iSecure logo
Blog

Weryfikowanie kontrahentów, a kwestie ochrony danych osobowych

W dzisiejszych czasach bardzo ważne jest, by posiadać wiedzę w zakresie rynku, na którym świadczy się usługi. Tutaj zawsze pojawia się wątpliwość jak takie dane pozyskiwać oraz jak sprawdzić, czy aktualna sytuacja kredytowa, biznesowa, czy też gospodarcza przyszłych kontrahentów może wpłynąć na nasze przedsiębiorstwo. Aktualnie wiele podmiotów gospodarczych prowadzi tzw. „biały wywiad gospodarczy”. Niejednokrotnie jest on prowadzony na małą, lub też na wielką skalę. Ma na to wpływ wiele czynników, jak na przykład wielkość organizacji, profil organizacji oraz forma współpracy. Niestety prowadząc tego typu działania nie można zapomnieć o aktualnie obowiązujących przepisach prawnych, ze szczególnym uwzględnieniem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej „RODO”. Wszelkie podejmowane działania mają na celu weryfikację zasadność współpracy z przyszłym kontrahentem. Pojawia się tutaj problem, czy prowadząc „biały wywiad” mamy podstawę prawną do przetwarzania danych osobowych, które uda nam się tym sposobem pozyskać. Kolejna wątpliwość, to spełnienie obowiązku informacyjnego wobec osób, których dane mogą znaleźć się w zestawieniu. Należy tutaj pamiętać, iż nie mówimy o spełnieniu obowiązku informacyjnego z art. 13 RODO, ale o art. 14 RODO, gdyż pozyskane dane nie zostały uzyskane od osoby, której dane dotyczą, lecz z innego źródła.

Dzisiaj na rynku można znaleźć wiele podmiotów specjalizujących się w przeprowadzaniu tego typu wywiadów, mowa tutaj o wywiadowniach gospodarczych. Podmioty te na polecenie zamawiającego przetwarzają dane o swoich kontrahentach oraz potencjalnych kontrahentach. Zbierają wszelkie informacje, które mogą mieć realny wpływ na współpracę. Należy pamiętać, iż mogą pojawić się tam również dane osobowe osób powiązanych z weryfikowanymi podmiotami. Należy zaznaczyć, iż w ramach prowadzonych czynności przetwarzania danych osobowych w celu oceny ryzyka (prawnego, finansowego, wizerunkowego, a także reputacyjnego) przedsiębiorstwa przetwarzają dane osobowe osób fizycznych prowadzących działalność gospodarczą oraz osób fizycznych wchodzących w skład organów zarządczych kontrahentów. Należy pamiętać, iż katalog zbieranych danych zależy od podmiotu zamawiającego konkretne zestawienie, lecz można założyć, iż na pewno w takim sprawozdaniu znajdą się dane identyfikacyjne, kontaktowe, a także dane o kondycji gospodarczej, rynkowej i kredytowej weryfikowanego kontrahenta.

Jak już wcześniej zostało wspomniane, to problem pojawia się tutaj z podstawą prawną przetwarzania danych osobowych kontrahentów oraz potencjalnych kontrahentów. Na początku należy ocenić cel, jakiemu to przetwarzanie ma służyć. Jako cel przeprowadzania tego typu sprawdzeń należy na pewno podać weryfikacją kontrahenta niewątpliwie będziemy przetwarzać dane w celach związanych z minimalizacją ryzyka związanego z szeroko rozumianą współpracą z kontrahentem. Co ciekawe należy zaznaczyć, iż nie ma jednoznacznych przepisów prawa nakazujących lub zezwalających przedsiębiorcy weryfikację swoich kontrahentów. Jedyną przesłanką, która pozwala na przeprowadzenie tego typu działań jest 6 ust. 1 lit. f RODO, który traktuje o przetwarzaniu danych osobowych na podstawie uzasadnionego interesu administratora. Bezsprzecznie należy przyjąć, że przedsiębiorca posiada uzasadniony interes w weryfikacji administratora. Oczywiście można w tym miejscu długo dywagować o zakresie tego typu danych. Jak daleko można się posunąć w kwestii weryfikacji kontrahenta i co tak naprawdę można weryfikować, a co mogłoby już stanowić naruszenia prywatności osoby fizycznej? Abstrahując od tego typu rozważań, z całą pewnością należy stwierdzić, iż powołując się na uzasadniony interes, można przetwarzać takie dane kontrahentów, które pochodzą z powszechnie dostępnych źródeł informacji. W celu oceny zasadności zakresu przetwarzanych danych oraz samą możliwość przeprowadzania tego typu działań należy ocenić przez przeprowadzenie testu równowagi, który powinien być przeprowadzony przed rozpoczęciem tego typu działań. Test równowagi powinien wykazać porównanie prawnie uzasadnionego interesu administratora z interesami oraz podstawowymi prawami i wolnościami podmiotów danych, w tej sytuacji weryfikowanych przedsiębiorców. Wynik testu powinien wskazywać na przewagę interesów administratora danych osobowych względem osoby, której dane dotyczą.

Po przeprowadzeniu testu równowagi nie można zapomnieć, by poinformować kontrahentów oraz potencjalnych kontrahentów o celach związanych z weryfikacją ich sytuacji gospodarczej i rynkowej. Jak łatwo się domyślić, to większość danych pochodzi z powszechnie dostępnych źródeł informacji (Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Krajowego Rejestru Sądowego, wywiadowni gospodarczych, innych powszechnie dostępnych źródeł), jednakże często dzieje się to bez jakiejkolwiek interakcji weryfikowanych osób. Dane osobowe, które przetwarzane są w związku z tymi działaniami są weryfikowane bez wiedzy osób, których dane dotyczą. Sytuacja taka rodzi poważne ryzyko niezastosowania się do przepisów RODO, co w konsekwencji może powodować nałożenie dotkliwych kar finansowych na przedsiębiorców realizujących przedmiotowe weryfikacje potencjalnych kontrahentów. Należy pamiętać, że obowiązek informacyjny należy realizować każdorazowo w momencie pozyskania danych osobowych, chyba że zachodzi jeden z określonych w RODO wyjątków. Należy pamiętać, iż obowiązek informacyjny z art. 13 RODO powinien być zrealizowany wobec osób, od których bezpośrednio pozyskano dane osobowe. Należy pamiętać, że kiedy zbieramy dane osobowe do wykonania weryfikacji kontrahenta (bezpośrednio od jego samego), informacja o tym powinna zostać mu udzielona i nie ma tu żadnych wątpliwości. Problem pojawia się jednak w związku z koniecznością realizacji obowiązku informacyjnego z art. 14 RODO wobec przedsiębiorców, których dane osobowe pozyskano z powszechnie dostępnych źródeł – niejako bez wiedzy tych osób. Mając na uwadze wymóg realizacji obowiązku informacyjnego wobec weryfikowanych kontrahentów oraz potencjalnych kontrahentów zapewne przedsiębiorcy powinni być świadomi ryzyka biznesowego, które może narodzić się po udzieleniu informacji kontrahentom o przetwarzaniu ich danych osobowych w związku z przytoczonymi powyżej celami. Można przewidzieć wzrost liczby składanych sprzeciwów wobec takiego przetwarzania danych lub innych negatywnych następstw, które mogą zmaterializować się po udzieleniu tego typu informacji.

Pobierz wpis w wersji pdf

Podobne wpisy:

Dokumentacja RODO a zasada rozliczalności. DODATEK: Pytania weryfikujące.

W ubiegłym miesiącu przedstawiliśmy Wam artykuł o dokumentacji zgodnej z RODO. Nie tylko wymieniliśmy podstawowe dokumenty niezbędne przedsiębiorcy, ale dodatkowo opisaliśmy czego one dotyczą i co powinny zawierać. Jeżeli jeszcze nie czytaliście, gorąco zachęcamy.  W międzyczasie brytyjskie Biuro Komisarza ds. Informacji (ang. Information Commissioner’s Office – ICO) wydało wytyczne dotyczące zasady rozliczalności. Co prawda dokument […]

Wysyłanie PIT-a drogą mailową

Wstęp Niniejszy artykuł ma na celu rozwiać wątpliwości dotyczące kwestii wysyłania PIT-a drogą elektroniczną. Należy tutaj zaznaczyć, iż nie dotyczy to tylko kwestii poczty elektronicznej ale również ogólnodostępnych narzędzi, które między innymi służą do udostępniania konkretnych plików / dokumentów konkretnemu gronu odbiorców. Nie można tutaj oczywiście mówić tylko o kwestii konkretnego dokumentu jakim jest PIT, […]

Zmiany w ustawie od 7 marca 2011r.

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki