Czy dane osobowe przedsiębiorcy podlegają ochronie?

Przeczytaj także: Dane osobowe przedsiębiorców w CEIDG bez ochrony?

Wrrrrróć… najpierw napiszę jak było. Ponieważ poglądy o tym, że dane osobowe przedsiębiorców nie podlegają ochronie (bo to przedsiębiorcy i ich dane są powszechnie dostępne w Internecie) wynika z poprzednio obowiązującego stanu prawnego.

Dnia 1 stycznia 2012 r. przestała obowiązywać ustawa z 19 listopada 1999 r. prawo działalności gospodarczej i jej art. 7a ust. 2 zgodnie z którym ewidencja działalności gospodarczej była jawna i dane osobowe w niej zawarte nie podlegały przepisom ustawy o ochronie danych osobowych.

Zmiany te podyktowane były m.in. tym, że dnia 1 lipca 2011 r. weszły w życie przepisy rozdziału III ustawy o swobodzie działalności gospodarczej (po 7 latach vacatio legis), a tym samym została powołana do życia Centralna Ewidencja i Informacja o Działalności Gospodarczej, w skrócie CEIDG. CEIDG zastąpiła dawną Ewidencję Działalności Gospodarczej (EDG), a więc system rejestracji i ewidencji przedsiębiorców będących osobami fizycznymi.

Powyższe oznacza, że od 2012 r. dane osobowe przedsiębiorców, znajdujące się w CEIDG, podlegają ochronie na gruncie ustawy o ochronie danych osobowych.

Co za tym idzie? Dane osobowe przedsiębiorców znajdujące się w jawnej i dostępnej dla wszystkich ewidencji, tj. imię, nazwisko, NIP, PESEL, adres zamieszkania czy adres e-mailowy, są już objęte ochroną, a podmioty przetwarzające te dane muszą spełnić wszystkie wynikające z tego obowiązki.

Jeśli zatem administrator zamierza przetwarzać dane osobowe osób fizycznych prowadzących działalność gospodarczą (ale pamiętajcie, że nie wszystkie dane w CEIDG są danymi osobowymi!) powinien, zgodnie z ustawą o ochronie danych osobowych, m.in.:

• zarejestrować zbiór danych osobowych w rejestrze Generalnego Inspektora Danych Osobowych (Ustawa przewiduje również wyjątki od tego obowiązku);
• wykazać podstawę prawną przetwarzania danych osobowych przedsiębiorców. Niedopuszczalne jest swobodne pozyskiwanie i przetwarzanie takich danych w dowolnych celach;
• zastosować środki techniczne i organizacyjne zapewniające odpowiednią ochronę posiadanych danych osobowych do występujących zagrożeń (np. prowadzić obowiązkową dokumentację w postaci polityki bezpieczeństwa ochrony danych oraz instrukcji zarządzania systemem informatycznym; nadać upoważnienia dla osób zatrudnionych przy przetwarzaniu danych, wyznaczyć administratora bezpieczeństwa informacji itd.)
• zadośćuczynić obowiązkom informacyjnym tj. informowanie osób, których dane dotyczą o nazwie i adresie administratora danych, celu i ewentualnie zakresie przetwarzania danych, o potencjalnych odbiorcach danych, prawie dostępu do treści danych oraz możliwości ich poprawiania itp.