Leasingodawca przy prowadzeniu swojej działalności, musi wykorzystać dane osobowe wielu osób. Są to nie tylko dane dotyczące klientów, ale także własnych współpracowników, podwykonawców czy kontrahentów. Firma oferująca usługi leasingu działa wobec wskazanych powyżej osób jako administrator, czyli podmiot, który podejmuje decyzje o celach i sposobach przetwarzania danych. Jako administrator spełnić musi zestaw obowiązków wynikających z rozporządzenia o ochronie danych osobowych (RODO). W znacznej części nie są one odmienne od tych, z jakimi mamy do czynienia w przypadku działalności innego rodzaju, ale na kilka musimy zwrócić szczególną uwagę.
Przetwarzasz dane – poinformuj o tym!
Po pierwsze jeżeli firma leasingowa wykorzystuje dane pracownika, klienta czy kontrahenta, to ma obowiązek udzielić im odpowiedniej informacji bez zbędnej zwłoki (zgodnie z art. 13-14 RODO) najlepiej już na etapie ich zbierania. Dotyczy to także udzielenia odpowiedniej informacji przedstawicielom spółki, z którą prowadzona jest współpraca – w szczególności osób fizycznych, których dane dotyczą.
Żądania klienta
Firmy leasingowe zobowiązane są także wprowadzić rozwiązania, pozwalające na odpowiedź na żądania osoby, której takie dane dotyczą. Warto tutaj zwrócić szczególną uwagę na prawo do przeniesienia danych do innego administratora (art. 20 RODO). Dotyczy to przypadków, gdy dane przetwarzane są na podstawie umowy leasingowej w sposób zautomatyzowany. Leasingodawca powinien zapewnić, że takie dane jest w stanie przesłać jeżeli wpłynie odpowiednie żądanie.
Bezpieczeństwo danych w leasingu
W każdym wypadku leasingodawca musi zabezpieczyć odpowiednio dane. Analiza kar nakładanych w Unii Europejskiej na leasingodawców wskazuje, że zwykle wynikały one z niedostatecznej ochrony danych osobowych. Najczęściej było to nieodpowiednie zabezpieczenia.
Przykładowe kary dla firm leasingowych
Litewski organ ochrony danych nałożył karę na podmiot UAB Prime Leasing w listopadzie 2021roku. Baza danych firmy, czyli dane osobowe ok. 11 tysięcy klientów wyciekły w związku z przechowywaniem ich kopii zapasowej w niechronionej i niezaszyfrowanej formie.
Rumuński organ ochrony danych ukarał spółkę OTP Leasing Rumunia IFN SA za naruszenie polegające na niedostatecznym zabezpieczeniu konta administratora na platformie online. Inna kara w tym samym kraju została nałożona na PRO LEASING SRL. Spółka przy okazji działań promocyjnych, przypadkowo udostępniła fragment kodu źródłowego strony umożliwiający zdobycie haseł dostępu użytkowników.
Wydaje się więc, że potencjalnie największe ryzyko naruszenia związane jest z funkcjonowaniem sieci internetowych i korzystaniem z narzędzi teleinformatycznych, dlatego również tam powinniśmy pamiętać o ochronie danych.
Przeczytaj również: Kary RODO w Polsce
Usunięcie danych w usłudze leasingu
Ogólne rozporządzenie o ochronie danych osobowych (RODO) dotyczy również obowiązku usunięcia danych. A o nim wielu przedsiębiorców często zapomina. Osoby fizyczne, których dane dotyczą mają prawo do bycia zapomnianym po zakończeniu umowy leasingowej. Wnioski płynące z decyzji i wytycznych Prezesa Urzędu Danych Osobowych nie dają jednoznacznej odpowiedzi na pytanie jak długo administrator może przechowywać dane po zakończeniu umowy. Każdy leasingodawca musi ustalić ten termin indywidualnie, biorcą pod uwagę m.in. okres przedawnienia ewentualnych roszczeń związanych z umową.
Jak zabezpieczyć dane w branży leasingowej?
Wskazane powyżej obowiązki to jedynie przykłady działań, które musi podjąć każdy leasingodawca, by sprostać wymogom wynikającym z przepisów RODO. Warto również zwrócić uwagę na spełnienie obowiązków związanych z zabezpieczeniem danych, reagowaniem na naruszenia, relacjami z pracownikami i podwykonawcami, prowadzeniem rejestrów i ewidencji oraz innymi powinnościami wynikającymi z rozporządzenia.
Inspektor ochrony danych pożądany
Leasingodawcy powinni rozważyć powołanie wewnętrznego lub zewnętrznego Inspektora Ochrony Danych. Inspektor ochrony danych powinien w firmie leasingowej koordynować kwestie związane z ochroną danych w organizacji. Rola inspektora ochrony danych jest bardzo istotna w zabezpieczaniu danych. Tylko kompleksowe spojrzenie na działalność leasingodawcy pozwoli na minimalizację ryzyka związanego z sankcjami za złamanie przepisów RODO, w tym administracyjnymi karami pieniężnymi. Inspektor ochrony danych osobowych współpracując z zewnętrznym organem ochrony danych osobowych pomaga w szczególnym wymiarze w przedsiębiorstwach, gdzie dane przetwarzane są na dużą skalę, czyli także w firmach leasingowych.
adw.dr Jan Prasałek