Status informacji odnoszących się do przedsiębiorców, tj. osób fizycznych prowadzących działalność gospodarczą, często budzi wątpliwości. Przetwarzając dane takich osób, najczęściej robimy to dla celów biznesowych, tj. nawiązania i realizacji współpracy. Dla takich samych celów sam przedsiębiorca udostępnia nam te dane. Robi to również w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (do czego jest zresztą zobowiązany), jak i na swoich stronach internetowych, portalach informacyjnych i wszędzie tam, gdzie chce zareklamować prowadzoną przez siebie działalność. Czy w takiej sytuacji przedsiębiorca może skorzystać z ochrony jaką dają przepisy RODO?
Obejrzyj w formie video na Youtube…
… albo posłuchaj w formie podcastu
Kogo chroni RODO?
RODO chroni podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do ochrony danych osobowych. Oznacza to, że podmiotem, któremu przepisy RODO przyznają swoją ochronę jest każda osoba fizyczna. Bez znaczenia pozostaje jej obywatelstwo czy miejsce zamieszkania.
RODO nie wprowadza definicji pojęcia „osoba fizyczna”. Stawia je jednak w opozycji do osoby prawnej. Jest to typowe dla nowoczesnych systemów prawnych, w których najczęściej występują dwa rodzaje podmiotów prawa:
- osoby fizyczne, czyli ludzie,
- osoby prawne, czyli twory społeczne (np. spółki, stowarzyszenia, wspólnoty, etc.).
Polskie prawo również nie definiuje wprost pojęcia „osoby fizycznej”. W Kodeksie Cywilnym wskazuje się jedynie, że każdy człowiek od chwili urodzenia ma zdolność prawną.
Oznacza to, że osobą fizyczną jest każdy człowiek od chwili urodzenia do chwili śmierci, niezależnie od wieku, płci, stanu zdrowia fizycznego i psychicznego. Takiej osobie przysługuje pełna ochrona gwarantowana przepisami RODO.
Kogo RODO nie chroni?
Ochronie na podstawie przepisów RODO nie podlegają natomiast informacje dotyczące:
- osób prawnych, w tym takie informacje jak nazwa (np. Lex Artist), forma prawna (np. Sp. z o.o.), dane kontaktowe (np. ), adres siedziby, etc.
- osób zmarłych, nie są one już bowiem osobami fizycznymi w rozumieniu przepisów,
- nasciturusa, dziecka poczętego, ale jeszcze nieurodzonego, które również nie jest jeszcze osobą fizyczna w rozumieniu przepisów, do chwili urodzenia dane nasciturusa stanowią bowiem dane osobowe jego matki lub ojca.
Jestem przedsiębiorcą – czy RODO mnie chroni?
Tak! Dla objęcia ochroną przepisami RODO nie będzie miało znaczenia to, jaką dana osoba fizyczna odgrywa rolę, tj. czy jest konsumentem, pracownikiem, pacjentem, czy też przedsiębiorcą.
Okoliczność, że dana osoba fizyczna prowadzi działalność gospodarczą, nie będzie oznaczała pozbawienia informacji jej dotyczących charakteru danych osobowych, a więc i ochrony przewidzianej w przepisach RODO.
Nie ma znaczenia fakt, że informacje jej dotyczące są dostępne publicznie, np. w CEIDG, prowadzonych stronach internetowych czy też innych jawnych rejestrach.
Każdy podmiot, który będzie chciał wykorzystywać dla swoich celów informacje na temat osób fizycznych prowadzących działalność gospodarczą, musi spełnić wszystkie obowiązki, jakie w zakresie przetwarzania danych osobowych nakłada na niego RODO, tj. w szczególności:
- przetwarzać dane przedsiębiorcy z poszanowaniem ogólnych zasad przetwarzania danych,
- dysponować odpowiednią przesłanką legalizującą,
- dopełnić wobec przedsiębiorcy obowiązku informacyjnego,
- zastosować skuteczne zabezpieczenia organizacyjne, techniczne i fizyczne przetwarzanych informacji.
Twój zespół już wie, że dane przedsiębiorców są chronione przez RODO?
Przeszkól swój zespół i zminimalizuj ryzyko naruszenia RODO w swojej firmie lub urzędzie. Jeśli zależy Ci na tym, żeby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO, to dobrze trafiłeś/aś ;).
Sprawdź nasze interaktywne szkolenia e-learningowe.
Trochę historii
Tak jak to podkreślono we wcześniejszych akapitach, na gruncie obecnie obowiązujących przepisów, nie stosuje się żadnych wyłączeń dla ochrony informacji dotyczących przedsiębiorców.
Nie zawsze jednak tak było. Wyłączenie dotyczące tych danych zawarte było wcześniej w Ustawie z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej. Na jej podstawie, do jawnych danych i informacji udostępnianych przez CEIDG nie znajdowały zastosowania przepisy Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Oznaczało to wyłączenie informacji dotyczących przedsiębiorców spod ochrony na podstawie przepisów o ochronie danych osobowych.
Obecnie, zasady funkcjonowania Centralnej Ewidencji i Informacji o Działalności Gospodarczej określa obowiązująca od 30 kwietnia 2018 r. Ustawa z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy. Ustawa ta nie zawiera już żadnego wyłączenia w omawianym zakresie. Takie wyłączenie byłoby bowiem niezgodne z przepisami RODO.
Podsumowanie
Na podstawie obecnie obowiązujących przepisów nie ma jednak żadnych podstaw do wyłączania danych przedsiębiorców spod ochrony na podstawie RODO. Każda osoba fizyczna prowadząca działalność gospodarczą ma takie same prawa w zakresie przetwarzania dotyczącej jej informacji, co osoba prywatna. Natomiast każdy z podmiotów przetwarzających tego typu dane, jest zobowiązany do stosowania wobec nich przepisów RODO.
Pobierz artykuł w PDF
5 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Jeżeli CEIDG jest właścicielem bazy kontaktów, to dlaczego osoba wysylająca mail ma pisać ten spamowy obowiązek informacyjny, którego nikt nie czyta? Przecież CEIDG powinno wysłać obowiązek i tyle, a nie każdy wysyłający. To tylko zapycha serwery wysyłkowe, jeżeli każdy ma to robić za każdym razem…
Dzień dobry, jedną z form realizacji obowiązku informacyjnego jest zamieszczenie klauzuli na stronie www. W opisanym przypadku informacje o przetwarzaniu przez właściwego Ministra są dostępne po linkiem https://www.biznes.gov.pl/pl/portal/03130. W momencie pobrania danych z bazy CEIDG i wykorzystania ich np. do wysyłki ofert handlowych, stajemy się ich administratorem i ciąży na nas obowiązek informacyjny. Sposób jego realizacji zależy od decyzji administratora. W tym temacie polecamy lekturę naszego artykułu https://blog-daneosobowe.pl/7-bledow-przy-dopelnianiu-obowiazku-informacyjnego/ pozdrawiamy!
Witam,
Prowadzę małą firmę, jednoosobową. Działalność polega na wynajmie domu. Otrzymałem od firmy przetwarzającej moje dane list informujący o tym, że przetwarzają moje dane. List znalazłem w rozklejonej kopercie, wciśnięty w ogrodzenie. La liście była nazwa mojej firmy, moje imię i nazwisko, adres na który zarejestrowana jest firma. Czy to jest dopuszczalne prawnie. Przecież ja mogę nie chcieć, żeby sąsiedzi wiedzieli jak się nazywam, jaką firmę prowadzę. Proszę o odpowiedź: .
Pozdrawiam
Dzień dobry,
W związku z tym, że koperta z listem uległa uszkodzeniu, a osoby postronne mogły uzyskać dostęp do zawartych w treści korespondencji danych osobowych, najprawdopodobniej doszło do naruszenia ochrony danych osobowych w rozumieniu przepisów RODO. Niezależnie od tego, czy zawinił nadawca, czy operator pocztowy, powinien Pan zgłosić to zdarzenie do Administratora danych oraz oczekiwać dalszych wyjaśnień. Przysługuje Panu również prawo do złożenia skargi do UODO.
Pozdrawiam!
Witam. Od dwóch lat przychodzą do mnie awiza poleconych przesyłek sądowych zaadresowanych na byłą najemczynię mojej nieruchomości. Doprowadziła do szkody (pożaru w lokalu), ubezpieczyciel chciał otrzymać jej dane dla skutecznego przeprowadzenia postępowania regresowego. Po roku znalazłam w internecie informacje, że prowadzi jawną indywidualną działalność gospodarczą firmowaną własnym nazwiskiem + nazwą firmy. Przekazałam ubezpieczycielowi dane firmy (nazwa firmy, nip, regon, adres e-mail, telefon, adres korespondencyjny – wszystko co było dostępne w internetowej ewidencji. Czy przekazując te dane naruszyłam przepisy?