Od około roku czytelnicy cashless.pl mogą czytać o kolejnych rewelacjach związanych z postępowaniem prowadzonym przez prokuraturę w Poznaniu w sprawie internetowego kantoru Cinkciarz. Pojawiają się informacje o rosnących stratach klientów, szacowanych na 125 mln zł, czy nieoficjalne wiadomości na temat biznesowej działalności założyciela fintechu Marcina P. w Stanach Zjednoczonych.

Przeczytajcie także: • Samozwańcze banki na liście ostrzeżeń publicznych KNF

Oprócz losów zarządu Cinkciarza i środków klientów, ciekawe jest również to, co dzieje się z danymi użytkowników. Warto przypomnieć, że aby założyć konto czy otrzymać kartę spółki, trzeba było podać szereg wrażliwych danych, np. numer PESEL czy dowodu osobistego. Jak podkreślają prawnicy, przepisy na temat ochrony danych osobowych klientów nie przewidują szczególnych procedur w przypadku upadających spółek. Nie ma też znaczenia to, czy podmiot był fintechem.

– Zgodnie z unijnym rozporządzeniem RODO, dane osobowe muszą być przetwarzane zgodnie z zasadami legalności, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, przechowywania nie dłużej niż jest to konieczne, integralności i poufności oraz rozliczalności. Oznacza to, że administrator – nawet jeśli działalność operacyjna została wstrzymana – powinien zapewnić odpowiedni poziom bezpieczeństwa danych, chronić je przed dostępem osób nieuprawnionych, a także umożliwić osobom, których dane dotyczą, realizację ich praw, w tym prawo dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania – komentuje dla cashless.pl Karolina Bereza-Dziubiela, radczyni prawna w kancelarii JWP Legal.

Ekspertka podkreśla, że zakończenie działalności spółki w wielu przypadkach powoduje wygaśnięcie podstawy prawnej, na mocy której dane klientów były przetwarzane. Tym samym ich administrator powinien je usunąć bądź zanonimizować. Sytuacja Cinkciarza jest jednak nietypowa.

– Ustalenie faktycznego administratora danych osobowych może być utrudnione – osoby zarządzające spółką pozostają nieosiągalne, a działalność operacyjna została faktycznie wstrzymana. W konsekwencji nie jest jasne, czy dane osobowe klientów wciąż znajdują się na serwerach, czy też zostały usunięte lub zanonimizowane – dodaje prawniczka.

Przeczytajcie także: • Multiagencja Alwis przygotowała dla klientów aplikację typu portfel polis

Wygląda więc na to, że jeśli zarządzający upadającego podmiotu nie są skłonni do współpracy, to trudno powiedzieć, jaki los spotkał dane użytkowników. W teorii klienci mogą np. wnieść skargę do Urzędu Ochrony Danych Osobowych czy dochodzić swoich praw na drodze cywilnej, wytaczając powództwo przeciwko administratorowi danych. W praktyce jednak trudno będzie cokolwiek wyegzekwować.

– Z punktu widzenia wierzycieli upadającego podmiotu, los danych klientów często jest im obojętny, ponieważ w pierwszej kolejności skupiają się na odzyskaniu majątku. W absolutnej teorii, jeśli dana spółka nie wykonuje należycie swoich obowiązków względem klientów, UODO może nałożyć na nią karę. Gdy jednak zarządcy spółki są nieosiągalni, a majątek został "upłynniony", kara w praktyce jest fikcyjna. Pojawienie się syndyka czy innego zarządcy upadłej firmy, bez współpracy z osobami rzeczywiście odpowiedzialnymi za przechowywanie danych, na niewiele się zda – zauważa Tomasz Klecor, partner w kancelarii LegalGeek.

Ekspert zauważa, że w momencie gdy klienci tak chętnie dzielą się swoimi danymi wrażliwymi, problem ich przechowywania i zarządzania będzie w przyszłości powracał. Rozwiązaniem jednak nie jest stworzenie kolejnych przepisów, a edukacja użytkowników.