W 2024 roku Urząd Ochrony Danych Osobowych nałożył ponad 12 mln zł kar na firmy windykacyjne za naruszenia RODO. Jeśli ktoś windykuje Twój dług, ma prawo przetwarzać Twoje dane — ale tylko określone i tylko w określony sposób. Granica między legalnym dochodzeniem wierzytelności a bezprawnym ingerowaniem w prywatność jest cieńsza, niż mogłoby się wydawać.

W naszej praktyce regularnie spotykamy się z pytaniami dłużników: „Skąd firma windykacyjna ma mój numer telefonu?", „Czy windykator może dzwonić do mojej rodziny?", „Czy mogę żądać usunięcia moich danych?". W tym artykule odpowiadamy na te i inne pytania — opierając się na przepisach RODO, stanowiskach UODO i orzecznictwie sądowym.

Podstawa prawna — dlaczego firma windykacyjna może przetwarzać Twoje dane

Rozporządzenie RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) wymaga, aby każde przetwarzanie danych osobowych miało legalną podstawę prawną. Firma windykacyjna najczęściej powołuje się na jedną z dwóch przesłanek z art. 6 ust. 1 RODO.

Art. 6 ust. 1 lit. f — prawnie uzasadniony interes administratora

To najczęstsza podstawa. Wierzyciel (lub firma windykacyjna działająca na jego zlecenie) ma prawnie uzasadniony interes w dochodzeniu należności. Sądy i UODO wielokrotnie potwierdzały, że windykacja stanowi uzasadniony cel przetwarzania danych.

Jednak „uzasadniony interes" nie oznacza carte blanche. Firma windykacyjna musi każdorazowo przeprowadzić test równowagi — sprawdzić, czy jej interes nie narusza nadmiernie praw i wolności dłużnika. Dzwonienie do sąsiadów lub pracodawcy dłużnika zazwyczaj tego testu nie przechodzi.

Art. 6 ust. 1 lit. b — wykonanie umowy

Jeśli dłużnik zawarł umowę bezpośrednio z wierzycielem (np. umowę pożyczki), przetwarzanie danych w celu realizacji tej umowy — w tym dochodzenia roszczeń z niej wynikających — jest legalne na tej podstawie. Po przedawnieniu długu ta podstawa prawna wygasa.

Kluczowe: Firma windykacyjna NIE potrzebuje Twojej zgody na przetwarzanie danych w celu windykacji. Zgoda (art. 6 ust. 1 lit. a RODO) to odrębna przesłanka — i wycofanie jej nie zablokuje automatycznie windykacji, jeśli firma ma inną podstawę prawną.

Jakie konkretnie dane może przetwarzać firma windykacyjna?

Zakres danych musi być adekwatny do celu — czyli do odzyskania wierzytelności. Nie można zbierać danych „na zapas" ani w zakresie szerszym niż niezbędny. Poniżej przedstawiamy katalog danych, które firma windykacyjna przetwarza legalnie.

Dane identyfikacyjne dłużnika

  • Imię i nazwisko
  • PESEL (niezbędny do jednoznacznej identyfikacji i postępowania sądowego)
  • Numer dowodu osobistego
  • NIP — w przypadku zobowiązań związanych z działalnością gospodarczą

Dane kontaktowe

  • Adres zamieszkania / korespondencyjny
  • Numer telefonu
  • Adres e-mail

Dane dotyczące zobowiązania

  • Kwota długu (kapitał, odsetki, koszty)
  • Numer umowy będącej źródłem długu
  • Historia wpłat i korespondencji
  • Data wymagalności roszczenia
  • Tytuł wykonawczy (jeśli został uzyskany)

Dane majątkowe — z ograniczeniami

Firma windykacyjna nie ma uprawnień komornika. Nie może samodzielnie ustalać Twojego stanu majątkowego, sprawdzać kont bankowych ani pytać pracodawcy o wysokość Twojego wynagrodzenia. Dane majątkowe może przetwarzać tylko wtedy, gdy sam je ujawnisz (np. w trakcie negocjacji ugody) lub gdy pochodzą z publicznie dostępnych źródeł (np. KRS, CEIDG).

Windykator ≠ komornik. Komornik sądowy działa na podstawie tytułu wykonawczego i ma ustawowe uprawnienia do zajmowania rachunków, wynagrodzenia czy ruchomości. Firma windykacyjna to podmiot prywatny — jej jedynym narzędziem jest kontakt z dłużnikiem i perswazja. Więcej o uprawnieniach komornika przeczytasz w naszym kompletnym przewodniku po działaniach komornika.

Jakich danych firma windykacyjna NIE może przetwarzać?

RODO w art. 9 definiuje tzw. szczególne kategorie danych (dawniej „dane wrażliwe"). Firma windykacyjna nie ma prawa ich zbierać ani przetwarzać w procesie windykacji. Dotyczy to m.in.:

  • Danych o stanie zdrowia (np. informacji o chorobie, niepełnosprawności)
  • Danych o orientacji seksualnej
  • Przekonań religijnych i politycznych
  • Danych biometrycznych
  • Przynależności do związków zawodowych

W praktyce zdarzają się sytuacje, gdy dłużnik sam informuje windykatora o swojej chorobie jako przyczynie problemów finansowych. Nawet wtedy firma windykacyjna powinna ograniczyć się do odnotowania faktu bez gromadzenia dokumentacji medycznej.

Dane osób trzecich — rodziny, sąsiadów, współpracowników

To jeden z najczęstszych problemów. Firma windykacyjna nie ma podstawy prawnej do przetwarzania danych osób trzecich w celu wywarcia presji na dłużnika. Konkretnie oznacza to, że windykator:

  • Nie może dzwonić do Twojej rodziny z informacją o długu
  • Nie może kontaktować się z Twoim pracodawcą (chyba że pracodawca jest jednocześnie poręczycielem)
  • Nie może rozmawiać z sąsiadami o Twojej sytuacji finansowej
  • Nie może zostawiać informacji o długu osobom postronnym

Jeśli windykator dzwoni do Twojego pracodawcy, stanowi to naruszenie RODO i możesz złożyć skargę do UODO. Przeczytaj też o swoich prawach, gdy windykator pojawia się osobiście pod Twoimi drzwiami.

Skąd firma windykacyjna ma Twoje dane?

To pytanie, które słyszymy najczęściej. Źródła danych mogą być różne — i nie wszystkie są legalne.

Legalne źródła danych

Źródło Przykład Podstawa prawna
Wierzyciel pierwotny Bank, operator telekomunikacyjny Umowa cesji wierzytelności lub zlecenie windykacji
Sąd / akta sprawy Nakaz zapłaty, pozew Dostęp strony do akt postępowania
Rejestry publiczne KRS, CEIDG, księgi wieczyste Jawność rejestrów
Biura informacji gospodarczej BIK, KRD, BIG InfoMonitor Ustawa o udostępnianiu informacji gospodarczych
Sam dłużnik Dane podane w korespondencji Art. 6 ust. 1 lit. f RODO

Nielegalne źródła i praktyki

Firma windykacyjna nie może pozyskiwać danych z:

  • Nielegalnych baz danych kupowanych na czarnym rynku
  • Social mediów dłużnika (poza danymi publicznie dostępnymi — ale i tu istnieją ograniczenia)
  • Podstępu — np. podszywania się pod inny podmiot, by uzyskać numer telefonu
  • Pracowników instytucji (np. urzędnika, który „po znajomości" udostępnia adres)

Jeśli podejrzewasz, że firma windykacyjna pozyskała Twoje dane w sposób nielegalny, masz prawo zapytać o źródło — o czym piszemy poniżej.

Twoje prawa jako dłużnika na gruncie RODO

Bycie dłużnikiem nie oznacza utraty praw do ochrony danych osobowych. RODO gwarantuje Ci konkretne uprawnienia, z których możesz skorzystać wobec firmy windykacyjnej.

Prawo do informacji (art. 13-14 RODO)

Firma windykacyjna musi Ci przekazać — przy pierwszym kontakcie — informację o tym, kto przetwarza Twoje dane, w jakim celu, na jakiej podstawie prawnej i jak długo. W praktyce powinna to być klauzula informacyjna dołączona do pierwszego pisma windykacyjnego.

Prawo dostępu (art. 15 RODO)

Masz prawo zażądać od firmy windykacyjnej kopii wszystkich swoich danych, które przetwarza. Firma ma 30 dni na odpowiedź. To potężne narzędzie — pozwala sprawdzić, czy firma nie przetwarza danych, których przetwarzać nie powinna.

Prawo do sprostowania (art. 16 RODO)

Jeśli firma windykacyjna przetwarza nieprawidłowe dane (np. błędną kwotę długu, nieaktualny adres), masz prawo żądać ich poprawienia.

Prawo do usunięcia danych — z zastrzeżeniami (art. 17 RODO)

To prawo, o które pytają najczęściej. Odpowiedź jest złożona: nie możesz żądać usunięcia danych, jeśli firma windykacyjna nadal ma legalną podstawę do ich przetwarzania (np. trwa windykacja nieprzedawnionego długu). Możesz natomiast żądać usunięcia danych, gdy:

  • Dług został spłacony i minął okres retencji
  • Roszczenie się przedawniło
  • Dane zostały pozyskane nielegalnie
  • Firma przetwarza dane nadmiarowe (np. dane zdrowotne)

Prawo do sprzeciwu (art. 21 RODO)

Gdy przetwarzanie opiera się na „uzasadnionym interesie" (art. 6 ust. 1 lit. f), masz prawo wnieść sprzeciw. Firma windykacyjna musi wtedy wykazać, że jej interes przeważa nad Twoimi prawami. W praktyce — jeśli dług jest aktualny i nieprzedawniony — sprzeciw prawdopodobnie zostanie oddalony. Ale jeśli dług jest wątpliwy lub przedawniony, sprzeciw ma realne szanse powodzenia.

Praktyczna rada: Każde żądanie kieruj na piśmie (e-mail z potwierdzeniem odbioru lub list polecony). Ustne rozmowy z windykatorem nie tworzą śladu dokumentacyjnego. Jeśli firma nie odpowie w ciągu 30 dni — masz podstawę do skargi do UODO.

Jak długo firma windykacyjna może przechowywać Twoje dane?

RODO wprowadza zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e) — dane można trzymać tylko tak długo, jak jest to niezbędne do celu przetwarzania. Dla windykacji oznacza to:

Sytuacja Okres retencji danych Podstawa
Trwa windykacja polubowna Do zakończenia windykacji + 3 lata Okres przedawnienia roszczeń z tytułu bezpodstawnego wzbogacenia
Trwa postępowanie sądowe Do prawomocnego zakończenia + 6 lat Art. 118 KC — ogólny termin przedawnienia
Dług spłacony Max 6 lat od spłaty Cel archiwizacyjny, ewentualne reklamacje
Dług przedawniony, brak tytułu Dane powinny zostać usunięte Brak celu przetwarzania

Problem w praktyce polega na tym, że wiele firm windykacyjnych przechowuje dane latami po przedawnieniu — licząc na to, że dłużnik nie zna swoich praw. Jeśli Twój dług się przedawnił, a firma wciąż przetwarza Twoje dane — masz pełne prawo żądać ich usunięcia. Warto też sprawdzić, jak działają krótsze terminy przedawnienia w przypadku chwilówek.

Naruszenia RODO przez firmy windykacyjne — najczęstsze przypadki

Z danych UODO i orzeczeń sądów wynika, że firmy windykacyjne najczęściej naruszają RODO w następujących obszarach:

1. Ujawnianie informacji o długu osobom trzecim

Klasyczny przypadek: windykator dzwoni do sąsiada, członka rodziny lub pracodawcy i informuje o zadłużeniu. To naruszenie nie tylko RODO, ale potencjalnie również art. 190a Kodeksu karnego (uporczywe nękanie). Przeczytaj więcej o odszkodowaniu za nękanie przez firmę windykacyjną.

2. Brak klauzuli informacyjnej

Pierwsze pismo windykacyjne często nie zawiera wymaganej informacji o przetwarzaniu danych — kto jest administratorem, jaka jest podstawa prawna, jakie prawa przysługują dłużnikowi. To naruszenie art. 13-14 RODO.

3. Przetwarzanie danych po przedawnieniu

Firma windykacyjna kontynuuje wysyłanie wezwań do zapłaty mimo upływu terminu przedawnienia. Przetwarzanie danych nie ma wtedy legalnego celu.

4. Nadmiarowy zakres danych

Zbieranie informacji o stanie zdrowia, sytuacji rodzinnej czy zatrudnieniu w zakresie wykraczającym poza potrzeby windykacji.

5. Brak reakcji na żądania dłużnika

Ignorowanie wniosków o dostęp do danych, sprostowanie lub usunięcie. UODO traktuje to jako odrębne naruszenie — niezależnie od tego, czy samo przetwarzanie było legalne.

Co robić, gdy firma windykacyjna narusza RODO? Procedura krok po kroku

Jeśli uważasz, że firma windykacyjna naruszyła Twoje prawa wynikające z RODO, masz do dyspozycji kilka ścieżek działania.

Krok 1: Wyślij żądanie do firmy windykacyjnej

Napisz pismo (e-mail lub list polecony) z powołaniem na konkretny artykuł RODO. Przykładowe żądania:

  • „Na podstawie art. 15 RODO wnoszę o udostępnienie kopii moich danych osobowych"
  • „Na podstawie art. 17 RODO wnoszę o usunięcie moich danych — roszczenie uległo przedawnieniu"
  • „Na podstawie art. 21 RODO wnoszę sprzeciw wobec przetwarzania moich danych"

Krok 2: Wyznacz termin

Firma ma 30 dni kalendarzowych na odpowiedź (w skomplikowanych sprawach może przedłużyć do 90 dni, ale musi o tym poinformować). Brak odpowiedzi = naruszenie.

Krok 3: Złóż skargę do UODO

Jeśli firma nie odpowiedziała lub odpowiedziała odmownie bez uzasadnienia, złóż skargę do Urzędu Ochrony Danych Osobowych. Skargę można złożyć:

  • Elektronicznie — przez ePUAP
  • Pisemnie — na adres UODO (ul. Stawki 2, 00-193 Warszawa)
  • Osobiście — w siedzibie urzędu

Krok 4: Rozważ pozew cywilny

Art. 82 RODO daje Ci prawo do odszkodowania za szkodę materialną lub niematerialną wynikającą z naruszenia przepisów. Sądy polskie przyznają odszkodowania od kilku do kilkudziesięciu tysięcy złotych — szczególnie w przypadkach ujawnienia danych osobom trzecim.

Cesja wierzytelności a RODO — co się dzieje z danymi przy sprzedaży długu?

Gdy wierzyciel pierwotny (np. bank) sprzedaje dług firmie windykacyjnej lub funduszowi sekurytyzacyjnemu, Twoje dane osobowe „przechodzą" do nowego podmiotu. Czy to legalne?

Tak — pod warunkiem spełnienia kilku wymogów:

  • Nowy wierzyciel staje się administratorem danych i musi spełnić obowiązek informacyjny (art. 14 RODO) — poinformować Cię o przetwarzaniu w ciągu miesiąca od nabycia wierzytelności
  • Zakres przekazywanych danych musi być adekwatny — tylko dane niezbędne do dochodzenia roszczenia
  • Wierzyciel pierwotny powinien usunąć dane, których nie potrzebuje już do innych celów

W praktyce dłużnicy często dowiadują się o cesji dopiero z wezwania do zapłaty od nowego podmiotu. Jeśli wezwanie nie zawiera klauzuli informacyjnej RODO — to naruszenie, które warto zgłosić. Więcej o konsekwencjach sprzedaży długu przeczytasz w artykule o tym, jak wybrać wiarygodną firmę oddłużeniową.

RODO a BIK i rejestry dłużników

Wpis do BIK lub KRD to odrębna kwestia od windykacji — ale ściśle powiązana z RODO. Firma windykacyjna może zgłosić Twoje zadłużenie do biur informacji gospodarczej, ale musi spełnić warunki określone w ustawie o udostępnianiu informacji gospodarczych:

  • Zobowiązanie musi wynosić min. 200 zł (konsument) lub 500 zł (przedsiębiorca)
  • Musi upłynąć min. 30 dni od wymagalności
  • Dłużnik musi zostać wezwany do zapłaty z ostrzeżeniem o wpisie (min. 30 dni przed wpisem)

Po spłacie długu firma ma obowiązek zaktualizować lub usunąć wpis w ciągu 14 dni. Jeśli tego nie zrobi — narusza zarówno ustawę, jak i RODO. Sprawdź, ile lat widnieje wpis w BIK i jak wpływa na Twoją zdolność kredytową.

Windykacja telefoniczna a RODO — granice kontaktu

Telefon to główne narzędzie firm windykacyjnych. RODO nie zakazuje kontaktu telefonicznego, ale nakłada ograniczenia:

  • Częstotliwość — nadmierne dzwonienie (kilka-kilkanaście razy dziennie) może stanowić nękanie w rozumieniu art. 190a KK
  • Godziny — choć RODO nie reguluje tego wprost, dobre praktyki windykacyjne (Zasady Dobrych Praktyk ZPF) ograniczają kontakt do godzin 7:00-21:00 w dni robocze
  • Nagrywanie rozmów — firma musi poinformować Cię o nagrywaniu na początku rozmowy (obowiązek informacyjny)
  • Weryfikacja tożsamości — windykator nie powinien ujawniać szczegółów długu, dopóki nie potwierdzi, że rozmawia z właściwą osobą

Jeśli czujesz, że ciągły stres związany z telefonami windykacyjnymi wpływa na Twoje zdrowie psychiczne, pamiętaj — masz prawo zażądać kontaktu wyłącznie pisemnego. Firma windykacyjna powinna to uszanować.

Kiedy warto połączyć ochronę RODO z negocjacją ugody?

Z naszego doświadczenia wynika, że samo powoływanie się na RODO nie rozwiąże problemu zadłużenia — ale może znacząco wzmocnić Twoją pozycję negocjacyjną. Oto dlaczego:

  • Firma windykacyjna, która wie, że dłużnik zna swoje prawa, traktuje go poważniej
  • Złożenie skargi do UODO generuje koszty po stronie firmy — to argument za ugodą
  • Naruszenia RODO mogą podważyć legalność całego procesu windykacyjnego

Wielu naszych klientów skutecznie negocjuje obniżenie długu właśnie dlatego, że potrafią wskazać konkretne naruszenia RODO przez firmę windykacyjną. To nie jest szantaż — to korzystanie z przysługujących praw. Warto też rozumieć, dlaczego banki i wierzyciele często preferują ugodę nad długotrwałe spory.

Najczęściej zadawane pytania — windykacja a RODO

Czy firma windykacyjna potrzebuje mojej zgody na przetwarzanie danych?

Nie. Firma windykacyjna przetwarza dane na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) lub wykonania umowy (art. 6 ust. 1 lit. b). Twoja zgoda nie jest wymagana, a jej „cofnięcie" nie zablokuje legalnego przetwarzania danych w celu dochodzenia wierzytelności.

Skąd firma windykacyjna ma mój numer telefonu?

Najczęściej od wierzyciela pierwotnego — banku, operatora telekomunikacyjnego czy firmy pożyczkowej, z którą podpisałeś umowę. Numer telefonu jest standardowym elementem dokumentacji umowy. Przy cesji wierzytelności dane kontaktowe przechodzą do nowego wierzyciela. Możesz zażądać na piśmie informacji o źródle danych — firma ma 30 dni na odpowiedź.

Czy mogę zażądać usunięcia moich danych z firmy windykacyjnej?

Tak, ale tylko w określonych sytuacjach. Jeśli dług jest aktualny i nieprzedawniony, firma ma legalną podstawę do przetwarzania i odmówi. Możesz skutecznie żądać usunięcia, gdy dług został spłacony (i minął okres retencji), roszczenie się przedawniło, lub dane zostały pozyskane nielegalnie. Żądanie kieruj zawsze na piśmie z powołaniem na art. 17 RODO.

Co zrobić, gdy windykator ujawnił informację o moim długu rodzinie?

To poważne naruszenie RODO — firma windykacyjna nie ma podstawy prawnej do przetwarzania danych osób trzecich ani ujawniania im informacji o Twoim zadłużeniu. Złóż skargę do UODO, zachowując dowody (zapisy rozmów, zeznania świadków, SMS-y). Rozważ też pozew cywilny o odszkodowanie na podstawie art. 82 RODO. Sądy polskie przyznają zadośćuczynienia rzędu kilku-kilkunastu tysięcy złotych za tego typu naruszenia.

Czy firma windykacyjna może mnie nagrywać bez mojej wiedzy?

Nie. Nagrywanie rozmowy telefonicznej stanowi przetwarzanie danych osobowych (głos jest daną biometryczną w szerokim rozumieniu). Firma musi poinformować Cię o nagrywaniu na początku rozmowy — najczęściej robi to przez automatyczny komunikat. Jeśli nie zostałeś poinformowany, a rozmowa została nagrana, stanowi to naruszenie obowiązku informacyjnego z art. 13 RODO.

Ile razy dziennie firma windykacyjna może do mnie dzwonić?

RODO nie określa konkretnej liczby, ale nadmierne dzwonienie może stanowić nękanie (art. 190a KK) oraz naruszenie zasady proporcjonalności przetwarzania danych. Zasady Dobrych Praktyk Związku Przedsiębiorstw Finansowych rekomendują max 2-3 próby kontaktu telefonicznego tygodniowo. Jeśli windykator dzwoni kilka razy dziennie, dokumentuj to (screeny z rejestru połączeń) i złóż skargę do UODO.

Czy po spłacie długu firma musi usunąć moje dane?

Nie natychmiast. Firma może przechowywać dane przez okres niezbędny do obrony przed ewentualnymi roszczeniami — zazwyczaj do 6 lat (ogólny termin przedawnienia z art. 118 KC). Po tym okresie brak jest legalnej podstawy i firma powinna dane usunąć. Możesz przyspieszyć ten proces, składając formalne żądanie usunięcia po spłacie.

Czy mogę zażądać, żeby windykator kontaktował się ze mną tylko pisemnie?

Tak. Choć przepisy RODO wprost tego nie regulują, masz prawo określić preferowaną formę kontaktu. Wyślij pisemne żądanie (list polecony lub e-mail) o ograniczenie kontaktu wyłącznie do formy pisemnej. Większość firm windykacyjnych respektuje takie żądania — tym bardziej że kontynuowanie uporczywych telefonów po takim żądaniu wzmacnia argument o nękaniu.

Czy RODO chroni mnie przed wpisem do BIK/KRD?

Częściowo. RODO daje Ci prawo dostępu do danych (sprawdzenie, co jest wpisane), prawo do sprostowania (poprawienie błędnych wpisów) i prawo do usunięcia (po spłacie lub przedawnieniu). Jednak sam wpis — jeśli jest zgodny z ustawą o udostępnianiu informacji gospodarczych — jest legalny. Firma musi Cię ostrzec o zamiarze wpisu min. 30 dni wcześniej.

Jakie kary grożą firmie windykacyjnej za naruszenie RODO?

UODO może nałożyć karę do 20 mln euro lub 4% rocznego obrotu firmy (w zależności od tego, co jest wyższe). W praktyce polskie kary dla firm windykacyjnych sięgają od kilkudziesięciu tysięcy do kilku milionów złotych. Niezależnie od kary administracyjnej, dłużnik może dochodzić odszkodowania na drodze cywilnej (art. 82 RODO).

Czy sprzeciw wobec przetwarzania danych zatrzyma windykację?

Prawdopodobnie nie — jeśli dług jest aktualny i bezsporny. Firma windykacyjna po otrzymaniu sprzeciwu musi przeprowadzić test równowagi i wykazać „nadrzędne prawnie uzasadnione podstawy". Przy aktualnym długu — wykaże je łatwo. Sprzeciw ma większe szanse powodzenia, gdy dług jest przedawniony, sporny lub gdy firma stosuje nieproporcjonalne metody kontaktu.

Czy komornik podlega tym samym zasadom RODO co firma windykacyjna?

Nie w pełni. Komornik sądowy działa jako funkcjonariusz publiczny na podstawie ustawy o komornikach sądowych i ma znacznie szersze uprawnienia do przetwarzania danych — w tym prawo do pozyskiwania informacji od banków, urzędów skarbowych, ZUS czy pracodawców. Podlega RODO, ale jego podstawa prawna to art. 6 ust. 1 lit. e (zadanie realizowane w interesie publicznym), co daje mu szerszy margines działania.