19 maja br. weszła w życie nowelizacja ustawy o swobodzie działalności gospodarczej. Zmiana została wprowadzona przepisami ustawy z 25 września 2015 roku o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw. Jej przedmiotem jest sposób funkcjonowania Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Przepisy mają zapewnić sprawniejszą i szybszą obsługę przedsiębiorców.
Biorąc pod uwagę przepisy dotyczące ochrony danych osobowych, warto zwrócić uwagę na dodany omawianą nowelizacją art. 39b ustawy o swobodzie działalności gospodarczej. Stanowi on, że do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych z wyjątkiem art. 14–19a i art. 21–22a oraz przepisów rozdziału 5 tej ustawy. Wyjątki te obejmują regulacje dotyczące kontroli przetwarzania danych osobowych przez generalnego inspektora ochrony danych osobowych (GIODO) oraz prowadzenia przez ten organ postępowania, jak również przepisy dotyczące zabezpieczenia danych osobowych. Unormowania te w dalszym ciągu mają regulować przetwarzanie informacji ujawnionych w CEIDG.
Mogą być problemy
Wprowadzona zmiana oznacza, że do danych osób prowadzących działalność gospodarczą, o ile zostały ujawnione w CEIDG, nie stosuje się wybranych przepisów ustawy o ochronie danych osobowych. W praktyce przedsiębiorcy, którzy będą przetwarzać takie dane, nie będą musieli już zastanawiać się nad zapewnieniem podstawy prawnej ich przetwarzania (np. zgody przedsiębiorcy), wykonywać obowiązku informacyjnego wobec osób, których dane dotyczą, reagować na żądanie zaprzestania przetwarzania danych czy zgłaszać takich danych do rejestru GIODO. Brak wprowadzonego wyłączenia dla danych przedsiębiorców wpisanych do CEIDG powodował liczne utrudnienia w prowadzeniu działalności gospodarczej. Inaczej należało traktować kontrahentów – osoby prawne, inaczej zaś kontrahentów prowadzących jednoosobową działalność.
Dodanie art. 39b do ustawy o swobodzie działalności gospodarczej stanowi częściowy powrót do stanu prawnego obowiązującego przed wprowadzeniem CEIDG. Zgodnie z treścią nieobowiązującego już art. 7a ust. 2 ustawy z 19 listopada 1999 roku – Prawo działalności gospodarczej ewidencja działalności gospodarczej (poprzednik CEIDG) była jawna i dane osobowe w niej zawarte nie podlegały przepisom ustawy o ochronie danych osobowych. Istotną różnicą w stosunku do dawnych unormowań jest jednak niepełne wyłączenie obowiązywania ustawy o ochronie danych osobowych, jak również odmienne traktowanie tych samych danych przedsiębiorców, w zależności od tego, czy zostały one ujawnione w CEIDG, czy tylko w nim zawarte. Wskazane kwestie mogą przyczynić się do powstania problemów w stosowaniu nowych regulacji.
Kłopotliwy może okazać się zakres i sposób stosowania przepisów o ochronie danych osobowych, których nie wyłącza art. 39b ustawy o swobodzie działalności gospodarczej. Wynika z niego, że przepisy te stosuje się wprost, a nie odpowiednio. Nie zawsze będzie to jednak możliwe. Przykład to m.in. § 3–5 rozporządzenia z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Na podstawie tych przepisów administrator danych zobowiązany jest wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Konieczność zastosowania tych przepisów wprost, a nie odpowiednio sprawia, że przedsiębiorcy posiadający takie dane mogą mieć trudności w opisaniu „zbiorów danych osobowych" czy środków użytych do zabezpieczenia „danych osobowych".