: RODO i prawo do bycia zapomnianym – jak to działa w usługach finansowych?

Prawo do bycia zapomnianym – regulacje i ograniczenia

Prawo do usunięcia danych (art. 17 RODO, czyli Ogólnego Rozporządzenia o Ochronie Danych Osobowych) pozwala osobie fizycznej zażądać od administratora niezwłocznego usunięcia jej danych osobowych, jeśli spełniona jest jedna z przesłanek, m.in.:

• dane nie są już potrzebne do celów, w których zostały zebrane,
• osoba wycofała zgodę i nie ma innej podstawy prawnej przetwarzania,
• osoba wnosi sprzeciw wobec przetwarzania,
• dane były przetwarzane niezgodnie z prawem,
• dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.

Jednak prawo to nie jest absolutne. Artykuł 17 ust. 3 RODO przewiduje wyjątki, w tym szczególnie istotne dla pośrednika finansowego:

• przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku ciążącego na administratorze danych (np. przechowywania dokumentacji finansowej),
• w celu ustalenia, dochodzenia lub obrony roszczeń.

W kontekście usług finansowych – takich jak doradztwo kredytowe, analiza zdolności kredytowej, czy pośrednictwo w zawarciu umowy – często przetwarzamy dane na podstawie obowiązku prawnego wynikającego z:

• Ustawy o kredycie hipotecznym i o nadzorze nad pośrednikami kredytu hipotecznego i agentami (Dz.U. 2017 poz. 819),
• Ustawy o kredycie konsumenckim (Dz.U. 2011 nr 126 poz. 715),
• Ustawy o rachunkowości (Dz.U. 1994 nr 121 poz. 591) – obowiązek przechowywania dokumentacji przez 5 lat,
• Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML) – obowiązek przechowywania danych nawet do 5 lat po zakończeniu relacji z klientem.

Praktyczne porady dla pośrednika kredytowego

1. Ustal podstawę przetwarzania danych przy zbieraniu danych od klienta.
2. Jeśli dane są zbierane na podstawie zgody (np. na marketing), klient może ją cofnąć i zażądać usunięcia danych. Wtedy trzeba niezwłocznie usunąć dane – chyba że istnieje inna podstawa do ich przetwarzania (np. obowiązek przechowywania).
3. Oddziel dane przetwarzane na podstawie zgody od tych przetwarzanych w ramach obowiązku prawnego.
4. W praktyce warto mieć wyodrębnioną strukturę danych – np. system CRM zawierający dane marketingowe (łatwe do usunięcia) oraz system księgowy, archiwum umów i formularzy analitycznych (podlegające retencji ustawowej).
5. Zawsze dokumentuj decyzję o odmowie usunięcia danych.
6. Jeżeli klient zażąda „bycia zapomnianym”, a Ty – jako pośrednik – odmówisz ze względu na obowiązek ustawowy, musisz jasno wskazać podstawę prawną. Dobrze, by istniała wewnętrzna procedura lub wzór odpowiedzi.
7. Informuj o czasie przechowywania danych już na etapie zgody.
8. Zgodnie z art. 13 RODO – klient powinien wiedzieć, jak długo jego dane będą przechowywane. Przykład: „Dane będą przechowywane przez okres 5 lat od zakończenia współpracy zgodnie z ustawą o rachunkowości.”
9. Regularnie przeglądaj dane i automatyzuj ich usuwanie.
10. Jeżeli masz dane marketingowe zbierane na podstawie zgody, ustaw przypomnienie (np. co 12 miesięcy), by weryfikować, czy zgoda nadal obowiązuje i czy dane nie powinny zostać usunięte.

Podstawy prawne i źródła

• RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, art. 17:
• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
• Ustawa o kredycie hipotecznym i nadzorze nad pośrednikami:
• https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20170000819
• Ustawa o kredycie konsumenckim:
• https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20111260715
• Ustawa o rachunkowości:
• https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU19941210591
• Ustawa o przeciwdziałaniu praniu pieniędzy (AML):
• https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180000723

Podsumowanie

Dla pośrednika kredytowego „prawo do bycia zapomnianym” to nie prosta operacja „usuń dane”. To proces wymagający rozróżnienia podstaw prawnych, odpowiedzialnego podejścia i dobrej dokumentacji. Kluczowe jest zrozumienie, które dane można usunąć na żądanie klienta, a które trzeba przechowywać zgodnie z przepisami. Odpowiednie procedury, systematyczna dokumentacja i