fbTrack
REKLAMA
REKLAMA

Opinie

Ochrona danych osobowych przedsiębiorcy po 1 lipca

Fotorzepa, Paweł Gałka paweł gałka
1 lipca niewątpliwie skomplikuje się sytuacja podmiotów będących administratorami danych osób fizycznych prowadzących działalność gospodarczą – uważają partnerzy w Kancelarii Barta Litwiński Kancelaria Radców Prawnych sp.p.
Po kilku latach oczekiwania wejdą w życie 1 lipca przepisy rozdziału 3 ustawy o swobodzie działalności gospodarczej powołujące do życia Centralną Ewidencję i Informację o Działalności Gospodarczej (Centralna Ewidencja). Zastąpi ona ewidencję działalności gospodarczej prowadzoną przez gminy – wszelkie dane w niej zgromadzone zostaną przeniesione do Centralnej Ewidencji i tam też będą dokonywane nowe wpisy. W ewidencji tej ujawniane są takie informacje, jak m.in. imiona i nazwiska osób fizycznych, które zgodnie z art. 434 kodeksu cywilnego stanowią firmę takiego przedsiębiorcy, ich adresy czy adresy poczty elektronicznej. Przy okazji wprowadzenia Centralnej Ewidencji ulegną zasadniczej zmianie zasady ochrony informacji o osobach fizycznych prowadzących działalność gospodarczą.

Tak jest dzisiaj

W pierwszych latach obowiązywania ustawy o ochronie danych osobowych (ustawa o danych) brak było odrębnej regulacji dotyczącej informacji o przedsiębiorcach będących osobami fizycznymi. Nauka prawa dosyć zgodnie przyjmowała więc, że informacje o osobach fizycznych prowadzących działalność gospodarczą mogą stanowić dane osobowe, ponieważ mogą identyfikować konkretne osoby (np. imię, nazwisko i adres przedsiębiorcy ujawnione w ewidencji prowadzonej w gminie).
Odmienne stanowisko zajął generalny inspektor ochrony danych osobowych (GIODO), a w ślad za nim sądy administracyjne. W jednym z wyroków NSA uznał wprost, „jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy".
Stan prawny uległ zmianie w 2003 r., zgodnie bowiem z dodanym ówcześnie art. 7a ustawy – Prawo działalności gospodarczej dane zawarte w ewidencji działalności gospodarczej zostały wyłączone spod przepisów ustawy o danych. Jak więc podkreślił NSA w wyroku z 15 marca 2010 r., do danych wpisanych do ewidencji działalności gospodarczej nie stosuje się przepisów ustawy o danych. A mogą to być takie dane, jak m.in. oznaczenie przedsiębiorcy (w tym jego imię i nazwisko), numery PESEL i NIP, miejsca zamieszkania, numer telefonu komórkowego i adres poczty elektronicznej.
W rezultacie, istnieje duża swoboda w wykorzystaniu informacji o przedsiębiorcach. Zbiory takich danych nie podlegają rejestracji przez GIODO, a podmiot je przetwarzający nie musi legitymować się podstawą prawną ich przetwarzania (np. zgodą przedsiębiorcy), aby je wykorzystywać w działalności gospodarczej (np. dla celów marketingowych).

Co się stanie 1 lipca

Tego dnia stracą moc przepisy ustawy – Prawo działalności gospodarczej regulujące prowadzenie ewidencji działalności gospodarczej, a wśród nich m.in. art. 7a, który wyłącza dane zawarte w ewidencji działalności gospodarczej spod przepisów ustawy o danych. W zastępujących je przepisach ustawy o swobodzie działalności gospodarczej brak jest odpowiednika art. 7a ustawy – Prawo działalności gospodarczej. Z systemu prawa znika więc przepis, który stanowił podstawę prawną dla wyłączenia informacji o przedsiębiorcach będących osobami fizycznymi z zakresu zastosowania ustawy o danych. Powstaje więc pytanie o skutki takiej zmiany dla zasad ochrony informacji o osobach fizycznych prowadzących działalność gospodarczą.
Naszym zdaniem mimo przywołanych wyżej poglądów GIODO oraz NSA informacje o przedsiębiorcach będących osobami fizycznymi powinny po 1 lipca podlegać ochronie ustawy o danych, jeżeli tylko można im będzie przypisać status danych osobowych. Tezę tę potwierdza także uzasadnienie wyroku NSA z 15 marca 2010 r., w którym sąd wyraźnie powołuje się na art. 7a ustawy – Prawo działalności gospodarczej, nie zaś na enigmatycznie ujmowaną funkcję ewidencji działalności gospodarczej. Skoro więc uchylony zostaje art. 7a, w systemie prawnym brak będzie podstawy prawnej do wyłączenia informacji o osobach fizycznych prowadzących działalność gospodarczą spod zastosowania ustawy o danych.
Jeżeli informacje zawarte w Centralnej Ewidencji będą umożliwiały identyfikację osoby fizycznej, powinny zostać uznane za dane osobowe. A uwzględniając zakres informacji ujawnianych w Centralnej Ewidencji (m. in. firma przedsiębiorcy, numery PESEL, NIP, REGON, adres zamieszkania, adres poczty elektronicznej), można postawić tezę, że informacje te co do zasady powinny być traktowane jako dane osobowe. Powstaje więc pytanie o skutki takiego stanu rzeczy – pytanie tym bardziej istotne, że brak jakichkolwiek przepisów przejściowych do ustawy.

Pytania o skutki

Ustawa o danych nakłada na podmioty, które są administratorami danych osobowych, szereg nierzadko dosyć uciążliwych obowiązków, np. choćby obowiązki informacyjne wobec osób, których dane dotyczą, czy obowiązek rejestracji zbiorów danych osobowych. Skoro jednak jedną z naczelnych zasad demokratycznego państwa prawnego jest reguła niedziałania prawa wstecz, to możemy przyjąć, że przynajmniej część z obowiązków przewidzianych tym aktem prawnym, a związanych z samym zbieraniem danych, nie znajdzie zastosowania do podmiotów, które przed wejściem w życie przepisów zebrały dane przedsiębiorców (osób fizycznych prowadzących działalność gospodarczą) i np. utworzyły z nich bazę danych wykorzystywanych do działań marketingowych.
Naszym zdaniem tak będzie np. z obowiązkiem informacyjnym wynikającym z art. 24 i 25 ustawy o danych i związanym ze zbieraniem danych. Podmioty będące administratorami danych takich przedsiębiorców – bez względu na to, czy same zebrały dane czy pozyskały je od innych podmiotów – nie będą musiały po 1 lipca wykonać obowiązku ich poinformowania o administratorze danych, celach przetwarzania i prawach tych podmiotów, np. poprzez dokonanie masowej wysyłki takich informacji (czy to w sposób tradycyjny, czy za pośrednictwem poczty elektronicznej). Natomiast w wypadku zbierania danych osobowych przedsiębiorców będących osobami fizycznymi po 1 lipca, obowiązki te znajdą już pełne zastosowanie.
Po tej dacie należy również wykonywać obowiązki, o których mowa w art. 32 i 33 ustawy o danych. Gdy więc przedsiębiorca będący osobą fizyczną złoży wniosek o udzielenie informacji o różnych aspektach przetwarzania jego danych osobowych, w odpowiedzi administrator powinien w terminie 30 dni poinformować go m.in. o kategoriach danych przetwarzanych w zbiorze, sposobie zebrania, celu i zakresie ich przetwarzania, ewentualnym udostępnieniu ich innym podmiotom.
Oprócz obowiązków informacyjnych, administratorzy danych osobowych osób fizycznych prowadzących działalność gospodarczą będą musieli w pełnym zakresie spełniać takie obowiązki jak dysponowanie podstawą prawną przetwarzania (art. 23 ust. 1 ustawy o danych), obowiązki w zakresie zabezpieczenia danych (art. 36 – 39a ustawy) oraz obowiązek rejestracji zbiorów danych (art. 40 ustawy). Są one bowiem związane nie ze zbieraniem danych osobowych, ale z samym faktem przetwarzania danych.

Przetwarzanie i zabezpieczenie

Najwięcej praktycznych wątpliwości może wiązać się z podstawą prawną przetwarzania danych. Poszukując takiej podstawy, należy w pierwszej kolejności zwrócić uwagę na art. 23 ust. 1 pkt 3 ustawy o danych – jeżeli przetwarzane będą tylko dane osobowe kontrahentów będących osobami fizycznymi prowadzącymi działalność gospodarczą, wówczas ten właśnie przepis ustawy może posłużyć za podstawę prawną przetwarzania danych osobowych. W takim wypadku dopuszczalne będzie również przetwarzanie danych w celu marketingowym własnych produktów i usług administratora danych – dysponenta bazy danych osobowych (art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy). W pewnych wypadkach, np. dla celów sprawozdawczości finansowej, podstawą prawną przetwarzania danych tego typu przedsiębiorców mogą być też obowiązki lub uprawnienia wynikające z przepisów prawa (art. 23 ust. 1 pkt 2 ustawy).
W braku jakiejkolwiek podstawy prawnej przetwarzania administrator powinien usunąć takie dane osobowe. Jeżeli tego nie zrobi, naraża się na odpowiedzialność karną wynikającą z art. 49 ust. 1 ustawy o ochronie (kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch).
Od 1 lipca zaktualizują się również względem podmiotów dysponujących danymi osób fizycznych prowadzących działalność gospodarczą szczegółowe obowiązki w zakresie zabezpieczenia takich informacji. Obowiązki te wynikać będą przede wszystkim z art. 36 – 39 ustawy oraz rozporządzenia wykonawczego ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r.
Ponieważ brak jest przepisów przejściowych w zakresie obowiązków związanych z ochroną danych osobowych, na 1 lipca bazy danych stanowiące zbiory danych osobowych osób fizycznych prowadzących działalność gospodarczą powinny zostać zgłoszone do rejestracji w biurze GIODO zgodnie z art. 40 ustawy. W pewnych wypadkach (np. w odniesieniu do danych wykorzystywanych wyłącznie dla tzw. celów finansowo-księgowych) obowiązek rejestracji zbiorów danych został wyłączony. Ale zapewne w wypadku danych wykorzystywanych dla celów marketingowych, zbiory danych osobowych powinny zostać zgłoszone do rejestracji. Niewykonanie tego obowiązku jest zagrożone odpowiedzialnością karną przewidzianą w art. 53 ustawy (grzywna, ograniczenie wolności lub pozbawienia wolności do roku).
Powyższe rozważania prowadzą do wniosku, że 1 lipca niewątpliwie znacznie skomplikuje się sytuacja podmiotów będących administratorami danych osób fizycznych prowadzących działalność gospodarczą. Zapewne w mniejszym stopniu dotknie to podmioty wykorzystujące dane swoich kontrahentów wyłącznie do rozliczania transakcji handlowych, natomiast w dużo większym stopniu podmioty zajmujące się działalnością marketingową skierowaną do przedsiębiorców. Prócz konieczności wykonania szeregu – nowych dla nich – obowiązków nałożonych przez ustawę o danych, podmioty te staną się także potencjalnymi adresatami decyzji administracyjnych GIODO, które mogą obecnie być egzekwowane w trybie właściwym dla egzekucji administracyjnej (np. za pomocą grzywien nakładanych w celu przymuszenia do wykonania decyzji). Natomiast osoby kierujące tymi podmiotami lub też zaangażowane w ich działalność mogą podlegać odpowiedzialności karnej ze względu na naruszenie przepisów o ochronie danych osobowych.
Adwokat dr Paweł Litwiński oraz radca prawny Paweł Barta są autorami najnowszego komentarza do ustawy o ochronie danych osobowych
Czytaj też:
 
Zobacz:
Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA