        |
||||||||||
 |
||||||||||
 |
Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych |
|||||||||
|
||||||||||
|
|
|
>Polecamy > 
Ochrona danych osobowych osób fizycznych prowadzących działalność gospodarczą. 2012-01-25
W tym roku przestały obowiązywać przepisy ustawy Prawo Działalności Gospodarczej regulujące Ewidencję Działalności Gospodarczej prowadzoną przez gminy. Z dniem 1 stycznia 2012 r. dane zawarte w ewidencji działalności prowadzonej przez gminy zostały przeniesione do Centralnej Ewidencji Działalności i Informacji Gospodarczej. Jednocześnie moc utracił art. 7 a ust. 2 Prawa Działalności Gospodarczej, który stanowił, że „Ewidencja działalności gospodarczej jest jawna i dane w niej zawarte nie podlegają przepisom ustawy (...) o ochronie danych osobowych”. Z punktu widzenia ochrony danych osobowych jest to o tyle ważne, iż nowe przepisy nie wyłączają stosowania ustawy o ochronie danych osobowych, zwanej dalej „Ustawą” w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą. Z punktu widzenia administratorów danych osobowych powstał problem – co zrobić z posiadanymi danymi osób fizycznych prowadzących działalność gospodarczą, jak i czy zabezpieczyć i jak nimi można dysponować, oraz jak należy je traktować po 1 stycznia 2012 r.? Dane przedsiębiorcy wyłączone spod ustawy o ochronie danych osobowych przed 1 stycznia 2012 r.
Zgodnie z definicją danych osobowych zawartą w art. 6 Ustawy za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”.Zatem, aby określoną informację można było zaliczyć do danych osobowych musi ona dotyczyć osoby fizycznej. A contrario, ustawa o ochronie danych osobowych nie ma zastosowania w odniesieniu do osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej.
Wspomniany wcześniej art. 7a ust. 2 ustawy Prawo Działalności Gospodarczej, który obowiązywał do dnia 31 grudnia 2011 r., wyłączał wprost stosowanie Ustawy w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą.Przepis ten wszedł w życie w 2003 r. Przed tą datą również pojawiały się wątpliwości, czy Ustawę stosujemy do osób fizycznych prowadzących działalność gospodarczą, a jeżeli tak to w jakim zakresie?Generalny Inspektor (GIODO) uznał, że informacje te identyfikują podmiot w obrocie gospodarczym i wiążą się z prowadzoną przez niego działalnością, a więc działanie Ustawy jest zasadniczo wyłączone. Stanowisko to utrwaliło się po orzeczeniu NSA, który w wyroku z 28 listopada 2002 r. (sygn. II SA 3389/01) stwierdził: „jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji gdy te dane pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy”. Oczywiście nawet po tym orzeczeniu stanowisko doktryny, jak to często bywa, było podzielone i można było znaleźć zwolenników stosowania Ustawy do działalności gospodarczej. Aby te wątpliwości ostatecznie przeciąć uchwalono, uchylony właśnie przepis.
Nowa – stara rzeczywistość osób fizycznych prowadzących działalność gospodarczą
Tak jak to już zostało wspomniane, w związku z wprowadzeniem Centralnej Ewidencji art. 7a ustawy Prawo działalności gospodarczej utracił swoją moc obowiązującą. W przepisach regulujących Centralną Ewidencję brak jest równocześnie regulacji, która wyłączałaby stosowanie ustawy o ochronie danych osobowych w odniesieniu do informacji zgromadzonych Centralnej Ewidencji. Tym samym, na dzień dzisiejszy sytuacja nie jest jednoznacznie rozstrzygnięta. Trudno przewidzieć w którą stronę pójdzie orzecznictwo i doktryna. Czy informacje o przedsiębiorcach będą podlegać Ustawie, czy wzorem rozwiązań zaproponowanych przez GIODO i orzecznictwo przed 2003 r., osoba fizyczna prowadząca działalność gospodarczą nie będzie mogła domagać się ochrony swoich danych osobowych, bowiem będą wykorzystywane jako dane firmowe, a nie osobowe. Obecnie wydaje się, że GIODO będzie traktował dane firmowe jako dane osobowe. Na stronie internetowej można znaleźć następującą informację: „od 1 stycznia 2012 r. przepisy ustawy ochronie danych osobowych dotyczą informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile – dla konkretnego stanu faktycznego – będą stanowiły dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych. Tym samym administratorzy danych osobowych dotyczących przedsiębiorców będą musieli wypełnić wszelkie obowiązki wynikające z ustawy o ochronie danych osobowych, w tym te dotyczące rejestracji zbiorów danych osobowych”
Gdyby dane zawarte w Centralnej Ewidencji (m.in. imię i nazwisko, adres miejsca wykonywania działalności, NIP, REGON, adres poczty elektronicznej, firma przedsiębiorcy), stanowiły dane osobowe w rozumieniu Ustawy, administratorzy danych stanęliby przed nie lada wyzwaniem, jakim jest dostosowanie baz zawierających takie dane do wymogów Ustawy.
Wiele podmiotów posiada w swoich zasobach informacje o osobach fizycznych prowadzących działalność gospodarczą. W sposób oczywisty jest to związane z prowadzeniem przez nich działalności, a więc ze współpracą, tworzeniem baz marketingowych itd. Ponieważ ustawa nie obejmowała do tej pory tych informacji, należy założyć, że nie spełniają one wymagań określonych w ustawie o ochronie danych osobowych. Problem ten dotyczy w równym stopniu biznesu, jak i organów administracji publicznej i samorządowej. Różnego rodzaju rejestry zawierają informacje o osobach fizycznych prowadzących działalność gospodarczą, np. urzędy pracy, które przyznają dotacje dla przedsiębiorców.
Dane przedsiębiorcy – danymi osobowymi
Przy założeniu, że dane przedsiębiorców podlegają Ustawie (wskazuje na to interpretacja GIODO), administratorzy danych będą musieli spełnić szereg obowiązków przewidzianych w Ustawie, z których do tej pory byli zwolnieni. Po pierwsze, w odniesieniu do danych osobowych pozyskanych po 1 stycznia 2012 r. powinni wykazać się przesłanką zezwalająca na przetwarzanie danych osobowych. Takie informacje tworzą zbiory danych osobowych, które jak się wydaje, nie są zwolnione z obowiązku rejestracji, zatem trzeba będzie takie zbiory zgłosić do rejestracji. Administrator danych zobowiązany jest również do dopełnienia obowiązków informacyjnych (art. 24 i 25 Ustawy), czyli poinformowania osób których dane dotyczą m.in. o administratorze danych, celach przetwarzania danych, czy prawach tychże osób. Dane powinny być także odpowiednio zabezpieczone, a administrator powinien spełniać wymagania wskazane w Ustawie (art. 36-39a).
Kolejną istotną kwestią jest pytanie co zrobić w przypadku danych, które znalazły się w bazach przed 1 stycznia 2012 r. Można zastosować tutaj regułę powszechnie przyjętą w demokratycznych państwach prawa, iż prawo nie działa wstecz. Przytoczoną regułę można zastosować w odniesieniu do obowiązku informacyjnego, jednakże sytuacja wygląda odmiennie np. w przypadku dalszego wykorzystania danych (udostępnienia lub powierzenia). Analogicznie w przypadku rejestracji zbiorów, tzn. zbiory powinny zostać zarejestrowane.
Brak zastosowania się administratorów danych do obowiązków przewidzianych w Ustawie może powodować odpowiedzialność karną. I tak, brak podstawy prawnej do przetwarzania – odpowiedzialność z art. 49 ustawy (kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3). Brak odpowiedniego zabezpieczenia danych osobowych – odpowiedzialność z art. 52 ustawy (kara grzywny, ograniczenia wolności lub pozbawienia wolności do roku). Niezarejestrowanie zbioru danych osobowych - odpowiedzialność z art. 53 ustawy (kara grzywny, ograniczenia wolności lub pozbawienia wolności do roku). Niedopełnienie obowiązku informacyjnego - odpowiedzialność karna z art. 54 ustawy (kara grzywny, ograniczenia wolności lub pozbawienia wolności do roku).
Podsumowanie
W naszej opinii, chociaż nie uważamy tego rozwiązania za rozsądne z gospodarczego punktu widzenia, od 1 stycznia 2012 r. ustawa o ochronie danych osobowych będzie miała zastosowanie do osób fizycznych prowadzących działalność gospodarczą. Informacje zawarte w Centralnej Ewidencji pozwalają bez wątpliwości na zidentyfikowanie osoby fizycznej, a więc tym samym Ustawa będzie obejmowała swoim zakresem dane przedsiębiorców. W związku z powyższym administratorzy zobowiązani są do dopełnienia obowiązków wskazanych w Ustawie. Proponujemy, aby administratorzy podeszli do zagadnienia systemowo, tj. dokonali analizy posiadanych baz danych, uporządkowali je i dostosowali do nowej rzeczywistości prawnej.
Zmiany wprowadzone w 2012 r., jak każde inne, mają swoje wady i zalety. Z jednej strony pozwalają na większą ochronę osób fizycznych prowadzących działalność gospodarczą, np. przed niechcianym marketingiem. Z drugiej jednak stwarzają ogromne komplikacje dla podmiotów uczestniczących w obrocie gospodarczym, a nałożenie nowych obowiązków (z których przez wiele lat administratorzy byli zwolnieni), na już utrwaloną praktykę biznesową niewątpliwie nie wpływa pozytywnie na poczucie pewności i bezpieczeństwa obrotu gospodarczego. Jednak w jakim stopniu rzeczywiście odbiją się one na życiu gospodarczym przekonamy się niedługo, chociaż naszym zdaniem będą znaczące.
Omni Modo
|
