Pierwszą kwestią, której warto się przyjrzeć są nowe obowiązki emitenta, czyli podmiotu gospodarczego uprawnionego do emisji papierów wartościowych (np. skarb państwa, bank państwa, instytucja finansowa, itp.). Będzie on zobowiązany do sporządzania listy wszystkich osób pełniących obowiązki zarządcze oraz osób blisko z nimi związanych, tzw. listy Insiderów. Większa przejrzystość transakcji prowadzonych przez osoby pełniące obowiązki zarządcze na poziomie emitenta jak również osób blisko z nimi związanych ma stanowić środek zapobiegający nadużyciom na rynku z wykorzystywaniem informacji poufnych.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Jednakże z powyższym obowiązkiem wiążą się również dla emitenta będącego administratorem danych osobowych dodatkowe obowiązki. Co do zasady, osoby pełniące funkcje zarządcze dostarczą spółce/ emitentowi listę osób blisko nimi związanych. W takim przypadku nastąpi zebranie danych nie od osoby, której one dotyczą. Wobec osób blisko związanych z osobami pełniącymi funkcję zarządczą u emitenta należy spełnić obowiązek informacyjny.
Zgodnie z art. 25 ust. 1 Ustawy o ochronie danych osobowych w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;
- celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;
- źródle danych;
- prawie dostępu do treści swoich danych oraz ich poprawiania;
- uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
Po utrwaleniu, czyli otrzymaniu od osób pełniących funkcję zarządczą listy osób blisko z nimi związanych, emitent będący administratorem tych danych powinien spełnić powyższy obowiązek informacyjny kanałem komunikacji, jaki uzna za stosowny. Wydaje się, że najprostszym sposobem będzie przesłanie stosownej informacji za pośrednictwem poczty elektronicznej.
Może to być wiadomość ‘grupowa’ e-mail – przesyłana jednocześnie to wszystkich bliskich osób pełniących funkcje zarządcze. Warunkiem takiej formy będzie to, aby adresy mailowe były wpisane do kopii ukrytej (Udw). Pozwoli to uniknąć sytuacji, w której poszczególne osoby poznałyby wzajemnie swoje adresy mailowe.
Poniżej została przedstawiona propozycja wiadomości spełniającej obowiązek informacyjny:
"Szanowna Pani/ Szanowny Panie,
XYZ S.A. z siedzibą w … informuje, iż jest administratorem Pani/ Pana danych. Pani/ Pana dane spółka uzyskała od osoby pełniącej w spółce obowiązki zarządcze, a jest Pani/ Pan osobą bliską dla tej osoby. Dane w postaci: imienia i nazwiska, nazwiska rodowego, daty urodzenia, numeru telefonu, adresu e-mail, pełnego adresu zamieszkania, powodu dla którego Pani/ Pan został uznany za osobę blisko związaną stopień/ rodzaj związania) zostały zebrane w celu wypełnienia obowiązków wynikających z Rozporządzenia Parlamentu Europejskiego i Rady nr 596/2014 w sprawie nadużyć na rynku. Pani/ Pana dane osobowe mogą zostać udostępnione Komisji Nadzoru Finansowego lub innym uprawnionym organom administracji publicznej. Przysługuje Pani/ Panu prawo dostępu do treści swoich danych oraz ich poprawiania. Przysługuje Pani/ Panu również prawo do kontroli przetwarzania danych, a zwłaszcza prawo do:
- wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 677), pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na Pani/ Pana szczególną sytuację;
- wniesienia sprzeciwu wobec przetwarzania Pani/ Pana danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 677), gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
W przypadku gdyby Pani/ Pan nie wiedział, kto dokładnie jest źródłem Pani/ Pana danych proszę o zwrotną wiadomość e-mail, wówczas XYZ S.A. udzieli Pani/ Panu konkretnych informacji.
Z poważaniem:
XYZ S.A.”
W związku z powyższym u emitenta powstanie nowy zbiór danych osobowych, który może zostać przykładowo nazwany: „Osoby bliskie dla osób pełniących funkcje zarządcze w spółce”. Powyższy zbiór będzie podlegał rejestracji w GIODO, a w przypadku podmiotów, które wyznaczyły Administratora Bezpieczeństwa Informacji (ABI) nowy zbiór powinien zostać uwzględniony w rejestrze zbiorów, do którego prowadzenia zobowiązany jest ABI.