Informacja o przetwarzaniu danych osobowych

Zapoznaj się z dokładną informacją o przetwarzaniu danych osobowych przez Bisnode.

TREŚĆ OBOWIĄZKU INFORMACYJNEGO NA STRONĘ INTERNETOWĄ BISNODE POLSKA SPÓŁKI Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

 

Spis treści

1.      Bisnode jako administrator przetwarzanych danych osobowych. 

2.      Inspektor Ochrony Danych. 

4.      Cele przetwarzania danych osobowych. 

5.      Kategorie danych osobowych przetwarzanych danych przez Bisnode. 

6.      Szczególne kategorie danych osobowych oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa lub powiązanych środków bezpieczeństwa. 

7.      Odbiorcy danych osobowych. 

8.      Przekazywanie przez Bisnode danych osobowych do państw trzecich lub do organizacji międzynarodowych. 

9.      Prawa osób, których dane dotyczą oraz przysługujące im środki ochrony prawnej 

9.1.   Prawo dostępu do danych osobowych. 

9.2.   Prawo do sprostowania danych. 

9.3.   Prawo do usunięcia danych („prawo do bycia zapomnianym”) 

9.4.   Prawo do ograniczenia przetwarzania. 

9.5.   Prawo do przenoszenia danych. 

9.6.   Prawo do wniesienia sprzeciwu. 

9.7.   Środki ochrony prawnej 

9.8.   Sposób realizacji praw osób, których dane dotyczą. 

10.    Zautomatyzowane podejmowanie decyzji, w tym profilowanie. 

 


1. Bisnode jako administrator przetwarzanych danych osobowych

Bisnode Polska Spółka z ograniczoną odpowiedzialnością, ustalając cele i sposoby przetwarzania danych osobowych (tj. m. in. wykorzystując je w procesie tworzenia, a następnie oferowania klientom produktów bazujących na przetwarzanych danych osobowych), działa w charakterze administratora tych danych.

Tożsamość administratora i jego dane kontaktowe: Bisnode Polska Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie (ul. Plac Europejski 2, 00-844 Warszawa), wpisana do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, Wydział XII Gospodarczy Krajowego Rejestru Sądowego pod nr 0000228478, NIP: 7742855054, REGON: 140015088, kapitał zakładowy w wysokości: 1.075.000,00 złotych

Z administratorem danych można się kontaktować pisemnie za pomocą poczty tradycyjnej na ul. Plac Europejski 2, 00-844 Warszawa, drogą e-mailową pod adresem: bisnode.rodo.pl@bisnode.com.

 

 

2. Inspektor Ochrony Danych

Do obowiązków Inspektora Ochrony Danych należy m. in.:

  • informowanie administratora danych oraz pracowników, którzy przetwarzają dane osobowe o ich obowiązkach wynikających z RODO oraz innych przepisów dotyczących ochrony danych osobowych,
  • monitorowanie przestrzegania przez administratora przepisów dotyczących ochrony danych osobowych,
  • szkolenie pracowników uczestniczących w operacjach przetwarzania danych osobowych,
  • udzielanie administratorowi wskazówek co do wdrożenia odpowiednich środków organizacyjnych i technicznych w zakresie ochrony danych osobowych,
  • współpraca z organem nadzorczym.

Zatem główną rolą Inspektora Ochrony Danych jest zapewnienie przestrzegania przepisów dotyczących ochrony danych osobowych. Inspektor Ochrony Danych pełni także funkcję pośrednika pomiędzy osobami, których dane osobowe dotyczą a administratorem danych osobowych. Co więcej, jest jednym z gwarantów przestrzegania praw osób, których dane dotyczą.

W celu zapewnienia skutecznego wykonywania powyższych zadań RODO wymaga, aby Inspektor Ochrony Danych:

  • brał udział we wszystkich sprawach dotyczących danych osobowych,
  • miał zapewnione odpowiednie zasoby niezbędne do wykonywania zadań (np. dostęp do innych działów w organizacji, wsparcie ze strony kadry kierowniczej, odpowiednie wsparcie finansowe i infrastrukturalne),
  • nie otrzymywał instrukcji dotyczących wykonywanych przez niego zadań,
  • nie był odwoływany ani karany za wypełnianie swoich zadań,
  • nie wykonywał innych obowiązków, które mogłyby prowadzić do powstania konfliktu interesów.

Ponadto, aby zapewnić przestrzeganie przepisów dotyczących ochrony danych osobowych, a w szczególności zapewnić odpowiednią ochronę praw osób, których dane administrator przetwarza,  Inspektor Ochrony Danych wyznaczany jest na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełnienia zadań.

Zatem Inspektor Ochrony Danych musi posiadać odpowiednią wiedzę oraz doświadczenie w dziedzinie ochrony danych osobowych oraz sektora w którym działa administrator, a także odznaczać się rzetelnym podejściem do wykonywanych zadań oraz wysokim poziomem etyki zawodowej.

Takie ukształtowanie praw, obowiązków i pozycji Inspektora Ochrony Danych gwarantuje należytą ochronę danych osobowych przetwarzanych przez Bisnode.

Z Inspektorem Ochrony Danych wyznaczonym przez Bisnode można się kontaktować pisemnie, za pomocą poczty tradycyjnej na ul. Plac Europejski 2, 00 - 844 Warszawa, drogą e-mailową pod adresem: bisnode.rodo.pl@bisnode.com.

 

 3.  Podstawa prawna oraz okres przetwarzania danych osobowych przez Bisnode

Na gruncie Ogólnego Rozporządzenia o Ochronie Danych przetwarzanie danych osobowych jest zgodne z prawem wyłącznie wtedy, gdy administrator posiada podstawę prawną takiego przetwarzania.

Jedną z takich podstaw, w oparciu o którą Bisnode przetwarza dane osobowe, jest niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO).

Stosownie do art. 6 ust. 1 lit. f RODO, aby przetwarzanie danych osobowych było zgodne z prawem muszą zostać spełnione łącznie trzy warunki:

  • występuje prawnie uzasadniony interes administratora danych lub podmiotu trzeciego,
  • prawa i wolności podmiotu, którego dane dotyczą nie mają charakteru nadrzędnego wobec interesu administratora danych lub podmiotu trzeciego,
  • przetwarzanie danych jest niezbędne do osiągnięcia celów zamierzonych przez administratora lub stronę trzecią.

Prawnie uzasadniony interes to interes zgodny z przedmiotem działalności spółki, mający gospodarcze i prawne uzasadnienie. Uzasadnionym interesem Bisnode jest prowadzenie działalności w formie wywiadowni gospodarczej. W zakresie swojej działalności Bisnode zajmuje się pozyskiwaniem informacji na temat sytuacji gospodarczej przedsiębiorstw. Spółka oferuje swoim klientom w szczególności raporty handlowe obejmujące m.in. dane finansowe i rejestrowe firm, opis działalności przedsiębiorstwa, jego kondycji finansowej, powiązań kapitałowych i osobowych. Bisnode świadczy też usługi w zakresie udostępniania i uzupełniania baz danych swoich klientów np. baz marketingowych.

W ramach prowadzonej działalności Bisnode wykorzystuje dane osobowe osób prowadzących jednoosobową działalność gospodarczą, a także dane wspólników, członków organów i prokurentów spółek. Przetwarzanie tych danych pozostaje w związku z prowadzoną przez te osoby działalnością gospodarczą. Zatem osoby te mogą się spodziewać, że ich dane osobowe będą wykorzystane przez innych przedsiębiorców do oceny prowadzonej przez te osoby działalności gospodarczej, w szczególności jej wiarygodności i rzetelności jako partnera biznesowego.

Bisnode, jako podmiot profesjonalny, wdraża także odpowiednie środki techniczne i organizacyjne zgodne z RODO, zapobiegające wyciekom danych i udostępnieniu ich osobom nieuprawnionym. Spółka podejmuje również wszelkie niezbędne działania, aby przetwarzane i udostępnianie dane osobowe były poprawne i aktualne, a prawa osób których dane dotyczą skutecznie realizowane.

W związku z powyższym, podstawowe prawa i wolności osób, których dane dotyczą nie mają charakteru przeważającego nad interesem Bisnode i klientów Bisnode.

Ponadto przetwarzanie danych osobowych jest niezbędne do prowadzenia przez Bisnode działalności wywiadowni gospodarczej i dostarczania klientom informacji o przedsiębiorcach.

Dane osobowe są przez Bisnode przetwarzane przez okres niezbędny dla realizacji prawnie uzasadnionych interesów Spółki.

Dla okresu przetwarzania danych osobowych przez Bisnode istotne znaczenie ma ponadto realizacja przez osoby, których dane dotyczą, ich praw wynikających z RODO - w szczególności prawa do żądania usunięcia danych osobowych („prawo do bycia zapomnianym”) czy prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych.

 

4.  Cele przetwarzania danych osobowych

Głównym celem przetwarzania danych osobowych jest dostarczenie klientom Bisnode kompleksowych i rzetelnych informacji na temat podmiotów prowadzących działalność gospodarczą w poszczególnych sektorach, a także zwiększenie bezpieczeństwa i stabilności obrotu gospodarczego.

Spółka dostarcza swoim klientom produkty, które pozwalają na sprawdzenie powiązań osobowych i kapitałowych, zweryfikowanie kondycji finansowej przedsiębiorców. Dane takie umożliwiają sprawdzenie potencjału rozwoju określonego rynku, czy też zagrożeń związanych z inwestycjami, a także pozwalają na bieżące monitorowanie zmian zachodzących w podmiotach gospodarczych określonego sektora. Celem przekazania takich informacji jest zapewnienie klientom Bisnode możliwości (1) podjęcia odpowiedniej reakcji na działania konkurencji, (2) optymalizacji zysków z współpracy, a także (3) łatwiejszego i bardziej efektywnego sposobu pozyskiwania nowych klientów.

Ponadto, na podstawie danych dotyczących wiarygodności finansowej, klienci Bisnode mogą wybrać do współpracy podmioty, które terminowo regulują swoje zobowiązania, unikając jednocześnie wchodzenia w relacje biznesowe z niewiarygodnymi kontrahentami. Celem produktów oferowanych przez Bisnode jest zabezpieczenie przedsiębiorców przed stratami i opóźnieniami w płatnościach, a także skrócenie czasu windykacji należności oraz ułatwienie i przyspieszenie nawiązywania współpracy pomiędzy przedsiębiorcami.

Produkty oferowane przez Bisnode zwiększają przejrzystość rynku, bezpieczeństwo obrotu gospodarczego, a także przyczyniają się do zmniejszenia zagrożenia niewypłacalnością. Ponadto pozwalają na pełny proces weryfikacji kontrahenta, sprawdzenie profilu działalności, osób zarządzających, a także struktury i powiązań osobowych i kapitałowych. Spółka dostarcza także informacji o beneficjentach rzeczywistych oraz o wpisie określonych podmiotów na listy sankcyjne i  listy ostrzegawcze. Daje to klientowi Bisnode możliwość dokonania właściwej oceny ryzyka oraz uniknięcia nawiązywania relacji biznesowych z podmiotami generującymi ryzyko braku zgodności z regulacjami prawnymi.

Celem przetwarzania danych przez Bisnode jest również prowadzenie statystyk oraz zwiększenie skuteczności prowadzonych przez klientów Bisnode akcji marketingowych.

 

5.  Kategorie danych osobowych przetwarzanych danych przez Bisnode

Bisnode nie gromadzi tych samych danych dla wszystkich ludzi. Kategorie przetwarzanych danych osobowych zależą od wielu czynników, takich jak np. źródło ich pozyskiwania. Dane osobowe, które są zbierane, wypełniają nie tylko cele wzmocnienia pozycji firm i organizacji, ale mają służyć także ułatwianiu życia użytkownika jako jednostki.

Poniżej znajdują się przykłady danych osobowych przetwarzanych przez Bisnode:

1)        imię,

2)        nazwisko,

3)        numer PESEL,

4)        data urodzenia,

5)        adres e-mail,

6)        numer telefonu,

7)        dane adresowe,

8)        dane związane z komunikacją prowadzoną z Bisnode (np. treść tekstowa w e-mailu, przechowywana w systemach CRM w przypadku kierowania zapytań do działu obsługi klienta, nagrania dźwiękowe z obsługi klienta i sprzedaży, dane identyfikacji elektronicznej: adres IP i pliki cookie).

 

6.  Szczególne kategorie danych osobowych oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa lub powiązanych środków bezpieczeństwa

Do szczególnych kategorii danych osobowych należą dane dotyczące bezpośrednio sfer należących do prywatności, a nawet intymności osoby fizycznej i z tego powodu związane z większym poczuciem zagrożenia ze strony osoby, której takie dane dotyczą. Z uwagi na fakt, że ich przetwarzanie może powodować poważne ryzyko naruszenia podstawowych praw i wolności, wymagają one szczególnej ochrony.

Art. 9 ust. 1 RODO zalicza do szczególnych kategorii danych:

  • dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,
  • dane genetyczne
  • dane biometryczne, jeżeli są przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia,
  • dane dotyczące seksualności lub orientacji seksualnej.

W odniesieniu do szczególnych kategorii danych osobowych RODO ustanawia generalny zakaz ich przetwarzania i określa sytuacje, w których zakaz ten nie znajduje zastosowania.

RODO nie zalicza do szczególnych kategorii danych osobowych danych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa – dane takie, w świetle przepisów Ogólnego Rozporządzenia, podlegają jeszcze silniejszej ochronie. Ich przetwarzanie jest dozwolone wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Także prowadzenie kompletnych rejestrów wyroków skazujących dopuszczalne jest wyłącznie pod nadzorem władz publicznych.

Bisnode nie przetwarza szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

 

7.  Odbiorcy danych osobowych

Zgodnie z RODO odbiorcą danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe.

Główną kategorią odbiorców danych osobowych przetwarzanych przez Bisnode są klienci, którzy nabywają produkty oferowane przez Spółkę. Zatem dane osobowe są przekazywane różnym podmiotom, zarówno osobom fizycznym, osobom prawnym oraz innym jednostkom organizacyjnym prowadzącym działalność gospodarczą między innymi w obszarach takich, jak:

  • działalności finansowej i ubezpieczeniowej,
  • działalności w zakresie usług administrowania i działalności wspierającej,
  • działalności związanej z zakwaterowaniem i usługami gastronomicznymi,
  • działalności produkcyjnej,
  • działalności sprzedażowej.

Produkty Bisnode są dostępne także dla podmiotów nieprowadzących działalności gospodarczej.

Klienci Bisnode, nabywając produkty Spółki, stają się administratorami danych osobowych. Zatem mogą decydować o sposobach i celach przetwarzania nabytych danych osobowych.

Drugą kategorią odbiorców danych przetwarzanych przez Bisnode będą podmioty świadczące na rzecz Bisnode różnego rodzaju usługi np. firma dostarczająca usługi IT, która ma dostęp do serwerów Bisnode, lub podmiot realizujący działania marketingowe na rzecz Spółki. Są to podmioty przetwarzające (tzw. procesorzy), którzy mogą przetwarzać dane osobowe jedynie w zakresie i celu określonym w umowie zawartej pomiędzy danym podmiotem a Bisnode. Podmioty przetwarzające nie mogą natomiast wykorzystywać danych osobowych do własnych celów.

Poza dwiema powyższymi kategoriami, odbiorcami danych osobowych przetwarzanych przez Bisnode są także upoważnieni pracownicy i współpracownicy Spółki, jak również upoważnieni pracownicy i współpracownicy podmiotów przetwarzających dane w zakresie i celu określonym przez Bisnode.

 

8.  Przekazywanie przez Bisnode danych osobowych do państw trzecich lub do organizacji międzynarodowych

Przekazywanie danych osobowych do państw trzecich, tj. państw, które nie należą do Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowych może odbywać się wyłącznie po spełnieniu warunków przewidzianych w Ogólnym Rozporządzeniu o Ochronie Danych.

RODO określa trzy hierarchicznie uporządkowane mechanizmy dające podstawę do transferu danych osobowych poza obszar EOG lub do organizacji międzynarodowej:

  • decyzja Komisji Europejskiej stwierdzająca, że państwo trzecie lub organizacja międzynarodowa zapewnia odpowiedni stopień ochrony danych osobowych – w takim wypadku przekazanie danych osobowych nie wymaga specjalnego zezwolenia;
  • jeżeli nie została wydana decyzja - zapewnienie odpowiednich zabezpieczeń ochrony danych osobowych oraz istnienie w danym państwie trzecim/organizacji międzynarodowej egzekwowalnych praw osób, których dane dotyczą; RODO dzieli odpowiednie zabezpieczenia na dwie kategorie: (1) środki wywołujące skutki bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego, np. wiążące reguły korporacyjne, standardowe klauzule ochrony danych osobowych oraz (2) środki wymagające dla swej skuteczności zezwolenia organu nadzorczego, np. odpowiednie klauzule umowne między administratorem i odbiorcą danych;
  • w braku decyzji oraz odpowiednich zabezpieczeń może nastąpić jedynie w wyjątkowych przypadkach, wskazanych enumeratywnie w art. 49 RODO, np. gdy osoba, której dane dotyczą została poinformowana o ewentualnym ryzyku i wyraziła zgodę na przekazanie jej danych osobowych.

Ponadto, podstawą do przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej może być uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO), gdy spełnione są łącznie następujące przesłanki:

  • przekazania danych nie da się zalegalizować na żadnej z trzech wyżej omówionych przesłanek (art. 45–49 ust. 1 RODO),
  • przekazanie jest jednorazowe (nie jest powtarzalne),
  • przekazanie dotyczy ograniczonej liczby osób, których dane dotyczą,
  • przekazanie danych jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą,
  • administrator danych ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

Dane osobowe mogą być przez Bisnode przekazywane do odbiorców w (1) państwach trzecich, tj. poza Europejski Obszar Gospodarczy (EOG) lub (2) organizacjach międzynarodowych. W takim przypadku Bisnode zapewnia jednak, że w oparciu o:

-   stwierdzenie przez Komisję Europejską odpowiedniego stopnia ochrony bądź

-   wdrożenie odpowiednich lub właściwych zabezpieczeń, stosowane będą określone procedury powalające na właściwe zapewnienie stopnia ochrony danych osobowych.

Jednocześnie w sytuacjach wskazanych powyżej możliwe będzie uzyskanie informacji o kopii takich zabezpieczeń lub o miejscu ich udostępnienia.

 

9.  Prawa osób, których dane dotyczą oraz przysługujące im środki ochrony prawnej

RODO przyznaje osobom, których dane osobowe dotyczą szereg uprawnień, których celem jest zapewnienie, aby przetwarzanie danych osobowych nie prowadziło do naruszenia podstawowych praw i wolności tych osób, takich jak prawo do prywatności.

Osoba, której dane osobowe są przetwarzane przez Bisnode ma prawo do:

  • żądania dostępu do danych osobowych,
  • żądania sprostowania danych osobowych,
  • żądania usunięcia danych osobowych,
  • żądania ograniczenia przetwarzania danych osobowych,
  • żądania przeniesienia danych osobowych,
  • wniesienia sprzeciwu wobec przetwarzania danych osobowych.

Ponadto, osoba, której dane osobowe są przetwarzane przez Bisnode ma prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych.

Poniżej przedstawiony został opis poszczególnych praw przyznanych przez RODO osobom, których dane osobowe dotyczą.

9.1. Prawo dostępu do danych osobowych

Zgodnie z art. 15 ust. 1 RODO administrator jest zobowiązany (1) udzielić osobie, której dane dotyczą informacji czy są przetwarzane dane osobowe jej dotyczące, a jeżeli administrator przetwarza takie dane to wówczas jest obowiązany (2) umożliwić jej uzyskanie dostępu do tych danych oraz (3) udzielić informacji o:

  • celach przetwarzania,
  • kategoriach odnośnych danych,
  • odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
  • w miarę możliwości planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach ustalenia tego okresu,
  • prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  • prawie wniesienia skargi do organu nadzorczego,
  • ich źródle - jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą,
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – udzielić istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.

Ponadto, w ramach prawa dostępu do danych, administrator zobowiązany jest dostarczyć kopie przetwarzanych danych osobowych. Dostarczenie jednej kopii danych jest bezpłatne. Natomiast za wszelkie kolejne kopie administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

9.2.  Prawo do sprostowania danych

Stosownie do treści art. 16 RODO osoba, której dane dotyczą ma prawo do:

  • żądania sprostowania (poprawienia) danych nieprawidłowych,
  • żądania sprostowania (uzupełnienia) danych niekompletnych.

Prawo do sprostowania danych nie ma charakteru bezwzględnego. Samo złożenie żądania nie powoduje, że administrator ma bezwarunkowy obowiązek jego uwzględnienia. W szczególności, administrator może odmówić sprostowania w przypadkach, o których mowa w art. 11 ust. 2 RODO, jeżeli może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą. Ponadto, administrator może odmówić sprostowania danych, jeżeli w wyniku takiej operacji doszłoby do naruszenia art. 5 RODO tj. podstawowych zasad przetwarzania danych jak np. zasady prawidłowości danych.

Administrator ma obowiązek poinformować o sprostowaniu danych osobowych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Jeżeli osoba, której dane dotyczą tego zażąda, administrator ma obowiązek poinformować ją o tych odbiorcach.

9.3.  Prawo do usunięcia danych („prawo do bycia zapomnianym”)

Zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych ("prawo do bycia zapomnianym"), a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, w przypadku zaistnienia jednej z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
  • została cofnięta zgoda na przetwarzanie danych osobowych i nie ma innej podstawy do ich dalszego przetwarzania,
  • został wniesiony sprzeciw - z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą - wobec przetwarzania jej danych osobowych niezbędnego do wykonywania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (tj. na podstawie art. 6 ust. 1 lit. e RODO) i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
  • został wniesiony sprzeciw - z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą - wobec przetwarzania danych osobowych niezbędnego do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (tj. na podstawie art. 6 ust. 1 lit. f RODO) i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
  • dane osobowe były przetwarzane niezgodnie z prawem,
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego na podstawie zgody wyrażonej przez dziecko albo osobę sprawującą opiekę rodzicielską lub opiekę nad dzieckiem.

Administrator ma obowiązek poinformować o usunięciu danych osobowych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Jeżeli osoba, której dane dotyczą tego zażąda, administrator ma obowiązek poinformować ją o tych odbiorcach.

9.4. Prawo do ograniczenia przetwarzania

Na podstawie art. 18 RODO osoba, której dane osobowe dotyczą może żądać ograniczenia przetwarzania, jeżeli zaistnieje jedna z następujących przesłanek:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  • osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania niezbędnego do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy przez administratora lub do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Skuteczne zgłoszenie żądania ograniczenia przetwarzania powoduje, że administrator może jedynie przechowywać dane osobowe.

Przetwarzanie danych wykraczające poza ich przechowywanie jest możliwe wyłącznie, jeżeli zaistnieje jedna z następujących przesłanek:

  • osoba, której dane dotyczą, wyraziła na to zgodę,
  • w celu ustalenia, dochodzenia lub obrony roszczeń,
  • w celu ochrony praw innej osoby fizycznej lub prawnej,
  • z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Administrator ma obowiązek poinformować o ograniczeniu przetwarzania danych osobowych każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Jeżeli osoba, której dane dotyczą tego zażąda, administrator ma obowiązek poinformować ją o tych odbiorcach.

9.5. Prawo do przenoszenia danych

Zgodnie z art. 20 RODO na prawo do przenoszenia danych składają się trzy uprawnienia osoby, której dane dotyczą:

  • prawo otrzymania danych, które jej dotyczą od administratora,
  • prawo do przesłania danych bez utrudnień ze strony administratora oraz
  • prawo do przesłania danych bezpośrednio pomiędzy administratorami, bez pośrednictwa osoby, której dane dotyczą, jeżeli jest to technicznie możliwe.

Celem tego prawa jest wzmocnienie pozycji osoby, której dane dotyczą i przyznanie jej większej kontroli nad danymi osobowymi jej dotyczącymi. Uprawnienie określone w art. 20 RODO ma charakter prokonkurencyjny i prokonsumencki.

Prawo do przenoszenia danych przysługuje jeżeli:

  • dane przetwarzane są na podstawie

(1)      zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) lub zgody osoby, której dane dotyczą na przetwarzanie szczególnych kategorii danych (art. 9 ust. 2 lit. a RODO)

lub

(2)      gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO),

  • przetwarzanie danych odbywa się w sposób zautomatyzowany,
  • dane osobowe dotyczą osoby, która wystąpiła z żądaniem,
  • dane osobowe zostały dostarczone administratorowi przez osobę, której dane dotyczą.

9.6. Prawo do wniesienia sprzeciwu

RODO przyznaje osobie, której dane osobowe dotyczą, prawo do wniesienia sprzeciwu wobec przetwarzania dotyczących jej danych osobowych.

Na podstawie art. 21 ust. 1 RODO, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, w tym profilowania, gdy przetwarzanie jest:

  • niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO)

lub

  • niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora  lub przez osobę trzecią (art. 6 ust. 1 lit. f RODO).

Prawo do wniesienia sprzeciwu którego podstawą jest niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub do celów wynikających z prawnie uzasadnionych interesów administratora (art. 6 ust. 1 lit. e) lub f) RODO) nie ma charakteru bezwzględnego. W przypadku wniesienia sprzeciwu, administratorowi nie wolno już przetwarzać danych osobowych, chyba że wykaże on istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Ponadto, zgodnie z art. 21 ust. 2 RODO, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego osoba, której dane dotyczą ma prawo wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Sprzeciw wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego może zostać wniesiony bez względu na podstawę prawną takiego przetwarzania. Ponadto uprawnienie to ma charakter bezwzględny. W przypadku wniesienia sprzeciwu administrator nie może dalej przetwarzać danych osoby, która wniosła sprzeciw w celach marketingu bezpośredniego. Administrator nie ma możliwości dokonywania oceny zasadności sprzeciwu, a konieczność respektowania sprzeciwu nie jest zależna od wykazania przez osobę, której dane dotyczą zaistnienia jakichkolwiek okoliczności faktycznych lub prawnych.

9.7. Środki ochrony prawnej

Na podstawie art. 77 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem, każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78 RODO (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu).

Co więcej, zgodnie z art. 82 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia Ogólnego Rozporządzenia o Ochronie Danych, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Postępowanie sądowe dotyczące odszkodowania powinno być wszczęte przed sądem właściwym na mocy prawa państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną, ewentualnie przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu. 

9.8. Sposób realizacji praw osób, których dane dotyczą

RODO nakłada na administratora obowiązek wprowadzenia procedur ułatwiających osobom, których dotyczą dane osobowe wykonywania praw przyznanych im na mocy rozporządzenia. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną.

Żądania dotyczące realizacji przyznanych przez RODO praw przez osoby, których dane przetwarza Bisnode, można zgłaszać na adres e-mail bisnode.rodo.pl@bisnode.com, lub pisemnie na adres: ul. Plac Europejski 2, 00 - 844 Warszawa.

WERYFIKACJA OSOBY ZGŁASZAJĄCEJ ŻĄDANIE: Bisnode weryfikuje tożsamość osoby występującej z żądaniem dotyczącym realizacji jej praw. W związku z powyższym Bisnode może żądać kopii dowodu osobistego lub innego dokumentu potwierdzającego tożsamość osoby zgłaszającej określone żądanie (np. paszportu). Na kopii dokumentu powinny być widoczne jedynie imiona, nazwisko, data urodzenia, numer PESEL (jeżeli jest posiadany), numer i seria dokumentu, data wydania dokumentu, termin ważności dokumentu. Pozostałe dane powinny być nieczytelne (zamazane). Dane zawarte w dokumentach stanowiących kopię dowodu osobistego lub kopię innego dokumentu potwierdzającego tożsamość gromadzone będą wyłącznie celem dokonania weryfikacji tożsamości osoby zgłaszającej żądanie. Po dokonaniu weryfikacji tożsamości Bisnode niezwłocznie usuwa kopię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość osoby zgłaszającej żądanie, oraz zaprzestaje przetwarzania danych osobowych zawartych w ww. dokumentach.

TERMIN: Informacje o działaniach podjętych w związku z realizacją praw osób, których dane dotyczą, administrator przekazuje wnioskodawcy bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.

W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

 

10. Zautomatyzowane podejmowanie decyzji, w tym profilowanie

Definicję profilowania zawiera art. 4 pkt 4 RODO. Zgodnie z tym przepisem profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Aby można było mówić o profilowaniu wystąpić muszą łącznie trzy elementy:

  • przetwarzanie musi być zautomatyzowane tzn. gdy człowiek nie ma realnej możliwości podjęcia decyzji o przypisaniu danej osoby do określonego profilu,
  • przetwarzanie musi dotyczyć danych osobowych,
  • celem profilowania musi być ocena czynników osobowych osoby fizycznej.

Zatem profilowanie oznacza zbieranie informacji o osobie fizycznej i analizowanie jej cech charakterystycznych lub wzorów zachowań w celu przyporządkowania tej osoby do określonej kategorii oraz oceny lub przewidywania np. jej zainteresowań, zdolności do określonych czynności czy prawdopodobnego sposobu działania w przyszłości.

Art. 22 ust. 1 RODO wprowadza generalny zakaz podejmowania decyzji co do osoby fizycznej opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która wywoływałaby wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływała.

Art. 22 ust. 2 RODO wprowadza wyjątki od wskazanego wyżej zakazu w przypadku gdy decyzja taka:

  • jest niezbędna do zawarcia lub wykonania umowy między administratorem a osobą, której dane dotyczą,
  • jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Zatem profilowanie, rozumiane jako zautomatyzowane przypisywanie osoby fizycznej do określonej kategorii i ocena lub przewidywania co do jej cech i zachowań, jest zgodnie z RODO dozwolone. Jednakże RODO, co do zasady, zakazuje całkowicie zautomatyzowanego (bez udziału czynnika ludzkiego) podejmowania decyzji w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie.

Przykładowo nie będzie zgodne z RODO działanie polegające na automatycznym zakwalifikowaniu określonej osoby do pewnej kategorii np. na podstawie wysokości jej zarobków i automatyczne pozbawienie jej uprawnienia do otrzymania określonych benefitów. Zgodnie z motywem 71 RODO przykładem automatycznego podejmowania decyzji jest także automatyczne odrzucenie elektronicznego wniosku kredytowego oraz elektroniczne metody rekrutacji bez ingerencji ludzkiej.

Jeżeli administrator przetwarza dane w sposób zautomatyzowany, w tym dokonuje profilowania jest zobowiązany przekazać osobie, której dane dotyczą informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Ponadto, w przypadku gdy administrator, za zasadzie wyjątków przewidzianych w art. 22 ust. 2 RODO, podejmuje decyzje wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie, zobowiązany jest wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora.

Ze względu na cel, charakter i przeznaczenie tworzonych produktów, w szczególności w związku z dokonywaniem generalnej oceny ryzyka oraz oceny moralności płatniczej przedsiębiorcy, Bisnode może dokonywać profilowania. Jednakże Bisnode nie podejmuje decyzji, które byłyby oparte wyłącznie na takim profilowaniu, i wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na osobę, której dane dotyczą, tj. decyzji, o których mowa w art. 22 ust. 1 i 4 RODO.