Aktualności
Rejestr CEIDG po zmianach a kwestie ochrony danych osobowych
autor: Grzegorz Gryciuk
Od dnia 19 maja 2016 r. obowiązują istotne zmiany przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (dalej: usdzg), a wprowadzone ustawą z dnia 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw.
Z założenia służyć one mają wprowadzeniu ułatwień w funkcjonowaniu rejestru CEIDG, a obejmują też zmiany dotyczące ochrony danych osobowych osób fizycznych jako przedsiębiorców, które dotyczą dwóch kwestii:
Po pierwsze: ogólnego wyłączenia stosowania przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo) za wyjątkiem tylko wskazanych w art. 39 b usdzg, zgodnie z którym: „Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy”.
Po drugie: uregulowania zakresu informacji, w tym danych osobowych, zawartych w rejestrze CEIDG, ich udostępniania, w tym określenia zakresu udostępnianych informacji i zakazu udostępniania niektórych danych dotyczących przedsiębiorcy, w tym numeru PESEL, daty urodzenia czy danych kontaktowych, takich jak: adres poczty elektronicznej czy numer telefonu, o ile dane te zostały zgłoszone we wniosku o wpis do CEIDG. Co do ww. danych kontaktowych zakaz udostępniania ma dotyczyć przypadku gdy, podając je, przedsiębiorca sprzeciwił się ich udostępnianiu w CEIDG (por. art. 37 ust. 1 pkt 1 usdzg).
Zmiana w zakresie ogólnego wyłączenie stosowania przepisów uodo nawiązuje do sytuacji istniejącej uprzednio do dnia 31 grudnia 2011 r. Obowiązywał wówczas przepis art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, zgodnie z którym: „Ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (...)”. Przepis ten w sposób wyraźny potwierdzał ugruntowujący się ówcześnie pogląd, że przepisów uodo nie stosuje się do danych dotyczących osoby fizycznej w zakresie, w jakim identyfikują ją w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez nią działalnością gospodarczą.
Aktualna zmiana nie skutkuje wyłączeniem stosowania wszystkich przepisów uodo, gdyż wyłączenie to nie obejmuje wskazanych przepisów art. 14-19a uodo i art. 21-22a uodo oraz rozdziału 5 tej ustawy. Wskazane przepisy art. 14-19a uodo i art. 21-22a uodo dotyczą uprawnień kontrolnych Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO), a w tym obejmują przepisy art. 18 uodo umożliwiające GIODO wydanie decyzji administracyjnej o określonej treści w przypadku naruszenia przepisów o ochronie danych osobowych i przewidujące uprawnienia strony w przypadku wydania takiej decyzji. Z kolei przepisy rozdziału 5 uodo dotyczą kwestii zabezpieczenia danych osobowych, a w tym obowiązku podjęcia środków zabezpieczających przed rozpoczęciem przetwarzania danych, o których mowa w art. 36 uodo oraz dopełnienia wymagań określonych w przepisach wykonawczych, o których mowa w art. 39a uodo, a w tym prowadzenia dokumentacji w postaci m.in. Polityki bezpieczeństwa czy Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Jednakże aktualna zmiana skutkuje wyłączeniem stosowania przepisów uodo w zakresie konieczności dopełnienia, takich obowiązków jak: legalności przetwarzania danych osobowych (art. 23 lub 27 uodo), informacyjnego (art. 25 lub art. 26 uodo), celowości i adekwatności przetwarzania danych (art. 26 uodo) czy rejestracji zbiorów danych (rozdział 6 uodo). Co istotne wyłączenie to obejmuje także stosowanie przepisów karnych z rozdziału 8 uodo.
W praktyce jednakże pozostawienie ww. przepisów z regulacji uodo i wprowadzenie ww. nowych z regulacji usdzg dotyczących udostępniania informacji zawartych w rejestrze CEIDG i ograniczeń w tym zakresie czyni sytuację bardziej złożoną. Przykładowo skoro ww. art. 37 ust. 1 pkt 1 usdzg stanowi o zakazie udostępniania wskazanych danych kontaktowych, w przypadku gdy, podając je, przedsiębiorca sprzeciwił się ich udostępnianiu w CEIDG to dla oceny dopuszczalności udostępnienia - czy szerzej przetwarzania - takich danych objętych sprzeciwem należy przeanalizować już dopełnienie wszystkie wymogów z regulacji uodo, gdyż wyłączenie w jej stosowaniu w omówionym powyżej zakresie z ww. art. art. 39 b usdzg dotyczyć winno sytuacji, gdy brak jest wskazanego sprzeciwu. Przy tym w każdym przypadku GIODO zachowuje ww. uprawienia kontrolne, a w tym możliwość wydana decyzji administracyjnej o określonej w ww. art. 18 uodo treści, a podmiot przetwarzający wskazane dane ma obowiązek podjęcia ww. środków zabezpieczających oraz dopełnienia wymagań określonych w ww. przepisach wykonawczych, a w tym prowadzenia ww. dokumentacji. Dlatego warto również przy okazji ww. zmian zweryfikować dotychczas zastosowane rozwiązania w ramach systemu ochrony danych osobowych, a szczególnie stosowaną dokumentację w tym zakresie i ewentualnie je przeorganizować lub też zmienić.Grzegorz Gryciuk
radca prawny, starszy konsultant
Masz pytanie?
Grzegorz Gryciuk
radca prawny, starszy konsultant