20.11.2019

A.J.
Zespół e-prawnik.pl

Do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące przetwarzania danych osobowych przez wierzycieli, firmy windykacyjne, czy komorników sądowych. Pojawia się wiele kwestii dotyczących legalności sposobu przetwarzania danych dłużników, sprzedaży wierzytelności.

Przy dochodzeniu roszczeń jedną z przesłanek dopuszczalności przetwarzania danych osobowych, w tym ich udostępniania, jest realizacja prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (określoną w art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych, czyli RODO). Tym prawnie usprawiedliwionym celem może być m.in. dochodzenie roszczeń z tytułu prowadzonej przez administratora danych działalności gospodarczej. Przetwarzanie danych w takim przypadku jest prawnie dopuszczalne i nie jest do tego potrzebna zgoda osoby, której dane dotyczą.

Warto w tym miejscu podkreślić, że Urząd Ochrony Danych Osobowych nie jest uprawniony do rozstrzygania zasadności roszczeń oraz sporów prawnych dotyczących sprzedaży wierzytelności. Rozstrzyganie sporów prawnych z tego tytułu należy do właściwości sądów powszechnych, aczkolwiek w kompetencjach UODO mieści się ocena legalności udostępniania danych.

Bez zgody dłużnika

Wierzyciele mogą dochodzić roszczeń, spłaty zadłużenia samodzielnie lub korzystając z pośrednictwa wyspecjalizowanych firm. Mogą też sprzedać dług innemu podmiotowi. Zgodnie z Kodeksem Cywilnym, przetwarzanie danych osobowych w takim przypadku jest prawnie dopuszczalne i nie jest do tego potrzebna zgoda osoby, które dane dotyczą. Dlatego nieskuteczne będą też próby wycofania zgody przez dłużnika, gdyż to nie ona jest podstawą uprawniającą administratora do przetwarzania jego danych.

W ofercie sprzedaży wierzytelności można ujawnić dane osobowe dłużnika w zakresie jego imienia, nazwiska i adresu ze wskazaniem miasta, nazwy ulicy i kodu pocztowego, lecz bez numeru nieruchomości i numeru lokalu mieszkalnego. Zgodnie z zasadą „minimalizacji danych” z RODO, udostępniane powinny być tylko te dane, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Podanie takich informacji o dłużniku jest uzasadnione, gdyż określa przeciwko komu wierzytelność przysługuje, ale jednocześnie nie stanowi zbytniej ingerencji w prywatność dłużnika. Wiedza o tym jest niezbędna dla racjonalnego podjęcia decyzji o nabyciu wierzytelności.

Dlatego przedsiębiorca zajmujący się obrotem wierzytelnościami albo dochodzący swojej wierzytelności może, co do zasady, podawać do publicznej wiadomości niektóre dane osobowe dłużników w celu sprzedaży wierzytelności. Jego działanie należy uznać za legalne.

Należy pamiętać, że w przypadku sprzedaży wierzytelności, firma windykacyjna, która nabyła wierzytelność, staje się administratorem danych osobowych dłużników i zobowiązana jest do przestrzegania obowiązków wynikających z RODO. Powinna ona informować dłużników, wobec których prowadzone są działania windykacyjnie, m.in. o podstawie prawnej i celu przetwarzania danych. Zasadniczo czyni to w pismach wzywających do zapłaty. Jednocześnie w takim piśmie powinna też wskazać, że dłużnikowi przysługuje prawo dostępu do treści swoich danych oraz możliwość ich poprawiania. Organ nadzorczy stoi na stanowisku, aby nie przekazywać danych przez telefon. Udostępnianie danych na odległość obarczone jest ryzykiem, brakiem pewności co do tego komu faktycznie dane są przekazane.

W sytuacji, w której wierzytelność nie została sprzedana, ale jej windykacja została zlecona innemu podmiotowi na zasadzie wykonania usługi w tym zakresie, administrator powinien pamiętać o zawarciu z takim podmiotem umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 28 RODO. Powinna ona określać m.in.: przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych oraz kategorie osób, których one dotyczą, a także prawa i obowiązki zarówno administratora, czyli podmiotu zlecającego, jak i podmiotu, któremu powierzono przetwarzanie danych.

Wycofanie zgody i prawo do bycia zapomnianym

Jeżeli mamy dług np. niezapłacone stare rachunki za telefon, to możemy zostać zgłoszeni do biura informacji gospodarczej, czyli tzw. rejestru dłużników. Na nic się wówczas zdadzą nie tylko próby wycofania zgód na przetwarzanie naszych danych (nie jest ona w tym przypadku podstawą do przetwarzania danych), ale i żądania usunięcia naszych danych przez administratora, prowadzącego taki rejestr.

Prawo do bycia zapomnianym także nie ma  zastosowania w przypadku dłużnika. Administrator, realizując wynikające z art. 17 RODO obowiązki, musi wziąć pod uwagę pewne ograniczenia wynikające z tej regulacji. W niektórych sytuacjach administrator wręcz nie może usunąć danych, np. gdy ich przetwarzanie wynika z realizacji ciążących na nim obowiązków prawnych.

Dlatego najlepszym rozwiązaniem jest dokonanie spłaty zadłużenia, celem wykreślenia w rejestrów dłużników. Powoływanie się bowiem na wynikające z RODO prawo do ochrony danych osobowych nie sprawi, że dłużnik uchyli się od spoczywającego na nim obowiązku spełnienia świadczenia, a wierzyciel nie będzie miał możliwości uzyskania należnej zapłaty.

Rejestry

W Polsce działają 3 główne rejestry dłużników, czyli biura informacji gospodarczej:

• Krajowy Rejestr Długów
• Rejestr Dłużników BIG Info Monitor
• ERIF Biuro Informacji Gospodarczej

Przepisy, określające m.in. zasady przetwarzania danych osobowych dłużników przez biura informacji gospodarczej (tzw. rejestry dłużników) zostały uregulowane są w art. 3 ustawy o udostępnianiu informacji gospodarczej i wymianie danych gospodarczych. Dłużnik może wnieść do biura sprzeciw dotyczący nieaktualności, nieprawdziwości, niekompletności lub przekazania lub przechowywania niezgodnie z ustawą informacji gospodarczych mających status informacji aktualnych. Dłużnik powinien udokumentować okoliczności uzasadniające sprzeciw (np. dokument potwierdzający spłatę wszystkich zobowiązań). Jednocześnie w razie wniesienia przez dłużnika sprzeciwu biuro może zwrócić się do wierzyciela lub dłużnika o dodatkowe wyjaśnienia. Zgodnie natomiast z art. 21 a ust. 3 biuro wstrzymuje ujawnianie informacji gospodarczych objętych sprzeciwem na okres do 30 dni, w przypadku uzasadnionego przypuszczenia, że dotyczą one zobowiązania, które nie istnieje lub wygasło. W pozostałych przypadkach biuro może wstrzymać ujawnianie informacji gospodarczych objętych sprzeciwem na okres konieczny do rozpatrzenia sprzeciwu nie dłuższy niż 30 dni.

Egzekucja komornicza a dane osobowe

Komornik sądowy przetwarza dane osobowe dłużnika w ramach prowadzonego postępowania egzekucyjnego na podstawie przepisów prawa, a konkretnie dwóch ustaw, Kodeksu postępowania cywilnego (k.p.c.) oraz ustawy o komornikach sądowych (u.k.s.). Nie zmienia to jednak faktu, że komornik sądowy swoje zadania wykonuje przede wszystkim na wniosek o wszczęcie egzekucji otrzymany od wierzyciela. Dlatego te dane osobowe, jakimi dysponuje komornik sądowy pozyskuje w pierwszej kolejności właśnie od wierzyciela (firmy windykacyjnej) i są to przeważnie imię i nazwisko dłużnika, jego adres zamieszkania, numer PESEL lub NIP. Dopiero w przypadku gdy wierzyciel nie posiada tych danych może złożyć do Komornika wniosek o ich ustalenie.

Oczywiście możliwość przetwarzania danych osobowych przez komornika sądowego podobnie jak w przypadku firm windykacyjnych wynika również z przepisów, które dopuszczają możliwość przetwarzania danych osobowych dłużnika jeżeli jest to niezbędne dla wypełnienia obowiązku wykonania czynności powierzonych ustawą.

Dopuszczalność przetwarzania, w tym udostępniania danych osobowych przez komornika w określonej sytuacji zależy od istnienia stosownej podstawy prawnej, od kategorii danych oraz od tego, jaki podmiot, na jakiej podstawie prawnej i w jakim celu wnioskuje o udostępnienie danych. W każdym konkretnym przypadku to administrator danych w oparciu o obowiązujące przepisy prawa oraz przy uwzględnieniu rodzaju danych osobowych, celu oraz uzasadnienia potrzeby posiadania danych przez podmiot, który występuje o ich udostępnienie, powinien dokonać oceny w zakresie dopuszczalności takiego udostępnienia.

Źródło: uodo.gov.pl