Mniej obowiązków związanych z ochroną danych osobowych osób prowadzących jednoosobową działalność gospodarczą | Legal Alert

W dniu 19 maja 2016 r. weszła w życie nowelizacja ustawy o swobodzie działalności gospodarczej („USDG”). Zgodnie z nowymi przepisami, do danych przedsiębiorców ujawnionych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej („CEIDG”) zastosowania nie znajdą przepisy ustawy o ochronie danych osobowych („UODO”). Skorzystają na tym administratorzy danych przetwarzający takie dane w swoich zbiorach danych.

W myśl dotychczas obowiązujących przepisów, nawet te dane przedsiębiorców prowadzących jednoosobową działalność gospodarczą, które ujawnione zostały w CEIDG, objęte są zakresem zastosowania UODO. Oznacza to, że w dotychczasowym stanie prawnym w odniesieniu do wszystkich takich danych konieczne było spełnienie wszystkich obowiązków określonych w tej ustawie. Po 19 maja 2016 r. sytuacja ta ulegnie zmianie.

Zgodnie z nowelizacją do jawnych danych i informacji udostępnianych przez CEIDG od dnia 19 maja 2016 roku nie znajdą zastosowania przepisy UODO, za wyjątkiem uprawnień kontrolnych Generalnego Inspektora Ochrony Danych Osobowych („GIODO”) i przepisów dot. zabezpieczenia danych.

W praktyce oznacza to, że ww. zwolnieniem objęte będą jedynie takie kategorie danych jak np. firma przedsiębiorcy (w tym imię i nazwisko) REGON, NIP, adres e-mail (jeśli został zgłoszony i ujawniony w CEIDG), informacje o istnieniu małżeńskiej wspólności majątkowej, adres wykonywania działalności, adres do doręczeń czy obywatelstwo.

UODO wciąż znajdzie natomiast zastosowanie do tych kategorii danych, które podlegają wpisowi do CEIDG, ale których nie ujawnia się publicznie, tj.: numeru PESEL, daty urodzenia, adresu zamieszkania czy danych kontaktowych, jeśli przedsiębiorca sprzeciwił się ich udostępnieniu.

Powyższe zmiany stanowią znaczne ułatwienie dla administratorów danych przetwarzających dane osób fizycznych prowadzących jednoosobową działalność gospodarczą (np. w zbiorach klientów). Tak długo bowiem, jak przetwarzają oni dane osobowe w zakresie już ujawnionym w CEIDG, nie będą oni w odniesieniu do tych danych związani obowiązkami wynikającymi z UODO.

W praktyce zatem przetwarzanie takich danych nie będzie zależne od spełnienia przesłanek legalności ich przetwarzania, nie będzie też konieczności wypełniania tzw. obowiązku informacyjnego, a ewentualny transfer takich danych do odbiorcy położonego w państwie trzecim nie będzie podlegać reżimowi określonemu w UODO.

Administratorzy danych nie będą musieli też zgłaszać zbiorów takich danych do GIODO, względnie uwzględniać ich w rejestrze zbiorów danych prowadzonym przez administratora bezpieczeństwa informacji.

Korzystając z ułatwień należy jednak zachować ostrożność, ponieważ często może dojść do sytuacji, w której jednocześnie w odniesieniu do danego przedsiębiorcy przetwarzane będą dane podlegające zwolnieniu z obowiązku zastosowania do nich UODO oraz takie dane, które zwolnieniu podlegać nie będą.

Autorzy:

Dr Joanna Tomaszewska, Partner, Radca Prawny

Filip Drgas, Junior Associate