Wątpliwości związane z nowelizacją ustawy o swobodzie działalności gospodarczej

w kontekście ochrony prywatności przedsiębiorców

Files in the storage room
W dniu 18 listopada 2015 r. na stronach internetowych Rządowego Centrum Legislacji zamieszczony został tekst ustawy z dnia 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw (Dz. U. 2015. 1893). Ustawa w przeważającej części wejdzie w życie z dniem 19 maja 2016 r.
Z punktu widzenia ochrony danych osobowych, szczególnie istotnym będzie przepis art. 1 pkt 21 ww. ustawy, zgodnie z którym w znowelizowanej ustawie o swobodzie działalności gospodarczej, zostanie dodany art. 39b o treści:
„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy”

Celem artykułu jest próba udzielenia odpowiedzi na pytanie: jak rozumieć dodany nowelizacją przepis oraz jak wprowadzane zmiany wpłyną na prawa i obowiązki administratorów danych. W praktyce bowiem, zdecydowana większość podmiotów (administratorów danych), nawiązuje relacje gospodarcze z osobami fizycznymi prowadzącymi działalność gospodarczą, czyli schodząc na grunt UODO przetwarza dane osobowe takich osób.

Kontrowersyjne, a niejednokrotnie trudne do zrealizowania jest wykonywanie w stosunku do przedsiębiorców, obowiązków wynikających z UODO. Z jednej bowiem strony, dane przedsiębiorcy na podstawie przepisów ustawy o swobodzie działalności gospodarczej (dalej zwanej „usdg”) podlegają wpisowi do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), zaś rejestr na mocy tej samej ustawy jest jawny i powszechnie dostępny, z drugiej zaś strony, w obecnym porządku prawnym brak wyłączenia stosowania uodo w stosunku do danych przedsiębiorców. Co więcej stanowisko to zostało wielokrotnie potwierdzone przez GIODO[1]. W konsekwencji, w przypadku zbierania danych o przedsiębiorcy np. w związku z wystawieniem faktury, należy wypełnić obowiązek informacyjny określony w art. 24 UODO, zaś w przypadku przetwarzania danych w celach marketingowych, zebrać zgodę na przetwarzanie danych. W praktyce niewiele podmiotów rozpatruje informacje o przedsiębiorcy w charakterze danych osobowych, zatem faktyczna realizacja ww. obowiązków ma śladowy charakter.

Przypomnieć należy, że przed 1 stycznia 2012 r. UODO, nie była stosowana do osób fizycznych prowadzących działalność gospodarczą. Sytuacja ta miała miejsce ze względu na brzemienny w skutkach art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej. Przepis ten utracił jednak moc obowiązującą z dniem 31 grudnia 2011 r.

Powyższy przepis jest obecnie przywoływany w kontekście omawianej nowelizacji. Czy zatem podobnie jak przed 1 stycznia 2012 r., po 19 maja 2016 r. w stosunku do przedsiębiorców zostanie wyłączone stosowanie UODO (za wyjątkiem uprawnień kontrolnych GIODO i obowiązku właściwego zabezpieczenia danych)?

Warto w tym miejscu zatrzymać się przez chwilę przy nieobowiązującym już przepisie art. 7a ust. 2 Prawa działalności gospodarczej. Zgodnie z jego treścią:

„ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271)”

GIODO interpretował ten przepis w zasadzie jako znoszący całkowicie stosowanie UODO w stosunku do przedsiębiorców[2]. Pobieżna analiza brzmienia obu przepisów zdaje się wskazywać, że na gruncie znowelizowanej usdg powinno być podobnie. Taka wykładnia znowelizowanych przepisów bez wątpienia wiązałaby się ze znacznym ułatwieniem dla administratorów danych, którzy w kontaktach z jednoosobowymi przedsiębiorcami stosowaliby takie same standardy jak w relacjach ze spółkami prawa handlowego, co w praktyce oznacza odstąpienie od np. wypełniania obowiązków informacyjnych w umowach z kontrahentami.

Wydaje się jednak, że nowelizacja usdg, nie zmierza tak daleko. Warto zwrócić uwagę na tekst uzasadnienia do projektu ustawy[3]. Wynika z niego, że podmioty zgłaszające uwagi do projektu omawianego przepisu (jeszcze przed jego przyjęciem), tj. BIK oraz Konfederacja Lewiatan, podkreślały dobry kierunek zmian, podnosząc wprost, że w stosunku do osób fizycznych prowadzących działalność gospodarczą, w związku z ich aktywnością, nie powinno w ogóle, być mowy o danych osobowych, przy czym z poglądem tym nie zgodził się przedstawiciel GIODO, podnosząc, iż: „dane przedsiębiorców (…) są jak najbardziej danymi osobowymi”. Ponadto, przedstawiciel GIODO wnioskował o doprecyzowanie zakresu informacji, które dotyczyć będzie wyłączenie, poprzez wyraźne wskazanie, że przepisy UODO nie będą stosowane do informacji jawnych udostępnianych przez CEIDG. Zatem wydaje się, że nieuzasadnionym byłoby twierdzenie, iż po 19 maja 2016 r. UODO nie będzie stosowana wobec wszelkich informacji o przedsiębiorcy.

Katalog informacji udostępnianych przez CEIDG określa art. 37 ust. 1 i 2 usdg. Zalicza się do nich np. nazwę przedsiębiorcy, oznaczenie miejsca zamieszkania i adresu zamieszkania przedsiębiorcy, adres do doręczeń przedsiębiorcy oraz adresy, pod którymi jest wykonywana działalność gospodarcza, numer REGON, NIP itd. Wykładnia językowa wprowadzanego przepisu oraz stanowisko zajmowane przez przedstawiciela GIODO w trakcie prac przy projekcie ustawy nowelizującej pozwala przyjąć, że wyłączenie stosowania uodo, będzie zachodziło wyłącznie do danych udostępnianych przez CEIDG. Czyli w praktyce administrator danych jeżeli przetwarza dane kontrahenta w ww. zakresie, nie będzie zobowiązany wypełniać obowiązków informacyjnych oraz kontrolować podstawy prawnej ich przetwarzania. Jest to zdecydowanie idąca w dobrym kierunku zmiana.

Jednakże, propozycja zmian niesie ze sobą również szereg wątpliwości. Ciekawostką może być fakt, że zgodnie z 25 ust. 1 pkt 6 w zw. z art. 37 ust. 1 usdg, rejestr CEIDG zawierać może adres poczty elektronicznej przedsiębiorcy oraz jego strony internetowej, o ile przedsiębiorca takie posiada i zgłosił te informacje we wniosku o wpis do CEIDG.  W praktyce zatem jeżeli administrator danych, zamierzałby przetwarzać adres poczty elektronicznej swojego kontrahenta legalnie, musiałby uprzednio sprawdzić, czy znajduje się on w CEIDG, i ewentualnie wypełnić obowiązek informacyjny, oraz pozyskać, w przypadku takiej konieczności, zgodę na przetwarzanie danych.Jeszcze bardziej komplikuje się sytuacja, w której przedsiębiorca zmienia udostępniony w CEIDG adres poczty elektronicznej, korzystając przy tym w obrocie gospodarczym z obu jednocześnie. Pojawia się kolejne pytanie, co w przypadku „wytwarzania” przez administratora danych kolejnych informacji o przedsiębiorcy w oparciu o dane udostępnione przez CEIDG, w związku ze standardową współpracą (tzw. historia współpracy, która jako kategoria danych występuje w wielu zarejestrowanych w GIODO zbiorach). Nie wydaje się racjonalnym, aby w tego typu przypadkach, niejako w oderwaniu od informacji udostępnianych przez CEIDG, wypełniać obowiązki wynikające z uodo, jednak nie sposób wykluczyć takiej możliwości w oparciu jedynie o wykładnię językową omawianego przepisu. Dodatkowo, czy w przypadku przetwarzania adresu poczty elektronicznej w systemie informatycznym, do którego dostęp mogą mieć podmioty z grupy kapitałowej, w szczególności znajdujące się w państwach trzecich, administrator danych będzie zobowiązany do zapewnienia przesłanek legalności udostępnienia danych, w tym ich transferu poza EOG? Wiele zależy od stanowisk jakie zajmie GIODO oraz sądy administracyjne.

Aktualnie jest zbyt wcześnie, aby jednoznacznie ocenić w jaki sposób nowelizacja wpłynie na faktyczne obowiązki administratorów danych. Bez wątpienia po 19 maja 2016 r. stosowanie UODO (poza kontrolą GIODO oraz obowiązkiem zabezpieczania danych) w stosunku do danych udostępnianych przez CEIDG, zostanie zniesione.Otwarte natomiast pozostaje pytanie jakie będzie podejście GIODO oraz sądów, do innych danych przedsiębiorcy. Warto przy tym zasygnalizować stanowisko GIODO zawarte w decyzji DOLiS/DEC-519/14, w której organ wskazał, że w stosunku do danych niepodlegających udostępnieniu w CEIDG, będą miały zastosowanie ogólne przypisy uodo.  Zatem administratorzy danych powinni liczyć się z koniecznością wnikliwego wczytywania się w dane zawarte w CEIDG, uzależniając wypełnienie obowiązków informacyjnych oraz zebrania zgody na przetwarzanie danych, od zakresu danych udostępnionych w CEIDG, przy czym, nowelizacja prawdopodobnie nie wprowadzi zmian w zakresie przetwarzania danych związanych z wzajemnymi rozliczeniami, w tym również transferami danych poza EOG, a także pozyskiwaniem danych ze źródeł powszechnie dostępnych, w przypadku, gdy ich zakres nie pokrywa się zakresem zawartym w wyszukiwarce CEIDG.

Autor: Marcin Cwener


 

[1]Np.  http://www.giodo.gov.pl/560/id_art/4627/j/pl/

[2] Np. DOLiS/DEC – 696/13/41015,41026 lub DIS/DEC-1012/14/82855

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.