Новият щит за лични данни на колекторските компании

Данните са кислородът на бизнеса със събиране на вземания. За 10 години колекторската индустрия се превърна в най-големия помощник на банките в разтоварването на камарите от лоши дългове, а е и традиционен партньор на компаниите за комунални услуги. Успехите й водят до "рециклиране" на блокиран финансов ресурс за стотици милиони левове и връщането му обратно в икономиката. Ето защо промените в регулациите са чувствителна тема за колекторските компании. От индустрията обаче се стараят да са добре подготвени за тях и не изказват притеснения за наближаващия срок по прилагането им.

Според експертите в бранша най-същественият ефект на GDPR ще е във вътрешната организация на компаниите. Вероятно това ще бъде много повече административна работа. За да отговорят на изискванията, фирмите ще трябва да правят допълнителни инвестиции в сигурност и да наемат специалисти по материята. За потребителите промените ще донесат повече яснота - какви техни данни могат да бъдат събирани и с каква цел. Ще им се гарантира и правото да бъдат забравени, когато погасят задължението си.

Ред, система, отговорност

GDPR няма да внесе фундаментални промени в начина, по който се получават, обработват и съхраняват лични данни за колекторските фирми, твърдят от бранша. И в момента те са обект на конкретни законови изисквания, най-общо разписани в Закона за защита на личните данни. Досега агенциите трябваше да докажат, че отговорят на изискванията чрез документи за регистрация като администратори на лични данни пред Комисията за защита на личните данни.

С новата регулация регистрационният режим отпада, но от компаниите се изисква да представят куп документи, в които описват как точно, с какви процеси и технологии смятат да пазят личните данни на клиентите си. За да не е това просто една формалност, а наистина ефективна система, която се прилага в практиката, ще помага заплахата от тежки санкции, която е европейски калибрирана. "Ако досега при нарушения максималният размер на глобата беше до 100 хил. лв., новият регламент предвижда тя да е до 2 милиона евро, или 4% от световния оборот на компанията, която от двете суми е по-висока. Това само по себе си е достатъчно значимо, за да накара всеки бизнес да подходи много задълбочено при подготовката", коментира Йоана Кръстева, главен юрисконсулт на Агенцията за събиране на вземания, която е част от норвежкия B2Holding.

За целта колекторските фирми инвестират повече в киберсигурност и защита срещу пробиви в IT системата и софтуера; ангажират много повече човешки и IT ресурс за документиране на бизнес процесите - водене на записи и поддържане на регистри, за оценка на рисковете и други, изброява някои от основните задачи пред индустрията в момента тя.

"Всеки в нашия бизнес сегмент – управление на вземания, ще трябва да създаде необходимата организация за създаването на регистрите, нивата на достъп до данните, работата с тях и администрирането им. Но за да се стигне дотам, всяка компания ще трябва да е извършила много сериозна работа по анализ на процесите, които протичат в нея", обяснява Атанас Каракашев, GDPR консултант на Асоциацията на колекторските агенции в България.

"Със сигурност не очаквам да има съществени промени или негативно влияние върху бизнеса ни. Просто ще е необходимо време да пренастроим системите и практиките си. Всъщност промените ще бъдат свързани основно с отчетността, която ще бъде съобразена с изискванията на местните регулаторни органи", добавя Милена Виденова, управител на "Кофас България" и заместник-председател на браншовата асоциация на колекторите. Виденова обръща внимание, че като част от международна група "Кофас" е подготвена да отговори на регулациите, а като се има предвид, че гръбнакът на колекторския бизнес са предимно регионални играчи, това дава увереност за степента на готовност в индустрията.

Как работи събирането на дългове

Потребителските данни постъпват в колекторските компании основно по линия на договорите, с които се възлага събиране на просрочени задължения от кредитор или ютилити компанията. Понякога обаче тези дългове са стари и част от данните на потребителите като адрес или телефон може да не са актуални. "В случаите, в които обемът от данни не е актуален, ние имаме правно основание да ги актуализираме, за да изпълним целта. Източници за това могат да са публичните регистри, които са с отворен достъп, или ако достъпът до такива регистри не е свободен, искаме самите субекти на данните да ни дадат съгласие да достъпим тези бази данни и да актуализираме информацията", обяснява експертът Атанас Каракашев.

Както и с всеки друг бизнес, GDPR поставя любопитни задачи пред колекторските компании, които трябва да се изгладят с първите месеци от прилагането на регулацията на практика. Такъв е например въпросът как фирмите да отговарят на правото на потребителите "да бъдат забравени", когато погасят задължението си. "Когато процесът по събиране на вземането е приключил, "ние трябва да изтрием данните"... Но от друга страна, за да спазим изискването за отчетност - един от основните принципи по новия регламент, съхранението на лични данни за определен период от време е наложително. Тези срокове са обикновено в рамките на пет години, особено когато следва да се защитава легитимния интерес на администратора", посочва експертът.

Сред основните принципи на регламента и е гарантирането на потребителите, че ще остават анонимни при автоматизираните процеси по обработка на лични данни. "Профилиране" и "анонимизиране" са новите процеси в регламента, които с най-голяма степен са приложими при маркетинговите компании. Те целят защита на гражданите в такава степен, че самият субект не може да бъде идентифициран при обработката на негови лични данни", обяснява Атанас Каракашев. Например данни "могат да се използват при анализи, когато се изследва плащаемостта при различните групи физически лица или на лица от различни географски зони. Регламентът изисква в този случай да се пристъпва към профилиране, за да се гарантират правата на гражданите", допълва той

Профилирането позволява на администраторите да изпълнят целта, заради която администрират личните данни, без да застрашават сигурността при обработката им. По този начин не могат се идентифицират отделните лица, участващи в даден анализ или при оценка на даден портфейл за изкупуване.

GDPR за потребителите

След 25 май потребителите ще получават много по-детайлна информация за правата им по отношение на предоставяните данни. "Специално клиентите с посрочени задължения ще получават разписана много по-подробна информация относно личните данни в уведомителните си писма", коментира Йоана Кръстева от АСВ. "С новия регламент ще се облекчи за всички субекти, участници в бизнес модела по събиране на вземания, трансферирането на лични данни, при спазване на новите принципи на защита на данните при тяхното обработване. Това ще доведе до по-висока сигурност сред потребителите при сключването на договори за кредит", смята и Атанас Каракашев.

Клиентите ще могат да са и проактивни, когато установят нередност с ползването на личните им данни. Ако например даден потребител разбере, че колекторска компания администрира повече данни за него, отколкото са необходими за постигане на бизнес целта й – в случая събиране на вземанията, той ще може да поиска от конкретния администратор да заличи или коригира тази информация. Ако и след това спорът между страните не се разреши, лицето може да потърси Комисията за защита на личните данни. А GDRP ще въоръжи регулаторите добре - с възможността да налагат сериозни глоби.

GDPR – какво трябва да знаят фирмите за новия регламент за личните данни: Бизнес доклад на Капитал - Какво е GDPR и за кого се отнася - Как да се приложи стъпка по стъпка - Колко ще струва на компаниите - Какви са новите маркетинг правила - Кога трябва да се назначи служител за защита на данните Поръчайте изданието » На хартия или PDF