Ochrona danych osobowych osób fizycznych prowadzących działalność gospodarczą

Istotna zmiana przepisów.

Z dniem 31 grudnia 2011 r. stracił moc obowiązującą art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który stanowił, że „Ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”. Oznacza to, że od 1 stycznia 2012 r. przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych dotyczą informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile – dla konkretnego stanu faktycznego – będą stanowiły dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych (dalej u.o.d.o.) Tym samym administratorzy danych osobowych dotyczących przedsiębiorców będących osobami fizycznymi, będą musieli wypełnić wszelkie obowiązki wynikające z ustawy o ochronie danych osobowych, w tym te dotyczące rejestracji zbiorów danych osobowych.

Omawiana ochrona danych osobowych dotyczyć będzie firm prowadzonych przez osoby fizyczne oraz spółek cywilnych takich osób.

Stosownie do zacytowanego powyżej art. 6 u.o.d.o. ust 1. w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie z ust. 2 osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Powyższe przepisy oznaczają w przedstawionym przypadku, że jeżeli gromadzone dane osobowe nt osób fizycznych będących przedsiębiorcami umożliwiają ich zidentyfikowanie, to dane te podlegają ochronie przewidzianej w przepisach u.o.d.o. Z tego powodu przetwarzanie danych tych podmiotów wymaga uzyskania zgodyosób, których dane miałyby być przetwarzane.

Ponadto przetwarzanie danych jest dopuszczalne (bez uzyskiwania zgody), jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z art. 23 ust. 4 u.o.d.o za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,

Jeżeli więc uznać, że administrator przetwarza dane, w celu marketingu bezpośredniego własnych produktów, zgoda tych osób ( osób fizycznych będących przedsiębiorcami) nie jest potrzebna.

Jednak osoby których dane są przetwarzane mają prawo wniesienia sprzeciwu wobec przetwarzania ich danych w przypadkach, wymienionych w art. 23 ust. 1 pkt i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Włączenie danych osobowych przedsiębiorców jednoosobowych do katalogu danych chronionych powoduje, że co do zasady na administratorze danych ciąży obowiązek rejestracji zbioru zawierającego takie dane, zgodnie z art. 40 u.o.d.o.

Wyjątek stanowią wyłączenia obowiązku rejestracji przewidziane w art. 43. ust.1 u.o.d.o. zgodnie z którym z obowiązku rejestracji zbioru danych zwolnieni są (m.in.) administratorzy danych:

  1. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

(…)

  1. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

Należy jednak podkreślić, iż w przypadku gdyby zbiory danych tworzone w celach rozliczeniowych miały być wykorzystywane także w innych celach (np. marketingowych), wówczas zbiory te powinny zostać zgłoszone do rejestracji.

Z poważaniem

Piotr Zakrzewski

radca prawny/partner zarządzający

Share On Facebook
Share On Twitter
Share On Linkedin

Add a Comment