Dane osobowe przedsiębiorcy

Marzec 24, 2015

 

5aradca prawny Magdalena Kowalczuk – Szymańska

Nawiązując do złożonej we wpisie z dnia 27 lutego obietnicy podzielenia się kilkoma uwagami na temat ochrony danych osobowych przedsiębiorcy – osoby fizycznej, w pierwszej kolejności warto ogólnie podjąć temat, jakie dane mogą być kwalifikowane jako dane osobowe podlegające reżimowi ustawy o ochronie danych osobowych. Niby wszyscy wiemy, że chodzi o takie informacje, za pomocą których bez nadmiernych trudności możemy zidentyfikować daną osobę oraz, że takimi danymi są imię, nazwisko czy adres zamieszkania. Umyka jednak czasami, że danymi osobowymi mogą być również adres e-mailowe czy adresy IP.

W przypadku przedsiębiorcy – osoby fizycznej mamy do czynienia z pewnym dualizmem. Z jednej strony określone dane ujawniane są w CEIDG, z drugiej zaś strony nie wyczerpują one wszystkich danych, za pomocą których można zindywidualizować osobę fizyczną, która „przy okazji” trudni się zarabianiem pieniędzy jako przedsiębiorca. Czy przymiot przedsiębiorcy wpływa zatem w jakikolwiek sposób na to, w jakim zakresie dane takiej osoby podlegają ochronie i w jakim zakresie inni uczestnicy obrotu mają swobodę w przetwarzaniu tych danych?

Otóż w związku z utratą z dniem 31 grudnia 2011 roku mocy art. 7a ustawy Prawo działalności gospodarczej, który stanowił, że dane osobowe zawarte w ewidencji działalności gospodarczej nie podlegają przepisom ustawy o ochronie danych osobowych, dane zawarte w jawnym rejestrze CEIDG chronione są tak samo, jak dane osoby fizycznej nieprowadzącej działalności gospodarczej. W związku z tym, gdy posiadając przymiot administratora danych osobowych (tzn. przetwarzając dane osobowe w naszych celach zarobkowych lub zawodowych) uzyskujemy dane przedsiębiorcy, powinniśmy z nimi postępować, tak jak z wszelkimi innymi danymi, o ile ustawa o ochronie danych osobowych nie wprowadza w tym zakresie odmiennych regulacji.

A odmienności nie jest dużo, i sprowadzają się one do podstawy przetwarzania danych osobowych tj. zawierając umowę z przedsiębiorcą możemy przetwarzać jego dane w celach związanych z realizacją tej umowy (nie musimy pytać o zgodę na przetwarzanie danych) oraz do braku konieczności rejestracji bazy danych zawierającej dane osób fizycznych – przedsiębiorców, o ile taki przedsiębiorca wykonuje na naszą rzecz usługę na podstawie umowy cywilnoprawnej lub jego dane są przetwarzane w celu wystawienia faktury/rachunku lub dane te są powszechnie dostępne.

Wydawałoby się, że powszechny dostęp do CEIDG stanowi dostateczną przesłankę uznania „powszechności” danych w niej ujawnionych i w związku z tym zwolnienie z obowiązku rejestracji bazy danych jest możliwe. Nic bardziej mylnego.  Zdaniem Generalnego Inspektora Ochrony Danych Osobowych (GIODO) „fakt pozyskiwania danych (…) ze źródła publicznego lub jawnego rejestru nie umożliwia administratorowi powołania się na przewidzianą w art. 43 ust. 1 pkt 9 ustawy przesłankę zwolnienia z obowiązku rejestracji, dotyczącą administratorów danych powszechnie dostępnych”.

Pozostaje zatem konieczność ustalenia, z jakich powodów posiadamy i przetwarzamy dane. Jeżeli są to powody inne, niż łączącą nas umowa cywilnoprawna z przedsiębiorcą lub konieczność wystawienia na jego rzecz faktury/rachunku, bazę zawierającą dane przedsiębiorców należy zarejestrować w GIODO.

Ważne: od 1 stycznia 2015 roku z obowiązku rejestracji baz danych zwolnieni są administratorzy, którzy powołali i zgłosili do GIODO administratora bezpieczeństwa informacji.

Z powyższego wynika, że o ile są pewne podstawy do zwolnienia administratora danych z obowiązku rejestracji baz dotyczących danych przedsiębiorców – osób fizycznych, to nie zostały wyłączone pozostałe obowiązki wynikające z ustawy o ochronie danych osobowych, takie jak np. obowiązki informacyjne oraz dotyczące bezpieczeństwa. Zastosowanie znajdzie również zasada adekwatności zakresu przetwarzanych danych do celu ich przetwarzania. I tutaj pojawiają się problemy, które zostały zasygnalizowane we wpisie z dnia 27 lutego. Czy żądanie od przedsiębiorcy jego adresu zamieszkania jest adekwatne do celu przetwarzania danych związanych z wykonaniem umowy łączącej administratora z przedsiębiorcą? Czy gromadzenie danych na potrzeby procesu mieści się w przesłance przetwarzania danych osobowych w związku z realizacją umowy, co pozwala na przetwarzanie danych bez konieczności uzyskiwania zgody przedsiębiorcy? Czy gromadząc dane dotyczące adresu zamieszkania przedsiębiorcy administrator może powołać się na wypełnianie prawnie usprawiedliwionego celu? Na te pytania postaram się odpowiedzieć w kolejnym wpisie.