Urząd od ochrony danych przyjrzał się giełdzie długów

opublikowano: 26-05-2019, 22:00

O tym, że prowadzenie sprzedaży wierzytelności jest zgodne z prawem, przesądzają szczegóły, m.in. zakres przetwarzanych danych

Pierwsza kontrola przetwarzania danych osobowych w sektorze prywatnym zakończyła się dla objętego nią przedsiębiorstwa pomyślnie. Chodzi o spółkę Vindicat z siedzibą w Warszawie. Jednak aż przez pół roku szef firmy nie miał co do tego stuprocentowej pewności.

Z informacji, o które zwracaliśmy się do urzędu, mogliśmy sądzić, że wszystko
jest w porządku. Ale pół roku czekania na ostateczną ocenę spółki rodziło
niepewność co do tego, czy wszystkie działania są zgodne z prawem — przyznaje
Bogusław Bieda, prezes spółki Vindicat
Zobacz więcej

NIEPEWNOŚĆ:

Z informacji, o które zwracaliśmy się do urzędu, mogliśmy sądzić, że wszystko jest w porządku. Ale pół roku czekania na ostateczną ocenę spółki rodziło niepewność co do tego, czy wszystkie działania są zgodne z prawem — przyznaje Bogusław Bieda, prezes spółki Vindicat Fot. Marek Wiśniewski

Vindicat oferuje wsparcie zarządzania wierzytelnościami. Usługi te świadczy online. Udostępniane klientom narzędzia pozwalają prowadzić np. monitoring płatności, windykację, tworzyć wezwania do zapłaty i pozwy do sądu. Firma oferuje też moduł e-negocjacji i giełdę długów, na której można wystawić wierzytelność na sprzedaż (jej cesję). Spółka przetwarza dane kontaktowe i rejestrowe wierzycieli (swoich klientów) oraz informacje o dłużnikach, w tym o długu.

Pod lupą przez pięć dni

Kontrola przeprowadzona przez przedstawicieli Urzędu Ochrony Danych Osobowych (UODO) trwała od 1 do 4 października ubiegłego roku. Jak mówi Bogusław Bieda, prezes spółki, powodem tych działań nie były skargi na działalność firmy, nie wynikały one też z tzw. planów kontrolnych UODO przyjętych na najbliższy czas. Tak w każdym razie wynikało z wyjaśnień kontrolujących.

— Jak się dowiedzieliśmy, UODO otrzymuje sporo pytań od dłużników, wierzycielii windykatorów o interpretację wymagań związanych z ochroną danych osobowych w branży zarządzania wierzytelnościami. Wiele osób zastanawia się np., czy upublicznianie w internecie określonych informacji jest zgodne z unijnym rozporządzeniem RODO. Podczas wizyty u nas organ nadzoru poznał takie działania w praktyce. Zautomatyzowaliśmy wiele procesów związanych z odzyskiwaniem należności, przedsiębiorca może samodzielnie je prowadzić. Nie jesteśmy kancelarią windykacyjną, do której trafiają nieopłacone faktury. Urząd sprawdzał, jak zbudowaliśmy to narzędzie pod względem spełniania obowiązków informacyjnych, wymagań co do pozwoleń na przetwarzanie danych i czy wszystkie czynności związane z upublicznianiem informacji o dłużnikach są zgodne z przepisami — opowiada Bogusław Bieda.

Przy dostosowaniu usługi i związanej z nią dokumentacji do wymagań RODO firma współpracowała z Kancelarią Maruta Wachta. Wcześniej, na etapie projektowania narzędzi, Vindicat uzyskał stanowisko Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dotyczące m.in. giełdy długów, a dokładniej — dopuszczalności upubliczniania informacji o zaległych należnościach na internetowej „tablicy”.

— Organ przypomniał, że muszą istnieć podstawy do przetwarzania danych. Jedna z nich to prawnie usprawiedliwiony cel, a takim jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Pewne niezbędne do tego dane mogą być podane do publicznej wiadomości. Po wdrożeniu RODO podtrzymano tę interpretację — wspomina prezes spółki Vindicat.

Rozbieżne interesy

Konieczna przy tym była ocena, co można upubliczniać w ofertach sprzedaży wierzytelności. Problem w tym, że — jak podkreślają w kancelarii — wierzyciele chcą ujawnienia potencjalnym nabywcom długów jak najwięcej szczegółów, a dłużnicy oczekują ochrony swojej prywatności. Jednocześnie RODO wymaga minimalizacji gromadzonych danych. Powinny być więc ujawniane tylko te konieczne do określenia danej wierzytelności. Vindicat ostatecznie postanowił, że będą to nazwiska dłużników lub nazwy ich działalności, miejscowości zamieszkania i podstawowe informacje o długu ze wskazaniem aktualnego statusu windykacji. Szef spółki zwraca uwagę, że w zasadzie administratorami danych na giełdzie są przedsiębiorcy rejestrującysię w systemie Vindicatu i to oni odpowiadają za te informacje.

Każdy dzień kontroli zaczynał się od wyjaśniania procesów działalności spółki, a kończył spisaniem protokołu. O tym, jakie wnioski z nich wyciągnął organ nadzoru, firma dowiedziała się z urzędowego pisma w kwietniu tego roku. Urząd stwierdził w nim: „po przeprowadzeniu szczegółowej analizy materiału dowodowego zgromadzonego w sprawie prezes UODO nie stwierdził uchybień dających podstawę do wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych”.

— Podstawowy wniosek z tego pisma jest taki, że prowadzenie giełd wierzytelności jest zgodne z prawem. Jeśli zaś chodzi o legalność działań konkretnych giełd, to zależy m.in. od ich organizacji, sposobu działania i zakresu przetwarzanych danych. Stanowisko urzędu dotyczyło wyłącznie firmy Vindicat. Co istotne, prezes UODO nie zakwestionował ani statusu operatora giełdy długów jako procesora, czyli podmiotu przetwarzającego, ani publikowanego zakresu danych dłużnika oraz informacji o samej wierzytelności — komentuje Marcin Serafin, partner w Kancelarii Maruta Wachta.

Dla spółki wyzwaniem było też m.in. dostosowanie do nowych przepisów dokumentacji przetwarzania danych wymaganejprzez RODO od podmiotów działających na podobnym rynku. Niewielka kadra firmy zwalnia ją z prowadzenia rejestru takich czynności, jednak postanowiono wprowadzić zasady — takie, jakie obowiązują dużych administratorów.

— Głównie z uwagi na ryzyko ewentualnego kwestionowania prawidłowości przetwarzania danych przez dłużników — wyjaśnia Marcin Serafin.

Dlatego dokumentacja spółki jest rozbudowana i składa się na nią m.in. wspomniany rejestr. Jej zakres i treść okazały się wystarczające, aby uznać, że firma spełniła wymóg rozliczalności wynikający z RODO.

Przepisy wciąż niejasne

Pół roku czekania na ostateczną ocenę spółki rodziło jednak niepewność co do tego, czy działa ona zgodnie z prawem.

— Mieliśmy dylemat, chociaż z przebiegu kontroli, opinii kancelarii i informacji, o które zwracaliśmy się do urzędu, mogliśmy sądzić, że wszystko jest w porządku. Mówiono nam m.in., że nie wszczęto postępowania wobec nas. To można traktować jako sygnał, że nie ma przeszkód, aby działać tak, jak do tej pory. Jednak potrzebowaliśmy potwierdzenia, że robimy wszystko prawidłowo, także po to, aby szerzej wyjść na rynek z naszą usługą. Na dodatek w tym czasie pojawiła się informacjao wysokiej karze nałożonej przez urząd. Trzeba też wiedzieć, że przepisy wciąż budzą wiele wątpliwości i różne są ich interpretacje — mówi Bogusław Bieda.

Jak podkreśla, interpretacje są potrzebne. Przedsiębiorcy narzekają, że te, które się pojawiają, nie zawsze są jednolite, więc nie jest im łatwo dostosować biznes do nowych przepisów.

— Istnieje więc ryzyko, że ktoś w swojej ocenie właściwie wdrożył pewne rozwiązania, ale urząd może to zakwestionować. To jest wyzwanie, szczególnie dla sektora MŚP, którego nie stać na konsultacje z dużymi kancelariami — podkreśla prezes Vindicat.

Wyjaśnienia organu nadzoru o procedurach

Każda kontrola, którą przeprowadzają upoważnieni przez prezesa Urzędu Ochrony Danych Osobowych pracownicy, ma indywidualny charakter — podkreśla Agnieszka Świątek-Druś, rzecznik prasowy UODO, w odpowiedzi na nasze pytania o procedury pozwalające administratorom danych ocenić skutki ustaleń poczynionych podczas prowadzonych u nich kontroli.

W wyjaśnieniach dla „PB” UODO przypomina, że zgodnie z art. 89 ustawy o ochronie danych osobowych kontrolę kończy podpisanie protokołu przez kontrolowanego albo dokonanie wzmianki, że odmówił on podpisania tego dokumentu. Gdy na podstawie informacji zgromadzonych podczas kontroli prezes UODO uzna, że mogło dojść do naruszenia przepisów, wówczas ma obowiązek niezwłocznie wszcząć postępowanie, co wynika wprost z art. 90 ustawy. Kontrolowany podmiot jest wówczas o tym zawiadamiany. Organ zwraca uwagę, że żaden przepis nie zobowiązuje prezesa UODO, aby po podpisaniu protokołu przez kontrolującego — jeśli w toku kontroli nie stwierdzono naruszeń — podejmował jakiekolwiek dodatkowe działania wobec kontrolowanego.

„Jedynie dobrą praktyką urzędu jest wysyłanie do podmiotów, które były kontrolowane, dodatkowych pism z informacją, że nie stwierdzono naruszeń. Warto dodać, że niekiedy takie pisma zawierają pewne wskazówki czy zalecenia, gdy ujawniono drobne nieprawidłowości, lecz nie zakwalifikowano ich jako uzasadniających wszczęcie postępowania. Natomiast czas, jaki mija od chwili podpisania protokołu do wysłania kontrolowanemu podmiotowi kolejnej korespondencji, zależy od wielu czynników, m.in. zakresu kontroli, stopnia skomplikowania sprawy i obszerności zgromadzonego materiału dowodowego. Zdarza się również, że po kontroli w jednym podmiocie niezbędne jest podjęcie tego typu czynności również w innych powiązanych z nim firmach, np. tych, którym administrator powierzył przetwarzanie danych osobowych. To wszystko wpływa na czas potrzebny do analizy materiału” — czytamy w wyjaśnieniach organu.

Rzecznik prasowy UODO dodaje, że przedstawiciele kontrolowanych firm dysponują danymi do kontaktu z osobami przeprowadzającymi kontrolę, które mogą poinformować, czy analiza materiału została zakończona, czy jeszcze trwa. Ponadto niektóre podmioty jeszcze w czasie kontroli podejmują działania zmierzające do modyfikacji praktyk, które — jak niekiedy wynika z przebiegu czynności kontrolnych — mogą wydawać się wątpliwe.

Sprawdź program konferencji "RODO w instytucjach finansowych", 27-28 czerwca 2019, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu