Informujemy, że używamy informacji zapisywanych za pomocą plików cookies i podobnych technologii, a także uzyskujemy dostęp do tych informacji w celach statystycznych oraz zapewnienia prawidłowego działania strony www, a w szczególności utrzymania sesji po zalogowaniu. Korzystanie z naszej strony www bez zmiany standardowych ustawień przeglądarki internetowej oznacza, że wyrażasz zgodę na zapisanie plików cookies w pamięci urządzenia końcowego oraz uzyskanie dostępu do informacji zapisanych w tych plikach.

Więcej szczegółów, w tym na temat  zmiany ustawień przeglądarki internetowej znajdziesz w naszej Polityce Prywatności.

OCHRONA DANYCH OSOBOWYCH
PROWADZONY PRZEZ:

Dane osobowe w CEiDG – jawne, ale czy chronione?
Dodano: 09-07-2014 w kategorii: Przesłanki przetwarzania, Prawa osób, których dane dotyczą, Zasady przetwarzania danych osobowych. Dodane przez: Marta Kwiatkowska-Cylke.

W odpowiedzi na pytanie zadane przez czytelnika naszego portalu, dotyczące zakresu ochrony danych osobowych przedsiębiorców ujawnionych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEiDG) oraz podstaw prawnych pobierania i przetwarzania tych danych przez prywatne podmioty - dostawców informacji gospodarczej, oferujących raporty o działalności podmiotów gospodarczych, przedstawiamy post, stanowiący wyjaśnienie tego zagadnienia i poszerzający tematykę poruszoną we wcześniejszym wpisie: „Firma osoby fizycznej prowadzącej działalność gospodarczą – dane osobowe, czy też nie?”

Czy dane osobowe przedsiębiorców, ujawnione w CEIDG, podlegają ochronie na gruncie ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)?
Panuje dość powszechne przekonanie, że skoro dane osobowe przedsiębiorców są dostępne w jawnej ewidencji CEiDG, to mogą być przetwarzane przez każdy podmiot, w dowolnym celu, bez dodatkowej zgody zainteresowanego. Często dane te, ku utrapieniu przedsiębiorców, są bezprawnie używane do wysyłania m.in. informacji o promocjach, ofert, czy też reklam, o czym pisaliśmy już w poście „Kiedy można wysłać informację handlową? I do kogo?”

Można przypuszczać, że błędne przekonanie o zakresie ochrony danych osobowych przedsiębiorców ma swoje źródło w poprzednio obowiązującym stanie prawnym, bowiem art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, obowiązujący do dnia 31 grudnia 2011 r., wprost stanowił, że „Ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”.

Uchylenie powyższej regulacji spowodowało, że od 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych dotyczą również informacji ujawnionych w CEIDG, identyfikujących przedsiębiorców w obrocie gospodarczym, w szczególności takich jak: imię, nazwisko, nazwa prowadzonej działalności, NIP, REGON, adres prowadzonej działalności, czy adres e-mailowy przedsiębiorcy.

Jak legalnie przetwarzać dane z CEiDG będąc dostawcą informacji gospodarczej?
Warto przypomnieć, że ustawa o ochronie danych osobowych definiuje przetwarzanie danych osobowych bardzo szeroko tj. jako wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Aby przetwarzanie przez dostawców informacji gospodarczej danych osobowych przedsiębiorców dostępnych w CEiDG, było zgodne z prawem, podmioty te muszą:

  • posiadać podstawę prawną przetwarzania danych osobowych przedsiębiorców.
  • zarejestrować zbiór danych osobowych w rejestrze Generalnego Inspektora Danych Osobowych, chyba, że zachodzi wyjątek określony w ustawie;
  • zastosować środki techniczne i organizacyjne zapewniające odpowiednią ochronę posiadanych danych osobowych (np. prowadzić obowiązkową dokumentację w postaci polityki bezpieczeństwa ochrony danych oraz instrukcji zarządzania systemem informatycznym; nadać upoważnienia dla osób zatrudnionych przy przetwarzaniu danych, wyznaczyć administratora bezpieczeństwa informacji itd.)
  • spełnić obowiązki informacyjne tj. poinformować osoby, których dane dotyczą o nazwie i adresie administratora danych, celu i ewentualnie zakresie przetwarzania danych, o potencjalnych odbiorcach danych, prawie dostępu do treści danych oraz możliwości ich poprawiania itp.

Jak to wygląda w praktyce?
Z reguły dostawcy informacji gospodarczej bez uzyskania odpowiedniej zgody zainteresowanego pobierają dane osobowe przedsiębiorców zarejestrowanych w CEiDG do własnej bazy danych, w której te dane są przetwarzane i następnie udostępniane innym podmiotom w postaci raportów na temat konkretnego przedsiębiorcy. Dostawcy nie informują przedsiębiorców o zasadach przetwarzania ich danych, ani o przysługujących im uprawnieniach.

Taka praktyka budzi uzasadnione wątpliwości prawne na gruncie ustawy o ochronie danych osobowych, bowiem dane zawarte w CEiDG, mimo iż są jawne, gromadzone są w innym celu niż komercyjny, a więc osoby, które udostępniają swoje dane osobowe zakładając i prowadząc działalność gospodarczą, nie wyrażają a priori zgody na to, aby ich dane osobowe były umieszczane w innej, prywatnej bazie danych.

Dostawcy informacji gospodarczej, uzasadniają swoją działalność powołując się najczęściej na przesłankę, o której mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowy, tj. wskazują, że takie przetwarzanie danych osobowych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych i odbiorców tychże danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Podkreślają przy tym, że działają w celu komercyjnego wspierania jawności i pewności obrotu gospodarczego.

Istnieją poważne wątpliwości, czy prowadzenie działalności gospodarczej polegającej na przygotowywaniu informacji o podmiotach gospodarczych w oparciu o dane osobowe pobrane z CEiDG, nawet jeśli działalność prowadzona jest w celu wspierania jawności i pewności obrotu gospodarczego, można uznać za usprawiedliwiony cel w rozumieniu ustawy. Już samo użycie w ustawie określenia „jeżeli jest to niezbędne” wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla jego realizacji jest niezbędne przekazanie danych. Ocena ta, to wyważanie racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych.

Jak przeciwdziałać?
W przypadku wyrażenia zgody na przetwarzanie danych przez danego dostawcę informacji gospodarczych możliwe jest jej cofniecie. Z definicji zgody zawartej w art. 7 pkt 5 ustawy wynika bowiem, że zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie

W przypadku przetwarzania danych osobowych bez uzyskania zgody zainteresowanego, rozwiązaniem może być skorzystanie przez osobę, której dane dotyczą z prawa do wniesienia sprzeciwu. Ustawa w art. 32 ust. 1 pkt 8, przyznaje bowiem każdej osobie, której dane są przetwarzane w zbiorach danych prawo do kontroli ich przetwarzania, które można zrealizować poprzez wniesienie sprzeciwu. Sprzeciw można wnieść wtedy, gdy administrator, jako przesłankę legalizującą przetwarzanie danych wskazuje art. 23 ust. 1 pkt 4 i 5 ustawy, gdy zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

W razie wniesienia sprzeciwu, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby, oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.

Skierowanie takiego sprzeciwu, skutkuje brakiem możliwości dalszego przetwarzania danych osobowych dotyczących osoby z nim występującej, wyłącznie przez administratora danych będącego "odbiorcą" tego sprzeciwu, bowiem sprzeciw skierowany jest do konkretnego administratora danych i nie ma charakteru generalnego, a więc w żaden sposób nie wpływa na przetwarzanie danych przez pozostałych administratorów danych świadczących podobne usługi.

W sytuacji nieuwzględnienia przedmiotowego sprzeciwu przez administratora danych, osobie, która z nim wystąpiła, przysługuje prawo wystąpienia ze skargą do Generalnego Inspektora Danych Osobowych, który będzie badał przesłanki przetwarzania danych osobowych i w drodze decyzji administracyjnej może nakazać przywrócenie stanu zgodnego z prawem, w tym również poprzez wykreślenie danych przedsiębiorcy. Niezależnie od powyższego, Generalny Inspektor Ochrony Danych Osobowych, na podstawie informacji zgromadzonych w toku postępowania wyjaśniającego przeprowadzonego w sprawie zainicjowanej skargą, z urzędu może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień w procesie przetwarzania danych osobowych, bądź skierować do organu powołanego do ścigania przestępstw zawiadomienie o podejrzeniu popełnienia przestępstwa.

Marta Kwiatkowska-Cylke

adwokat, Lubasz i Wspólnicy - Kancelaria Radców Prawnych
tel.: + 48 502 172 014
e-mail:

ADO , dane osobowe , przesłanki przetwarzania , zgoda

Linkedin
comments powered by Disqus

Polecamy również…

Ogólne rozporządzenie o ochronie danych osobowych opublikowane

Czas zacząć odliczanie. Zmiany są bardzo duże, dlatego lepiej nie czekać aż dwóch lat na wejście w życie rozporządzenia.
Dodano: 04-05-2016

Czy zasada terytorialności w ochronie danych osobowych ma jeszcze sens?

Europejski Trybunał Sprawiedliwości w sprawach dotyczących ochrony danych co raz częściej odchodzi od jurysdykcji opartej na zasadzie terytorialności....
Dodano: 19-04-2016

Monitoring osiedla a dane osobowe

Zamykanie osiedli i stosowanie na ich obszarze monitoringu jest coraz bardziej powszechne. Działaniom takim przyświecają przede wszystkim względy bezp...
Dodano: 12-04-2016

Alerty prawno-podatkowe

Kategorie

Dla kogo

Tagi

ABI, ADO, akta osobowe, aplikacje mobilne, atak hakerów, bezpieczeństwo danych, chmura obliczeniowa, cloud computing, compliance, dane biometryczne, dane osobowe, dane telekomunikacyjne, dane wrażliwe, decyzje GIODO, działalność prasowa, instrukcja zarządzania systemem informatycznym, inteligentne liczniki, klauzula prasowa, kontrola GIODO, monitoring, ochrona danych, polityka bezpieczeństwa, powierzenie, pozew zbiorowy, pracodawca, pracownik, procesor, prywatność, przesłanki przetwarzania, przetwarzanie danych, reforma ochrony danych, regulamin, rejestracja zbiorów, retencja danych, rozporządzenie unijne, smart metering, sprawdzenie, sprawozdanie, udostępnienie, upoważnienie, wizerunek, wyciek danych, zbiór danych, zgoda, zmarły

Polub nas

Newsletter

Zapisz się już teraz do naszego newslettera.

Informujemy, że podanie adresu e-mail jest dobrowolne, przy czym niezbędne do korzystania z Newslettera. Osobie wypełniającej formularz przysługuje prawo dostępu do treści jej danych osobowych oraz ich poprawiania. Administratorem danych osobowych jest Lubasz i Wspólnicy Kancelaria Radców Prawnych sp.k. z siedzibą w Łodzi, ul. Żwirki 17, 90-539 Łódź, zarejestrowana w rejestrze przedsiębiorców KRS pod numerem 465886, której akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, NIP 725-20-68-627, e-mail: Dane osobowe zawarte w powyższym formularzu będą przetwarzane w celu realizacji usługi Newsletter oraz w celach marketingowych. Szczegółowe informacje znajdują się w Polityce prywatności.

Wydawca

[email protected]
2024 © portalodo.com Wszelkie prawa są chronione

Made by Webstyler