Prawo do bycia zapomnianym – regulacje i ograniczenia
Prawo do usunięcia danych (art. 17 RODO, czyli Ogólnego Rozporządzenia o Ochronie Danych Osobowych) pozwala osobie fizycznej zażądać od administratora niezwłocznego usunięcia jej danych osobowych, jeśli spełniona jest jedna z przesłanek, m.in.:
- dane nie są już potrzebne do celów, w których zostały zebrane,
- osoba wycofała zgodę i nie ma innej podstawy prawnej przetwarzania,
- osoba wnosi sprzeciw wobec przetwarzania,
- dane były przetwarzane niezgodnie z prawem,
- dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
Jednak prawo to nie jest absolutne. Artykuł 17 ust. 3 RODO przewiduje wyjątki, w tym szczególnie istotne dla pośrednika finansowego:
- przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku ciążącego na administratorze danych (np. przechowywania dokumentacji finansowej),
- w celu ustalenia, dochodzenia lub obrony roszczeń.
W kontekście usług finansowych – takich jak doradztwo kredytowe, analiza zdolności kredytowej, czy pośrednictwo w zawarciu umowy – często przetwarzamy dane na podstawie obowiązku prawnego wynikającego z:
- Ustawy o kredycie hipotecznym i o nadzorze nad pośrednikami kredytu hipotecznego i agentami (Dz.U. 2017 poz. 819),
- Ustawy o kredycie konsumenckim (Dz.U. 2011 nr 126 poz. 715),
- Ustawy o rachunkowości (Dz.U. 1994 nr 121 poz. 591) – obowiązek przechowywania dokumentacji przez 5 lat,
- Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML) – obowiązek przechowywania danych nawet do 5 lat po zakończeniu relacji z klientem.
Praktyczne porady dla pośrednika kredytowego
- Ustal podstawę przetwarzania danych przy zbieraniu danych od klienta.
- Jeśli dane są zbierane na podstawie zgody (np. na marketing), klient może ją cofnąć i zażądać usunięcia danych. Wtedy trzeba niezwłocznie usunąć dane – chyba że istnieje inna podstawa do ich przetwarzania (np. obowiązek przechowywania).
- Oddziel dane przetwarzane na podstawie zgody od tych przetwarzanych w ramach obowiązku prawnego.
- W praktyce warto mieć wyodrębnioną strukturę danych – np. system CRM zawierający dane marketingowe (łatwe do usunięcia) oraz system księgowy, archiwum umów i formularzy analitycznych (podlegające retencji ustawowej).
- Zawsze dokumentuj decyzję o odmowie usunięcia danych.
- Jeżeli klient zażąda „bycia zapomnianym”, a Ty – jako pośrednik – odmówisz ze względu na obowiązek ustawowy, musisz jasno wskazać podstawę prawną. Dobrze, by istniała wewnętrzna procedura lub wzór odpowiedzi.
- Informuj o czasie przechowywania danych już na etapie zgody.
- Zgodnie z art. 13 RODO – klient powinien wiedzieć, jak długo jego dane będą przechowywane. Przykład: „Dane będą przechowywane przez okres 5 lat od zakończenia współpracy zgodnie z ustawą o rachunkowości.”
- Regularnie przeglądaj dane i automatyzuj ich usuwanie.
- Jeżeli masz dane marketingowe zbierane na podstawie zgody, ustaw przypomnienie (np. co 12 miesięcy), by weryfikować, czy zgoda nadal obowiązuje i czy dane nie powinny zostać usunięte.
Podstawy prawne i źródła
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, art. 17:
- https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
- Ustawa o kredycie hipotecznym i nadzorze nad pośrednikami:
- https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20170000819
- Ustawa o kredycie konsumenckim:
- https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20111260715
- Ustawa o rachunkowości:
- https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU19941210591
- Ustawa o przeciwdziałaniu praniu pieniędzy (AML):
- https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180000723
Podsumowanie
Dla pośrednika kredytowego „prawo do bycia zapomnianym” to nie prosta operacja „usuń dane”. To proces wymagający rozróżnienia podstaw prawnych, odpowiedzialnego podejścia i dobrej dokumentacji. Kluczowe jest zrozumienie, które dane można usunąć na żądanie klienta, a które trzeba przechowywać zgodnie z przepisami. Odpowiednie procedury, systematyczna dokumentacja i