20.11.2019
A.J.
Zespół e-prawnik.pl
Do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące przetwarzania danych osobowych przez wierzycieli, firmy windykacyjne, czy komorników sądowych. Pojawia się wiele kwestii dotyczących legalności sposobu przetwarzania danych dłużników, sprzedaży wierzytelności.
Przy dochodzeniu roszczeń jedną z przesłanek dopuszczalności przetwarzania danych osobowych, w tym ich udostępniania, jest realizacja prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (określoną w art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych, czyli RODO). Tym prawnie usprawiedliwionym celem może być m.in. dochodzenie roszczeń z tytułu prowadzonej przez administratora danych działalności gospodarczej. Przetwarzanie danych w takim przypadku jest prawnie dopuszczalne i nie jest do tego potrzebna zgoda osoby, której dane dotyczą.

Warto w tym miejscu podkreślić, że Urząd Ochrony Danych Osobowych nie jest uprawniony do rozstrzygania zasadności roszczeń oraz sporów prawnych dotyczących sprzedaży wierzytelności. Rozstrzyganie sporów prawnych z tego tytułu należy do właściwości sądów powszechnych, aczkolwiek w kompetencjach UODO mieści się ocena legalności udostępniania danych.
Bez zgody dłużnika
Wierzyciele mogą dochodzić roszczeń, spłaty zadłużenia samodzielnie lub korzystając z pośrednictwa wyspecjalizowanych firm. Mogą też sprzedać dług innemu podmiotowi. Zgodnie z Kodeksem Cywilnym, przetwarzanie danych osobowych w takim przypadku jest prawnie dopuszczalne i nie jest do tego potrzebna zgoda osoby, które dane dotyczą. Dlatego nieskuteczne będą też próby wycofania zgody przez dłużnika, gdyż to nie ona jest podstawą uprawniającą administratora do przetwarzania jego danych.
W ofercie sprzedaży wierzytelności można ujawnić dane osobowe dłużnika w zakresie jego imienia, nazwiska i adresu ze wskazaniem miasta, nazwy ulicy i kodu pocztowego, lecz bez numeru nieruchomości i numeru lokalu mieszkalnego. Zgodnie z zasadą „minimalizacji danych” z RODO, udostępniane powinny być tylko te dane, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Podanie takich informacji o dłużniku jest uzasadnione, gdyż określa przeciwko komu wierzytelność przysługuje, ale jednocześnie nie stanowi zbytniej ingerencji w prywatność dłużnika. Wiedza o tym jest niezbędna dla racjonalnego podjęcia decyzji o nabyciu wierzytelności.
Dlatego przedsiębiorca zajmujący się obrotem wierzytelnościami albo dochodzący swojej wierzytelności może, co do zasady, podawać do publicznej wiadomości niektóre dane osobowe dłużników w celu sprzedaży wierzytelności. Jego działanie należy uznać za legalne.
Należy pamiętać, że w przypadku sprzedaży wierzytelności, firma windykacyjna, która nabyła wierzytelność, staje się administratorem danych osobowych dłużników i zobowiązana jest do przestrzegania obowiązków wynikających z RODO. Powinna ona informować dłużników, wobec których prowadzone są działania windykacyjnie, m.in. o podstawie prawnej i celu przetwarzania danych. Zasadniczo czyni to w pismach wzywających do zapłaty. Jednocześnie w takim piśmie powinna też wskazać, że dłużnikowi przysługuje prawo dostępu do treści swoich danych oraz możliwość ich poprawiania. Organ nadzorczy stoi na stanowisku, aby nie przekazywać danych przez telefon. Udostępnianie danych na odległość obarczone jest ryzykiem, brakiem pewności co do tego komu faktycznie dane są przekazane.
W sytuacji, w której wierzytelność nie została sprzedana, ale jej windykacja została zlecona innemu podmiotowi na zasadzie wykonania usługi w tym zakresie, administrator powinien pamiętać o zawarciu z takim podmiotem umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 28 RODO. Powinna ona określać m.in.: przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych oraz kategorie osób, których one dotyczą, a także prawa i obowiązki zarówno administratora, czyli podmiotu zlecającego, jak i podmiotu, któremu powierzono przetwarzanie danych.
Wycofanie zgody i prawo do bycia zapomnianym
Jeżeli mamy dług np. niezapłacone stare rachunki za telefon, to możemy zostać zgłoszeni do biura informacji gospodarczej, czyli tzw. rejestru dłużników. Na nic się wówczas zdadzą nie tylko próby wycofania zgód na przetwarzanie naszych danych (nie jest ona w tym przypadku podstawą do przetwarzania danych), ale i żądania usunięcia naszych danych przez administratora, prowadzącego taki rejestr.
Prawo do bycia zapomnianym także nie ma zastosowania w przypadku dłużnika. Administrator, realizując wynikające z art. 17 RODO obowiązki, musi wziąć pod uwagę pewne ograniczenia wynikające z tej regulacji. W niektórych sytuacjach administrator wręcz nie może usunąć danych, np. gdy ich przetwarzanie wynika z realizacji ciążących na nim obowiązków prawnych.
Dlatego najlepszym rozwiązaniem jest dokonanie spłaty zadłużenia, celem wykreślenia w rejestrów dłużników. Powoływanie się bowiem na wynikające z RODO prawo do ochrony danych osobowych nie sprawi, że dłużnik uchyli się od spoczywającego na nim obowiązku spełnienia świadczenia, a wierzyciel nie będzie miał możliwości uzyskania należnej zapłaty.
Rejestry
W Polsce działają 3 główne rejestry dłużników, czyli biura informacji gospodarczej:
- Krajowy Rejestr Długów
- Rejestr Dłużników BIG Info Monitor
- ERIF Biuro Informacji Gospodarczej
Przepisy, określające m.in. zasady przetwarzania danych osobowych dłużników przez biura informacji gospodarczej (tzw. rejestry dłużników) zostały uregulowane są w art. 3 ustawy o udostępnianiu informacji gospodarczej i wymianie danych gospodarczych. Dłużnik może wnieść do biura sprzeciw dotyczący nieaktualności, nieprawdziwości, niekompletności lub przekazania lub przechowywania niezgodnie z ustawą informacji gospodarczych mających status informacji aktualnych. Dłużnik powinien udokumentować okoliczności uzasadniające sprzeciw (np. dokument potwierdzający spłatę wszystkich zobowiązań). Jednocześnie w razie wniesienia przez dłużnika sprzeciwu biuro może zwrócić się do wierzyciela lub dłużnika o dodatkowe wyjaśnienia. Zgodnie natomiast z art. 21 a ust. 3 biuro wstrzymuje ujawnianie informacji gospodarczych objętych sprzeciwem na okres do 30 dni, w przypadku uzasadnionego przypuszczenia, że dotyczą one zobowiązania, które nie istnieje lub wygasło. W pozostałych przypadkach biuro może wstrzymać ujawnianie informacji gospodarczych objętych sprzeciwem na okres konieczny do rozpatrzenia sprzeciwu nie dłuższy niż 30 dni.
Egzekucja komornicza a dane osobowe
Komornik sądowy przetwarza dane osobowe dłużnika w ramach prowadzonego postępowania egzekucyjnego na podstawie przepisów prawa, a konkretnie dwóch ustaw, Kodeksu postępowania cywilnego (k.p.c.) oraz ustawy o komornikach sądowych (u.k.s.). Nie zmienia to jednak faktu, że komornik sądowy swoje zadania wykonuje przede wszystkim na wniosek o wszczęcie egzekucji otrzymany od wierzyciela. Dlatego te dane osobowe, jakimi dysponuje komornik sądowy pozyskuje w pierwszej kolejności właśnie od wierzyciela (firmy windykacyjnej) i są to przeważnie imię i nazwisko dłużnika, jego adres zamieszkania, numer PESEL lub NIP. Dopiero w przypadku gdy wierzyciel nie posiada tych danych może złożyć do Komornika wniosek o ich ustalenie.
Oczywiście możliwość przetwarzania danych osobowych przez komornika sądowego podobnie jak w przypadku firm windykacyjnych wynika również z przepisów, które dopuszczają możliwość przetwarzania danych osobowych dłużnika jeżeli jest to niezbędne dla wypełnienia obowiązku wykonania czynności powierzonych ustawą.
Dopuszczalność przetwarzania, w tym udostępniania danych osobowych przez komornika w określonej sytuacji zależy od istnienia stosownej podstawy prawnej, od kategorii danych oraz od tego, jaki podmiot, na jakiej podstawie prawnej i w jakim celu wnioskuje o udostępnienie danych. W każdym konkretnym przypadku to administrator danych w oparciu o obowiązujące przepisy prawa oraz przy uwzględnieniu rodzaju danych osobowych, celu oraz uzasadnienia potrzeby posiadania danych przez podmiot, który występuje o ich udostępnienie, powinien dokonać oceny w zakresie dopuszczalności takiego udostępnienia.
Źródło: uodo.gov.pl

Potrzebujesz porady prawnej?
Jak powołać inspektora ochrony danych?
Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)
RODO w pracy - przetwarzanie danych w miejscu pracy.
Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych. Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony (...)
Kiedy można przetwarzać dane osobowe?
25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...)
Ocena skutków dla ochrony danych
Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności (...)
Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione (...)
Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie
Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców (...)
Przetwarzanie danych przy rekrutacji pracowników a RODO
Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich (...)
Przetwarzanie danych osobowych przez sądy
Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do (...)
Dokumentacja przetwarzania danych osobowych według RODO
Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych (...)
Nowa ustawa o ochronie danych osobowych!
Ustawa o ochronie danych osobowych w założeniu ma zapewnić lepszą ochronę danych osobowych. Nowe regulacje wynikają z konieczności zapewnienia w Polsce skutecznego stosowania rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie (...)
28 maja 2019 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Wprowadza ono szereg zapisów, dzięki którym wymiana handlowa na terenie Unii Europejskiej będzie znacznie łatwiejsza, ale też (...)
Obowiązki administratora danych osobowych
Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do (...)
STIR (system teleinformatyczny izby rozliczeniowej) umożliwia wymianę informacji między systemem bankowym a Krajową Administracją Skarbową (KAS) i zapobiega wyłudzeniom skarbowym, których najczęściej dokonują zorganizowane grupy przestępcze. STIR już działa Przykładem jego sprawnego (...)
Ochrona danych osobowych w e-commerce. Lepiej chroń swoich klientów
Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu czy serwisu internetowego, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też odpowiedniego zabezpieczenia (...)
DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości
Rada Ministrów przyjęła projekt ustawy wdrażającej unijną dyrektywę policyjną Rada Ministrów przyjęła projekt ustawy, która wprowadzi przepisy tzw. unijnej dyrektywy policyjnej (DODO). Regulacje te dotyczą przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, (...)
Obowiązki związane z naruszeniami ochrony danych osobowych
Co to jest naruszenie danych osobowych? Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (...)
Jak korzystać z praw gwarantowanych przez RODO?
Na podstawie doświadczeń z pierwszych 6 miesięcy stosowania RODO Urząd Ochrony Danych Osobowych przygotował 10 wskazówek, jak osoba indywidualna może korzystać z praw gwarantowanych przez rozporządzenie. Masz prawo wiedzieć, co będzie się działo z Twoimi danymi Powinieneś (...)
Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO
Rozpoczęcie stosowania – od 25 maja 2018 r. – przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO) oznacza rewolucję. Ten akt prawny nakłada bowiem na administratorów danych wiele nowych obowiązków. Kiedy dotychczasowa zgoda będzie dalej (...)
Rejestr czynności przetwarzania danych osobowych według RODO
25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów (...)
Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach
Przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona (...)