Ocena ryzyka… przy ocenie ryzyka

KOMENTARZ
opublikowano: 17-06-2015, 00:00

Mija już czwarty rok, odkąd ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych dotyczy także osób prowadzących działalność gospodarczą.

Na jej wymogi powinni zwrócić uwagę dostawcy usług z branży finansowej, przeznaczonych dla MŚP, zanim rozpocznie się współpraca z klientem. Przy ocenie ryzyka transakcji nie można zapomnieć o ocenie ryzyka odpowiedzialności za spełnienie przepisów ww. ustawy. Aby je właściwie oszacować, pomocne będą praktyczne przykłady.

Ocena ryzyka może się zakończyć zawarciem umowy, albo decyzją negatywną. Według Generalnego Inspektora Ochrony Danych Osobowych przetwarzanie danych w tym celu jest uzależnione od tzw. zasady ograniczenia czasowego. Innymi słowy: dane potencjalnego klienta nie mogą być przechowywane w postaci umożliwiającej jego identyfikację dłużej, niż jest to niezbędne do podjęcia decyzji przy ocenie ryzyka.

Przykład? Rozpatrzenie wniosku o zawarcie umowy ubezpieczenia, faktoringu czy leasingu. Identyfikacja ryzyka prawnego w tym momencie to odpowiedź na pytanie: czy dane osobowe po rozpatrzeniu wniosku o zawarcie umowy, gdy nie została ona zawarta, są w spółce dalej przechowywane? Odpowiedź twierdząca to sygnał o ryzyku — jednym z uchybień konsekwentnie potwierdzanym przez GIODO (np. w decyzji z dnia 31 maja 2012 r., sygn. DIS/DEC-494/12/34109).

Dane osobowe przedsiębiorcy to nie tylko nazwa jego firmy, adres, numer telefonu, ale też informacje o charakterze gospodarczym, jak np. często zbierane przy szacowaniu ryzyka dane o prowadzonym postępowaniu karno-skarbowym potencjalnego klienta. Spółki z branży finansowej powinny pamiętać, żeby zbierać i dalej przetwarzać dane wyłącznie niezbędne do realizacji zakładanego celu — oceny ryzyka przed zawarciem umowy.

Podmioty znające stanowisko GIODO i sądów administracyjnych wiedzą, że zdobywanie przez nich od potencjalnego klienta już na etapie oceny ryzyka informacji o postępowaniu karno-skarbowym może być uznane za naruszenie. Według organu takie dane nie są niezbędne dla realizacji celu ich przetwarzania — rozpatrzenia wniosku i zawarcia umowy. Co więcej, próba zalegalizowania przetwarzania tych informacji za zgodą może się okazać nieskuteczna.

Zgoda na przetwarzanie danych osobowych może dotyczyć jedynie danych, które są niezbędne dla zrealizowania celu — oceny ryzyka (wyrok NSA z 16.02.2007, sygn. I OSK 478/06).

W każdym procesie biznesowym czerwone flagi pozwalają albo uniknąć ryzyka, albo zastanowić się, jak je zminimalizować. Przy ocenie ryzyka transakcji wiedza, na temat ryzyka prawnego ma duże znaczenie, a wyżej opisane przykłady są po to, by ją pogłębić. Z pewnością warto znać kluczowe nieprawidłowości, aby decyzje dotyczące oby tych zagrożeń były podejmowane świadomie. © Ⓟ

KATARZYNA UŁASIUK, iSecure

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: KOMENTARZ

Polecane

Inspiracje Pulsu Biznesu