Tworzenie baz danych przedsiębiorców będzie prostsze

W praktyce każdy zainteresowany może obecnie przetwarzać ogólnodostępne, jawne dane osobowe z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, czyli dane przedsiębiorców prowadzących jednoosobową działalność gospodarczą, w tym w formie spółki cywilnej.

Tę istotną dla przedsiębiorców zmianę przyniosła ustawa z 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw (Dz.U. poz. 1893). Nowe przepisy zaczęły obowiązywać 19 maja 2016 r.

Zgodnie z art. 39b, nowo dodanym do ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej (t.j. Dz.U. z 2015 r. poz. 584 ze zm.), "do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (...), z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy", regulujących kwestie z zakresu kontroli przetwarzania danych, obowiązków dotyczących ich zabezpieczenia oraz prowadzenia dokumentacji przetwarzania.

Adres itp.

Jakich danych przedsiębiorców dotyczą zatem zmiany? Są to - w zakresie, w jakim zostały ujawnione w CEIDG - m.in. adres przedsiębiorcy, REGON, NIP, informacja o obywatelstwie przedsiębiorcy, data rozpoczęcia działalności gospodarczej, informacje o istnieniu lub ustaniu małżeńskiej wspólności majątkowej, określenie przedmiotów wykonywanej działalności zgodnie z Polską Klasyfikacją Działalności (PKD) czy też informacja o wykreśleniu z CEIDG.

Ujawnieniu co do zasady nie podlegają natomiast m.in. PESEL czy data urodzenia. Przedsiębiorca może ponadto sprzeciwić się udostępnianiu w CEIDG jego danych kontaktowych, takich jak np. adres poczty elektronicznej, strony internetowej czy numer telefonu. Jeśli więc np. przedsiębiorca nie wyraził zgody na ujawnienie tych danych w CEIDG, są wciąż w pełni chronione, a ich wykorzystywanie każdorazowo wymaga legitymowania się odpowiednią podstawą prawną (np. zgodą).

Ograniczeń mniej

Przed nowelizacją przetwarzanie ujawnionych w CEIDG danych osobowych przedsiębiorców było objęte tymi samymi wymogami, co przetwarzanie danych osób fizycznych nieprowadzących działalności gospodarczej. Zmiany istotnie ułatwiły ich przetwarzanie. Przedsiębiorcy tworzący na podstawie CEIDG własne bazy danych nie będą już musieli m.in. spełniać obowiązków informacyjnych wobec osób, których dane dotyczą (m.in. nie będą musieli przekazywać każdemu z osobna informacji o administratorze czy przysługujących im prawach, a nawet o samym fakcie przetwarzania ich danych), czy też zgłaszać takich zbiorów danych do rejestru prowadzonego przez GIODO.

Nie oznacza to jednak zupełnej swobody. Nowelizacja jedynie ogranicza stosowanie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135 ze zm.) do danych ujawnionych w CEIDG, ale nie wyłącza jej całkowicie.

O czym trzeba pamiętać

Jakie zatem obowiązki pozostały? Przedsiębiorcy przetwarzający takie dane wciąż muszą je zabezpieczać w ten sam sposób, w jaki zabezpieczają inne dane osobowe. To oznacza m.in. konieczność prowadzenia pełnej dokumentacji przetwarzania danych osobowych oraz pełnego stosowania się do rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).

W szczególności chodzi o:

● wprowadzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

● stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych,

● dopuszczanie do przetwarzania danych wyłącznie osób mających upoważnienie nadane przez administratora danych oraz prowadzenia ewidencji osób upoważnionych.

Wątpliwości

Ciekawym zagadnieniem jest skutek ww. zmian w przepisach dla ograniczeń wynikających z innych ustaw. Na przykład pojawia się pytanie, jak to wpłynie na obowiązki związane z wysyłaniem informacji handlowych w sytuacji, gdy adres poczty elektronicznej przedsiębiorcy został ujawniony w CEIDG.

Interpretując przepis restrykcyjnie, należałoby przyjąć, że z jednej strony nadal stosuje się rygory ustawy o świadczeniu usług drogą elektroniczną, a więc co do zasady konieczne jest uzyskanie zgody na otrzymywanie takich informacji. Z drugiej strony należy jednak pamiętać, że przedsiębiorca całkowicie dobrowolnie umieszcza swój adres e-mail w ramach CEIDG w zakładce "dane kontaktowe", co można rozumieć jako udostępnianie adresu w celu otrzymywania informacji od innych przedsiębiorców (a prawie każda taka informacja ma charakter informacji handlowej, gdyż co najmniej pośrednio promuje nadawcę lub jego produkty/usługi).

Nowelizacja znosi też możliwość zawierania przez ministra administracji z przedsiębiorcami odpłatnych umów na komercyjne wykorzystywanie przez nich danych z CEIDG, co dopuszczał zmieniony omawianą nowelizacją art. 39 ust. 2 ustawy o swobodzie działalności gospodarczej. Umowy takie, np. w zakresie adresów e-mail, były dotychczas często zawierane przez przedsiębiorców świadczących usługi marketingowe na rzecz innych podmiotów.

Pozostaje obserwować, jaką praktykę przyjmie minister, zawierając nowe umowy na podstawie zmienionych przepisów. Po nowelizacji przepisy wymagają, by udostępnianie danych z CEIDG było nieodpłatne, nie wiadomo jednak, jak będzie opisywany cel i zakres takiej umowy.

Nowelizacja ogranicza stosowanie ustawy o ochronie danych osobowych do danych ujawnionych w CEIDG, ale nie wyłącza jej całkowicie. Część obowiązków pozostanie, m.in. z zakresu kontroli przetwarzania danych, dotyczących ich zabezpieczenia oraz prowadzenia dokumentacji przetwarzania.

Kamila Koszewicz

starszy konsultant, Kancelaria Olesiński i Wspólnicy, blog.e-prawnik.pl

@RY1@i02/2016/099/i02.2016.099.215000300.802.jpg@RY2@

Grzegorz Leśniewski

menedżer, Kancelaria Olesiński i Wspólnicy, blog.e-prawnik.pl