Częstym pytaniem, jakie zadają mi uczestnicy szkoleń, które zdarza mi się prowadzić, a które dotykaja problematyki ochrony danych osobowych to: czy dane osobowe przedsiębiorców, dostępne w CEIDG, podlegają ochronie na gruncie ustawy o ochronie danych osobowych?

Kolejnym pytaniem, jakie się z tym wiąże jest: czy przetwarzając takie dane administrator musi spełniać obowiazek informacyjny i czy musi dokonać zgłoszenia zbioru zawierajacych takie dane?

Jak to zatem jest? 🙂

Wrrrrróć… najpierw napiszę jak było. Ponieważ poglądy o tym, że dane osobowe przedsiębiorców nie podlegają ochronie (bo to przedsiębiorcy i ich dane są powszechnie dostępne w Internecie :)) wynika z poprzednio obowiazującego stanu prawnego.

Dnia 1 stycznia 2012 r. przestała obowiązywać ustawa z 19 listopada 1999 r.  prawo działalności gospodarczej i jej art. 7a ust. 2 zgodnie z którym ewidencja działalności gospodarczej była jawna i dane osobowe w niej zawarte nie podlegały przepisom ustawy o ochronie danych osobowych.

Zmiany te podyktowane były m.in. tym, że dnia 1 lipca 2011 r. weszły w życie przepisy rozdziału III ustawy o swobodzie działalności gospodarczej (po 7 latach vacatio legis), a tym samym została powołana do życia Centralna Ewidencja i Informacja o Działalności Gospodarczej, w skrócie CEIDG. CEIDG zastąpiła dawną Ewidencję Działalności Gospodarczej (EDG), a więc system rejestracji i ewidencji przedsiębiorców będących osobami fizycznymi.

Powyższe oznacza, że od 2012 r. dane osobowe przedsiębiorców, znajdujące się w CEIDG, podlegają ochronie na gruncie ustawy o ochronie danych osobowych.

Co za tym idzie? Dane osobowe przedsiębiorców znajdujące się w jawnej i dostępnej dla wszystkich ewidencji, tj. imię, nazwisko, NIP, PESEL, adres zamieszkania czy adres e-mailowy, są już objęte ochroną, a podmioty przetwarzajace te dane muszą spełnić wszytskie wynikające z tego obowiązki.

Jeśli zatem administrator zamierza przetwarzać dane osobowe osób fizycznych prowadzących działalność gospodarczą (ale pamiętajcie, że nie wszystkie dane w CEIDG są danymi osobowymi!) powinien, zgodnie z ustawą o ochronie danych osobowych, m.in.:

  • wykazać podstawę prawną przetwarzania danych osobowych przedsiębiorców. Niedopuszczalne jest swobodne pozyskiwanie i przetwarzanie takich danych w dowolnych celach;
    zarejestrować zbiór danych osobowych w rejestrze Generalnego Inspektora Danych Osobowych (Ustawa przewiduje również wyjątki od tego obowiązku);
  • zastosować środki techniczne i organizacyjne zapewniające odpowiednią ochronę posiadanych danych osobowych do występujących zagrożeń (np. prowadzić obowiązkową dokumentację w postaci polityki bezpieczeństwa ochrony danych oraz instrukcji zarządzania systemem informatycznym; nadać upoważnienia dla osób zatrudnionych przy przetwarzaniu danych, wyznaczyć administratora bezpieczeństwa informacji itd.)
  • zadośćuczynić obowiązkom informacyjnym tj. informowanie osób, których dane dotyczą o nazwie i adresie administratora danych, celu i ewentualnie zakresie przetwarzania danych, o potencjalnych odbiorcach danych, prawie dostępu do treści danych oraz możliwości ich poprawiania itp.