Weryfikacja partnerów biznesowych a ochrona danych osobowych

Przeczytaj także: Przetwarzanie i ochrona danych w ramach procedury whistleblowingu

Podstawą prawną czynności przetwarzania danych osobowych związanych weryfikacją partnerów biznesowych jest zasadniczo art 6 ust.1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Istnienie uzasadnionego interesu nie wyklucza, iż w konkretnym przypadku wystąpi inna podstawa prawna, w szczególności art 6. Ust.1 lit. c RODO – wykonanie obowiązku prawnego.

Na chwilę obecną w polskim porządku prawnym nie obowiązuje akt prawny, mogący stanowić podstawę prawną przetwarzania danych osobowych na potrzeby badania kontrahentów, co prowadzi do wniosku, że na chwilę obecną podstawą prowadzenia czynności weryfikacyjnych w stosunku do kontrahentów są tzw. miękkie przesłanki w postaci wytycznych, rekomendacji zaleceń itp. Do tej grupy należą w szczególności: standardy rekomendowane dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji, system ochrony sygnalistów w spółkach notowanych na Giełdzie Papierów Wartościowych zawierające rekomendację wdrażania procedur weryfikacji kontrahentów.

Celem przetwarzania danych osobowych w procesie weryfikacji partnerów biznesowych jest ocena ryzyk prawnych, finansowych, wizerunkowych związanych z nawiązaniem współpracy w kontrahentem.

Kategorie danych, które są przetwarzane, obejmują dane osób fizycznych prowadzących działalność gospodarczą, np. imię, nazwisko, adres email, nip, adres prowadzenia działalności, dane osób wchodzących w skład organów zarządczych kontrahenta.

W związku z prowadzeniem procesu weryfikacji kontrahentów pojawia się kwestia obowiązku informacyjnego wobec osób fizycznych, których dane są przetwarzane oraz retencyjności danych osobowych.

Reasumując, proces weryfikacji potencjalnych partnerów biznesowych powinien odbywać się w zgodzie z ogólnymi zasadami wynikającymi z RODO oraz ustaw szczególnych.

Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. nr 119/1)