Pomiń nawigację

7 listopada 2023

Przetwarzanie danych osobowych w windykacji – kto i na jakich zasadach może to robić?

Udostępnij

Podstawowym aktem prawnym regulującym zasady przetwarzania danych osobowych jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane powszechnie w skrócie RODO.

Co to są dane osobowe i kogo dotyczą?

Warto na początek ustalić, czym w ogóle są dane osobowe. Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba musi żyć, bo przepisów o ochronie danych osobowych nie stosujemy do zmarłych. Nawet cząstkowe informacje, które w połączeniu z innymi informacjami mogą prowadzić do zidentyfikowania danej osoby fizycznej, także zostaną uznane za dane osobowe. Na przykład informacje o noszeniu okularów i przebywaniu w danym pomieszczeniu mogą stanowić dane osobowe, ponieważ informacje te mogą wspólnie pozwolić na identyfikację tej osoby, w sytuacji gdy inne osoby przebywające w tym pomieszczeniu nie noszą okularów. Dlatego nie używamy pojęcia „dana osobowa” w liczbie pojedynczej, lecz „dane osobowe” w liczbie mnogiej na podkreślenie zestawu połączonych ze sobą informacji. W przypadku danych osobowych dłużników takie dane osobowe jak wysokość długu, rodzaj długu (mandat, nieopłacona faktura, umowa, alimenty), stan wypłacalności dłużnika, będą danymi osobowymi podlegającymi ochronie RODO.

W związku z tym, że przepisy dotyczą ochrony danych osobowych osób fizycznych, RODO stosuje się także w windykacji do ochrony danych osobowych dłużników będących osobami fizycznymi. Windykacja to słowo, którego obawiają się niesolidni dłużnicy. Celem windykacji jest rozpoczęcie procedury odzyskiwania należności. W początkowej fazie windykacji, najczęściej będą wykorzystywane takie dane dłużnika jak imię i nazwisko, adres zamieszkania, numer telefonu, dokument tożsamości, PESEL.

Na jakiej podstawie wierzyciel może przetwarzać dane osobowe dłużnika i czy zgoda dłużnika jest potrzebna?

Musimy pamiętać, że wierzyciel i windykator to niekoniecznie ta sama osoba. Wierzyciel to podmiot (może to być zarówno osoba fizyczna, ale i firma np. bank udzielający pożyczek), która ma prawo żądania od innej osoby, czyli właśnie od dłużnika, spełnienia jakiegoś roszczenia. Windykator zaś to podmiot zajmujący się windykacją, czyli odzyskiwaniem należności, ściąganiem długów. Windykatorem może być wierzyciel, ale niekoniecznie tak być musi. Wierzyciel może powierzyć bowiem windykację kancelarii prawnej specjalizującej się w windykacji lub profesjonalnej firmie windykacyjnej, które w imieniu wierzyciela będą żądać spełnienia świadczenia (spłaty długu) przez dłużnika.

W art. 6 ust. 1 RODO przewidziano zamknięty katalog przesłanek uprawniających do przetwarzania danych zwykłych, do których zaliczane są:

 • zgoda osoby, której dane dotyczą, obejmująca przetwarzanie w jednym lub większej liczbie celów;
 • niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na wniosek tej osoby przed zawarciem umowy;
 • niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze;
 • niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
 • niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
 • niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Wierzyciel, aby przetwarzać w procesie windykacji dane osobowe dłużnika, musi wykazać jedną z wyżej wymienionych przesłanek. W motywie 40 RODO zaznaczono to, że, aby przetwarzanie danych było zgodne z prawem, powinno opierać się na podstawie zgody osoby, której dane dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem. Należy pamiętać, że nie jest wykluczone występowanie w danym stanie faktycznym więcej niż jednej wskazanej powyżej przesłanki legalizacyjnej. Wybór przesłanki legalizacyjnej, na której będzie opierało się przetwarzanie danych osobowych, należy do administratora danych osobowych. Mówiąc najprościej do właściciela pozyskanych danych osobowych, czyli w naszej sytuacji do wierzyciela.  

Jak mówi słynna łacińska paremia Pacta sunt servanda, co oznacza umów należy dotrzymywać. Nie wszyscy jednak zachowują się lojalnie i płacą za sprzedane im towary czy usługi. Dług pojmujemy szeroko. Jest to np. mandat za jazdę gapowicza bez ważnego biletu w komunikacji miejskiej, niezapłacone alimenty, rachunki za prąd czy niezapłacony paragon za zakupy on-line. W Polsce w ostatnim czasie przybywa niesolidnych dłużników. Zadłużenie Polaków rośnie i wynosi już 45 miliardów złotych. Obecnie do Krajowego Rejestru Długów (KRD) wpisanych jest około 2,3 miliona osób.[2]

Wierzyciel, który nie otrzymał zapłaty za sprzedane towary czy za świadczone przez siebie usługi, zmuszony jest wszcząć windykację. To pojęcie oznacza podjęcie czynności zmierzających do odzyskania długu. Postępowanie windykacyjne często okazuje się jedynym sposobem na wyegzekwowanie płatności. Windykacja może polegać na kierowaniu do dłużnika monitów wzywających do zapłaty zaległej kwoty. Będą do wezwania do zapłaty wysyłane na adres dłużnika, wiadomości SMS, rozmowy telefoniczne. Wierzyciel może podejmować także czynności terenowe, a ostatecznie skierować sprawę na drogę sądową i egzekucji komorniczej, co przysporzy dłużnikowi dodatkowych kosztów obu postępowań. Windykacja stereotypowo kojarzy się z natarczywymi telefonami czy wizytami w miejscu zamieszkania dłużnika.

Pojawia się zatem pytanie, czy wierzyciel może przetwarzać dane osobowe dłużnika w celach windykacji zadłużenia. Odpowiedź na to pytanie jest jednoznaczna – oczywiście, że wierzyciel może przetwarzać dane osobowe dłużnika co celów windykacji. Teraz nasuwa się pytanie o podstawę prawną dla tej działalności. Jak wskazano powyżej, jedną z przesłanek legalizujących przetwarzanie danych osobowych jest prawnie uzasadniony interes realizowany przez administratora. Wierzyciel może oprzeć przetwarzanie danych osobowych dłużnika właśnie na tej przesłance, tj. art. 6 ust. 1 litera f) RODO. Wierzyciel będzie w takim przypadku administratorem danych osobowych dłużnika i będzie miał interes gospodarczy, aby wyegzekwować od niesolidnego dłużnika należność finansową. Odzyskanie długu leży w interesie każdej firmy. Zgoda dłużnika jako podstawa przetwarzania danych osobowych nie jest więc potrzebna. W praktyce najpewniej żaden dłużnik nie wyraziłby zgody wierzycielowi na przetwarzanie jego danych osobowych w celu ściągnięcia długu. Nierzadko zdarzały się sytuacje po wejściu w życie przepisów RODO, że dłużnicy powołując się na ochronę danych osobowych informowali wierzyciela, że nie wyrażają zgody na przetwarzanie swoich danych osobowych lub korzystają z prawa do tzw. bycia zapomnianym i żądają zaprzestania windykacji. Było to oczywiście bezpodstawne.

Czy dłużnik może wnieść sprzeciw wobec przetwarzania jego danych osobowych?

Uznać również należy, że dłużnikowi nie przysługuje sprzeciw wobec przetwarzania jego danych osobowych, o którym mowa w np. 21 ust. 1 RODO. Zgodnie z tym przepisem

„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na np. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń”.

Dłużnik może powołując się na swoją szczególną sytuację złożyć sprzeciw wobec przetwarzania jego danych osobowych i wierzycielowi jako administratorowi co do zasady nie będzie wolno przetwarzać danych dłużnika. Przytoczony powyżej przepis, pozwala jednak wierzycielowi na dalsze przetwarzanie danych dłużnika, o ile wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. A za taką podstawę uprawniającą wierzyciela jako administratora do przetwarzania danych dłużnika, uznać należy prowadzenie windykacji celem wyegzekwowania długu. Podkreślić w tym miejscu należy, że przepisy RODO mają za zadanie chronić dane osobowe, a nie działania niesolidnych dłużników. Dłużnik nie może wykorzystać RODO jako furtki do uniknięcia odpowiedzialności za zobowiązanie. Dalsze przetwarzanie danych osobowych dłużników przez wierzycieli, a także przez wynajętą kancelarię prawną lub komorniczą celem odzyskania zapłaty będzie zatem prawnie dopuszczalne. Gdy wierzyciel powoła się zatem na przetwarzanie danych osobowych dłużnika w celach ściągnięcia długu, sprzeciw dłużnika uznać należy za niezasadny.

Należy pamiętać również, że jeśli dłużnik posiada dług, to wierzyciel może zgłosić takiego dłużnika do biura informacji gospodarczej (BIG). Zgodnie z np. art. 30 ust. 1 ustawy z dnia 9 kwietnia 2010 roku o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, wierzyciel, który przekazał informacje gospodarcze dotyczące dłużnika do biura informacji gospodarczej (BIG), na wniosek dłużnika jest zobowiązany do uzupełnienia, uaktualnienia, sprostowania lub usunięcia danych dotyczących dłużnika, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały udostępnione lub są przechowane z naruszeniem tej ustawy. Przepis oznacza, że jeśli dłużnik nie spłacił swoich zobowiązań, to nie może żądać wykreślenia go z rejestru, ale ma prawo złożyć sprzeciw, gdy jego dane są nieprawdziwe, nieaktualne lub niekompletne, np. gdy uregulował już swój dług wobec wierzyciela, a nadal figuruje w rejestrze. Zatem jeśli informacje o dłużniku i jego długu zostały udostępnione w BIG zgodnie z ustawą, są prawdziwe i zgodne ze stanem faktycznym i dłużnik w dalszym ciągu nie zapłacił należnej kwoty, to dłużnik jest pozbawiony skutecznego środka obrony. Pozostaje mu jedynie uregulować zadłużenie. Dłużnik wpisany do rejestru dłużników z powodu zaległości w płatności, nie może żądać usunięcia jego danych osobowych. Dopiero spłata długu jest podstawą do wykreślenia dłużnika zgłoszonego do biura informacji gospodarczej. 

Czy wierzyciel może zlecić windykację kancelarii lub firmie windykacyjnej i przekazać dane osobowe dłużnika bez zgody dłużnika?

Nie ma przepisu, który nakazywałby wierzycielowi samodzielne prowadzenie windykacji. Wierzyciel może zatem powierzyć prowadzenie windykacji kancelarii prawnej lub firmie windykacyjnej. Oczywistym jest, że w tym celu przekazuje również dane osobowe dłużnika. Nie musi pytać o zgodę dłużnika. Dłużnik nie może więc zapobiec przekazaniu jego danych osobowych do windykatora.

Relacja pomiędzy wierzycielem a windykatorem – udostępnienie czy powierzenie?

Wierzyciel zlecający windykację windykatorowi (kancelarii prawnej lub wyspecjalizowanej firmie) musi pamiętać o podpisaniu umowy powierzenia przetwarzania danych osobowych. Między wierzycielem a windykatorem będzie występowało powierzenie przetwarzania, a nie udostępnienie danych. Wierzyciel i windykator nie będą osobnymi administratorami danych osobowych dłużnika. Wierzyciel pozostanie administratorem danych, a windykator stanie się podmiotem przetwarzającym. Elementy, jakie musi zawierać umowa powierzenia przetwarzania, wymienia art. 28 ust. 3 RODO. Umowa taka powinna zawierać następujące informacje:

 • przedmiot i czas trwania przetwarzania,
 • charakter i cel przetwarzania,
 • rodzaj przekazanych danych,
 • kategorie osób, których dane dotyczą,
 • prawa i obowiązki stron umowy.

Na podstawie takiej umowy windykator otrzymuje wskazane w umowie dane osobowe dłużników i może je wykorzystać wyłącznie w celu wskazanym w umowie, tj. w celu prowadzenia windykacji i ściągnięcia długu.

Inaczej będzie w sytuacji, gdy wierzyciel sprzeda dług firmie windykacyjnej. W takiej sytuacji firma windykacyjna stanie się administratorem danych osobowych dłużnika i zobowiązana będzie do przestrzegania wszystkich obowiązków wynikających z RODO. W korespondencji windykacyjnej kierowanej do dłużnika, firma ta powinna zatem spełnić w pierwszej kolejności obowiązek informacyjny z art. 14 RODO i poinformować dłużnika o tym, kto jest administratorem jego danych, podać dane kontaktowe firmy, w tym dane kontaktowe Inspektora Ochrony Danych jeśli został wyznaczony, wskazać podstawę prawą przetwarzania, cel przetwarzania, okres, przez który dane osobowe będą przechowywane, prawa przysługujące dłużnikowi (prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu, przenoszenia danych) oraz informacje o prawie wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie przy ul. Stawki 2.

Co może, a czego nie może robić windykator?

Windykator musi pamiętać, że pomimo braku obowiązku uzyskiwania zgody dłużnika na przetwarzanie jego danych, musi przestrzegać przepisów RODO. Dane dłużnika muszą być przetwarzane w sposób legalny, uczciwy i bezpieczny, aby uniknąć np. wycieku danych dłużników. Jest to o tyle ważne, że podczas windykacji długów przetwarza się dane bankowe, dane o stanie majątkowym czy numer PESEL dłużnika. Dłużnik musi być poinformowany o przetwarzaniu jego danych osobowych, podstawie prawnej przetwarzania, celu przetwarzania i prawach mu przysługujących, jak chociażby prawie dostępu do danych, ich aktualizacji czy usunięcia danych gdy dług został spłacony przez dłużnika, a nie istnieje inna podstawa prawna uprawniająca do dalszego przetwarzania danych osobowych dłużnika. 

Zawód windykatora nie jest uregulowany prawnie, przez co uprawnienia windykatora są o wiele skromniejsze niż uprawnienia komornika sądowego. Nie oznacza to jednak, że windykator jest bezradny. Numer telefonu stanowi element danych osobowych. Jeśli więc windykator dysponuje numerem telefonu do dłużnika, może zgodnie z prawem zadzwonić do dłużnika w celach windykacyjnych. Również adres zamieszkania to dane osobowe. Windykator może zatem zgodnie z RODO odwiedzić dłużnika w miejscu jego zamieszkania (przy czym dłużnik nie ma obowiązku wpuszczenia windykatora do domu czy podjęcia rozmowy) czy kierować na ten adres wezwania do zapłaty. Obowiązkiem windykatora jest zachowanie tajemnicy o sytuacji majątkowej i finansowej dłużnika. Windykator nie może informować kogokolwiek o istnieniu i wysokości zadłużenia. Takie informacje może posiadać wierzyciel, windykator i dłużnik. Zakazane zatem będzie informowanie przez windykatora o zadłużeniu osób trzecich, nieodpowiedzialnych za powstałe zadłużenie np. pracodawcy dłużnika, rodziny czy sąsiadów, natarczywe i nachalne próby kontaktu z dłużnikiem; wydzwanianie, wysyłanie wiadomości SMS, e-mail, nachodzenie dłużnika w pracy i domu, nachodzenie rodziny dłużnika, wypytywanie o sytuację osobistą i majątkową dłużnika bliskich dłużnika, znajomych, sąsiadów, współpracowników.

Podsumowanie

Wielu dłużników chcąc uniknąć windykacji powołuje się na przepisy RODO i brak ich zgody na przetwarzanie danych osobowych. Każdy dłużnik, tak jak każdy obywatel, ma prawo do ochrony swoich danych osobowych. Ochrona nie może być jednak sposobem na uniknięcie odpowiedzialności i niespłacanie zobowiązań. Dłużnik ma prawo wiedzieć jakie jego dane są przetwarzane w procesie windykacji. Dzięki RODO dane dłużnika powinny być przetwarzane w sposób transparentny i ostrożny, aby nie dostały się w niepowołane ręce. Niesolidny dłużnik nie może powoływać się jednak na brak jego zgody czy prawo do bycia zapomnianym mając nadzieję, że to uchroni go przed koniecznością spłaty długu.

Kinga Strychalska

radca prawny, Jedliński Bierecki i Wspólnicy Kancelaria Radców Prawnych i Adwokatów

Autorka jest związana z Kancelarią od 2018 roku. W swojej praktyce zawodowej prowadzi sprawy z zakresu prawa cywilnego, prawa handlowego, prawa gospodarczego, tworzy i negocjuje umowy handlowe oraz reprezentuje Klientów w sporach sądowych przed sądami powszechnymi, w tym także w sprawach kredytów frankowych. Odpowiedzialna była za przeprowadzenie audytów i wdrożenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (zwanego RODO) w wielu organizacjach m.in. w branży medycznej, wydawniczej, portowej, transportowej. Absolwentka studiów podyplomowych na kierunku Inspektor Ochrony Danych – prawne, psychologiczne i techniczne aspekty zarządzania danymi w organizacji. 


[1] E. Bielak-Jomaa, D. Lubasz (red.), RODO ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018.

[2] www.krd.pl.

Zobacz więcej podobnych artykułów