W przypadku wdrożenia systemu weryfikacji partnerów biznesowych, należy zwracać szczególną uwagę na aspekt poszanowania przepisów prawa powszechnie obowiązującego, w tym RODO.
Podstawą prawną czynności przetwarzania danych osobowych związanych weryfikacją partnerów biznesowych jest zasadniczo art 6 ust.1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Istnienie uzasadnionego interesu nie wyklucza, iż w konkretnym przypadku wystąpi inna podstawa prawna, w szczególności art 6. Ust.1 lit. c RODO – wykonanie obowiązku prawnego.
Na chwilę obecną w polskim porządku prawnym nie obowiązuje akt prawny, mogący stanowić podstawę prawną przetwarzania danych osobowych na potrzeby badania kontrahentów, co prowadzi do wniosku, że na chwilę obecną podstawą prowadzenia czynności weryfikacyjnych w stosunku do kontrahentów są tzw. miękkie przesłanki w postaci wytycznych, rekomendacji zaleceń itp. Do tej grupy należą w szczególności: standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji, system ochrony sygnalistów w spółkach notowanych na Giełdzie Papierów Wartościowych zawierające rekomendację wdrażania procedur weryfikacji kontrahentów.
Celem przetwarzania danych osobowych w procesie weryfikacji partnerów biznesowych jest ocena ryzyk prawnych, finansowych, wizerunkowych związanych z nawiązaniem współpracy w kontrahentem.
Kategorie danych, które są przetwarzane, obejmują dane osób fizycznych prowadzących działalność gospodarczą, np. imię, nazwisko, adres email, nip, adres prowadzenia działalności, dane osób wchodzących w skład organów zarządczych kontrahenta.
W związku z prowadzeniem procesu weryfikacji kontrahentów pojawia się kwestia obowiązku informacyjnego wobec osób fizycznych, których dane są przetwarzane oraz retencyjności danych osobowych.
Reasumując, proces weryfikacji potencjalnych partnerów biznesowych powinien odbywać się w zgodzie z ogólnymi zasadami wynikającymi z RODO oraz ustaw szczególnych.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. nr 119/1)
Grzegorz Szajerka | Prawnik / Ekspert ds. Compliance
Tekst ukazał się na łamach: eGospodarka.pl