CASE STUDY : WDROŻENIE RODO W SPÓŁCE VINDICAT (INNOWACYJNY LEGAL TECH) WSPIERAJĄCEJ SKUTECZNĄ WINDYKACJĘ I PROWADZĄCĄ GIEŁDĘ DŁUGÓW

 PRZEDMIOT CASE STUDY

1. Przedmiotem case study jest opisanie wyzwań, z jakimi zmierzyła się Kancelaria w ramach procesu wdrożenia wymagań RODO i przygotowania do kontroli;

2. Case study dotyczy działań podejmowanych przez Vindicat i Kancelarię w 2018 r., z czego ostatnimi czynnościami był udział w kontroli prowadzonej przez Prezesa UODO na początku października 2018 r. oraz pismo Prezesa UODO z kwietnia 2019 r.

CHARAKTERYSTYKA KLIENTA

3. Vindicat sp. z o.o. z siedzibą w Warszawie („Vindicat”) świadczy klientom usługi wsparcia procesu zarządzania wierzytelnościami. Usługi są świadczone on-line i polegają na udostępnieniu klientom narzędzia, które obejmuje:

• moduł zarządzania wierzytelnościami, pozwalający na prowadzenie procesu windykacji od prewencji i monitoringu płatności po windykację polubowną, sądową i egzekucyjną;
• moduł dokumentowy, pozwalający na automatyczne generowanie dokumentów takich jak wezwanie do zapłaty, pozew do sądu, e-sądu, pismo o upublicznieniu danych dłużnika na giełdzie wierzytelności itp.; moduł negocjacji online oraz wpis do BIG Info Monitor;
• moduł giełda długów, pozwalający na wystawienie wierzytelności na sprzedaż.

4. W procesie świadczenia usług Vindicat przetwarza dane osobowe:

• wierzycieli (swoich klientów) – dane kontaktowe, dane rejestrowe;
• dłużników – dane kontaktowe, informacje o źródle i wysokości długu, dane o statusie windykacji, historia windykacji.

DODATKOWE OKOLICZNOŚCI ISTOTNE W SPRAWIE

5. Zagadnienie ochrony danych osobowych w podmiotach prowadzących w cudzym imieniu i wspierających działalność windykacyjną jest ze swojej istoty zagadnieniem „podwyższonego ryzyka”. Wynika to z istoty tych procesów (szczególnie negatywnego odbioru przez osoby windykowane). Nierzadko dłużnicy poza zarzutami w stosunku do długu próbują kwestionować inne elementy działania windykatora (np. prawidłowość przetwarzania przez niego danych osobowych). Z tego też względu cała branża od wielu lat była szczególnie mocno monitorowana przez Prezesa UODO.

6. Oprócz charakterystyki branży do zwiększenia faktycznego ryzyka kwestionowania dopuszczalności (legalności) i proporcjonalności działań Vindicat dochodzi także z powodu:

• innowacyjności oferowanego produktu w stosunku do innych oferowanych na rynku;
• efektywności stosowanych rozwiązań, które z kolei przekładają się na intensywność działań wobec dłużnika;
• skalowalności rozwiązania Vindicat, które dzięki swojej prostocie pozwala na bardzo szybkie wykorzystanie go do dużej liczby procesów windykacyjnych.

7. Ważna, bo będąca pod lupą Prezesa UODO, jest też dostępna publicznie Giełda Długów. Umożliwia ona każdemu wierzycielowi publiczne zaoferowanie długu do sprzedaży (cesja wierzytelności).Umieszczenie wierzytelności na Giełdzie Długów polega na wskazaniu: nazwy/imienia i nazwiska dłużnika, kwoty zaległości, terminu, w trakcie którego wystąpiła zaległość oraz informacji o statusie i historii windykacji jak również ceny, za które dana wierzytelność może zostać sprzedana. Decyzja o umieszczeniu danego długu na Giełdzie podejmowana jest każdorazowo wyłącznie przez wierzyciela (klienta Vindicat), a o fakcie wystawienia z chwilą opublikowania na Giełdzie informowany jest dłużnik (za pośrednictwem sms/email lub pisma). Vindicat nie wpływa w żaden sposób, chociażby pośrednio, na oferowane ceny wierzytelności, nie otrzymuje też żadnych prowizji za skuteczną sprzedaż na giełdzie.

8. Klientami usługi Giełdy Długów oferowanej przez Vindicat są nie tylko przedsiębiorcy segmentu MSP, korzystający z innowacyjnego narzędzia. Coraz częściej z Giełdy Długów Vindicat korzystają korporacje, głównie: banki, ubezpieczyciele, telekomy i energetyka, dla których wdrożenie elementu Giełdy Długów w proces windykacji polubownej ich klientów znacznie poprawia skuteczność procesu windykacji, dzięki czemu poprawiają wyniki idące w dziesiątki milionów złotych.

KLUCZOWE WYZWANIA DLA STOSOWANIA RODO

9. Do najważniejszych wyzwań w procesie wdrożenia i przygotowania do kontroli Prezesa UODO należały:

• Uzasadnienie legalności działania zamodelowanych procesów windykacyjnych, w tym giełdy długów (zasada legalności i minimalizacji danych);
• Przeprowadzenie odpowiedniej analizy ryzyka oraz oceny skutków przetwarzania;
• Ustalenie zakresu i treści wymaganej przepisami dokumentacji;
• Przeprowadzenie oceny balansu interesu w ramach tzw. oceny LIA (oceny uzasadnionego interesu).

10. GIEŁDA DŁUGÓW. Vindicat, będąc podmiotem przetwarzającym dane dłużników swoich użytkowników, nie jest formalnie zobowiązany do dokonywania analizy podstaw prawnych, na jakich klienci Vindicat – administratorzy danych – przetwarzają dane osobowe swoich dłużników. Z uwagi jednak na okoliczność, że Vindicat oferuje rozwiązania wspierające takie przetwarzanie, przeprowadził ogólną analizę zgodności z prawem takiego przetwarzania, w tym dokonał oceny jego skutków w tym procesie oraz przeprowadził test balansu interesów[1].

11. Pierwszą wątpliwością była podstawa prawna udostępniania publicznie danych osobowych dłużników. Pomocne było tu wcześniejsze stanowisko GIODO^[2], zgodnie z którym: „Podawanie do publicznej wiadomości danych osobowych dłużnika (np. poprzez ogłoszenie w Internecie, czy gazecie) w celu sprzedaży jego wierzytelności (oferta sprzedaży) stanowi przetwarzanie danych osobowych […] i powinno odbywać się zgodnie z jej zasadami”. Jedną z nich jest konieczność wykazania się podstawą prawną takiego działania. Ustawa wymienia te podstawy w art. 23 ust. 1, wskazując np. zgodę osoby, której te dane dotyczą (pkt 1), czy też prawnie usprawiedliwiony cel administratora danych (pkt 5), którym jest m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Mówiąc o interesie prawnym administratora danych, podkreślić należy, iż ma to być interes prawnie usprawiedliwiony (znajdujący uzasadnienie w konkretnych przepisach prawa). Jednocześnie wskazać należy na art. 66 ustawy z dnia 23 kwietnia 1964 r. Kodeksu cywilnego, który stanowi, iż oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy. W przypadku oświadczenia woli zawarcia umowy sprzedaży wierzytelności bezsporne jest, że wierzytelność należy skonkretyzować, by móc nią rozporządzać. Nie istnieje bowiem wierzytelność „sama dla siebie”, tj. w oderwaniu od stron. Wiedza o tym, przeciwko komu wierzytelność przysługuje, niezbędna jest do racjonalnego podjęcia decyzji o nabyciu wierzytelności. Każdy dłużnik musi zatem liczyć się z tym, że popadając w zwłokę w spełnieniu zobowiązania, jego prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela należnych kwot. W przeciwnym wypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych, skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia. Tym samym system informatyczny Vindicat opiera się na założeniu, że podstawą przetwarzania danych osobowych przez klienta Vindicat jest uzasadniony interes administratora, jakim jest uzyskanie spłaty całości bądź części przeterminowanej należności, a podstawą przetwarzania przez Vindicat – powierzenie przetwarzania danych osobowych przez jego administratora do Vindicat.

12. Kolejnym zagadnieniem jest pytanie o zakres danych dłużnika, jaki może zostać podany do publicznej wiadomości w ramach oferty sprzedaży długu. Występuje tu konflikt pomiędzy wierzycielami i nabywcami (chęć ujawnienia informacji) a dłużnikami (ochrona prywatności). Z analizy decyzji GIODO oraz wynikającej z RODO zasady minimalizacji danych osobowych wynika, że uzasadnione jest tylko takie wskazanie danych osobowych dłużnika, które są niezbędne do określenia danej wierzytelności. W przypadku Giełdy Długów przyjęliśmy, iż ujawnienie w ogłoszonej publicznie ofercie sprzedaży wierzytelności danych osobowych dłużnika w zakresie jego: (a) informacji o dłużniku: imię i nazwisko lub nazwa prowadzonej działalności oraz miejscowość zamieszkania (bez podawania dokładnego adresu), (b) informacji o długu: jego źródle, wysokości, historii dotychczasowej windykacji i aktualnym statusie windykacji jest uzasadnione i niezbędne do realizacji interesu wierzyciela. W ramach analizy privacy by design odrzucony został natomiast pomysł ujawniania pełnego adresu/danych kontaktowych dłużnika jako zbędnych na etapie publicznego oferowania wierzytelności do sprzedaży (choć niezbędnych na etapie zawierania konkretnej umowy sprzedaży długu).

13. OCENA RYZYKA I DPIA. Ze względu na szereg czynników związanych z ryzykiem kwestionowania legalności i skuteczności prowadzonych działań w ramach procesu wdrożeniowego zdecydowano o przeprowadzeniu oceny skutków przetwarzania (DPIA) dla całego procesu Giełdy Długów, przy czym z uwagi na różne zakresy danych i zagrożenia dla ochrony prywatności realnie przeprowadzone zostały dwie oceny DPIA: pierwsza dla relacji Vindicat z wierzycielami (klientami Vindicat), druga dla relacji z dłużnikami. Pozwoliły one na taki dobór środków prawnych, organizacyjnych i technicznych, aby stopień ryzyka szczątkowego dla ochrony prywatności był na akceptowalnym, niskim poziomie i nie powodował konieczności konsultacji z organem lub podmiotami danych.

14. ZAKRES I TREŚĆ WYMAGANEJ DOKUMENTACJI. Kolejnym wyzwaniem procesu wdrożenia była kwestia dokumentacji przetwarzania danych osobowych. Ze względu na liczbę zatrudnionych pracowników w Vindicat nie było konieczne nawet prowadzenie rejestru czynności przetwarzania. Ostatecznie, głównie z uwagi na ryzyko kwestionowania prawidłowości przetwarzania danych przez ewentualnych dłużników, podjęta została decyzja o wdrożeniu dokumentacji jak dla „dużych administratorów”. Dokumentacja składa się m.in. z następujących elementów:

• rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania wraz ze wskazaniem środków organizacyjnych i technicznych zastosowanych do przetwarzania tych danych;
• opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych;
• procedura zarządzania uprawnieniami do przetwarzania danych osobowych oraz ewidencja osób upoważnionych do przetwarzania tych danych;
• procedura powierzania danych osobowych podmiotom zewnętrznym (procesorom) w oparciu o pisemne umowy powierzenia wraz z rejestrem zawartych umów powierzenia danych osobowych;
• procedura postępowania w przypadku naruszenia zabezpieczeń lub integralności danych osobowych, dokumentowania zaistniałych naruszeń i oceny ich skutków dla przetwarzania danych osobowych oraz notyfikacji naruszeń.

Ponadto wdrożona została procedura obsługi wniosków podmiotów danych oraz polityka retencji danych osobowych, której elementem była tablica retencji okresów przetwarzania danych. Z uwagi na fakt, że działalność Vindicat prowadzona była także przed 2018 r., po aktualizacji utrzymane w mocy zostały także obowiązkowe na gruncie wcześniej obowiązujących przepisów polityka bezpieczeństwa informacji i instrukcja zarządzania systemem informatycznym przetwarzającym dane osobowe.

15. OCENA LIA. Przyjętą podstawą przetwarzania danych osobowych w ramach Giełdy Długów jest uzasadniony interes administratora, dlatego podjęto decyzję o wykonaniu dodatkowego tzw. testu uzasadnionego interesu (LIA, tj. legitimate interest assessment). Test został przeprowadzony w oparciu o metodykę bazującą na metodyce ICO (Information Commissioner’s Office, brytyjski odpowiednik Prezesa UODO) i składał się z 3 elementów: oceny celowości, oceny niezbędności oraz ważenia interesów administratora i podmiotu danych. Ostatecznie wynik Oceny LIA był pozytywny, a przeprowadzony test stanowi jeden z elementów spełnienia zasady rozliczalności (art. 5 ust. 2 RODO).

KONTROLA UODO ORAZ JEJ WYNIKI, WNIOSKI I SKUTKI PRAKTYCZNE

16. Na początku października 2018 r. Prezes UODO przeprowadził w Vindicat kontrolę zgodności prowadzonej działalności z wymogami RODO. Choć przedmiotem kontroli była cała działalność Vindicat (poprawność prowadzenia dokumentacji i rejestrów, prawidłowość działania procesów przetwarzania danych, aspekty techniczne i informatyczne; kontrola nie obejmowała obszaru HR), Prezes UODO szczególną wagę przykładał do prawidłowości/legalności podstaw przetwarzania danych osobowych. Kontrola trwała łącznie 4 dni, zakończyła się podpisaniem protokołu kontroli.

17. W kwietniu 2019 r. Vindicat otrzymał od Prezesa UODO pismo, w którym wskazał on, że w trakcie kontroli „nie stwierdził uchybień, dających podstawę do wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

18.  Podstawowym wnioskiem wynikającym ze stanowiska Prezesa UODO z kwietnia 2019 r. jest, iż prowadzenie giełd wierzytelności jest zgodne z prawem. Legalności działań konkretnych giełd jest uzależniona od ich organizacji, sposobu działania, zakresu przetwarzanych danych etc. Stanowisko UODO dotyczyło wyłącznie firmy Vindicat, wraz z przyjętymi rozwiązaniami organizacyjnymi, technicznymi i prawnymi. Co istotne, Prezes UODO nie zakwestionował ani statusu operator Giełdy Długów jako procesora (podmiotu przetwarzającego), ani publikowanego zakresu danych dłużnika oraz informacji o samej wierzytelności.

19. Drugą istotną kwestią jest zagadnienie prawidłowości ustalenia zakresu dokumentacji wymaganej przepisami RODO od podmiotów działających na podobnym rynku. Zakres i treść dokumentacji Vindicat okazały się wystarczające do uznania, że Vindicat spełnił wymogi rozliczalności. Tym samym zakres dokumentacji stosowanej przez Vindicat wskazany w pkt (14) case study pośrednio może być pomocny dla pozostałych administratorów.

[1] Patrz osobny dokument DPIA i LIA

[2] https://giodo.gov.pl/pl/391/3454