Samodzielne dochodzenie swoich należności od kontrahentów jest dla wielu firm nie lada wyzwaniem, stąd coraz częściej banki, korporacje czy spółki telekomunikacyjne przekazują związane z tym obowiązki wyspecjalizowanym firmom zajmującym się zarządzaniem wierzytelnościami. Jednym z elementów tego procesu jest transfer danych osobowych dłużników - niezbędnych do kontaktu z nimi i prowadzenia procesów odzyskiwania niespłaconych należności.

O tym jak wyglądają praktyki przetwarzania i ochrony danych stosowane przez firmy zarządzające wierzytelnościami opowiada ekspert - Rafał Lasota, wiceprezes ds. operacyjnych w Grupie Casus Finanse.

Drogi przekazania danych dłużnika

Istnieją dwa główne sposoby funkcjonowania firm zajmujących się zarządzaniem długami. Mogą one działać na zlecenie pierwotnego wierzyciela na zasadach outsourcingu lub skupować portfele wierzytelności przejmując wszelkie jego prawa i obowiązki. W przypadku wierzytelności zleconych przekazanie danych osobowych następuje na mocy umowy o ich powierzeniu.

Administratorem danych pozostaje podmiot je powierzający. Na spółce działającej w imieniu wierzyciela spoczywa obowiązek zabezpieczenia danych i prowadzenia dokumentacji. Dane wykorzystywane mogą być wyłącznie w zakresie i celu wskazanym w umowie.

Na przykład, w ciągu jednego roku, tylko w sektorze B2C, Grupa Casus Finanse obsłużyła na zlecenie wierzycieli pół miliona dłużników. Po ustaniu zakresu i celu przetwarzania danych, wszelkie dane osobowe dłużników są usuwane.

W przypadku nabycia wierzytelności, podstawą prawną przekazania danych dłużników jest cesja wierzytelności w oparciu o art. 509. §1. Kodeksu Cywilnego. Przepis ten daje wierzycielowi możliwość przeniesienia ich na inny podmiot - może on to zrobić bez zgody dłużnika, chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania.

Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki. Udostępnienie danych osobowych dłużnika jest niezbędne w celu zrealizowania uprawnienia wynikającego z kodeksu cywilnego, a więc dochodzenia wierzytelności.

Zgodnie bowiem z art. 23 ust. 1 pkt 2 Ustawy o Ochronie Danych Osobowych, przetwarzanie ich jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Firma nabywająca prawa do przeterminowanych należności staje się administratorem danych i to na niej spoczywają związane z tym, określone przez ustawę, obowiązki. Dla przykładu, Casus Finanse w swojej bazie posiada około 100 tys. rekordów wierzytelności własnych.

Co wiadomo o dłużniku?

Firmy z branży zarządzania wierzytelnościami w swojej codziennej działalności muszą operować danymi służącymi identyfikacji dłużnika (imię, nazwisko, pesel) i kontaktowi z nim (dane teleadresowe).

Są one także w posiadaniu szeregu innych informacji takich jak: kwota zadłużenia, data zawarcia umowy i data powstania zaległości oraz typ produktu, z którego korzystał dłużnik (kredyt, karta kredytowa, usługi telekomunikacyjne itp.)

Odrębną kwestią są dane wrażliwe, które w toku postępowania windykacyjnego może uzyskać firma zarządzająca wierzytelnościami. Za tego typu dane uważa się w świetle Ustawy z dnia 29 sierpnia 1997 r. informacje o: pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, skażeniach, orzeczeniach o ukaraniu, mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.

Przetwarzanie takich danych jest generalnie zabronione - poza wyjątkami określonymi w art. 27 ust. 2. Dla branży windykacyjnej praktyczne (aczkolwiek ograniczone) znaczenie ma wyjątek ustanowiony w punkcie 10 tego artykułu.

Zgodnie z nim przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Przepis zezwala zatem na przetwarzanie danych wrażliwych dopiero od momentu wydania orzeczenia, a nie od chwili zaistnienia zdarzenia, które może być w przyszłości podstawą do jego wydania.

Na etapie postępowania pozasądowego, gdy wierzyciel nie dysponuje jeszcze orzeczeniem nakazującym dłużnikowi spłatę (a na takim opiera w przeważającej mierze swój biznes branża windykacyjna) przetwarzanie danych wrażliwych jest zabronione.

W czasie kontaktów z osobami zadłużonymi może się zdarzyć, że pracownik firmy zarządzającej wierzytelnościami wchodzi w posiadanie informacji należących do grupy danych wrażliwych. Typowym przykładem pozyskania tego typu danych jest zdobycie informacji o fakcie pobierania przez dłużnika renty. Interpretacja tych danych może doprowadzić do tego, że pozyskano informację o „stanie zdrowia” dłużnika.

Jednoznaczne przyporządkowanie wiedzy zdobytej o dłużniku do kategorii danych wrażliwych może nie być oczywiste. W przypadku pozyskania takich informacji nie są one rejestrowane i przetwarzane.



Priorytet: bezpieczeństwo danych dotyczących dłużnika

Każdy podmiot, który w swojej działalności przetwarza dane osobowe, musi spełniać wymagania, które nakłada na niego ustawa. Do tych wymagań należy: obowiązek posiadania Polityki Bezpieczeństwa, Instrukcji zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych oraz spełnienie wymogów rozporządzenia do ustawy.

Zarządzanie wierzytelnościami nieodzownie wiąże się z pracą na danych osobowych. Szczególnie istotne w tej branży jest, aby oprócz spełnienia wymogów ustawy, opracować spójne systemy służące ich ochronie i bezpieczeństwu informacji. Ważne jest, by cały czas podwyższać standardy, dlatego dążymy do tego, aby nasz system ochrony spełniał wymogi normy ISO/IEC 27001:2005.

Niesłychanie istotne jest stworzenie szeregu procedur i instrukcji wewnętrznych, mających wpływ na bezpieczeństwo przetwarzanych danych. Pracownicy powinni natomiast przechodzić prowadzone przez Administratora Bezpieczeństwa Informacji (ABI). cykliczne szkolenia w tym zakresie W naszej firmie dane osobowe przechowywane są na serwerach zlokalizowanych w siedzibie spółki i przetwarzane w autorskim systemie w wysokim stopniu spełniającym wymogi zabezpieczeń narzucanych przez ustawę.

Granice wykorzystywania informacji o dłużniku

Dane osobowe dłużnika mogą być wykorzystane wyłącznie w zakresie i celu wskazanym w umowie o ich powierzeniu. W przypadku windykacji celem jest odzyskanie wierzytelności, a wykorzystanie informacji o dłużniku do innych celów jest bezprawne.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych za przetwarzanie ich niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną, jak i karną, która szczegółowo uregulowana została w art. 49–54a ustawy. Za udostępnienie danych lub umożliwienie dostępu do nich osobom nieupoważnionym przewiduje karę grzywny, karę ograniczenia wolności albo pozbawienia wolności do lat 2.

W przypadku nieuprawnionego ujawnienia danych dłużnika powinien on zgłosić reklamację do firmy windykacyjnej i załączyć odpowiednie dowody potwierdzające stawiane zarzuty. Bardzo ważne jest, by tego typu „skargi” były bardzo szybko weryfikowane a dłużnik otrzymał odpowiedź na stawiane zarzuty. Do dnia dzisiejszego w naszej spółce nie zarejestrowaliśmy uzasadnionego incydentu.

W każdym momencie dłużnik ma prawo złożyć skargę do Generalnego Inspektoratu Ochrony Danych Osobowych (GIODO). Po uznaniu skargi za zasadną, organ ten może nakazać w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych.

Ponadto ma prawo wydać decyzję o zastosowaniu dodatkowych środków zabezpieczających zgromadzone dane osobowe, czy decyzję dotyczącą usunięcia danych osobowych. Generalny Inspektor jest uprawniony do skierowania do organów ścigania zawiadomienia o popełnieniu przestępstwa, jeśli stwierdzi, że pewien czyn lub zaniechanie narusza zasady ochrony danych osobowych.

Firma windykacyjna, która złamie przepisy o ochronie danych osobowych może narazić się na zarzut naruszenia dóbr osobistych dłużników. Zgodnie z art. 23 Kodeksu cywilnego dobra osobiste człowieka, w szczególności więc: zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Art. 24 K.C. stanowi z kolei, że ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia dłużnik może także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności żeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie (przeprosiny).

Na zasadach przewidzianych w Kodeksie Cywilnym dłużnik może również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Ponadto, jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach przewidzianych w Kodeksie cywilnym.

Rafał Lasota, wiceprezes ds. operacyjnych w Grupie Casus Finanse