Handel danymi dłużników – czy to zgodne z RODO?

Handel danymi dłużników – czy to zgodne z RODO?

W dobie cyfryzacji i rosnącej wartości danych osobowych, handel danymi dłużników stał się zjawiskiem budzącym poważne kontrowersje etyczne, społeczne i prawne. Praktyki polegające na przekazywaniu, udostępnianiu, a niekiedy wręcz sprzedawaniu informacji o osobach zadłużonych przez firmy windykacyjne, biura informacji gospodarczej, pośredników finansowych czy nieformalne platformy obrotu wierzytelnościami wymagają szczegółowej analizy pod kątem przepisów o ochronie danych osobowych, a w szczególności Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, znanego powszechnie jako RODO.

Celem niniejszego rozdziału jest wyjaśnienie, w jakich warunkach przetwarzanie i przekazywanie danych dłużników jest zgodne z prawem, kiedy dochodzi do naruszenia przepisów RODO oraz jakie środki ochrony przysługują konsumentom, którzy chcą walczyć z nadużyciami w obrocie informacjami na ich temat.

 

I. Dane dłużników jako dane osobowe – status prawny

Dane dłużników, takie jak:

  • imię, nazwisko, PESEL, adres zamieszkania,

  • numer telefonu, e-mail, dane kontaktowe,

  • informacje o zadłużeniu (wysokość, termin powstania, wierzyciel, postępowania sądowe i egzekucyjne),

  • wpisy do rejestrów dłużników, informacje o upadłości,

stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO, jeżeli odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Tym samym ich przetwarzanie – w tym udostępnianie, przekazywanie, sprzedaż czy publikacja – podlega regulacjom unijnego rozporządzenia RODO oraz krajowych przepisów uzupełniających, m.in. ustawy o ochronie danych osobowych oraz ustawy o udostępnianiu informacji gospodarczych.

 

II. Legalność przetwarzania danych dłużników – podstawy z RODO

Zgodnie z art. 6 ust. 1 RODO, przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniony jest co najmniej jeden z warunków legalności. W kontekście danych dłużników najczęściej spotyka się:

  • lit. c – obowiązek prawny ciążący na administratorze (np. obowiązek informowania o zadłużeniu w BIG),

  • lit. e – wykonywanie zadania realizowanego w interesie publicznym (np. prowadzenie rejestru upadłości),

  • lit. f – prawnie uzasadniony interes administratora lub strony trzeciej (np. windykacja, cesja wierzytelności).

Jednak zgodność przetwarzania z RODO wymaga również:

  • poinformowania osoby, której dane dotyczą (art. 13–14 RODO),

  • zasady minimalizacji danych (art. 5 ust. 1 lit. c),

  • zabezpieczenia danych przed nieuprawnionym dostępem (art. 32),

  • poszanowania praw osoby, której dane dotyczą – w tym prawa do sprzeciwu, usunięcia danych, sprostowania i ograniczenia przetwarzania.

 

III. Kiedy handel danymi dłużników jest nielegalny?

Praktyki nielegalnego handlu danymi dłużników mogą przybierać różne formy:

  • sprzedaż baz danych przez nieuprawnione podmioty (np. brokerzy danych bez rejestracji),

  • publikowanie danych osobowych dłużników w internecie (np. na forach, grupach windykacyjnych, listach hańby),

  • przekazywanie danych osobowych osobom trzecim bez podstawy prawnej (np. prywatnym windykatorom, konkurencji, inwestorom),

  • udostępnianie danych nieaktualnych, niezweryfikowanych lub wygasłych z tytułu przedawnienia długu.

Takie działania mogą naruszać m.in.:

  • art. 5 ust. 1 lit. a–c RODO (zasady zgodności, rzetelności, przejrzystości),

  • art. 6 ust. 1 RODO (brak podstawy przetwarzania),

  • art. 32 RODO (brak zabezpieczeń technicznych i organizacyjnych),

  • przepisy karne ustawy o ochronie danych osobowych (np. art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych – nieuprawnione ujawnienie danych).

IV. Rejestry dłużników (BIG, KRD, ERIF) – zgodność z prawem, ale nie bez ograniczeń

Polskie prawo dopuszcza możliwość wpisu dłużnika do rejestru informacji gospodarczej prowadzonego przez Biura Informacji Gospodarczej (BIG), ale pod ścisłymi warunkami:

  • zobowiązanie musi być wymagalne od co najmniej 30 dni,

  • kwota zadłużenia musi przekraczać 200 zł (dla osoby fizycznej),

  • dłużnik musi zostać uprzednio poinformowany pisemnie lub elektronicznie z co najmniej 30-dniowym wyprzedzeniem,

  • przetwarzanie danych musi być proporcjonalne, rzetelne i aktualne.

Naruszenie któregokolwiek z tych warunków może skutkować bezprawnością wpisu i otwierać drogę do jego usunięcia, zablokowania lub dochodzenia roszczeń z tytułu naruszenia dóbr osobistych i danych osobowych.

 

V. Przykład praktyczny – sprzedaż danych dłużników inwestorom

Stan faktyczny:
 Firma windykacyjna przekazała dane 3 000 dłużników (imię, nazwisko, adres, wysokość długu, opis postępowania egzekucyjnego) inwestorowi prywatnemu zainteresowanemu zakupem pakietu wierzytelności. Inwestor wykorzystał te dane do kontaktowania się z dłużnikami, nie będąc jeszcze formalnym wierzycielem.

Skutki:
 Prezes UODO wszczął postępowanie wobec firmy windykacyjnej. Stwierdzono naruszenie art. 5 RODO (brak celowości, przejrzystości i adekwatności), a administrator danych został ukarany karą pieniężną oraz nakazano usunięcie danych z bazy i powiadomienie wszystkich dłużników.

 

VI. Co może zrobić dłużnik – prawa i ochrona

Każdy dłużnik ma prawo do:

  1. informacji o przetwarzaniu danych – kto, w jakim celu i na jakiej podstawie przetwarza jego dane (art. 13–14 RODO),

  2. sprostowania lub usunięcia danych – jeśli są nieaktualne, nieprawdziwe lub przetwarzane bez podstawy (art. 16–17 RODO),

  3. sprzeciwu wobec przetwarzania danych – szczególnie gdy odbywa się ono na podstawie uzasadnionego interesu (art. 21 RODO),

  4. ograniczenia przetwarzania – do czasu wyjaśnienia sporu (art. 18 RODO),

  5. złożenia skargi do Prezesa UODO – w przypadku stwierdzenia naruszenia,

  6. dochodzić odszkodowania przed sądem cywilnym – na podstawie art. 82 RODO.

 

VII. Rekomendacje praktyczne

  • Zawsze żądaj informacji o przetwarzaniu danych przy windykacji – masz do tego pełne prawo.

  • Nie zgadzaj się na sprzedaż swojej wierzytelności osobom trzecim bez uprzedniego zawiadomienia.

  • Regularnie sprawdzaj rejestry dłużników (BIG, KRD, ERIF, InfoMonitor) – możesz uzyskać jeden darmowy raport rocznie.

  • Zgłaszaj nadużycia do UODO – np. nielegalne publikacje Twoich danych w internecie lub sprzedaż Twoich danych bez podstawy prawnej.

  • Rozważ kontakt z prawnikiem, jeśli dane były przetwarzane bez Twojej zgody lub wiedzy – możesz dochodzić roszczeń cywilnych i karnych.

Podsumowanie

Handel danymi dłużników może być legalny wyłącznie w granicach prawa ochrony danych osobowych. RODO nie zakazuje samego przetwarzania danych o zadłużeniu, ale wymaga przejrzystości, proporcjonalności i celowości. Praktyki polegające na przekazywaniu danych dłużników bez ich wiedzy, poza kontrolowanymi rejestrami, bez zachowania podstaw prawnych, stanowią poważne naruszenie RODO i mogą skutkować wysokimi karami, a nawet odpowiedzialnością karną.

 

Źródła prawa i orzecznictwa:

  • Rozporządzenie RODO (UE) 2016/679 – art. 4, 5, 6, 13–21, 32, 82

  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)

  • Ustawa z 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych

  • Wyrok TSUE z 24 marca 2022 r., C-245/20 – Schrems II

  • Decyzje Prezesa UODO, m.in. DKN.5131.5.2021 i DKN.5131.3.2020

Dla osób szukających skutecznego oddłużania, umorzenia długów lub ochrony przed komornikiem, zrozumienie mechanizmów handlu danymi i ich zgodności z RODO to klucz do ochrony prywatności i dobrego imienia w świecie coraz bardziej kontrolowanym przez algorytmy i biura informacji gospodarczej.

Zobacz pozostałe hasła