O tym jak wyglądają praktyki przetwarzania i ochrony danych stosowane przez firmy zarządzające wierzytelnościami opowiada ekspert - Rafał Lasota, wiceprezes ds. operacyjnych w Grupie Casus Finanse.

Drogi przekazania danych dłużnika

Istnieją dwa główne sposoby funkcjonowania firm zajmujących się zarządzaniem długami. Mogą one działać na zlecenie pierwotnego wierzyciela na zasadach outsourcingu lub skupować portfele wierzytelności przejmując wszelkie jego prawa i obowiązki. W przypadku wierzytelności zleconych przekazanie danych osobowych następuje na mocy umowy o ich powierzeniu.

Administratorem danych pozostaje podmiot je powierzający. Na spółce działającej w imieniu wierzyciela spoczywa obowiązek zabezpieczenia danych i prowadzenia dokumentacji. Dane wykorzystywane mogą być wyłącznie w zakresie i celu wskazanym w umowie.

Na przykład, w ciągu jednego roku, tylko w sektorze B2C, Grupa Casus Finanse obsłużyła na zlecenie wierzycieli pół miliona dłużników. Po ustaniu zakresu i celu przetwarzania danych, wszelkie dane osobowe dłużników są usuwane.

W przypadku nabycia wierzytelności, podstawą prawną przekazania danych dłużników jest cesja wierzytelności w oparciu o art. 509. §1. Kodeksu Cywilnego. Przepis ten daje wierzycielowi możliwość przeniesienia ich na inny podmiot - może on to zrobić bez zgody dłużnika, chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania.

Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki. Udostępnienie danych osobowych dłużnika jest niezbędne w celu zrealizowania uprawnienia wynikającego z kodeksu cywilnego, a więc dochodzenia wierzytelności.

Zgodnie bowiem z art. 23 ust. 1 pkt 2 Ustawy o Ochronie Danych Osobowych, przetwarzanie ich jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Firma nabywająca prawa do przeterminowanych należności staje się administratorem danych i to na niej spoczywają związane z tym, określone przez ustawę, obowiązki. Dla przykładu, Casus Finanse w swojej bazie posiada około 100 tys. rekordów wierzytelności własnych.

Co wiadomo o dłużniku?

Firmy z branży zarządzania wierzytelnościami w swojej codziennej działalności muszą operować danymi służącymi identyfikacji dłużnika (imię, nazwisko, pesel) i kontaktowi z nim (dane teleadresowe).

Są one także w posiadaniu szeregu innych informacji takich jak: kwota zadłużenia, data zawarcia umowy i data powstania zaległości oraz typ produktu, z którego korzystał dłużnik (kredyt, karta kredytowa, usługi telekomunikacyjne itp.)

Odrębną kwestią są dane wrażliwe, które w toku postępowania windykacyjnego może uzyskać firma zarządzająca wierzytelnościami. Za tego typu dane uważa się w świetle Ustawy z dnia 29 sierpnia 1997 r. informacje o: pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, skażeniach, orzeczeniach o ukaraniu, mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.

Przetwarzanie takich danych jest generalnie zabronione - poza wyjątkami określonymi w art. 27 ust. 2. Dla branży windykacyjnej praktyczne (aczkolwiek ograniczone) znaczenie ma wyjątek ustanowiony w punkcie 10 tego artykułu.

Zgodnie z nim przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Przepis zezwala zatem na przetwarzanie danych wrażliwych dopiero od momentu wydania orzeczenia, a nie od chwili zaistnienia zdarzenia, które może być w przyszłości podstawą do jego wydania.

Na etapie postępowania pozasądowego, gdy wierzyciel nie dysponuje jeszcze orzeczeniem nakazującym dłużnikowi spłatę (a na takim opiera w przeważającej mierze swój biznes branża windykacyjna) przetwarzanie danych wrażliwych jest zabronione.

W czasie kontaktów z osobami zadłużonymi może się zdarzyć, że pracownik firmy zarządzającej wierzytelnościami wchodzi w posiadanie informacji należących do grupy danych wrażliwych. Typowym przykładem pozyskania tego typu danych jest zdobycie informacji o fakcie pobierania przez dłużnika renty. Interpretacja tych danych może doprowadzić do tego, że pozyskano informację o „stanie zdrowia” dłużnika.

Jednoznaczne przyporządkowanie wiedzy zdobytej o dłużniku do kategorii danych wrażliwych może nie być oczywiste. W przypadku pozyskania takich informacji nie są one rejestrowane i przetwarzane.