Dnia 1 lipca 2011 r. weszły w życie przepisy rozdziału III ustawy o swobodzie działalności gospodarczej (po 7 latach vacatio legis), a tym samym została powołana do życia Centralna Ewidencja i Informacja o Działalności Gospodarczej, w skrócie CEIDG. CEIDG to nic innego jak dawna Ewidencja działalności gospodarczej (EDG), a więc system rejestracji i ewidencji przedsiębiorców będących osobami fizycznymi. W związku z powstaniem CEIDG, zmieniły się regulacje dotyczące ochrony danych osobowych osób fizycznych prowadzących działalność gospodarczą. Oczywiście, założenia samego funkcjonowania nowego rejestru odbiegają nieco od znanej nam formuły (EDG), niemniej jednak nie to będzie przedmiotem dzisiejszego wpisu.
W ostatnim czasie Generalny Inspektor Ochrony Danych Osobowych poinformował, że dnia 1 stycznia 2012 r. uchylono art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej. Przepis stanowił, że EDG jest jawna i dane osobowe w niej zawarte NIE podlegają przepisom ustawy o ochronie danych osobowych.
Co to oznacza?
Do lipca 2011 r. dane osobowe przedsiębiorców umieszczone w EDG były jawne i każdy, według swojego uznania, bez nadzoru i kontroli mógł je przetwarzać. Przedsiębiorcy tym samym narażeni byli na nękanie niechciane telefony od firm wykorzystujących ich dane np. w celach marketingowych. Przedsiębiorca nie miał prawa żądać usunięcia swych danych ze zbiorów baz danych, gdyż dane te były jawne. Dziś jest już inaczej. Dane osobowe, tj. imię, nazwisko, NIP, PESEL, adres zamieszkania, nr telefonu czy adres e-mailowy osoby prowadzącej działalność gospodarczą, umieszczone bądź przeniesione z EDG do CEIDG, są już objęte ochroną.
Co musi, a czego nie musiał administrator danych osobowych?
Na zmianę przepisów narzekają administratorzy danych. Na skutek usunięcia art.7a ust. 2 ustawy Prawo działalności gospodarczej, nałożono na nich nowe obowiązki. Jeśli administrator zamierza przetwarzać dane osobowe osób fizycznych prowadzących działalność gospodarczą (nie wszystkie dane w CEIDG są danymi osobowymi!) powinien, zgodnie z ustawą o ochronie danych osobowych (Ustawa), m.in.:
- wykazać podstawę prawną przetwarzania danych osobowych przedsiębiorców. Niedopuszczalne jest swobodne pozyskiwanie i przetwarzanie takich danych w dowolnych celach;
- zarejestrować zbiór danych osobowych w rejestrze Generalnego Inspektora Danych Osobowych (Ustawa przewiduje również wyjątki od tego obowiązku);
- zastosować środki techniczne i organizacyjne zapewniające odpowiednią ochronę posiadanych danych osobowych do występujących zagrożeń (np. prowadzić obowiązkową dokumentację w postaci polityki bezpieczeństwa ochrony danych oraz instrukcji zarządzania systemem informatycznym; nadać upoważnienia dla osób zatrudnionych przy przetwarzaniu danych, wyznaczyć administratora bezpieczeństwa informacji itd.)
- zadośćuczynić obowiązkom informacyjnym tj. informowanie osób, których dane dotyczą o nazwie i adresie administratora danych, celu i ewentualnie zakresie przetwarzania danych, o potencjalnych odbiorcach danych, prawie dostępu do treści danych oraz możliwości ich poprawiania itp.
Powyższe rozważania prowadzą do wniosku, że sytuacja podmiotów będących administratorami danych osób fizycznych prowadzących działalność gospodarczą znacznie się skomplikowała. Zapewne zmiany najbardziej dotknęły podmioty wykorzystujące dane w działalności marketingowej. Niemniej jednak, bardziej doniosłą niż nakład pracy administratorów, wydaje się kwestia ochrony danym osobowym. Nie powinny bowiem mieć miejsca sytuacje, w których bez zgody przedsiębiorcy, jego dane tj. prywatny telefon bądź email, wyciekną do Internetu bądź też znajdą się w książkach telefonicznych czy katalogach firm.
Wydaje mi się, że w każdej firmie jest to sprawa strasznie sporna. Bo o ile w dużych firmach ktoś się tym zajmuje specjalnie, to w małych raczej się takiej osoby nie zatrudnia.