Czy firmy pożyczkowe przestrzegają RODO? [TEST]
26 października, 2023
Firmy oferujące pożyczki pozabankowe i tzw. chwilówki są znane z tego, że gromadzą dużo danych o swoich klientach. Standardem jest podawanie numeru dowodu, PESELu, nazwy zakładu pracy, a nawet nazwiska panieńskiego matki. Co by było, gdyby taki zestaw danych wyciekł i trafił w niepowołane ręce? Skutki mogłyby być katastrofalne – od konieczności spłaty nieswoich pożyczek i sprzętu wziętego na raty, do odpowiedzialności karnej, na przykład za wyłudzenie. Trzeba pamiętać, że występowanie w charakterze tzw. słupa jest zagrożone karą do 8 lat więzienia i to bez względu na to, czy miało się tego świadomość, czy nie. Dlatego warto kontrolować, które firmy zbierają o nas dane, a gdy nie ma podstawy żeby je zbierały – usuwać je. Udało mi się prześwietlić firmy pożyczkowe, zarówno te popularne, jak i niszowe.
Metodologia testu jest następująca: nasz anonimowy czytelnik miał w swojej karierze wiele pożyczek pozabankowych na koncie. Część wynikała z nacięcia się na scammera z M2M (jak nie dać się oszukać na fałszywe oferty pracy pisałem tutaj). Przyszedł do mnie, prosząc o poradę w wycofaniu zgód i wyczyszczeniu BIK, ponieważ jako redaktor portalu finansowego FXsoftware, na pewno się na tym znam. Oczywiście, że się na tym znam, dlatego z całą pewnością mogę powiedzieć, że BIK-u nie da się wyczyścić. A przynajmniej w powszechnym znaczeniu tego wyrażenia.
Owszem, da się wycofać zgodę na przetwarzanie danych, co powoduje automatycznie wykreślenie z baz takich jak BIK, ale nie zawsze takie wycofanie ma skutek taki jak chcemy. Przede wszystkim, zobowiązanie musi być spłacone. Tu nie ma żadnego pola do dyskusji. Całe szczęście, nasz czytelnik wszystkie swoje chwilówki już spłacił i możemy pobawić się w RODO. Warto wiedzieć, że spłacone zobowiązanie może być “niewykreślalne” z baz. Dotyczy to roszczeń opóźnionych w spłacie powyżej 60 dni – takie są możliwe do usunięcia dopiero po pięciu latach i żadna firma zajmująca się “czyszczeniem BIKu” nie pomoże.
Nasz czytelnik nawet nie pamięta, w jakich firmach składał wniosek o pożyczkę. Prawdopodobnie we wszystkich możliwych. Dlatego wysłałem maila do wszystkich firm jakie znalazłem, oczywiście z jego skrzynki:
Dzień dobry,
Oświadczam, że nie wyrażam zgody na przetwarzanie moich danych osobowych przez XXXXXXXX. Niniejszym żądam niezwłocznego usunięcia wszystkich moich danych ze wszystkich baz należących do w/w podmiotu oraz z ewentualnych baz podmiotów powiązanych. Żądanie dotyczy też usunięcia ewentualnych informacji w zakresie wpisów i zapytań kredytowych i pożyczkowych.
Proszę o potwierdzenie usunięcia moich danych.
Podstawa prawna: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Z poważaniem,
XXXXXXX XXXXXXXXX
PESEL XXXXXXXXXXX
Taki mail w zupełności wystarczy do skutecznego sprzeciwu na przetwarzanie i żądania usunięcia danych! Ważne, żeby to był e-mail, który został podany danej instytucji finansowej, ponieważ logiczne jest, że nie możemy zrobić tego z adresu osoby trzeciej. Reakcja firm pożyczkowych była różna *:
| Firma pożyczkowa | Czas odpowiedzi | Zaprzestanie przetwarzania | Usunięcie danych z baz | Usunięcie danych z systemu |
| Aasa (Aasa Polska S.A.) | 1 dzień | TAK | TAK | NIE[1] |
| Alfa Kredyt (Alfakredyt sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Axi Card ( Easy Payment Services OOD, Access Finance Ltd.) | 1 dzień | TAK | NIE[2] | NIE[1] |
| As Kredyt (Loando Direct Sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni | |||
| Cashtero (Finceptiv Plus OÜ) | 1 minuta | NIE[3] | NIE[3] | NIE[3] |
| Crezu (Fininity Ltd.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Ekspres Pożyczka (Argentum Capital Sp. z o.o.) | 1 dzień | TAK | TAK | NIE[1] |
| Extra Portfel (Creamfinance Poland sp. z o.o.) | 1 godzina | TAK | NIE[2] | TAK |
| Feniko (Feniko Finanse sp. z o.o.) | 3 godziny | TAK | NIE[2] | TAK |
| Fiizy (Fiizy Poland Sp. z o.o.) | 1 minuta | NIE[3] | NIE[3] | NIE[3] |
| Finbo (Fincapital Sp. z o.o.) | 2 godziny | – [4] | – [4] | – [4] |
| Freezl (TAMGACOM LLC i Szybka Gotówka Sp z o.o.) | 1 dzień | TAK | NIE[2] | TAK |
| Kredyt-dla-zadluzonych.pl (Finelf Performance sp. z o. o.) | Niepoprawny adres e-mail do kontaktu. | |||
| KredytOK (Capital Service S.A.) | 1 dzień | TAK | TAK | NIE[1] |
| Kuki (Fincapital Sp. z o.o.) | 2 dni | TAK | TAK | NIE[2] |
| Lendon (KIM Finance sp. z o.o.) | 12 minut | TAK | NIE[2] | TAK |
| Miloan (Miloan Polska Sp. z o.o.) | 1 dzień | TAK | TAK | NIE[1] |
| Mini Credit (Minicredit Sp. z o.o.) | 1 dzień | TAK | NIE[2] | NIE[1] |
| Modna Pożyczka (Loando Direct Sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Money Beat (Money Beat Sp. z o.o., Odnaol Sp. z o.o., SilkLead Sp. z o.o.) | 1 minuta 13 dni** | NIE[3] TAK | NIE[3] NIE[2] | NIE[3] NIE[2] |
| Money Planet (SilkLead Sp. z o.o.) | Niepoprawny adres e-mail do kontaktu. | |||
| Mutum (Money Beat Sp. z o.o., Loando Direct Sp. z o.o., SilkLead Sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| NetCredit (Net Credit sp. z o.o.) | 1 dzień | NIE[3] | NIE[3] | NIE[3] |
| Nexu (Blue Finance Polska Sp. z o.o.) | 1 dzień | TAK | TAK | TAK |
| Oros (Fincapital Sp. z o.o.) | 1,5 godziny | – [4] | – [4] | – [4] |
| Profi Credit (PROFI CREDIT Polska S.A.) | 15 dni** | TAK | NIE[2] | NIE[2] |
| ProFimo (Prometeusz Finanse Sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Provident (Provident Polska S.A.) | 3 dni | TAK | TAK | NIE[1] |
| Ratado (Loando Direct Sp. z o.o.) | Niepoprawny adres e-mail do kontaktu. | |||
| Ratka.pl (Loando Direct Sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Rupi (Rupi Finance sp. z o.o.) | 1 dzień | TAK | TAK | TAK |
| Sloan (Nordecum Sp. z o.o.) | 1 dzień | TAK | TAK | TAK |
| Smart Pożyczka (Aventus Group sp. z o.o.) | 7 minut | TAK | TAK | NIE[1] |
| Smartney (Smartney sp. z o.o.) | 1 dzień | TAK | TAK | NIE[1] |
| Super Grosz (Infostom sp. z o.o. i Aiqlabs Sp. z o.o.) | 1 dzień | TAK | TAK | TAK |
| SuperKasa (Money Beat Sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Szybka Gotówka (TAMGACOM LLC) | 1 dzień | TAK | NIE[2] | TAK |
| Taratatu (FinGO Capital S.A.) | 13 dni | – [4] | – [4] | – [4] |
| VIA SMS (VIA SMS PL Sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Vivus (Soonly Finance sp. z o. o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
| Wandoo (Wandoo Finance sp. z o.o.) | 12 minut | TAK | TAK | NIE[2] |
| Wonga (Wonga.pl sp. z o.o.) | Firma nie odpowiedziała w ciągu 7 dni. | |||
[2] Firma w odpowiedzi nie odniosła się do tematu.
[3] Odpowiedź automatyczna o RODO.
[4] Osoba nie figurowała w bazie firmy.
Niektóre firmy grzecznie i szybko wykasowały wszystkie dane. Postąpiły tak: Extra Portfel, Feniko, Freezl, Lendon, Nexu, Rupi, Sloan, Super Grosz i Szybka Gotówka, jednak nie wszystkie chciały pozbyć się ich polubownie. Aasa rozpatrzyła wniosek odmownie po jednym dniu oczekiwania. Swoją decyzję firma uzasadniła art. 6 ust. 1 lit. f RODO, co swoją drogą jest niewłaściwą podstawą prawną, ale o tym za chwilę. Aasa twierdzi, że przechowuje dane w związku z działaniami związanymi z wykrywaniem i przeciwdziałaniem przestępstwom. Czyżby przejęła kompetencje Policji? Niby rząd się zmienił, ale nie słyszałem o takiej ustawie, która nakładałaby na firmę Aasa obowiązek łapania przestępców. Kolejnym powodem przytaczanym przez spółkę jest minimalizacja ryzyka operacyjnego. Pytanie brzmi: co mnie to obchodzi? Jeśli chcą uniknąć ryzyka, to niech zamkną firmę i wpłacą pieniądze na lokatę. Nie można ograniczać praw konsumenta, tłumacząc to interesami prywatnej firmy.
Jeśli chodzi o wspomniany artykuł RODO, to Art. 6 ust. 1 lit. f nie jest podstawą prawną którą można w tym przypadku zastosować, ponieważ nie ma wobec naszego czytelnika żadnych istniejących roszczeń. Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, potwierdzonym przez Wojewódzki Sąd Administracyjny w Warszawie m.in. w wyroku z dnia z 13 stycznia 2021 r. (sygn. akt II SA/Wa 607/20) oraz wyroku z dnia 11 marca 2021 r. (sygn. akt II SA/Wa 1340/20), przesłanka z art. 6 ust. 1 lit. f RODO powinna dotyczyć sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, a nie sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym i niepewnym roszczeniem.
Właściciel marki Axi Card rozpisał się na całą stronę, podając te same, obalone przez WSA w Warszawie, podstawy prawne. Analiza odpowiedzi jest taka sama jak w przypadku firmy Aasa, ale warto zauważyć powołanie się na ustawę o przeciwdziałaniu praniu brudnych pieniędzy. Nie znalazłem żadnych informacji, aby ten paragraf został podważony w orzecznictwie, ale warto zapytać odpowiedni urząd o interpretację 🙂
W podobny sposób odpowiedziały: Ekspres Pożyczka, KredytOK, Miloan, Mini Credit, Provident, Smart Pożyczka i Smartney.
Nie odpowiedziały nam do tej pory: Alfa Kredyt, As Kredyt, Crezu, Modna Pożyczka, Mutum, Profi Credit**, ProFimo, Ratka.pl, Super Kasa, Taratatu, VIA SMS i co ciekawe, tacy liderzy rynku jak Vivus i Wonga. O ile w przypadku tych dwóch ostatnich, można domniemywać, że mają dużą ilość wniosków i dlatego odpowiedź się opóźnia, o tyle w pozostałych przypadkach nie udało mi się znaleźć żadnego usprawiedliwienia. Warto zauważyć, że aż cztery marki, od których nie doczekaliśmy się odpowiedzi, należą do Loando Direct sp. z o.o. Firma widocznie nie przykłada zbyt dużej wagi do przepisów o ochronie danych osobowych.
Kilka firm w ogóle nie podało prawidłowego adresu e-mail do kontaktu i dostaliśmy “zwrotkę”. Są to: Kredyt-dla-zadluzonych.pl, Money Planet i Ratado (należące do, a jakże, Loando Direct). W tej sytuacji konsument nie może nawet dochodzić swoich praw wynikających z RODO, takich jak wycofanie zgód. Myślę, że to sprawa warta przekazania dalej.
W przypadku marek: Cashtero, Fiizy, Money Beat i NetCredit, otrzymaliśmy automatyczną odpowiedź z regułką RODO. Nie tak powinna wyglądać profesjonalna obsługa klienta.
Dziwną praktykę stosują firmy Kuki i Wandoo, które nie odniosły się wprost do tematu, więc nie mamy pewności, czy dane zostały usunięte.
Jeśli chodzi o czyszczenie BIK i innych baz, to nikt nie robił żadnego problemu z wycofaniem danych z biur informacji gospodarczej. Niektóre firmy nie napisały wprost, że wpisy zostały wymazane. Dla pewności trzeba i tak pobrać raporty dotyczące baz kredytobiorców i dłużników.
Dobrym akcentem jest, że wszystkie firmy, które udzieliły odpowiedzi, zaniechały przetwarzania danych w celach marketingowych.
** Aktualizacja: Profi Credit odpowiedział po 15 dniach: W odpowiedzi na Pana wniosek dotyczący przetwarzania Pana danych osobowych przez Profi Credit Polska S.A. informuję, że Pana żądanie usunięcia danych osobowych zostało zrealizowane zgodnie z wymogami prawa. Poniżej znalazło się kilka regułek dotyczących RODO, w tym powołanie na Art. 6. Zdecydowanie nie takiej odpowiedzi i nie takiego poziomu obsługi oczekiwaliśmy od tak dużej i znanej firmy.
MoneyBeat po 13 dniach poinformował: Pani/Pana żądanie zostało zrealizowane w pełnym możliwym zakresie, w jakim było to prawnie uzasadnione. Czyli podobna odpowiedź do Profi, ale nie chciało im się nawet edytować templatki.
* Lista jest otwarta, tzn. jeśli otrzymamy odpowiedź od którejś firmy pożyczkowej, zaktualizujemy informacje w artykule. Zestawienie zawiera linki afiliacyjne i jeżeli skorzystasz z którejś oferty, otrzymam za to wynagrodzenie. Mam nadzieję, że dzięki zebranym przeze mnie informacjom, będziesz mógł podjąć właściwą decyzję. Kolejność firm w tabeli jest alfabetyczna.
