Legalne przetwarzanie danych osobowych w windykacji jest możliwe, jeśli spełniona została przynajmniej jedna z przesłanek określonych w RODO. Dochodzenie roszczeń jest uznawane za prawnie uzasadniony interes, co pozwala wierzycielowi, a także firmom windykacyjnym, przetwarzać dane dłużnika bez jego zgody.

Jaki konkretnie dane gromadzą firmy windykacyjne? Przede wszystkim informacje poufne umożliwiające identyfikację dłużnika – m.in. imię i nazwisko, adres, PESEL, dane kontaktowe oraz informacje dotyczące samego zadłużenia (wysokość długu, rodzaj długu, np. mandat, nieopłacona faktura, umowa, alimenty). Gromadzone są również dane bankowe oraz informacje o stanie majątkowym i wypłacalności dłużnika. Warto zaznaczyć, że zgodnie z przepisami przetwarzać można tylko te informacje, które są niezbędne do identyfikacji dłużnika i prowadzenia procesu windykacyjnego. Nie wolno zbierać ani przechowywać danych osobowych, które nie są potrzebne do dochodzenia roszczeń.

Obowiązki informacyjne wierzyciela wobec dłużnika

Wierzyciel, jako administrator danych, ma szereg obowiązków informacyjnych względem dłużnika. Ich zakres regulują artykuły 13 i 14 RODO. To, które konkretnie przepisy mają zastosowanie w danej sytuacji, zależy od tego, czy dane osobowe dłużnika wierzyciel uzyskał bezpośrednio od niego, czy z innego źródła.

Jeśli dane pozyskuje się bezpośrednio od dłużnika, wierzyciel musi przekazać dłużnikowi klauzulę informacyjną zawierającą m.in.:
  • tożsamość i dane kontaktowe administratora (wierzyciela) oraz Inspektora Ochrony Danych (jeśli został powołany);
  • cele oraz podstawy przetwarzania danych;
  • jeśli podstawą przetwarzania jest prawnie uzasadniony interes administratora, należy go wskazać;
  • informacje o odbiorcach danych (jeśli istnieją);
  • informacje o przekazaniu danych do państw trzecich lub organizacji międzynarodowych, (jeśli ma to miejsce);
  • okres przechowywania danych.
W przypadku pozyskiwania danych z innego źródła niż od dłużnika zastosowanie znajdują przepisy art. 14 RODO. Administrator musi przekazać nie tylko wszystkie informacje z art. 13 RODO (wymienione powyżej), lecz także te o źródle pozyskania danych. Obowiązek informacyjny należy zrealizować nie później niż w ciągu miesiąca od pozyskania danych lub przy pierwszym kontakcie, jeżeli dane mają być wykorzystywane do komunikacji z osobą, której one dotyczą.

Bezpieczeństwo danych osobowych w procesie windykacji

Bezpieczeństwo danych osobowych jest istotnym aspektem w procesie windykacji, dlatego też firmy windykacyjne powinny dołożyć wszelkich starań, by dopełnić wymaganych prawem obowiązków.
Przede wszystkim windykator musi jasno określić, jakie dane są niezbędne do prowadzenia procesów windykacyjnych. Zgodnie z przepisami RODO przetwarzane powinny być tylko te informacje, które są rzeczywiście konieczne podczas realizacji działań operacyjnych. Oznacza to, że firma windykacyjna nie powinna zbierać ani przechowywać danych osobowych, które z perspektywy dochodzenia roszczeń nie są niezbędne.

Istotne jest nie tylko ograniczenie zakresu przetwarzanych danych, lecz także skrócenie czasu trwania tego procesu. Danych osobowych nie powinno się przechowywać dłużej, niż jest to konieczne. Po zakończeniu procedury windykacyjnej (np. po spłacie długu) dane dłużnika należy usunąć lub zanonimizować. Firmy windykacyjne muszą jasno określić, jak długo dane dłużników będą przechowywane i poinformować ich o tym w momencie zebrania danych.

W przypadku zlecenia windykacji zewnętrznej firmie należy zawrzeć umowę powierzenia przetwarzania danych osobowych, która określa prawa i obowiązki stron.

Wspomnieć należy również o zapewnieniu przechowywanym danym jak najwyższego poziomu bezpieczeństwa. Informacje poufne znajdujące się w firmowych systemach muszą być właściwie zabezpieczone. Mowa zarówno o zabezpieczeniu ich przed cyberprzestępcami, jak i pracownikami, którzy nie są uprawnieni do przeglądania danych osobowych dłużników.

Aby zapewnić wysoki poziom bezpieczeństwa danych, warto też regularnie monitorować proces ich gromadzenia i przetwarzania, aktualizować i testować firmowy system bezpieczeństwa, a także zapewnić pracownikom odpowiednie szkolenia w zakresie ochrony danych osobowych.

Co grozi za naruszenie przepisów o ochronie danych osobowych?

Niewykonanie zobowiązań wynikających z RODO przez firmę windykacyjną lub inne przedsiębiorstwo może prowadzić do poważnych konsekwencji prawnych i finansowych. Zaliczamy do nich m.in.:
  • Kary finansowe – organy nadzorujące ochronę danych osobowych mogą nałożyć na wierzyciela kary finansowe za naruszenie przepisów, a ich wysokość zależy od rodzaju naruszenia. Prezes Urzędu Ochrony Danych Osobowych (UODO) może nałożyć karę w wysokości nawet 20 mln euro lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Za mniej poważne naruszenia grozi kara do 10 mln euro lub 2% obrotu.
  • Odpowiedzialność cywilna – osoby, których dane osobowe zostały naruszone, mają prawo dochodzić odszkodowania bezpośrednio od wierzyciela. Może ono obejmować koszty poniesione na ochronę danych, straty poniesione w wyniku ich naruszenia, a także zadośćuczynienie moralne.
  • Sankcje karno-prawne – w niektórych przypadkach naruszenie ochrony danych osobowych bywa karalne. Pracownicy firmy windykacyjnej lub członkowie kadry kierowniczej ponoszą wówczas odpowiedzialność karną za przetwarzanie danych niezgodne z przepisami, co może skutkować grzywną, ograniczeniem wolności lub pozbawieniem wolności do lat dwóch.
  • Nakaz usunięcia błędów – prezes UODO ma również prawo nakazać firmie windykacyjnej przywrócenie stanu zgodnego z prawem, np. poprzez usunięcie uchybień lub wstrzymanie przetwarzania pewnych danych.
  • Konsekwencje reputacyjne – naruszenie przepisów dotyczących ochrony danych osobowych może również negatywnie wpłynąć na reputację firmy windykacyjnej, a w efekcie na jej sytuację finansową.
Warto pamiętać, że Prezes UODO może, ale nie musi nałożyć kary finansowej, ponieważ ma możliwość zastosowania innych środków naprawczych, takich jak upomnienie lub ograniczenie przetwarzania danych. To, na jakie kroki się zdecyduje, zależy w dużej mierze od charakteru, wagi i czasu trwania naruszenia, współpracy z organem nadzorczym czy kategorii danych, których dotyczyło naruszenie.
Wróć