Firma windykacyjna a ochrona danych osobowych

Ostatnio, osoba z kręgu moich najbliższych miała problem z firmą windykacyjną, której to pracownicy dzwonili do niej i wygrażali, że jak nie zapłaci określonej kwoty, sprawa zostanie skierowana do sądu. Na szczęście mój znajomy wie, że roszczenie jest przedawnione, więc firma windykacyjna poza takimi „pogróżkami” niewiele może uczynić. Na kanwie tej sytuacji, warto napisać o tym, jakie firma windykacyjna ma uprawnienia i obowiązki w zakresie ochrony danych osobowych.

Dzwoniąc pracownik firmy windykacyjnej prosi na samym początku o podanie takich informacji jak „data urodzenia” celem weryfikacji, czy rzeczywiście ma do czynienia z właściwą osobą. Na pytanie znajomego o to dlaczego zbierają dane osobowe, pracownik takiej firmy odpowiada, że data urodzenia nie stanowi danych osobowych, a jedynie umożliwia weryfikację. Absurdalne w tym wszystkim jest to, że ta firma windykacyjna ma zarejestrowany w biurze GIODO zbiór danych o nazwie „Dłużnicy”, w którym to w ramach zakresu danych wymieniona jest właśnie data urodzenia. Ta sytuacja obrazuje, że niezależnie od tego jakie informacje pozyskuje firma windykacyjna to weryfikacja odbywa się na podstawie danych osobowych.

W kontekście obowiązków wynikających z przepisów ustawy o ochronie danych osobowych zacznijmy od tego skąd w ogóle firma windykacyjna może posiadać nasze dane osobowe. Możliwe są w zasadzie dwie sytuacje. Pierwsza, w której wierzyciel zleci obsługę wierzytelności firmie windykacyjnej i druga, a której to firma windykacyjna wykupi od wierzyciela zobowiązanie. W pierwszej sytuacji nasz wierzyciel cały czas pozostaje administratorem danych osobowych, a firma windykacyjna jest jedynie procesorem i zgodnie z art. 31 ustawy o ochronie danych osobowych powinna być pomiędzy tymi podmiotami podpisana umowa powierzenia przetwarzania danych osobowych. W drugiej sytuacji dochodzi do zmiany administratora danych i firma windykacyjna jako nowy administrator powinna dopełnić obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych – czyli mówiąc prościej poinformować nas o tym, że teraz to ona jest wierzycielem. Jeżeli tego nie zrobi to może narazić się na odpowiedzialność karną przewidzianą w art. 54 ustawy o ochronie danych osobowych, który to przewiduje za naruszenie tego obowiązku zagrożenie karą pozbawienia wolności do roku. Ewentualną odpowiedzialność będą ponosiły osoby kierujące firmą windykacyjną (Zarząd).

Warto również pamiętać o innych obowiązkach firmy windykacyjnych jako  administratora danych takich jak prowadzenie dokumentacji ochrony danych osobowych, odpowiednie zabezpieczenie danych osobowych przetwarzanych w formie papierowej lub elektronicznej, czy rejestracja zbiorów w biurze Generalnego administratora danych osobowych.

Z kolei nam jako osobom, których dane osobowe są przetwarzane przysługuje szereg uprawień wymienionych ustawie o ochronie danych osobowych. Możemy się zwrócić z wnioskiem o przekazanie nam przez firmę windykacyjną o wskazanie m.in. celu przetwarzania danych osobowych, źródła danych, zakresu danych itd. Firma windykacyjna na takie zapytanie zobowiązania jest do udzielenia na piśmie odpowiedzi w terminie 30 dni. Szczegółowo uprawnienia opisane są w art. 32 i następnych ustawy o ochronie danych osobowych.

Kolejnym ważnym aspektem jest to aby firma windykacyjna przetwarzała dane osobowe w zgodzie z zasadami ustawy o ochronie danych osobowych. Chodzi w szczególności o zasadę celowości i adekwatności przetwarzania danych osobowych. Nawiązując do początku artykułu, myślę, że mój znajomy mógłby kwestionować uprawnienie do przetwarzania przez firmę windykacyjną jego danych osobowych – jako, że wierzytelność uległa przedawnieniu i właśnie z tego powodu można by kwestionować celowość i adekwatność przetwarzania przez firmę windykacyjną danych osobowych. W tym celu należałoby złożyć do Generalnego Inspektora Ochrony Danych Osobowych skargę na taką firmą windykacyjną. 

Egzekucja decyzji GIODO

Nowelizacja ustawy o ochronie danych osobowych z dn. 7 marca 2011 r. zmieniła m.in. ustawę z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2012 r. poz 1015), dalej zwaną „Ustawą”. Choć trudno w to uwierzyć i kłóci się to z logiką, do ww. daty, decyzje GIODO nie podlegały egzekucji, czyli mówić wprost, GIODO nie posiadał narzędzia, które pozwalało wymusić wykonanie prawomocnej decyzji administracyjnej w zakresie usunięcia uchybień w procesie przetwarzania danych osobowych. Z punktu widzenia praktyki, brak egzekucji decyzji GIODO wpływał bardzo negatywnie na zgodność działania administratorów danych z ustawą o ochronie danych osobowych. Znane są mi przypadki, gdy przed wejściem w życie ww. nowelizacji, administrator danych świadomie i umyślnie nie wykonywał decyzji GIODO. Oczywiście zdarzało się tak wtedy, gdy był dobrze poinformowany i zdawał sobie sprawę, że brak działania nie spowoduje nałożenia na niego dodatkowych sankcji (oczywiście w artykule pomijam całkowicie inne reżimy odpowiedzialności prawnej, tj. odpowiedzialność karną i cywilną). Czy wejście w życie nowelizacji poprawiło sytuację? Niestety nie. Same przepisy (poza sporadycznymi wyjątkami) nie kształtują rzeczywistości. Póki więc GIODO nie zacznie korzystać z przysługujących mu uprawnień do egzekucji swoich decyzji, póty administratorzy danych będą posiadali tą furtkę i szansę na uniknięcie odpowiedzialności związanej z niewykonaniem decyzji GIODO.

Pozostawiając powyższe dywagacje, rzućmy okiem jak wyglądają uprawnienia GIODO, o których mowa w ustawie o postępowaniu egzekucyjnym w administracji. Zgodnie z art. 18 ustawy o ochronie danych osobowych, decyzje wydawane przez GIODO dotyczą obowiązku podjęcia lub zaniechania określonej czynności. Są to zatem obowiązki o charakterze niepieniężnym. Dla tego typu decyzji administracyjnych, Ustawa przewiduje następujące środki egzekucyjne:

  1. grzywna w celu przymuszenia,
  2. wykonanie zastępcze
  3. odebranie rzeczy ruchomej,
  4. odebranie nieruchomości, opróżnienia lokali i innych pomieszczeń,
  5. przymus bezpośredni

GIODO w postępowaniu egzekucyjnym jest zarówno wierzycielem (czyli podmiotem uprawnionym do żądania wykonania decyzji) jak i organem egzekucyjnym. W związku z faktem, iż GIODO posiada status wierzyciela i organu egzekucyjnego, GIODO wszczyna postępowanie egzekucyjne z urzędu, na podstawie wystawionego przez siebie tytułu wykonawczego. Tytuł wykonawczy powinien zostać doręczony administratorowi danych, który nie wykonał decyzji, wraz z dowodem doręczenia wcześniej upomnienia, którego celem było skłonienie administratora danych do dobrowolnego wykonania decyzji.

Wydaje się, że z punktu widzenia GIODO będą mogły być stosowane w praktyce środki egzekucyjne o których mowa w pkt 1, 2 i 5. Teraz kilka słów grzywnie. Zgodnie z Ustawą, grzywna w celu przymuszenia wykonania decyzji może być nałożona dopiero w ostateczności, gdy inne środki egzekucyjne nie wchodzą już w grę. Wynieść ona może do 10 000 zł w przypadku osób fizycznych (do 50 000 zł w przypadku wielokrotnego niewykonania decyzji GIODO) i odpowiednio w stosunku do innych podmiotów niż osoby fizyczne 50 000 zł (i 200 000 zł w przypadku wielokrotnego niewykonania decyzji GIODO). Nałożone i nieuiszczone grzywny podlegają ściągnięciu w trybie egzekucji należności pieniężnych. Co istotne, obowiązek uiszczenia nałożonych grzywien nie przechodzi na spadkobierców lub prawnonabywców administratora danych. Zatem można postawić tezę, iż w razie zbycia (udostępnienia) zbioru danych na rzecz innego administratora danych, na odbiorcę danych, nie przechodzi obowiązek zapłaty grzywny. Jeżeli zdarzy się tak, że administrator danych wykona w międzyczasie decyzję GIODO, nałożone a nieuiszczone lub nieściągnięte grzywny podlegają umorzeniu. Administrator danych, który wykonał decyzję, posiada również uprawnienie, do złożenia wniosku o zwrot uiszczonych lub ściągniętych grzywn w wysokości 75% lub 100%. O zwrocie ww. kwot decydować będzie GIODO.

W kolejnych artykułach omówimy kolejne środki egzekucyjne, które może stosować GIODO.