Firma pożyczkowa będzie mogła w takim przypadku przetwarzać dane osobowe niedoszłego klienta, choćby on sam zgłaszał co do tego sprzeciw. Ma on oczywiście prawo zażądać, aby firma nie wykorzystywała informacji o nim do celów marketingowych i ograniczyła ich zakres do niezbędnego minimum, ale nie może skutecznie zażądać całkowitego ich usunięcia z bazy danych tego przedsiębiorcy. Jeszcze raz warto podkreślić, że dotyczy to także tych sytuacji, w których po wystąpieniu z wnioskiem o udzielenie pożyczki, dokonaniu tzw. mikropłatności, czyli przelewu na bardzo małą kwotę (np. 10 gr) w celu weryfikacji tożsamości klienta i prawidłowości rachunku, na który miałyby trafić środki pożyczki oraz wreszcie po przeprowadzeniu przez pożyczkodawcę weryfikacji zdolności kredytowej, ten ostatni udzielił odpowiedzi odmownej.
W takim przypadku przedsiębiorca powinien zaprzestać przetwarzania danych, które były zbierane i niezbędne do udzielenia pożyczki, w tym np. odnoszących się do nazwiska panieńskiego matki lub danych pozyskanych ze zbiorów biur informacji gospodarczej lub kredytowej. We własnym zasobie firma musi jednak pewien zakres informacji pozostawić. A wynika to z przepisów ustawy o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowaniu terroryzmu (DzU z 2014 r., poz. 455). Jednocześnie wypełnia przesłankę legalnego przetwarzania danych z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych (DzU z 2015 r., poz. 2135 ze zm.).
Ustawa o ochronie...
Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne wówczas, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. I właśnie na takie obowiązki, wynikające z przepisów szczególnych, może w opisanym przypadku powołać się przedsiębiorca. Należy bowiem zwrócić uwagę na art. 9k, w związku z art. 8b ust. 1, art. 8b ust. 3 pkt 1 oraz art. 8b ust. 4 pkt 1 ustawy o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowaniu terroryzmu.
...i walce z praniem pieniędzy
Zgodnie z tymi przepisami instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego. Zakres stosowania jest określany na podstawie oceny ryzyka prania pieniędzy i finansowania terro- ryzmu (zwanej oceną ryzyka), dokonanej w wyniku analizy z uwzględnieniem w szczególności rodzaju klienta, stosunków gospodarczych, produktów lub transakcji. Środki bezpieczeństwa finansowego polegają m.in. na identyfikacji klienta i weryfikacji jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych. Jak wskazuje art. 8b ust. 4 pkt 1, środki bezpieczeństwa finansowego są stosowane w szczególności przy zawieraniu umowy z klientem. Natomiast identyfikacja klienta obejmuje w przypadku osób fizycznych i ich przedstawicieli – ustalenie i zapisanie cech dokumentu stwierdzającego tożsamość osoby, a także imienia, nazwiska, obywatelstwa oraz adresu osoby dokonującej transakcji, a ponadto numeru PESEL lub daty urodzenia w przypadku osoby nieposiadającej numeru PESEL, lub numeru dokumentu stwierdzającego tożsamość cudzoziemca, lub kodu kraju w przypadku przedstawienia paszportu.
Z kolei wspomniana weryfikacja polega na sprawdzeniu i potwierdzeniu danych i następuje przed zawarciem umowy z klientem lub przed przeprowadzeniem transakcji. W opisanym przypadku taka weryfikacja tożsamości została przeprowadzona przez przedsiębiorcę poprzez dokonanie przez klienta transakcji przelewu na rzecz spółki określonej, niewielkiej kwoty (tzw. mikropłatność). I właśnie dane pozyskane na podstawie tej weryfikacji pożyczkodawca ma obowiązek przechowywać przez okres pięciu lat, licząc od pierwszego dnia roku następującego po roku, w którym weryfikacja została przeprowadzona. Wynika to wprost z art. 9k omawianej ustawy, zgodnie z którym informacje uzyskane w celu i wyniku weryfikacji są przechowywane przez okres pięciu lat, licząc od pierwszego dnia roku następującego po roku, w którym przeprowadzono transakcję z klientem.
