Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Dane osobowe w CEIDG – nowelizacja ustawy o swobodzie działalności gospodarczej

Status danych osób fizycznych prowadzących działalność gospodarczą (przedsiębiorców), od samego początku budził pewne wątpliwości i kontrowersje. Większość przedsiębiorców chce jak najszerszego udostępniania informacji na temat swojej działalności. W przypadku niewielkich jednoosobowych działalności, sfera biznesowa często łączy się ze sferą osobistą. Siedziba wielu przedsiębiorców, jest jednocześnie adresem ich zamieszkania. Sytuację komplikuje dodatkowo fakt, że od 2011 roku część danych przedsiębiorców jest jawna i dostępna dla każdego w postaci Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Powyższe “kontrowersje” znalazły swoje odzwierciedlenie w zmieniającym się stanie prawnym.

Loading...

Loading…

Z dniem 19 maja 2016 r. wchodzą w życie zmiany przepisów ustawy o swobodzie działalności gospodarczej. Szczególne znaczenie ma dodany art. 39b) :

„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.”

Czy zmiana przepisów ustawy o swobodzie działalności gospodarczej oznacza powrót do stanu sprzed 2012r.?

Nowelizacja nie oznacza całkowitego wyłączenia stosowania przepisów ustawy o ochronie danych osobowych do danych osób fizycznych prowadzących działalność gospodarczą. W dużej mierze odformalizuje zasady ich przetwarzania. Informacje z CEIDG nie będą podlegały pod większość przepisów Ustawy o ochronie danych osobowych, z zastrzeżeniem postanowień dotyczących kontroli i zabezpieczeń.

Wyłączenie z Art. 39b) ustawy o swobodzie działalności gospodarczej:

  1. ma zastosowanie tylko do danych jawnych i dostępnych w CEIDG, czyli m.in. do: imienia, nazwiska, NIP, adresu prowadzenia działalności, adresu strony internetowej, adresu e-mail (należy pamiętać, że przedsiębiorca może zastrzec brak ujawnienia jego adresu e-mail),
  1. nawet upublicznione dane powinny być odpowiednio zabezpieczone przed dostępem osób nieuprawnionych (zgodnie z Rozdziałem 5 ustawy o ochronie danych osobowych),
  1. nie została wyłączona kontrola Generalnego Inspektora Danych Osobowych.

Jakie praktyczne znaczenie ma nowelizacja przepisów?

Jeżeli przetwarzamy tylko i wyłącznie dane osobowe odpowiadające zakresowi informacji zawartych w CEIDG, nie musimy:

  1. wykazywać podstawy prawnej przetwarzania danych,
  1. przetwarzać tylko w celu, do którego zostały pierwotnie pozyskane (np. możemy je przetwarzać zarówno w celu złożenia oferty współpracy jak i marketingowym, organizacji konferencji, konkursu),
  1. spełniać obowiązku informacyjnego (tj. informować osobę, której dane przetwarzamy o: pełnej nazwie, adresie siedziby, celu zbierania danych, odbiorcach danych, prawie dostępu i poprawiania danych, dobrowolności lub obowiązku podania danych),
  1. zawierać umowy powierzenia przy przekazywaniu danych innemu podmiotowi,
  1. zgłaszać zbioru do rejestracji do Generalnego Inspektora Danych Osobowych,
  1. ujmować zbioru w Jawnym Rejestrze Administratora Bezpieczeństwa Informacji,
  1. stosować przepisów dotyczących przekazywania danych do państwa trzeciego.

Osobie, której dane dotyczą nie przysługują uprawnienia, o których stanowi art. 32 ustawy o ochronie danych osobowych. Wyłączenie stosowania Rozdziału 8 ustawy o ochronie danych osobowych oznacza brak odpowiedzialności za niewłaściwe przetwarzania danych zawartych w CEIDG.

Według uzasadnienia do projektu wprowadzającego zmiany, bezcelowa jest dodatkowa ochrona dla publicznie dostępnych danych.

Czy mogę wysyłać mailingi do osób znajdujących się w CEIDG, bez żadnych ograniczeń?

Nie, zmiana ustawy o swobodzie gospodarczej pozwala na przetwarzanie danych bez zgody osoby, której dane są w CEIDG.  Możemy tworzyć bazy danych, ułatwiona jest wymiana informacji pomiędzy przedsiębiorcami. Jednak kontaktując się za pomocą środków porozumiewania się na odległość w celach marketingowych musimy pamiętać o uzyskaniu zgody z art. 172 prawa telekomunikacyjnego.

Czy nowelizacja oznacza brak ochrony informacji zawartych w CEIDG?

Obowiązkiem administratora danych jest odpowiednie zabezpieczenie danych osobowych przed utratą, zmianą, uszkodzeniem czy zniszczeniem. Dostępność CEIDG oznacza ograniczenie tych obowiązków do nadzoru nad prawidłowością wpisu. Odpowiedzialność za odpowiednią ochronę spoczywa przede wszystkim na ministrze właściwym do spraw gospodarki, który prowadzi CEIDG w systemie informatycznym. Korzystając z domniemania prawdziwości wpisu, pobierając dane z CEIDG „wtórny” administrator danych nie powinien ich zmieniać. Należy pamiętać, że obowiązek odpowiedniego zabezpieczenia nie został zniesiony. Dla powszechnie dostępnych danych nadal stosujemy odpowiedni stopnień zabezpieczenia określony w Rozdziale 5 ustawy o ochronie danych osobowych oraz Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Przy spełnieniu powyższego warunku nie powinnyśmy spotkać się z zarzutem Generalnego Inspektora Danych Osobowych braku stosowania Rozdziału 5 ustawy o ochronie danych osobowych.

Jakie sankcje może zastosować GIODO, jeśli dane przedsiębiorców będą przetwarzane niezgodnie z przepisami?

Nowelizacja przepisów w zakresie kontroli danych ujętych w CEIDG przez Generalnego Inspektora Danych Osobowych może również rodzić wątpliwości interpretacyjne. Z jednej strony na podstawie art. 19 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych może złożyć zawiadomienie o popełnieniu przestępstwa określonego w ustawie o ochronie danych osobowych. Z drugiej strony w zakresie danych z CEIDG został wyłączony do zastosowania Rozdział 8 – Przepisy karne czyli sankcje karne określone w ustawi o ochronie danych osobowych nie mają zastosowania. Praktycznie kontrola Generalnego Inspektora Danych Osobowych będzie mogła ograniczać się do zbadania właściwego rodzaju zastosowanych zabezpieczeń.

Środkiem „dyscyplinującym” będzie nakaz przywrócenia stanu zgodnego z prawem poprzez:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) zabezpieczenie danych.

Nie należy jednak zapominać o sankcjach możliwych do zastosowania przez Prezesa Urzędu Komunikacji Elektronicznej za niewypełnienie obowiązków uzyskania „zgody abonenta lub użytkownika końcowego na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego” (art. 172 prawa telekomunikacyjnego) czyli za wysłanie mailingu do przedsiębiorcy na adres firmowy. Kara może być nałożona w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym (art. 210 prawa telekomunikacyjnego).

Podsumowując

Nowelizacja ułatwi przetwarzanie danych zawartych w CEIDG. Odformalizowane zostaną obowiązki administratora danych, w zakresie przetwarzania informacji o przedsiębiorcach ujawnionych w ewidencji. Kierunek zmian wydaje się być racjonalny. Chodzi przecież o dane przedsiębiorców i tak ujawnione w publicznym rejestrze.

Źródła:

Ustawa  z dnia 29 sierpnia 1997r.  o ochronie danych osobowych ( t.j. Dz. U. z 2015 r., poz. 2135 z póź. zm.)
Ustawa z  dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (t.j. Dz. U. z 2015 r. poz. 584 z póź. zm.)
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2014 r., poz. 243, z póź. zm.)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024)
Strona www: http://www.giodo.gov.pl/
Strona www: www.sejm.gov.pl

Powiązane artykuły

Czy adres IP to informacja zawierająca dane osobowe?
Fakty i mity na temat obowiązków rejestracyjnych względem GIODO – kogo i co zgłaszamy?
Program 500+ a ochrona danych osobowych

9 Odpowiedzi

  1. Monika

    Jeżeli do danych jawnych i dostępnych w CEIDG, zaliczamy i m.in.imię, nazwisko, NIP, adres prowadzenia działalności i nie stosujemy uodo czy wobec tego dane te powinny być anonimizowane przez sąd w orzeczeniach udostepnianych na portalu orzeczeń?

    1. Kancelaria Lex Artist

      Udostępnianie treści orzeczeń sądowych na portalu wynika z art. 6 ust.1 pkt 4 a) tiret trzeci ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (t.j. Dz. U. z 2015 r. poz. 2058 z póź. zm.), ustawy będącej przepisem szczególnym w odniesieniu do ustawy o swobodzie działalności gospodarczej. Jednocześnie wyjaśniam, że dane osobowe zawarte w publikowanych orzeczeniach na portalach orzeczeń są anonimizowane, t.j. treść publikowanego orzeczenie nie zawiera danych osobowych. Odpowiednia informacja w sprawie zamieszczania danych osobowych na portalu orzeczeń znajduje się na stronach ministerstwa sprawiedliwości ( https://ms.gov.pl/pl/sady-w-internecie/portal-orzeczen/ ).

    2. A ja mam taka wątpliwość/pytanie. Jeżeli gromadzę dane przedsiębiorców jako moich klientów, podpisując z nimi umowy. Bądź tacy przedsiębiorcy rejestrują się w moim serwisie www jako przedsiębiorcy (jednoosobowe działalności gosp.). To czy w takim przypadku ich dane również nie podlegają pod przepisy UODO? Pozyskuję je z innych źródeł niż CEIDG stąd moje pytanie. Czy wtedy UODO mnie obowiązuje ?

      1. Kancelaria Lex Artist

        Przy zawieraniu umów z klientami przetwarzany jest szerszy zakres danych niż uwidoczniony w CEIDG, np. na potrzeby zawarcia umowy, a następnie uregulowania należności posiadamy, oprócz danych jakie znajdziemy w CEIDG, numer rachunku bankowego. Poza tym informacje, które z reguły przetwarzamy w kontaktach biznesowych to numer telefonu lub adres e-mail, a owe informacje nie zawsze muszą być uwidoczniony w CEIDG.
        Zgodnie z art. 39b ustawy o swobodzie działalności gospodarczej: Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.
        Zatem w przypadku, gdy posiadamy większą ilości informacji o osobie fizycznej prowadzącej działalność gospodarczą niż dane zawarte w CEIDG to powinniśmy stosować ustawę o ochronie danych osobowych.
        Jednocześnie dodam, że w przypadku przetwarzania danych osobowych na potrzeby zawierania umów, nie musimy pozyskiwać zgody na przetwarzanie danych osobowych, gdyż przesłankę legalizującą ww. przetwarzanie znajdziemy w art. 23. ust. 1 pkt 3 ustawy o ochronie danych osobowych.

  2. Rafal

    Jako przedsiębiorcę, który prowadzi działalność pod adresem zamieszkania bardzo smucą mnie te zmiany. Z jednej strony zobowiązuje się nawet małe jednoosobowe firmy do rejestracji zbiorów danych choćby tylko kilku swoich klientów, z którymi kontaktujemy się mailowo, podczas gdy wszystkie dane takiego przedsiębiorcy włącznie z imieniem, nazwiskiem, nip, adresem działalności (zamieszkania) pozostają udostepnione wszem i wobec i są duplikowane i udostepniane dalej w zasadzie bez żadnej kontroli i ograniczeń. To nie jest Państwo prawa.

  3. Magdalena

    Wiatam. Prowadziłam firmę jednoosobowa a zawiesiłam działalność gospodarcza od 2011 r, natomiast firma została wykreślona aż CEIDG w marcu 2015 r czy dane mojej firmy nie działającej mogą być nadal udostępniane ??

  4. Cezary

    Dzień dobry,

    Prowadziłem w 2012 przez pół roku działalność gospodarczą, później ją wyrejestrowałem w grudniu 2012. Ostatnio sprawdziłem swoje imię i nazwisko w google i czasem się pojawiam jako prowadzący działalność gdzie podane są moje dane typu pesel, adres a czasem jest tak że na stronie jest, że jestem wykreślony ale wszystkie moje dane osobowe dalej są widoczne. Mam pytanie czy można te dane udostępniać po wykreśleniu z rejestru czy nie?

    1. Kancelaria Lex Artist

      Dzień dobry 🙂 W pierwszej kolejności proszę o sprawdzenie w przeglądarce CEIDG czy wpis o prowadzonej działalności został wykreślony. Jeśli wpis jest nieaktywny sprawa dotyczy przeglądarki Google i należy poprosić o usunięcie danych osobowych z wyników wyszukiwania Google.

Zostaw odpowiedź