Administracja

CEIDG: łatwiej przetwarzać dane przedsiębiorców

123RF
Dane kilku milionów osób zarejestrowanych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej nie będą już korzystały z gwarancji, jaką daje im ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych.

Od 19 maja 2016 roku ustawa o ochronie danych osobowych nie będzie miała zastosowania do jawnych danych i informacji udostępnianych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (tzw. CEIDG) – poza przepisami dotyczącymi kontroli przetwarzania danych przez generalnego inspektora ochrony danych osobowych, trybu prowadzenia postępowań oraz zabezpieczenia danych osobowych. Stanie się tak za sprawą art. 39b, dodanego do obecnie obowiązującej ustawy z 2 lipca 2004 roku o swobodzie działalności gospodarczej.

Przetwarzanie, czyli co

Nie oznacza to jednak, iż nie będą podlegały one ochronie na podstawie odrębnych regulacji prawnych, tj. kodeksu cywilnego (w szczególności art. 23 i 24) czy też ustawy o statystyce publicznej (m.in. art. 38 ust. 2). Do przetwarzania pozostałych danych osobowych przedsiębiorców, niezawartych w CEIDG, ustawę o ochronie danych osobowych w dalszym ciągu będzie się stosować w całości.

Wspomniana ustawa definiuje przetwarzanie danych osobowych bardzo szeroko, jako wykonywanie jakichkolwiek operacji na tych danych, tj. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, zwłaszcza te, które dokonywane są w systemach informatycznych (art. 7 pkt 2 ustawy o ochronie danych osobowych). Równie szeroko traktuje się w niej pojęcie danych osobowych, obejmując jego zakresem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ustawy o ochronie danych osobowych).

Za dane osobowe uznaje się więc różnego rodzaju komunikaty (wiadomości, wypowiedzi, prezentacje) wyrażone i zapisane w najprzeróżniejszych formach np. znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na taśmie magnetofonowej lub magnetowidowej, niezależnie od sposobu, zakresu i swobody ich udostępniania, jak też od sposobu ich pozyskania.

Jakie informacje będą jawne

Po blisko pięciu latach pełnej ochrony danych osobowych przedsiębiorców wpisanych do Centralnej Ewidencji i Informacji o Działalności Gospodarczej ustawodawca zdecydował się ponownie wyjąć spod kategorii danych osobowych te informacje, które są ujawnione w tym rejestrze, tj.:

- imię i nazwisko przedsiębiorcy,

- jego/jej numer NIP i numer REGON;

- firma przedsiębiorcy;

- jego/jej dane kontaktowe (adres poczty elektronicznej, adres strony internetowej, numer telefonu, o ile zostały wskazane we wniosku o wpis do CEIDG);

- jego/jej dane adresowe (adres głównego miejsca wykonywania działalności, adresy dodatkowych miejsc wykonywania działalności, adres do doręczeń);

- informacje na temat obywatelstwa przedsiębiorcy;

- dane przedstawiciela ustawowego przedsiębiorcy, o ile są wymagane;

- informacje o obowiązywaniu małżeńskiej wspólności majątkowej z udziałem przedsiębiorcy;

- dane dodatkowe przedsiębiorcy (data rozpoczęcia, zawieszenia, trwałego zakończenia oraz wznowienia działalności gospodarczej, data wykreślenia wpisu z rejestru, przeważająca działalność gospodarcza oznaczona kodem PKD, wykonywana działalność gospodarcza oznaczona kodem PKD, status indywidualnej działalności gospodarczej);

- informacje o spółkach cywilnych, których wspólnikiem jest przedsiębiorca;

- zakazy ustanowione wobec przedsiębiorcy;

- informacje dotyczące upadłości/postępowania naprawczego z udziałem przedsiębiorcy;

- dane na temat pełnomocników przedsiębiorcy;

- informacje o koncesjach, zezwoleniach, licencjach oraz wpisach do rejestrów działalności regulowanej wydanych na rzecz przedsiębiorcy.

Swego czasu pod rządami nieobowiązującego już art. 7a ust. 2 ustawy – Prawo działalności gospodarczej informacje o osobach fizycznych prowadzących działalność gospodarczą zawarte w ewidencji działalności gospodarczej (poprzedniczce CEIDG) również nie podlegały przepisom ustawy o ochronie danych osobowych. Mając na względzie atuty tego rozwiązania w odniesieniu do interesów osób, które weszły w posiadanie informacji o przedsiębiorcach w sposób zgodny z prawem, pobierając je z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (brak konieczności spełnienia szeregu niżej opisanych obowiązków), ustawodawca postanowił do niego powrócić. Przyznając prymat tym interesom, a tym samym prawu do informacji nad potrzebą zapewnienia danym udostępnianym w CEIDG dodatkowej ochrony na podstawie ustawy o ochronie danych osobowych, ustawodawca po raz kolejny doprowadził do powstania dualizmu w zakresie ochrony podstawowych informacji o przedsiębiorcach.

Ochrona od rozpoczęcia działalności

Od 19 maja 2016 roku dane i informacje udostępniane w portalu CEIDG nie będą korzystały z ochrony przewidzianej w ustawie o ochronie danych osobowych od chwili rozpoczęcia prowadzenia działalności gospodarczej przez przedsiębiorców do momentu ich usunięcia. Jeśli przedsiębiorca, składając wniosek o wpis do tego rejestru, poda datę rozpoczęcia działalności gospodarczej późniejszą niż chwila złożenia wniosku, do czasu kiedy ten termin nadejdzie, będzie mógł zrezygnować z wpisu i wtedy jego dane nie będą w nim publikowane.

Według przepisów ustawy o swobodzie działalności gospodarczej osoba taka nie jest przedsiębiorcą (nie rozpoczęła wykonywania działalności gospodarczej), a Centralna Ewidencja i Informacja o Działalności Gospodarczej jest rejestrem przedsiębiorców. W konsekwencji tego w przypadku rezygnacji z wpisu do CEIDG przez wnioskodawcę jego dane nadal będą podlegały ochronie na podstawie ustawy o ochronie danych osobowych. Zasada ta nie będzie miała zastosowania w drodze analogii do sytuacji, w której dojdzie do wykreślenia przedsiębiorcy z tego rejestru. Dane dotyczące jego wpisu w dalszym ciągu nie zostaną z niego usunięte. Tym samym w dalszym ciągu nie będą podlegały pod ustawę o ochronie danych osobowych.

Inne publiczne rejestry

Niezależnie od dostępności danych o przedsiębiorcach w portalu CEIDG (podjętych decyzjach o rezygnacji z wpisów, ewentualnym ich usunięciu) informacje umożliwiające identyfikacje osób fizycznych prowadzących działalność gospodarczą mogą zostać ujawnione również w innych publicznych rejestrach. I tak, w publicznie dostępnym wykazie danych o środowisku na stronie internetowej Ministerstwa Środowiska, w tzw. Ekoportalu, można znaleźć m.in. wiadomości na temat: nazwy, pod którą przedsiębiorca prowadzi działalność gospodarczą, miejsca jej wykonywania, nazw i rodzajów dokumentów, jaki ów przedsiębiorca złożył do konkretnej publicznej jednostki organizacyjnej w określonym czasie, numerów kart, pod którymi te dokumenty są przechowywane, wzmianek o ich ewentualnym zniszczeniu, jak również o wydanych decyzjach administracyjnych na skutek złożenia tych dokumentów.

Informacje te są udostępniane każdemu podmiotowi wraz z danymi osobowymi przedsiębiorców, o ile dotyczą jednego z przedmiotów wskazanych w art. 18 ustawy z dnia 3 października 2008 roku o udostępnianiu informacji o środowisku i jego ochronie, udziale społeczeństwa w ochronie środowiska oraz o ocenach oddziaływania na środowisko. Wśród nich znajdują się wiadomości na temat:

- ilości i rodzajów pyłów lub gazów wprowadzanych do powietrza oraz miejsc ich wprowadzania,

- stanu, składu i ilości ścieków wprowadzanych do wód lub do ziemi oraz miejsc ich wprowadzania,

- rodzaju i ilości wytwarzanych odpadów oraz miejsc ich wytwarzania,

- poziomu emitowanego hałasu,

- poziomu emitowanych pól elektromagnetycznych.

Korzystając z kolei z ogólnodostępnej wyszukiwarki podmiotów zarejestrowanych w rejestrze przedsiębiorców Krajowego Rejestru Sądowego, prowadzonej na stronie internetowej Ministerstwa Sprawiedliwości, poza danymi dotyczącymi bezpośrednio podmiotów zarejestrowanych, można dotrzeć także do informacji o osobach fizycznych zaangażowanych w działalność gospodarczą prowadzoną przez te podmioty. W zależności od poziomu tego zaangażowania (wspólnik, przedstawiciel podmiotu zarejestrowanego, osoba pełniąca funkcje w jego organach) mogą to być informacje takie jak: imię i nazwisko, numer PESEL, stan cywilny, obowiązujący ustrój majątkowy pomiędzy małżonkami, ewentualne ograniczenia zdolności do czynności prawnych, o ile takie występują. Podlegają one nieograniczonemu udostępnianiu każdemu podmiotowi wraz z danymi osobowymi przedsiębiorców, mimo że w przepisach prawnych regulujących funkcjonowanie Krajowego Rejestru Sądowego nie odniesiono się wprost do ustawy o ochronie danych osobowych.

Jakie zagrożenia

Głównym celem jawności rejestrów publicznych (Krajowy Rejestr Sądowy, Ekoportal czy Centralna Ewidencja i Informacja o Działalności Gospodarczej) jest zapewnienie łatwiejszego dostępu do informacji w nich zawartych. Jednak realizacja tego zamierzenia może stanowić szerokie pole do nadużyć, zwłaszcza dla jednostek prywatnych. Kradzieże tożsamości, firmactwo (prowadzenie działalności gospodarczej pod cudzym nazwiskiem lub nazwą) czy też oszustwa kredytowe mogą być jednymi z wielu przykładów negatywnych konsekwencji przyznanego przez ustawodawcę prymatu prawa do informacji nad ochroną prawną danych podmiotów znajdujących się w tych rejestrach. Ryzyko ich wystąpienia z całą pewnością będzie wzmagać nałożenie na przedsiębiorców zarejestrowanych w CEIDG obowiązku uzupełnienia swoich wpisów o numery PESEL w terminie do 19 maja 2018 roku, pod rygorem wykreślenia ich z tego rejestru.

Na nieograniczonym dostępie do tych danych, a zwłaszcza na wyłączeniu z dniem 19 maja 2016 roku informacji o przedsiębiorcach ujawnionych w CEIDG spod kategorii danych osobowych, mogą skorzystać również niepubliczni dostawcy informacji gospodarczych, przygotowujący – w ramach prowadzonej działalności gospodarczej – raporty o podmiotach gospodarczych. Z chwilą wejścia w życie tego wyłączenia wszelkie wykonywane przez nich operacje na danych i informacjach pobranych z portalu CEIDG będą zgodne z prawem, bez potrzeby poszukiwania dodatkowej podstawy prawnej.

Zalegalizowanie tych operacji może wiązać się z powstaniem poczucia dyskomfortu, a nawet zagrożenia u przedsiębiorców zarejestrowanych w tym rejestrze, którzy do tej pory byli wyłącznymi dysponentami własnych danych i informacji. Stan ten może zniwelować wprowadzenie sprawnych procedur ich ochrony wymaganych przez ustawę o ochronie danych osobowych i stosowne rozporządzenia.

podstawa prawna: Ustawa z 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw (DzU z 2015 r., poz. 1893)

Komentarz

Aneta Walewska-Borsuk, adwokat w Kancelarii Szymańczyk Roman Deresz Karpiński Adwokaci sp.p.

Podmioty, które zamierzają stworzyć prywatne bazy danych osobowych przy wykorzystaniu informacji pochodzących z CEIDG i udostępniać je odpłatnie innym osobom w postaci tzw. raportów o przedsiębiorcach, muszą wskazywać wyraźne podstawy prawne takich działań. Wyczerpujący katalog tych podstaw został określony w art. 23 ustawy o ochronie danych osobowych. Najczęściej wskazywanym uzasadnieniem tworzenia raportów o przedsiębiorcach jest konieczność realizacji obowiązków informacyjnych wobec społeczeństwa. Podmioty odpowiedzialne za powstawanie tego rodzaju raportów muszą co do zasady zarejestrować zbiór tych danych w rejestrze generalnego inspektora danych osobowych, chyba że zachodzi wyjątek przewidziany w ustawie o ochronie danych osobowych. Podmioty te są zobowiązane spełnić wiele obowiązków informacyjnych względem osób, których dane zostały umieszczone w stworzonych przez nich prywatnych bazach danych, tj. informować o nazwie i adresie administratora danych, celu i ewentualnie zakresie przetwarzania danych, o potencjalnych odbiorcach danych, prawie dostępu do treści danych oraz możliwości ich poprawiania itd. Do ich obowiązków należy również stosowanie środków technicznych i organizacyjnych zapewniających odpowiednią ochronę informacji umieszczonych w bazach.

Począwszy od 19 maja 2016 roku ustawodawca uwolni od zdecydowanej większości tych obowiązków podmioty przetwarzające we własnych bazach danych informacje pobrane z CEIDG. Nie będzie obowiązku: legitymowania się przez nie wyraźną podstawą prawną stworzenia takiej bazy, zarejestrowania jej w rejestrze GIODO ani informowania osób, których te informacje dotyczą, o istotnych dla nich prawach. W dalszym ciągu jednak pozostanie obowiązek zapewnienia przez te podmioty należytej ochrony informacji pochodzących z CEIDG. Utrzymano również zapis określający, iż zasady ponownego wykorzystania tych informacji reguluje ustawa o dostępie do informacji publicznej.

Ważnym obowiązkiem nałożonym na przedsiębiorców zarejestrowanych w CEIDG przez omawianą nowelizację ustawy o swobodzie działalności gospodarczej jest uzupełnienie wpisów o numery PESEL. Czas na wykonanie tego obowiązku został przewidziany do 19 maja 2018 roku. Podane przez przedsiębiorców numery PESEL zostaną wpisane do CEIDG z urzędu, z zastrzeżeniem ich nieudostępniania osobom trzecim. Niewykonanie tej powinności w powyższym terminie będzie wiązało się z najdotkliwszą konsekwencją prawną, a mianowicie z wykreśleniem przedsiębiorcy, który ją zlekceważył lub po prostu o niej zapomniał, z rejestru.

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL