Rejestracja użytkownika
Odzyskaj hasło

Windykacja wierzytelności a rejestracja zbioru danych osobowych

Firmy windykacyjne, które administrują danymi osobowymi dłużników zobowiązane są do przestrzegania ustawy o ochronie danych osobowych. Ustawa kładzie na administratorów odpowiednie obowiązki oraz uprawnienia związane z administrowaniem i przetwarzaniem danych.

Warto przy tym zwrócić uwagę, że przedsiębiorca (osoba fizyczna prowadząca działalność gospodarczą i wspólnik w spółce cywilnej) również podlega ustawie o ochronie danych osobowych. Nie jest więc prawdziwe stwierdzenie, że przedsiębiorca niezależnie od formy prawnej nie podlega ustawie o ochronie danych osobowych.

Zgodnie z treścią art. 7 ppkt. 4 administratorem danych osobowych to organ, jednostka organizacyjna, podmiot lub osobę, organ państwowy, organ samorządu terytorialnego, państwowa lub komunalna jednostka organizacyjna decydująca o celach i środkach przetwarzania danych osobowych. Nie ma tu jednak znaczenia czy podmiot czy podmiot przetwarza dane osobowe samodzielnie czy też zlecił przetwarzanie danych osobowych innemu podmiotowi. Warto jednak podkreślić, że w przypadku oddziałów spółek kapitałowych (jednostek organizacyjnych) administratorem jest sama spółka a nie jej oddział.

Art. 7 ustawy określa dalsze definicje:
  • zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
  • przetwarzanie danych -jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
  • system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
  • zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
  • usuwanie danych - jest to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,

Obowiązek rejestracji danych osobowych

Obowiązek zgłoszenia bazy danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych ciąży zgodnie z treścią art. 46 ust 1 administratorowi przed rozpoczęciem procesu przetwarzania danych osobowych, czyli przed pierwszą czynnością jaka zostanie wykonana na bazie danych. Jednakże w przypadku gdy administrator będzie przetwarzał dane sensytywne (a takie najczęściej zdarzają się w firmach windykacyjnych) o których mowa w art. 27 ustawy o ochronie danych osobowych, przetwarzanie danych może nastąpić dopiero po zarejestrowaniu bazy u GIODO.

Ustawa określa też podmioty, które są zwolnione z obowiązku rejestracji oraz zgłaszania przetwarzania danych osobowych niektórym podmiotom, te zaś z reguły nie przysługują firmom windykacyjnym. Ustawa co prawda wspomina o uzasadnionej potrzebie prawnej, jednak sformułowania ustawy budzą wiele zastrzeżeń i dyskusji. Niektóre firmy windykacyjne próbując sobie poradzić z problemem danych osobowych a w szczególności danych sensytywnych powołało w ramach grupy kapitałowej biura detektywistyczne - licencja detektywistyczna uprawnia do przetwarzania danych osobowych w zasadzie bez ograniczeń.

Zgłoszenie bazy danych osobowych powinno nastąpić na specjalnym formularzu, który zgodnie z treścią art. 41 ust. 1 ustawy powinien zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  2. oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu,
  3. cel przetwarzania danych,
  4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  5. sposób zbierania oraz udostępniania danych,
  6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
  7. opis środków technicznych i organizacyjnych zastosowanych w celach przetwarzania i zabezpieczania danych osobowych
  8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach,
  9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenie powinno być wypełnione w całości oraz podpisane przez osobę pełniącą obowiązki Administratora Bezpieczeństwa Informacji. Obecnie dostępna jest możliwość rejestracji zbioru przez internet z wykorzystaniem elektronicznego podpisu kwalifikowanego, możliwość internetowego zgłoszenia rejestru znajduje się na stronie egiodo.giodo.gov.pl. Ponadto w firmie powinny zostać opracowane i wdrożone procedury przetwarzania i ochrony danych osobowych.

Ponadto dla danych osobowych przetwarzanych w systemach informatycznych wprowadzono akty wykonawcze, w szczególności Rozporządzenie Ministra Spraw Wewnętrznych I Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenia określa poziomy bezpieczeństwa danych osobowych w systemach informatycznych:

  1. Podstawowy
  2. Podwyższony
  3. Wysoki

Podstawowy - w systemie informatycznym nie są przetwarzane dane sensytywne i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Podwyższony - w systemie informatycznym przetwarzane są dane osobowe sensytywne i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

Dla poziomu podstawowego należy stosować co najmniej następujące zabezpieczenia:
  • identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
  • w przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe należy przechowywać w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją oraz zniszczeniem a następnie usunąć po tym jak przestaną być potrzebne. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego.

Dla poziomu rozszerzonego używa się hasła, które składa się z co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

Dla poziomu wysokiego system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. Obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa.

Ponadto w celu dodatkowego zabezpieczenia danych osobowych stosuje się normy ISO w szczególności normę ISO/IEC 27002, której polskim odpowiednikiem jest norma PN-ISO/IEC 17799:2007. Warto pamiętać o wszelkich restrykcjach związanych z ochroną danych osobowych, szczególnie gdy mamy do czynienia z windykacją pakietową windykacją osób fizycznych, bo kary nakładane przez GIODO do najniższych nie należą. Warto przy tym dodać, że bardzo mało aplikacji windykacyjnych sprzedawanych detalicznie spełnia wymogi ochrony danych osobowych.

Autor: Marcin Łysuniec
Oceń artykuł:

Eksport do PDFEksport do HTML    Data dodania: 2013-06-03 (Ostatnia zmiana: 2013-06-03)

Dodaj swój komentarz do tego wpisu

Imię i nazwisko (*):
Adres e-mail (*):
Email nie będzie wyświetlany na stronie
Treść komentarza (*):
Przepisz kod (*): Captcha
Powrót

Komentarze

Zarejestruj się
Zaloguj się
Aktualizuj wpis firmy
Reklama w Windykacja.pl
Szukaj firm windykacyjnych
Nazwa firmy:
Kwota windykacji:
Obszar geograficzny:

Kalkulatory

Kwota:



Okres "od":


Okres "do":




Wybrane wpisy z bazy firm
PERFEKT INKASO windykacja B2B
Windykacja za odsetki, skup niezapłaconych faktur i not odsetkowych, wywiad gospodarczy, kompleksowa obsługa prawna, monitoring płatności, pieczęć prewencyjna.

Zasięg działania: Polska
Atma Collections Sp. z o.o.

Zasięg działania: Europa