W dzisiejszych czasach bardzo ważne jest, by posiadać wiedzę w zakresie rynku, na którym świadczy się usługi. Tutaj zawsze pojawia się wątpliwość jak takie dane pozyskiwać oraz jak sprawdzić, czy aktualna sytuacja kredytowa, biznesowa, czy też gospodarcza przyszłych kontrahentów może wpłynąć na nasze przedsiębiorstwo. Aktualnie wiele podmiotów gospodarczych prowadzi tzw. „biały wywiad gospodarczy”. Niejednokrotnie jest on prowadzony na małą, lub też na wielką skalę. Ma na to wpływ wiele czynników, jak na przykład wielkość organizacji, profil organizacji oraz forma współpracy. Niestety prowadząc tego typu działania nie można zapomnieć o aktualnie obowiązujących przepisach prawnych, ze szczególnym uwzględnieniem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej „RODO”. Wszelkie podejmowane działania mają na celu weryfikację zasadność współpracy z przyszłym kontrahentem. Pojawia się tutaj problem, czy prowadząc „biały wywiad” mamy podstawę prawną do przetwarzania danych osobowych, które uda nam się tym sposobem pozyskać. Kolejna wątpliwość, to spełnienie obowiązku informacyjnego wobec osób, których dane mogą znaleźć się w zestawieniu. Należy tutaj pamiętać, iż nie mówimy o spełnieniu obowiązku informacyjnego z art. 13 RODO, ale o art. 14 RODO, gdyż pozyskane dane nie zostały uzyskane od osoby, której dane dotyczą, lecz z innego źródła.
Dzisiaj na rynku można znaleźć wiele podmiotów specjalizujących się w przeprowadzaniu tego typu wywiadów, mowa tutaj o wywiadowniach gospodarczych. Podmioty te na polecenie zamawiającego przetwarzają dane o swoich kontrahentach oraz potencjalnych kontrahentach. Zbierają wszelkie informacje, które mogą mieć realny wpływ na współpracę. Należy pamiętać, iż mogą pojawić się tam również dane osobowe osób powiązanych z weryfikowanymi podmiotami. Należy zaznaczyć, iż w ramach prowadzonych czynności przetwarzania danych osobowych w celu oceny ryzyka (prawnego, finansowego, wizerunkowego, a także reputacyjnego) przedsiębiorstwa przetwarzają dane osobowe osób fizycznych prowadzących działalność gospodarczą oraz osób fizycznych wchodzących w skład organów zarządczych kontrahentów. Należy pamiętać, iż katalog zbieranych danych zależy od podmiotu zamawiającego konkretne zestawienie, lecz można założyć, iż na pewno w takim sprawozdaniu znajdą się dane identyfikacyjne, kontaktowe, a także dane o kondycji gospodarczej, rynkowej i kredytowej weryfikowanego kontrahenta.
Jak już wcześniej zostało wspomniane, to problem pojawia się tutaj z podstawą prawną przetwarzania danych osobowych kontrahentów oraz potencjalnych kontrahentów. Na początku należy ocenić cel, jakiemu to przetwarzanie ma służyć. Jako cel przeprowadzania tego typu sprawdzeń należy na pewno podać weryfikacją kontrahenta niewątpliwie będziemy przetwarzać dane w celach związanych z minimalizacją ryzyka związanego z szeroko rozumianą współpracą z kontrahentem. Co ciekawe należy zaznaczyć, iż nie ma jednoznacznych przepisów prawa nakazujących lub zezwalających przedsiębiorcy weryfikację swoich kontrahentów. Jedyną przesłanką, która pozwala na przeprowadzenie tego typu działań jest 6 ust. 1 lit. f RODO, który traktuje o przetwarzaniu danych osobowych na podstawie uzasadnionego interesu administratora. Bezsprzecznie należy przyjąć, że przedsiębiorca posiada uzasadniony interes w weryfikacji administratora. Oczywiście można w tym miejscu długo dywagować o zakresie tego typu danych. Jak daleko można się posunąć w kwestii weryfikacji kontrahenta i co tak naprawdę można weryfikować, a co mogłoby już stanowić naruszenia prywatności osoby fizycznej? Abstrahując od tego typu rozważań, z całą pewnością należy stwierdzić, iż powołując się na uzasadniony interes, można przetwarzać takie dane kontrahentów, które pochodzą z powszechnie dostępnych źródeł informacji. W celu oceny zasadności zakresu przetwarzanych danych oraz samą możliwość przeprowadzania tego typu działań należy ocenić przez przeprowadzenie testu równowagi, który powinien być przeprowadzony przed rozpoczęciem tego typu działań. Test równowagi powinien wykazać porównanie prawnie uzasadnionego interesu administratora z interesami oraz podstawowymi prawami i wolnościami podmiotów danych, w tej sytuacji weryfikowanych przedsiębiorców. Wynik testu powinien wskazywać na przewagę interesów administratora danych osobowych względem osoby, której dane dotyczą.
Po przeprowadzeniu testu równowagi nie można zapomnieć, by poinformować kontrahentów oraz potencjalnych kontrahentów o celach związanych z weryfikacją ich sytuacji gospodarczej i rynkowej. Jak łatwo się domyślić, to większość danych pochodzi z powszechnie dostępnych źródeł informacji (Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Krajowego Rejestru Sądowego, wywiadowni gospodarczych, innych powszechnie dostępnych źródeł), jednakże często dzieje się to bez jakiejkolwiek interakcji weryfikowanych osób. Dane osobowe, które przetwarzane są w związku z tymi działaniami są weryfikowane bez wiedzy osób, których dane dotyczą. Sytuacja taka rodzi poważne ryzyko niezastosowania się do przepisów RODO, co w konsekwencji może powodować nałożenie dotkliwych kar finansowych na przedsiębiorców realizujących przedmiotowe weryfikacje potencjalnych kontrahentów. Należy pamiętać, że obowiązek informacyjny należy realizować każdorazowo w momencie pozyskania danych osobowych, chyba że zachodzi jeden z określonych w RODO wyjątków. Należy pamiętać, iż obowiązek informacyjny z art. 13 RODO powinien być zrealizowany wobec osób, od których bezpośrednio pozyskano dane osobowe. Należy pamiętać, że kiedy zbieramy dane osobowe do wykonania weryfikacji kontrahenta (bezpośrednio od jego samego), informacja o tym powinna zostać mu udzielona i nie ma tu żadnych wątpliwości. Problem pojawia się jednak w związku z koniecznością realizacji obowiązku informacyjnego z art. 14 RODO wobec przedsiębiorców, których dane osobowe pozyskano z powszechnie dostępnych źródeł – niejako bez wiedzy tych osób. Mając na uwadze wymóg realizacji obowiązku informacyjnego wobec weryfikowanych kontrahentów oraz potencjalnych kontrahentów zapewne przedsiębiorcy powinni być świadomi ryzyka biznesowego, które może narodzić się po udzieleniu informacji kontrahentom o przetwarzaniu ich danych osobowych w związku z przytoczonymi powyżej celami. Można przewidzieć wzrost liczby składanych sprzeciwów wobec takiego przetwarzania danych lub innych negatywnych następstw, które mogą zmaterializować się po udzieleniu tego typu informacji.
