19 maja br. weszła w życie nowelizacja ustawy o swobodzie działalności gospodarczej. Zmiana została wprowadzona przepisami ustawy z 25 września 2015 roku o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw. Jej przedmiotem jest sposób funkcjonowania Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Przepisy mają zapewnić sprawniejszą i szybszą obsługę przedsiębiorców.

Biorąc pod uwagę przepisy dotyczące ochrony danych osobowych, warto zwrócić uwagę na dodany omawianą nowelizacją art. 39b ustawy o swobodzie działalności gospodarczej. Stanowi on, że do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych z wyjątkiem art. 14–19a i art. 21–22a oraz przepisów rozdziału 5 tej ustawy. Wyjątki te obejmują regulacje dotyczące kontroli przetwarzania danych osobowych przez generalnego inspektora ochrony danych osobowych (GIODO) oraz prowadzenia przez ten organ postępowania, jak również przepisy dotyczące zabezpieczenia danych osobowych. Unormowania te w dalszym ciągu mają regulować przetwarzanie informacji ujawnionych w CEIDG.

Mogą być problemy

Wprowadzona zmiana oznacza, że do danych osób prowadzących działalność gospodarczą, o ile zostały ujawnione w CEIDG, nie stosuje się wybranych przepisów ustawy o ochronie danych osobowych. W praktyce przedsiębiorcy, którzy będą przetwarzać takie dane, nie będą musieli już zastanawiać się nad zapewnieniem podstawy prawnej ich przetwarzania (np. zgody przedsiębiorcy), wykonywać obowiązku informacyjnego wobec osób, których dane dotyczą, reagować na żądanie zaprzestania przetwarzania danych czy zgłaszać takich danych do rejestru GIODO. Brak wprowadzonego wyłączenia dla danych przedsiębiorców wpisanych do CEIDG powodował liczne utrudnienia w prowadzeniu działalności gospodarczej. Inaczej należało traktować kontrahentów – osoby prawne, inaczej zaś kontrahentów prowadzących jednoosobową działalność.

Dodanie art. 39b do ustawy o swobodzie działalności gospodarczej stanowi częściowy powrót do stanu prawnego obowiązującego przed wprowadzeniem CEIDG. Zgodnie z treścią nieobowiązującego już art. 7a ust. 2 ustawy z 19 listopada 1999 roku – Prawo działalności gospodarczej ewidencja działalności gospodarczej (poprzednik CEIDG) była jawna i dane osobowe w niej zawarte nie podlegały przepisom ustawy o ochronie danych osobowych. Istotną różnicą w stosunku do dawnych unormowań jest jednak niepełne wyłączenie obowiązywania ustawy o ochronie danych osobowych, jak również odmienne traktowanie tych samych danych przedsiębiorców, w zależności od tego, czy zostały one ujawnione w CEIDG, czy tylko w nim zawarte. Wskazane kwestie mogą przyczynić się do powstania problemów w stosowaniu nowych regulacji.

Kłopotliwy może okazać się zakres i sposób stosowania przepisów o ochronie danych osobowych, których nie wyłącza art. 39b ustawy o swobodzie działalności gospodarczej. Wynika z niego, że przepisy te stosuje się wprost, a nie odpowiednio. Nie zawsze będzie to jednak możliwe. Przykład to m.in. § 3–5 rozporządzenia z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Na podstawie tych przepisów administrator danych zobowiązany jest wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Konieczność zastosowania tych przepisów wprost, a nie odpowiednio sprawia, że przedsiębiorcy posiadający takie dane mogą mieć trudności w opisaniu „zbiorów danych osobowych" czy środków użytych do zabezpieczenia „danych osobowych".

Według uzasadnienia do ustawy zmieniającej przepisy o ochronie danych osobowych „Minister Gospodarki, jako administrator danych osobowych, jest odpowiedzialny za zabezpieczenia oraz nadzór nad danymi zawartymi w CEIDG, co oznacza m.in., że powinien prowadzić wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są te dane osobowe. W przypadku tak dużej liczby podmiotów zaangażowanych w system teleinformatyczny CEIDG w zasadzie niewykonalne jest stosowanie ww. zabezpieczeń". Przyjęte zmiany nie doprowadziły do osiągnięcia wskazanego celu – obowiązek opisu obszaru przetwarzania danych nadal pozostanie, choć będzie go jeszcze trudniej wykonać.

Obowiązki na papierze

Podobne problemy wiązać się mogą z określeniem zakresu kontroli, do której uprawniony jest GIODO na mocy nowych regulacji. Do niezgodnego z prawem przetwarzania informacji ujawnionych w CEIDG nie znajdą zastosowania przepisy karne, zawarte w rozdziale ósmym ustawy o ochronie danych osobowych. Oznacza to, że choć na podmiotach przetwarzających dane ujawnione w CEIDG nałożone są pewne obowiązki, to ich niedopełnienie nie będzie mogło spotkać się z prawnokarną sankcją.

Nowelizacja wprowadza też swoisty dualizm w zakresie obowiązków związanych z przetwarzaniem informacji o osobach fizycznych prowadzących działalność gospodarczą. Od teraz dane jednoosobowych przedsiębiorców można podzielić na dwie grupy: informacje, które nie są ujawnione w CEIDG i podlegają ochronie właściwej dla danych osobowych, oraz informacje, które są ujawnione w CEIDG i nie korzystają (w pełni) z tej ochrony. W tej pierwszej grupie znajdują się zarówno informacje w ogóle w CEIDG niezawarte, jak i dane wprawdzie w CEIDG zawarte, ale nieujawnione. Istnieje obawa, że przynajmniej niektórzy administratorzy danych nie zwrócą uwagi na wskazane rozróżnienie, traktując wszystkie dane jako wyłączone spod ochrony. Problem ten nie występował „pod rządami" nieobowiązującej już ustawy Prawo działalności gospodarczej, według której wszystkie dane zawarte w ewidencji gospodarczej były jawne i podlegały wyłączeniu spod przepisów o ochronie danych osobowych.

Jest to szczególnie aktualne w stosunku do danych kontaktowych przedsiębiorców, jak numer telefonu, adres poczty internetowej czy strony WWW, które zgodnie z wprowadzoną nowelizacją ustawy mogą, lecz nie muszą, być ujawnione w CEIDG, nawet jeśli są w niej zawarte. Otrzymując zatem wizytówkę od osoby prowadzącej jednoosobową działalność gospodarczą, przed przystąpieniem do przetwarzania widniejących na niej danych należy najpierw się upewnić, czy zostały ujawnione w CEIDG. Takie same kategorie danych jednoosobowych przedsiębiorców (np. adresy poczty elektronicznej czy numery telefonów) raz będą bowiem chronione przepisami o ochronie danych osobowych, a raz nie (w zależności od tego, czy przedsiębiorca ujawnił te dane w CEIDG).

Przeoczeniem ustawodawcy wydaje się być brak rozstrzygnięcia, co zrobić ze zbiorami danych, które zostały już zgłoszone do rejestru prowadzonego przez GIODO, a obecnie nie są już objęte przepisami ustawy o ochronie danych osobowych. Podstawą do usunięcia zbiorów danych z tego rejestru jest art. 44a ustawy o ochronie danych osobowych. Jako przesłanki wykreślenia zbioru danych przepis ten wskazuje zaprzestanie przetwarzania danych w zarejestrowanym zbiorze lub dokonanie rejestracji z naruszeniem prawa. Wyłączenie informacji ujawnionych w CEIDG spod rygoru ustawy o ochronie danych osobowych nie spełnia żadnej z wymienionych przesłanek. Co więcej, powołany przepis z dniem wejścia w życie nowelizacji traci zastosowanie do omawianych informacji. Z tego względu zarejestrowane już zbiory danych ujawnionych w CEIDG nie powinny pozostać w rejestrze GIODO. W praktyce jednak nie będzie ani podstawy prawnej, ani realnej możliwości weryfikacji, czy w zgłoszonym zbiorze danych znajdują się tylko dane ujawnione w CEIDG czy także nieujawnione.

Do informacji o osobach fizycznych prowadzących jednoosobową działalność gospodarczą w dalszym ciągu znajdą zastosowanie przepisy ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz ustawy z 16 lipca 2004 r. prawo telekomunikacyjne. Oznacza to m.in., że na podmiocie świadczącym usługi drogą elektroniczną w dalszym ciągu spoczywa obowiązek informacyjny względem usługobiorców oraz że niezmiennie zakazane jest przesyłanie niezamówionej informacji handlowej na adres poczty elektronicznej przedsiębiorcy ujawniony w CEIDG, jak również wykorzystywanie ujawnionego w niej numeru telefonu dla celów marketingu bezpośredniego. Wbrew zatem oczekiwaniom nadal marketing skierowany do przedsiębiorców prowadzących jednoosobowo działalność gospodarczą będzie utrudniony.

Jest jeszcze prawo UE

Na koniec warto zasygnalizować, że pewne wątpliwości budzi zgodność wprowadzonej zmiany z przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, która została implementowana przepisami ustawy o ochronie danych osobowych. Wskazany akt prawny nie przewiduje możliwości generalnego wyłączenia informacji dotyczących osób fizycznych prowadzących działalność gospodarczą spod unormowań dotyczących ochrony danych. Punkt 26 preambuły stanowi, że „zasady ochrony danych muszą odnosić się do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób". Również przyjęte w kwietniu tego roku ogólne rozporządzenie UE o ochronie danych osobowych nie zawiera możliwości odmiennego potraktowania informacji o przedsiębiorcach – osobach fizycznych. Rozporządzenie to będzie obowiązywać wprost, a zatem po jego wejściu w życie dane jednoosobowych przedsiębiorców znów będą chronione przepisami o ochronie danych osobowych także w zakresie, w jakim zostały ujawnione.

Stwierdzić zatem należy, że choć nowelizacja w zakresie ochrony informacji ujawnionych w CEIDG wydaje się być krokiem we właściwym kierunku, to w praktyce może stać się przyczyną licznych nieporozumień. Proste odłożenie wizytówek dwóch przedsiębiorców do wizytownika może okazać się ryzykowne prawnie. Z tego względu zalecane jest każdorazowe sprawdzenie, czy dane, które przedsiębiorca zamierza przetwarzać, ujawnione są w CEIDG oraz czy stosuje się do nich przepisy ustawy o ochronie danych osobowych oraz innych ustaw.

Anna Kobylańska jest adwokatem w kancelarii prawnej PwC Legal

Paweł Bukiel jest tam młodszym prawnikiem