IOD w firmie pożyczkowej

Dodano: 24.10.2018

Nie ulega wątpliwości, że firmy udzielające kredytów konsumenckich przetwarzają dużą liczbę danych osobowych, m.in. już na etapie składania przez potencjalnych klientów wniosków w trybie online. Dane te dotyczą nie tylko pożyczkobiorców, ale i poręczycieli. Warto rozważyć, czy w takim przypadku konieczne lub przynajmniej uzasadnione jest wyznaczenie inspektora ochrony danych.

Kiedy wyznaczenie IOD jest obligatoryjne?

Przetwarzanie danych osobowych należy do administratora danych osobowych. Wykonuje on swoje obowiązki z pomocą inspektora ochrony danych, który – bez względu na to, czy jest pracownikiem administratora czy też nie – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny od tego administratora. Administrator danych osobowych ma obowiązek wyznaczyć inspektora ochrony danych, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Wyznaczenie IOD jest obowiązkowe w zasadzie zawsze gdy ,wskazuje na to: kategoria przetwarzanych danych, cel przetwarzania danych na dużą skalę albo gdy mówimy o jednostce publicznej. W pozostałych przypadkach wyznaczenie inspektora ochrony danych jest fakultatywne, niemniej jednak może być uzasadnione.

Obejrzyj wideoszkolenie: Kiedy powołanie IOD jest obowiązkowe, a kiedy uzasadnione?

Bez znaczenia rodzaj wykonywanej działalności

Bez znaczenia dla oceny, czy zachodzi konieczność powołania IOD jest to, że administrator danych osobowych jest firmą pożyczkową. Z wykonywaniem tej działalności RODO nie wiąże bowiem bezpośrednio obowiązku powołania inspektora ochrony danych osobowych. Nie ma też znaczenia to czy ADO przetwarza dane mu powierzone na podstawie umowy powierzenia czy też dane, dla których jest on administratorem.

Ważne jest natomiast to, czy przetwarzane będą także dane wrażliwe. Jeżeli bowiem:

  • przetwarzanie takich danych będzie stanowiło główną działalność administratora; oraz
  • będzie on to robił w dużej skali;

to wówczas powinien ustanowić inspektora ochrony danych osobowych.

Firma pożyczkowa musi sama dokonać oceny

Zazwyczaj w przypadku firm pożyczkowych trudno mówić o przetwarzaniu danych wrażliwych w ramach głównej działalności ADO i na dużą skalę. Prędzej zapewne należałoby się zastanowić nad spełnieniem drugiej przesłanki („główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”). Należy więc ocenić, czy zawierana duża liczba umów pożyczek skutkuje dużą skalą operacji przetwarzania i w zależności od tej oceny podjąć decyzję o ustanowieniu IOD.

Zgodnie z art. 83 ust. 4 lit. a RODO za nieustanowienie IOD w przypadku, gdy administrator był do tego zobowiązany, ADO grozi administracyjna kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 37, art. 83.

__

Marcin Sarna
radca prawny,
ekspert portalu PoradyODO.pl