Dane osobowe w CEIDG – nowelizacja ustawy o swobodzie działalności gospodarczej

Status danych osób fizycznych prowadzących działalność gospodarczą (przedsiębiorców), od samego początku budził pewne wątpliwości i kontrowersje. Większość przedsiębiorców chce jak najszerszego udostępniania informacji na temat swojej działalności. W przypadku niewielkich jednoosobowych działalności, sfera biznesowa często łączy się ze sferą osobistą. Siedziba wielu przedsiębiorców, jest jednocześnie adresem ich zamieszkania. Sytuację komplikuje dodatkowo fakt, że od 2011 roku część danych przedsiębiorców jest jawna i dostępna dla każdego w postaci Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Powyższe „kontrowersje” znalazły swoje odzwierciedlenie w zmieniającym się stanie prawnym.

Loading...

Loading…

Z dniem 19 maja 2016 r. wchodzą w życie zmiany przepisów ustawy o swobodzie działalności gospodarczej. Szczególne znaczenie ma dodany art. 39b) :

„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.”

Czy zmiana przepisów ustawy o swobodzie działalności gospodarczej oznacza powrót do stanu sprzed 2012r.?

Nowelizacja nie oznacza całkowitego wyłączenia stosowania przepisów ustawy o ochronie danych osobowych do danych osób fizycznych prowadzących działalność gospodarczą. W dużej mierze odformalizuje zasady ich przetwarzania. Informacje z CEIDG nie będą podlegały pod większość przepisów Ustawy o ochronie danych osobowych, z zastrzeżeniem postanowień dotyczących kontroli i zabezpieczeń.

Wyłączenie z Art. 39b) ustawy o swobodzie działalności gospodarczej:

  1. ma zastosowanie tylko do danych jawnych i dostępnych w CEIDG, czyli m.in. do: imienia, nazwiska, NIP, adresu prowadzenia działalności, adresu strony internetowej, adresu e-mail (należy pamiętać, że przedsiębiorca może zastrzec brak ujawnienia jego adresu e-mail),
  1. nawet upublicznione dane powinny być odpowiednio zabezpieczone przed dostępem osób nieuprawnionych (zgodnie z Rozdziałem 5 ustawy o ochronie danych osobowych),
  1. nie została wyłączona kontrola Generalnego Inspektora Danych Osobowych.

Jakie praktyczne znaczenie ma nowelizacja przepisów?

Jeżeli przetwarzamy tylko i wyłącznie dane osobowe odpowiadające zakresowi informacji zawartych w CEIDG, nie musimy:

  1. wykazywać podstawy prawnej przetwarzania danych,
  1. przetwarzać tylko w celu, do którego zostały pierwotnie pozyskane (np. możemy je przetwarzać zarówno w celu złożenia oferty współpracy jak i marketingowym, organizacji konferencji, konkursu),
  1. spełniać obowiązku informacyjnego (tj. informować osobę, której dane przetwarzamy o: pełnej nazwie, adresie siedziby, celu zbierania danych, odbiorcach danych, prawie dostępu i poprawiania danych, dobrowolności lub obowiązku podania danych),
  1. zawierać umowy powierzenia przy przekazywaniu danych innemu podmiotowi,
  1. zgłaszać zbioru do rejestracji do Generalnego Inspektora Danych Osobowych,
  1. ujmować zbioru w Jawnym Rejestrze Administratora Bezpieczeństwa Informacji,
  1. stosować przepisów dotyczących przekazywania danych do państwa trzeciego.

Osobie, której dane dotyczą nie przysługują uprawnienia, o których stanowi art. 32 ustawy o ochronie danych osobowych. Wyłączenie stosowania Rozdziału 8 ustawy o ochronie danych osobowych oznacza brak odpowiedzialności za niewłaściwe przetwarzania danych zawartych w CEIDG.

Według uzasadnienia do projektu wprowadzającego zmiany, bezcelowa jest dodatkowa ochrona dla publicznie dostępnych danych.

Czy mogę wysyłać mailingi do osób znajdujących się w CEIDG, bez żadnych ograniczeń?

Nie, zmiana ustawy o swobodzie gospodarczej pozwala na przetwarzanie danych bez zgody osoby, której dane są w CEIDG.  Możemy tworzyć bazy danych, ułatwiona jest wymiana informacji pomiędzy przedsiębiorcami. Jednak kontaktując się za pomocą środków porozumiewania się na odległość w celach marketingowych musimy pamiętać o uzyskaniu zgody z art. 172 prawa telekomunikacyjnego.

Czy nowelizacja oznacza brak ochrony informacji zawartych w CEIDG?

Obowiązkiem administratora danych jest odpowiednie zabezpieczenie danych osobowych przed utratą, zmianą, uszkodzeniem czy zniszczeniem. Dostępność CEIDG oznacza ograniczenie tych obowiązków do nadzoru nad prawidłowością wpisu. Odpowiedzialność za odpowiednią ochronę spoczywa przede wszystkim na ministrze właściwym do spraw gospodarki, który prowadzi CEIDG w systemie informatycznym. Korzystając z domniemania prawdziwości wpisu, pobierając dane z CEIDG „wtórny” administrator danych nie powinien ich zmieniać. Należy pamiętać, że obowiązek odpowiedniego zabezpieczenia nie został zniesiony. Dla powszechnie dostępnych danych nadal stosujemy odpowiedni stopnień zabezpieczenia określony w Rozdziale 5 ustawy o ochronie danych osobowych oraz Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Przy spełnieniu powyższego warunku nie powinnyśmy spotkać się z zarzutem Generalnego Inspektora Danych Osobowych braku stosowania Rozdziału 5 ustawy o ochronie danych osobowych.

Jakie sankcje może zastosować GIODO, jeśli dane przedsiębiorców będą przetwarzane niezgodnie z przepisami?

Nowelizacja przepisów w zakresie kontroli danych ujętych w CEIDG przez Generalnego Inspektora Danych Osobowych może również rodzić wątpliwości interpretacyjne. Z jednej strony na podstawie art. 19 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych może złożyć zawiadomienie o popełnieniu przestępstwa określonego w ustawie o ochronie danych osobowych. Z drugiej strony w zakresie danych z CEIDG został wyłączony do zastosowania Rozdział 8 – Przepisy karne czyli sankcje karne określone w ustawi o ochronie danych osobowych nie mają zastosowania. Praktycznie kontrola Generalnego Inspektora Danych Osobowych będzie mogła ograniczać się do zbadania właściwego rodzaju zastosowanych zabezpieczeń.

Środkiem „dyscyplinującym” będzie nakaz przywrócenia stanu zgodnego z prawem poprzez:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) zabezpieczenie danych.

Nie należy jednak zapominać o sankcjach możliwych do zastosowania przez Prezesa Urzędu Komunikacji Elektronicznej za niewypełnienie obowiązków uzyskania „zgody abonenta lub użytkownika końcowego na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego” (art. 172 prawa telekomunikacyjnego) czyli za wysłanie mailingu do przedsiębiorcy na adres firmowy. Kara może być nałożona w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym (art. 210 prawa telekomunikacyjnego).

Podsumowując

Nowelizacja ułatwi przetwarzanie danych zawartych w CEIDG. Odformalizowane zostaną obowiązki administratora danych, w zakresie przetwarzania informacji o przedsiębiorcach ujawnionych w ewidencji. Kierunek zmian wydaje się być racjonalny. Chodzi przecież o dane przedsiębiorców i tak ujawnione w publicznym rejestrze.

Źródła:

Ustawa  z dnia 29 sierpnia 1997r.  o ochronie danych osobowych ( t.j. Dz. U. z 2015 r., poz. 2135 z póź. zm.)
Ustawa z  dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (t.j. Dz. U. z 2015 r. poz. 584 z póź. zm.)
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2014 r., poz. 243, z póź. zm.)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024)
Strona www: http://www.giodo.gov.pl/
Strona www: www.sejm.gov.pl

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
RODO 3, czyli Akt w sprawie sztucznej inteligencji
Rozporządzenie ePrivacy, dlaczego wciąż czekamy i co się zmieni?

17 Odpowiedzi

  1. Monika

    Jeżeli do danych jawnych i dostępnych w CEIDG, zaliczamy i m.in.imię, nazwisko, NIP, adres prowadzenia działalności i nie stosujemy uodo czy wobec tego dane te powinny być anonimizowane przez sąd w orzeczeniach udostepnianych na portalu orzeczeń?

    1. Kancelaria Lex Artist

      Udostępnianie treści orzeczeń sądowych na portalu wynika z art. 6 ust.1 pkt 4 a) tiret trzeci ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (t.j. Dz. U. z 2015 r. poz. 2058 z póź. zm.), ustawy będącej przepisem szczególnym w odniesieniu do ustawy o swobodzie działalności gospodarczej. Jednocześnie wyjaśniam, że dane osobowe zawarte w publikowanych orzeczeniach na portalach orzeczeń są anonimizowane, t.j. treść publikowanego orzeczenie nie zawiera danych osobowych. Odpowiednia informacja w sprawie zamieszczania danych osobowych na portalu orzeczeń znajduje się na stronach ministerstwa sprawiedliwości ( https://ms.gov.pl/pl/sady-w-internecie/portal-orzeczen/ ).

    2. A ja mam taka wątpliwość/pytanie. Jeżeli gromadzę dane przedsiębiorców jako moich klientów, podpisując z nimi umowy. Bądź tacy przedsiębiorcy rejestrują się w moim serwisie www jako przedsiębiorcy (jednoosobowe działalności gosp.). To czy w takim przypadku ich dane również nie podlegają pod przepisy UODO? Pozyskuję je z innych źródeł niż CEIDG stąd moje pytanie. Czy wtedy UODO mnie obowiązuje ?

      1. Kancelaria Lex Artist

        Przy zawieraniu umów z klientami przetwarzany jest szerszy zakres danych niż uwidoczniony w CEIDG, np. na potrzeby zawarcia umowy, a następnie uregulowania należności posiadamy, oprócz danych jakie znajdziemy w CEIDG, numer rachunku bankowego. Poza tym informacje, które z reguły przetwarzamy w kontaktach biznesowych to numer telefonu lub adres e-mail, a owe informacje nie zawsze muszą być uwidoczniony w CEIDG.
        Zgodnie z art. 39b ustawy o swobodzie działalności gospodarczej: Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.
        Zatem w przypadku, gdy posiadamy większą ilości informacji o osobie fizycznej prowadzącej działalność gospodarczą niż dane zawarte w CEIDG to powinniśmy stosować ustawę o ochronie danych osobowych.
        Jednocześnie dodam, że w przypadku przetwarzania danych osobowych na potrzeby zawierania umów, nie musimy pozyskiwać zgody na przetwarzanie danych osobowych, gdyż przesłankę legalizującą ww. przetwarzanie znajdziemy w art. 23. ust. 1 pkt 3 ustawy o ochronie danych osobowych.

  2. Rafal

    Jako przedsiębiorcę, który prowadzi działalność pod adresem zamieszkania bardzo smucą mnie te zmiany. Z jednej strony zobowiązuje się nawet małe jednoosobowe firmy do rejestracji zbiorów danych choćby tylko kilku swoich klientów, z którymi kontaktujemy się mailowo, podczas gdy wszystkie dane takiego przedsiębiorcy włącznie z imieniem, nazwiskiem, nip, adresem działalności (zamieszkania) pozostają udostepnione wszem i wobec i są duplikowane i udostepniane dalej w zasadzie bez żadnej kontroli i ograniczeń. To nie jest Państwo prawa.

  3. Magdalena

    Wiatam. Prowadziłam firmę jednoosobowa a zawiesiłam działalność gospodarcza od 2011 r, natomiast firma została wykreślona aż CEIDG w marcu 2015 r czy dane mojej firmy nie działającej mogą być nadal udostępniane ??

  4. Cezary

    Dzień dobry,

    Prowadziłem w 2012 przez pół roku działalność gospodarczą, później ją wyrejestrowałem w grudniu 2012. Ostatnio sprawdziłem swoje imię i nazwisko w google i czasem się pojawiam jako prowadzący działalność gdzie podane są moje dane typu pesel, adres a czasem jest tak że na stronie jest, że jestem wykreślony ale wszystkie moje dane osobowe dalej są widoczne. Mam pytanie czy można te dane udostępniać po wykreśleniu z rejestru czy nie?

    1. Kancelaria Lex Artist

      Dzień dobry 🙂 W pierwszej kolejności proszę o sprawdzenie w przeglądarce CEIDG czy wpis o prowadzonej działalności został wykreślony. Jeśli wpis jest nieaktywny sprawa dotyczy przeglądarki Google i należy poprosić o usunięcie danych osobowych z wyników wyszukiwania Google.

  5. Agnieszka

    Dzień dobry,
    Czy zbiór danych składający się z nazwy i adresu firmy i nr wystawionego na daną firmę rachunku (dla danych firm) jest zbiorem danych chronionych? Czy do tego pliku powinne być zastosowanie dodatkowe zabezpieczenia ( np. hasło do pliku?)
    dziękuje.

    1. Kancelaria Lex Artist

      Witamy 🙂
      Jeśli w zbiorze znajdują się dane osobowe osób fizycznych należy uznać, że mamy do czynienia ze zbiorem danych osobowych i wymagane jest zastosowanie dodatkowych zabezpieczeń. pozdrawiamy

  6. Patrycja

    Witam,
    portal internetowy udostępnia dane firmy – jednoosobowej działalności gospodarczej i pomimo próśb nie chce ich usunąć (głownie o adres mi chodzi). Powołuje się na umowę z gus – dzwoniłam do gus i takiej umowy nie ma, dodatkowo w gus moje dane są niejawne.
    Proszę o informację czy mogę zmusić tą witrynę do usunięcia moich danych adresowych, czy przez to, że prowadzę działalność są one jawne?

    1. Kancelaria Lex Artist

      Witamy 🙂
      Dane osoby fizycznej prowadzącej działalność gospodarczą podlegają ustawowej ochronie, ale w sferze osobistej-czyli wtedy gdy sprawa dotyczy jej jako osoby prywatnej anie przedsiębiorcy. Jeśli zamieszczone dane są udostępniane w kontekście prowadzonej przez Panią działalności działanie portalu jest właściwe (o ile dane o których mowa są ujawnione w przeglądarce CEIDG).
      Zapraszamy do skorzystania z naszego wsparcia https://blog-daneosobowe.pl/wsparcie/

  7. Kamila

    Dzień dobry,
    Czy RODO w jakimś zakresie odnosi się do danych klientów, kontrahentów będących przedsiębiorcami ( np. numery telefonów do kontaktu z handlowcami, maile itp., rachunki bankowe firm? Czy ochrona dotyczy jedynie osób fizycznych
    Dziękuję,

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli są to osoby fizyczne prowadzące działalność gospodarczą, to również ich dotyczy ochrona danych osobowych przewidziana w RODO. Pozdrawiamy. 🙂

  8. Marek

    Pytanie:
    czy wprowadzenie RODO spowoduje jakieś zmiany in plus w stosunku do ochrony danych osobowych przedsiębiorców?

    Czy będzie można żądać od miliona portali z Polski, EU i spoza EU (yelp) które zasysają hurtowo dane z CEDIG i wyświetlają nasze dane wszędzie zaprzestania tego procederu?

    Dlaczego państwo traktuje przedsiebiorców jako ludzi mających mniejsze prawa niż pozostała część obywateli?

    1. Kancelaria Lex Artist

      Dzień dobry. Naszym zdaniem – tak, tym bardziej, że osoby fizyczne prowadzące działalność gospodarczą również podlegają pod ochronę RODO. Będzie zatem można skorzystać z prawa do sprzeciwu wobec przetwarzania danych, a za naruszenia przepisów RODO przewidziane są kary finansowe dla administratorów danych. Staramy się być bezstronni i pozwolimy sobie na ostatnie pytanie nie udzielić odpowiedzi. 🙂 Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO