Giełda wierzytelności a RODO

  • 19.04.2022

  • Autor: Jarosław W. Mrożek

  • News

Giełda wierzytelności to miejsce, w którym wierzyciel ma możliwość zaoferowania do „sprzedaży” swojej wierzytelności innym osobom. Należy mieć na uwadze, iż oferowane przez wierzyciela wierzytelności nie podlegają klasycznej sprzedaży w rozumieniu art. 535 Kodeksu cywilnego (dalej: kc), lecz są oferowane w ramach tzw. „cesji”, którą regulują przepisy art. 509 i następne kc. Dodatkowym elementem charakterystycznym dla giełdy jest okoliczność, iż taka oferta podlega publicznemu ujawnieniu, a zarazem, o fakcie wystawienia wierzytelności na giełdzie, informowany jest dłużnik. W ten sposób realizowana jest zasada transparentności.

 

Szczególną rolę w procesie przeniesienia własności wierzytelności odgrywa operator giełdy, pomimo, iż nie jest on stroną w relacji wierzyciel-dłużnik, nie wpływa na cenę wierzytelności, ani nie uzyskuje z tego tytułu korzyści.

 

Wiele osób może zastanawiać się nad tym, czy transakcje prowadzone na giełdzie wierzytelności są zgodne z prawem, w szczególności, czy nie naruszają przepisów dotyczących ochrony danych osobowych dłużnika. Aby odpowiedzieć sobie na tak postawione pytanie, należy się zastanowić nad tym, gdzie tkwią potencjalne ryzyka związane z operacjami przetwarzania danych osobowych na giełdzie wierzytelności. Istotna jest kwestia istnienia przepisów prawa, pozwalających na dokonywanie tego typu transakcji, które z jednej strony nie zabraniają egzekwowania słusznych praw wierzycieli, z drugiej zaś zapewniają ochronę prywatności dłużników.

 

Z punktu widzenia przepisów RODO, najważniejsze wydają się dwie kluczowe zasady, tj. zasada legalności przetwarzania danych (art. 5 ust. 1 lit. a RODO) oraz zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO).

 

Ze względu na specyficzny charakter celu, z jakim wiążą się operacje obrotu wierzytelnościami, niezwykle istotnym zagadnieniem jest przeprowadzenie rzetelnej analizy ryzyka oraz oceny skutków przetwarzania (DPIA). Czynności tych, w ramach dochowania należytej staranności profesjonalisty winien dokonać operator giełdy. Ponadto, w celu zapewnienia zasady rozliczalności, niezbędne jest sporządzenie przez uczestniczące w procesach ujawniania i oferowania do „sprzedaży” wierzytelności podmioty odpowiedniej dokumentacji, wymaganej przepisami prawa, w tym między innymi sporządzenie rejestru czynności przetwarzania, o którym jest mowa w art. 30 ust. 1 RODO, rejestru kategorii czynności przetwarzania, czy prowadzenie innych rejestrów jak np. rejestru upoważnień. Z uwagi na to, że przetwarzanie danych osobowych odbywa się na zasadzie prawnie uzasadnionego interesu realizowanego przez administratora, niezbędne jest przeprowadzenie tzw. oceny balansu interesów (LIA), czyli wyważenia interesów administratora względem interesów i podstawowych wolności podmiotów danych.

 

Jeśli chodzi o zasadę legalności przetwarzania danych osobowych na giełdzie wierzytelności, to konieczne jest spojrzenie na to zagadnienie z punktu widzenia, po pierwsze interesów administratora, czyli wierzyciela oraz po drugie – interesów operatora giełdy.

 

Podstawą prawną przetwarzania danych osobowych przez wierzyciela jest realizacja jego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), np. przez uzyskanie zapłaty przeterminowanej wierzytelności, przy jednoczesnym wskazaniu, iż ów interes jest silniejszy, niż ochrona prywatności dłużnika. Nie jest w tym miejscu istotne, czy zapłaty takiej dokona sam dłużnik, czy osoba trzecia, na którą wierzyciel dokona cesji swojej wierzytelności. Zgodnie z motywem 47 RODO „podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz”.

 

Jak wskazuje Prezes UODO w Decyzji wydanej w dniu 4 stycznia 2019 r. w sprawie ZSPR.440.631.2018 „należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności”.

 

W wypadku operatora giełdy, podstawą prawną przetwarzania danych osobowych jest art. 28 ust. 3 RODO w zw. z art. 6 ust. 1 lit. f RODO, która materializuje się przez łączącą operatora giełdy z wierzycielem umowę powierzenia przetwarzania danych osobowych. Operator ten bowiem występuje w całym procesie w roli podmiotu przetwarzającego, czyli procesora. Dodatkową podstawą prawną dla operatora giełdy stanowi art. 66 § 1 kc oraz art. 4 ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (t.j. Dz.U. 2018 nr 470). Pierwszy z cytowanych przepisów mówi o tym, że „oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy”, drugi zaś wskazuje, że „udostępnianie informacji gospodarczych osobom trzecim nieoznaczonym w chwili przeznaczania tych informacji do udostępniania następuje wyłącznie za pośrednictwem biura informacji gospodarczej, chyba że przepisy prawa przewidują inny tryb udostępniania danych”. Przepis ten więc, rozszerzająco, dopuszcza ujawnianie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO.

 

Aby druga zasada, tzw. minimalizacji danych była w procesie obrotu wierzytelnościami spełniona, konieczna jest dokonanie analizy, które dane osobowe dłużnika są w tym celu faktycznie niezbędne. Stanowiska Prezesa UODO, potwierdzone orzecznictwem sądów pozwalają na określenie maksymalnego zakresu danych osobowych dłużnika, który wierzyciel, w ramach wykonywania swoich praw, może przetwarzać. I tak, zgodne z prawem jest przekazywanie na giełdę wierzytelności danych dłużnika, zarówno osoby fizycznej (konsumenta), jak i przedsiębiorcy. O ile dłużnikiem jest osoba prawna, np. spółka kapitałowa, fundacja lub stowarzyszenie, możliwe jest upublicznienie jego pełnych danych. W wypadku osób fizycznych prowadzących, bądź nie działalność gospodarczą, na giełdę wierzytelności można przekazać wyłącznie podstawowe dane, tj. imię i nazwisko osoby zadłużonej, jej firmę oraz nr NIP (w wypadku przedsiębiorcy), miejscowość, w której taka osoba mieszka, lub prowadzi działalność, bez wskazywania jednak dokładnego adresu. Ponadto, dozwolone jest przekazywanie informacji o zobowiązaniu, jego źródle, aktualnej wysokości zadłużenia oraz dotychczas prowadzonych działaniach windykacyjnych, wraz z informacją, czy dłużnik uznaje dług, czy zaprzecza jego istnieniu.

 

Z punktu widzenia legalności przetwarzania danych osobowych ważne jest dokumentowanie, zarówno przez wierzyciela, jak i operatora giełdy wszystkich procesów związanych z takim przetwarzaniem. Kluczowe w tym miejscu jest udokumentowanie, iż została przeprowadzona analiza ryzyka oraz ocena skutków przetwarzania dla ochrony prywatności podmiotów danych. Nie należy w tym miejscu pomijać innych aspektów, takich jak zastosowanie odpowiednich środków w celu zabezpieczenia danych osobowych przed nieuprawnionym dostępem osób trzecich, atakami hackerskimi oraz innymi incydentami, mogącymi prowadzić do wypadków naruszenia ochrony danych osobowych.

 

Równie istotną kwestią dla zapewnienia należytej ochrony danych osobowych jest przeprowadzenie oceny balansu interesów, w którym mowa w art. 6 ust. 1 lit. f in fine RODO. Test taki powinien składać się trzech części, mianowicie testu celowości, niezbędności oraz równowagi. O konieczności dokonania takiej analizy, w wypadku oparcia przez administratora danych osobowych przetwarzania na podstawie prawnie uzasadnionego interesu administratora, wielokrotnie informował na swoich stronach internetowych Prezes UODO, więc praktykę taką należy uznać obecnie za ugruntowaną.

 

Podsumowując, należy stwierdzić, że w świetle obowiązujących przepisów prowadzenie giełdy wierzytelności jest dopuszczalne. Zgodnie bowiem z art. 66 § 1 kc niezbędnym warunkiem, aby wierzytelność mogła się stać przedmiotem rozporządzania jest dostateczne jej oznaczenie. Materialnym zaś przejawem tejże konkretyzacji jest wskazanie danych osobowych dłużnika. Oferowanie, poprzez ujawnianie na giełdach wierzytelności, wierzytelności do sprzedaży jest zgodne z prawem, a podstawą prawną przetwarzania danych osobowych dłużnika jest prawnie uzasadniony interes wierzyciela (administratora), co potwierdza m. in. wyrok Sądu Apelacyjnego w Łodzi z dnia 17 lutego 2017 r. I ACa 1081/ 16 (LEX nr 2282450).

Autor

Jarosław W. Mrożek

Radca prawny, audytor RODO, stały mediator sądowy.

Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach.
Doradzał spółkom z branży produkcyjnej, handlowej, turystycznej i budowlanej.
Pełni funkcję Inspektora Ochrony Danych oraz koordynatora ochrony danych osobowych w spółkach i innych podmiotach.
Autor artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych, procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Cechuje się praktyczną znajomością przepisów związanych z ochroną danych osobowych, tworzenia dokumentacji zgodnej z rozporządzeniem RODO, wdrażania projektów związanych z ochroną danych osobowych, sporządzania umów powierzenia, prowadzenia warsztatów i szkoleń z zakresu RODO.
Posługuje się biegle jęz. angielskim i francuskim.