Z dniem 25 maja 2018 r. ogromna zmiana czeka wszystkich, którzy choć w minimalnym stopniu przetwarzają dane osobowe. Czy jesteś bezpieczny jeżeli operujesz jedynie danymi klientów, którymi są osoby fizyczne prowadzące działalność gospodarczą? Czy coś się zmieni za sprawą RODO? Otóż, jeżeli interpretacja przepisów i motywów RODO oraz projekty polskich ustaw nie ulegną zmianie, przedsiębiorcy z CEIDG będą pod ochroną RODO.

Jak to było do tej pory?

Nie ma co ukrywać, dane przedsiębiorców ujawniane w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), stanowią obecnie przykład danych osobowych w rozumieniu zarówno ustawy o ochronie danych osobowych jak i przyszłej regulacji zawartej w RODO.

Do tej pory jednak za sprawą art. 39 b ustawy o swobodzie działalności gospodarczej dane przedsiębiorców, będących osobami fizycznymi, ujawnione w CEIDG nie podlegały większości przepisów ustawy o ochronie danych osobowych. Przepis ten dokładnie mówi, że „do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy”

Tak więc, w obowiązującym jeszcze stanie prawnym, ustawa o ochronie danych osobowych nie znajduje zastosowania do jednoosobowych przedsiębiorców (za wyjątkiem kilkunastu, wyraźnie wskazanych przepisów) . Przykładowo administratorzy danych nie są obecnie zobowiązani rejestrować zbioru danych przedsiębiorców ujawnionych w CEIDG. Zastosowania nie mają  także przepisy dotyczące legalności przetwarzania tych danych osobowych. Administratorzy nie muszą  spełniać wobec osoby fizycznej prowadzącej działalność gospodarczą obowiązku informacyjnego w zakresie przetwarzania jej danych z ewidencji.

Motyw RODO kluczem do ochrony danych z CEIDG

W tym miejscu musimy zagłębić się w lekturę motywów RODO (które są składową całej regulacji rozporządzenia), a dokładnie motywu 14. Komu jest zapewniona ochrona z rozporządzenia, a jakie podmioty nie będą jej posiadać?

„Ochrona zapewniania niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych.”

Ważniejsze dla nas dziś jest jednak drugie zdanie tego motywu – „Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorców będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.

Czytając uważnie ten motyw trzeba stwierdzić, że faktycznie RODO będzie pod swój parasol ochronny brało także dane przedsiębiorców z CEIDG! Dlaczego, skoro rozporządzenie mówi o braku ochrony wobec przedsiębiorców? Należy podkreślić, iż RODO nie mówi w motywie 14 o każdym przedsiębiorcy, a wyłącznie o takim, który posiada osobowość prawną.  Ustawodawca unijny wyłącza zatem stosowanie RODO tylko do tych przedsiębiorców, którzy posiadają osobowość prawną. Na uwagę zasługuje fakt, iż przepisy unijne nie zawierają definicji osoby prawnej. W tym zakresie konieczne jest zatem sięgnięcie do przepisów krajowych. W naszym porządku prawnym, osoby fizyczne wykonujące działalność gospodarczą nie posiadają statusu osoby prawnej. Istotą prowadzenia działalności gospodarczej przez osoby fizyczne jest bowiem to, że funkcjonują w obrocie gospodarczym właśnie jako osoba fizyczna.  Przedsiębiorcami-osobami prawnymi w naszym kraju są przede wszystkim spółki (np. akcyjna, z ograniczoną odpowiedzialnością).

UWAGA, idą zmiany !

Rozporządzenie unijne, nie daje żadnych podstaw prawnych do wyłączenia spod jego ochrony danych osobowych osób fizycznych prowadzących działalność gospodarczą. Po wejściu w życie RODO, przepis art. 36 b ustawy o swobodzie działalności gospodarczej należy ocenić jako niezgodny z prawem unijnym.

W toku przygotowań  naszego porządku prawnego do RODO, polski ustawodawca w obecnie znanym kształcie projektu ustawy– przepisy wprowadzające ustawę o ochronie danych osobowych ( z września 2017 r.), jednoznacznie rozwiewa wszelkie wątpliwości. Wedle projektu art. 36 b zostanie uchylony.

Zanim podjęto decyzję podczas projektowania tej zmiany, zwrócono się o wyjaśnienie wątpliwości w tym zakresie do Komisji Europejskiej. Przyjmując punkt widzenia polskiego ustawodawstwa, firmy wpisane do ewidencji działalności gospodarczej nie są osobami prawnymi, o czym podczas jednej z konferencji  mówił dr Maciej Kawecki z Ministerstwa Cyfryzacji.

Komisja przychyliła się do tego stanowiska. Przesądzono więc, że jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi (czyli nie mają charakteru spółek), to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.

Administratorzy musza się więc przygotować na zmiany, bowiem inaczej będzie traktowany KRS, a inaczej CEIDG.  Przetwarzając dane z CEIDG trzeba będzie to robić w pełnej zgodzie z RODO – przykładowo wypełnić obowiązek informacyjny (czego do tej pory nie było, a jednoosobowi przedsiębiorcy nie mieli świadomości, kto faktycznie przetwarza ich dane).

Swoją działalność będą musiały także dostosować wszechobecne w Internecie portale skupiające informacje o przedsiębiorcach- tzw. wizytówki firmy.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.