Test na prawnie uzasadnione interesy
DANE OSOBOWE PRZEDSTAWICIELI I OSÓB KONTAKTOWYCH KONTRAHENTÓW
Sporządzono: 25 maja 2018 r.
I. Powód przeprowadzenia testu na prawnie uzasadnione interesy
Swiss Pharma s.r.o. (dalej zwana: Spółka) jako dane osobowe traktuje nazwiska, imiona, numery telefonów, adresy e-mailowe przedstawicieli i osób kontaktowych swoich kontrahentów, jak również nazwiska, imiona, daty i miejsca urodzenia, imiona rodziców, siedzibę, numer telefonu, adres e-mail, indywidualny numer rejestracji działalności gospodarczej i NIP kontrahentów przedsiębiorców indywidualnych.
Art. 6 ust. 1 litera f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej zwane: RODO] reguluje, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Przeprowadzenie niniejszego testu na prawnie uzasadnione interesy jest niezbędne do stwierdzenia, czy Spółka uprawniona jest do przetwarzania danych osobowych będących przedmiotem niniejszego testu na prawnie uzasadnione interesy ze względu na realizację prawnie usprawiedliwionych interesów Spółki, przy ewentualnym braku innych podstaw prawnych [art. 6 ust. 1 litery a) – e) RODO]
W trakcie przeprowadzenia testu na prawnie uzasadnione interesy, Spółka zgodnie z rozporządzeniami i treścią akapitu (47) preambulum RODO:
- identyfikuje prawnie uzasadniony interes administratora, czyli Spółki, dający podstawę prawną przetwarzania danych osobowych będących przedmiotem niniejszego testu na prawnie uzasadnione interesy,
- określa interesy i prawa podstawowe osoby, której dotyczą dane, będące przedmiotem niniejszego testu, jako kontrapunkt dla usprawiedliwionych interesów Spółki,
- dokonuje porównania prawnie uzasadnionych interesów Spółki z interesami i prawami podstawowymi osoby, której dotyczą dane i na podstawie tej oceny stwierdza, czy może przetwarzać odnośne dane osobowe.
II. Uzasadnione interesy Spółki jako administratora danych:
Przedmiotem niniejszego testu na prawnie uzasadnione interesy są dane osobowe, czyli nazwiska, imiona, numery telefonów adresy e-mail przedstawicieli i osób kontaktowych kontrahentów Spółki, jak również nazwiska, imiona, daty i miejsca urodzenia, imiona rodziców, siedzibę, numer telefonu, adres e-mail, indywidualny numer rejestracji działalności gospodarczej i NIP kontrahentów przedsiębiorców indywidualnych.
Źródłem nazwisk, imion, numerów telefonów, adresów e-mailowych przedstawicieli i osób kontaktowych kontrahentów Spółki są dokumenty (listy, e-maile, projekty, zaproszenia do składania ofert, oferty) oraz rozmowy telefoniczne w zakresie przygotowania, zawarcia, realizacji i rozwiązania umów pomiędzy Spółką a kontrahentami. W tym rozumieniu również przypadki, kiedy sama osoba, której dane dotyczą, udostępnia je Spółce (lub pracownikowi Spółki).
Źródłem wymieniowych uprzednio danych osobowych kontrahentów Spółki, przedsiębiorców indywidualnych, są dokumenty (listy, e-maile, projekty, zaproszenia do składania ofert, oferty) oraz rozmowy telefoniczne w zakresie przygotowania, zawarcia, realizacji i rozwiązania umów pomiędzy Spółką a kontrahentami, przedsiębiorcami indywidualnymi. W tym rozumieniu również i tutaj przypadki, kiedy sama osoba, której dane dotyczą, udostępnia je Spółce (lub pracownikowi Spółki).
Przetwarzanie tych danych osobowych jest dla Spółki niezbędne do utrzymywania kontaktu z kontrahentami, do efektywnego zawarcia, realizacji i rozwiązania umów z klientami, jak również z dostawcami. Spółka ponadto wykorzystuje te dane osobowe do utrzymywania kontaktów i zarządzania partnerami.
Z uwagi na powyższe, Spółka posiada rzeczywisty i prawnie uzasadniony interes w tym, żeby pomyślnie zrealizować zawarcia, wykonania i rozwiązania umów związanych z jej działalnością gospodarczą, jak również żeby skutecznie utrzymywać kontakty i zarządzać partnerami.
III. Interesy i podstawowe prawa osób, których dane dotyczą:
Konstytucja każdemu zapewnia prawo do ochrony praw osobowych.
Wyraźnym celem RODO jest regulacja przetwarzania danych osobowych po to, żeby administratorzy danych szanowali prywatność osób fizycznych.
Ponadto RODO jako podstawową zasadę ustanawia, że dane osobowe mogą być przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Na każdym etapie przetwarzania dane osobowe muszą być przetwarzane i zbierane zgodnie z celem, praworządnie i rzetelnie. Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Dane osobowe mogą być przetwarzane wyłącznie w zakresie i czasie niezbędnym do osiągnięcia pierwotnego celu.
Nieprawidłowe i niezgodne z prawem przetwarzanie danych osobowych, jak również zaniedbanie środków służących do bezpiecznego przetwarzania danych jest karalne według Kodeksu karnego.
Osoba fizyczna, której dane dotyczą, dysponuje nadrzędnym prawem do
- informacji o przetwarzaniu swoich danych osobowych,
- dysponowania nad przetwarzaniem przez innych swoich danych osobowych,
- poszanowania prywatności przez administratorów danych,
- przestrzegania przez administratorów przepisów prawnych, mających na celu ochronę danych osobowych, a dzięki temu – ochronę prywatności.
IV. Zestawienie interesów Spółki i interesów osoby, której dane dotyczą
Z powyższych wynika, że Spółka posiada istotny i jednoznaczny interes w tym, żeby pomyślnie zrealizować zawarcia, wykonania i rozwiązania umów związanych z jej działalnością gospodarczą, jak również żeby skutecznie utrzymywać kontakty i zarządzać partnerami.
Jednocześnie przedstawiciele i osoby kontaktowe kontrahentów Spółki posiadają tak samo istotny i jednoznaczny interes związany z prawem do informacji o przetwarzaniu swoich danych osobowych i prawem do prywatności. Ważne jednak jest to, że – naszym zdaniem – przetwarzanie odnośnych danych osobowych przez naszą Spółkę nie powoduje poważnego uszczerbku interesów osób, których dane dotyczą.
Co więcej, w/w osoby mają podobnie istotny i jednoznaczny interes w tym, żeby Spółka przetwarzała ich dane osobowe, ponieważ bez tego umowy pomiędzy Spółką a reprezentowanym przez nich kontrahentem nie mogłyby dojść do skutku, jak również nie zostałyby pomyślnie zrealizowane; reasumując: przetwarzanie danych osobowych przez Spółkę pomaga im w wypełnianiu obowiązków: przeprowadzaniu negocjacji przed zawarciem umowy i utrzymywaniu kontaktu ze Spółką w drodze realizacji tych umów.
Kontrahenci przedsiębiorcy indywidualni również posiadają istotny i jednoznaczny interes związany z prawem do informacji o przetwarzaniu swoich danych osobowych i prawem do prywatności. Ważne jednak jest to, że – naszym zdaniem – przetwarzanie odnośnych danych osobowych przez naszą Spółkę nie powoduje poważnego uszczerbku interesów osób, których dane dotyczą.
Co więcej, w przypadku przedsiębiorców indywidualnych jeszcze wyraźniej widać, że mają podobnie istotny i jednoznaczny interes w tym, żeby Spółka przetwarzała ich dane osobowe, ponieważ bez tego umowy pomiędzy nimi a Spółką nie mogłyby dojść do skutku, jak również nie zostałyby pomyślnie zrealizowane; reasumując: przetwarzanie danych osobowych przez Spółkę pomaga im w prowadzeniu działalności gospodarczej, nawiązaniu relacji handlowych ze Spółką, przeprowadzaniu negocjacji przed zawarciem umowy i utrzymywaniu kontaktu ze Spółką w drodze realizacji tych umów.
V. Gwarancje
Poza obowiązkową informacją na temat przetwarzania danych osobowych, osoba, której dane dotyczą, może zawsze zażądać informacji odnośnie przetwarzanych przez Spółkę lub jej administratorów swoich danych, ich źródła, celów ich przetwarzania, podstaw prawnych, czasu przetwarzania, kategorii danych, adresatów i ich kategorii, którym odnośne dane zostały lub będą udostępnione, na temat ewentualnych incydentów w ochronie danych osobowych, okoliczności i rezultatów tego incydentu, jak również o środkach podjętych w celu usunięcia danego incydentu, a w przypadku przekazania jego danych osobowych może zażądać informacji odnośnie podstaw prawnych i adresatów tego przekazania.
Nasza Spółka w sposób ciągły gwarantuje osobom, których dotyczą dane, możliwość skorzystania z prawa do usunięcia swoich danych osobowych, zapewnionego im w RODO, o ile z jakichś przyczyn uznają to za stosowne. Po wpłynięciu takiego wniosku nasza Spółka w każdym przypadku roztrzyga indywidualnie, czy prośba o usunięcie danych jest możliwa do spełnienia ze względu na interesy Spółki i osoby, której dotyczą dane, oraz regulację prawną.
Spółka bez zbędnej zwłoki, ale najpóźniej w ciągu jednego miesięca od wpłynięcia wniosku informuje odnośną osobę o środkach, podjętych na skutek jego prośby. Jeśli Spółka nie podejmie żadnych kroków w sprawie jego prośby, wówczas bez zbędnej zwłoki, ale najpóźniej w ciągu jednego miesiąca od wpłynięcia wniosku informuje odnośną osobę o przyczynach niepodjęcia działania, jak również o środkach odwoławczych, jakie mu przysługują (organ nadzorczy, sąd).
W celu zabezpieczenia danych osobowych Spółka gwarantuje zastosowanie odpowiednich środków technicznych, technologicznych i organizacyjnych w celu przechowywania danych osobowych w sposób zabezpieczony przed ich niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, dzięki czemu zaspokaja wymogi RODO oraz spełnia wszystkie zasady poufności.
VI. Prawo do sprzeciwu
Osoba, której dane dotyczą, zawsze może zgłosić sprzeciw przeciw przetwarzaniu jej danych na podstawie art. 6 ust. 1 litera f) RODO i zażądać usunięcia danych.
W tym przypadku nasza Spółka tylko wtedy przetwarza dalej te dane osobowe, jeśli wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Spółka bez zbędnej zwłoki, ale najpóźniej w ciągu jednego miesiąca od wpłynięcia wniosku rozpatrzy odnośny sprzeciw i na piśmie zawiadamia odnośną osobę o swojej decyzji.
Jeśli Spółka stwierdzi, że sprzeciw osoby, której dane dotyczą, jest uzasadniony, zaprzestaje przetwarzania danych – w tym dalszego zbierania czy przesyłania –, blokuje dane, jak również informuje o sprzeciwie i podjętym działaniu wszystkich adresatów, którym wcześniej przesłał objęte sprzeciwem dane, żeby mogli we własnym zakresie podjąć odpowiednie działania w celu zrealizowania prawa do sprzeciwu.
W przypadku, jeśli osoba, której dane dotyczą, nie zgadza się z decyzją naszej Spółki odnośnie jej sprzeciwu, lub jeśli Spółka przekroczy przepisowy termin, może się zwrócić ze skargą do organu nadzorczego lub do sądu.
VII. Wynik testu na prawnie uzasadnione interesy
Prawnie uzasadniony interes Spółki, dający podstawę prawną przetwarzania danych osobowych będących przedmiotem niniejszego testu na prawnie uzasadnione interesy, przewyższa interesy odnośnych osób do ochrony danych osobowych, ponieważ:
- Spółka posiada istotny i jednoznaczny interes w związku z przetwarzaniem danych osobowych,
- w/w osoby mają podobnie istotny interes w tym, żeby Spółka przetwarzała ich dane osobowe,
- przetwarzanie odnośnych danych osobowych przez naszą Spółkę nie powoduje poważnego uszczerbku interesów osób, których dane dotyczą,
- gwarancje i środki ochrony danych, stosowane przez Spółkę jeszcze bardziej zmniejszają ewentualny uszczerbek interesów osób, których dane dotyczą.
Wynikiem testu na prawnie uzasadnione interesy jest więc stwierdzenie, że przesłanka, o której mowa w art. 6 ust. 1 litera f), do przetwarzania danych osobowych będących przedmiotem niniejszego testu na prawnie uzasadnione interesy, jest spełniona, czyli Spółka ma prawo przetwarzać dane osobowe odnośnych osób, nawet przy ewentualnym braku innych podstaw prawnych [art. 6 ust. 1 litery a) – e) RODO].
