Przepisy ustawy 29 sierpnia o ochronie danych osobowych (DzU nr 133, poz. 883 ze zm.) pozwalają na udostępnienie danych osobowych firmie windykacyjnej. Art. 23 ust. 5 tej ustawy dopuszcza przetwarzanie danych osobowych, w tym także ich udostępnianie, jeśli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Administratorem danych jest podmiot, w którego dyspozycji dane te się znajdują, czyli w tym przypadku przedsiębiorca, który jest wierzycielem. Z kolei zgodnie ?z art. 23 ust. 4 pkt 2 za prawnie usprawiedliwiony cel uważa się dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Przetwarzanie danych osobowych jest możliwe, jeżeli jest niezbędne dla zrealizowania prawa lub spełnienia obowiązku ustawowego.
Powierzenie firmie windykacyjnej przetwarzania danych osobowych dłużników możliwe jest również na podstawie umowy zawartej na podstawie art. 31 ustawy o ochronie danych osobowych. Taka umowa musi spełniać określone ?w ustawie warunki, mianowicie jej niezbędne elementy to:
Możliwe jest również udzielenie firmie windykacyjnej pełnomocnictwa na podstawie kodeksu cywilnego. Wówczas podstawę przetwarzania danych osobowych będzie stanowił art. 23 ust. 2 ustawy o ochronie danych osobowych, w myśl którego przetwarzanie danych jest dopuszczalne, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Naczelny Sąd Administracyjny w wyroku z 6 czerwca 2005 r., (I OPS 2/2005) uznał, że można przekazywać firmom windykacyjnym dane dłużników bez ich zgody, ale trzeba wyważać między ochroną ich praw i wolności obywatelskich oraz prywatności a interesami wierzycieli.
