19 maja weszła w życie zmiana ustawy o swobodzie działalności gospodarczej. Jej przepisami zmieniono m.in. zasady przetwarzania danych przedsiębiorców udostępnianych z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Nie będą one objęte wszystkimi przepisami ustawy o ochronie danych osobowych. Możliwe, że trudniej będzie przedsiębiorcom sprawować kontrolę nad swoimi danymi i bronić się przed niewłaściwym ich wykorzystaniem.

Ochrona danych przedsiębiorców – na czym polega zmiana?

Od 2012 do 2016 r. ich dane identyfikacyjne (nazwa, adres siedziby, NIP, REGON) i kontaktowe (np. adres strony internetowej czy adres poczty elektronicznej) były chronione przepisami ustawy o ochronie danych osobowych w pełnym zakresie, tak jak dane osób fizycznych – konsumentów i klientów. O zaletach dotychczasowej regulacji możecie przeczytać tutaj (w kontekście działalności serwisu De Lege Artis). Niestety obecnie zbliżyliśmy się do stanu prawnego sprzed 2012 r., kiedy uznawano, że dane przedsiębiorców są w całości publiczne i możliwe jest ich swobodne wykorzystywanie. Działo się tak, gdyż były one wyłączone spod przepisów ustawy o ochronie danych osobowych na podstawie poniższego przepisu:

„Prawo działalności gospodarczej
Art.  7a.
(…) 2.
Ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (…)”

W nowym (obowiązującym od 19 maja) art. 39b ustawy o swobodzie działalności gospodarczej ograniczono stosowanie przepisów o ochronie danych:

„Art.  39b.
Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (…), z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.”

Ochrona danych przedsiębiorców – konsekwencje zmian

Zawsze można się pocieszać, że zastosowanie nadal mają przepisy o kontroli prawidłowości przetwarzania. Generalny Inspektor Ochrony Danych Osobowych może podejmować czynności kontrolne i nakazywać w drodze decyzji administracyjnej przetwarzanie danych zgodnie z prawem oraz informować organy ścigania o podejrzeniu popełnienia przestępstwa (art. 14-19a oraz 21-22a ustawy). Podmioty przetwarzające dane mają także obowiązek odpowiednio je zabezpieczać przed nieuprawnionym dostępem, zmianą i usunięciem oraz wykorzystaniem niezgodnym z prawem (zasady opisane właśnie w rozdziale 5 ustawy). Można powiedzieć, że skoro GIODO nadal kontroluje przetwarzanie tych danych, to niewiele się zmieniło.

Trzeba jednak pamiętać, jakie przepisy ustawy nie będą już stosowane do danych przedsiębiorców. Osoby prowadzące działalność gospodarczą m.in. nie będą musiały być informowane o fakcie przetwarzania ich danych.

Ten obowiązek informacyjny jest uregulowany w art. 24 i 25 ustawy, które nie mają już zastosowania. Do tej pory poważni administratorzy danych informowali przedsiębiorców, których dane przetwarzają o tym fakcie – przez listy czy wiadomości elektroniczne. Bez wiedzy o przetwarzaniu naszych danych, osoba miałaby trudność w skorzystaniu ze swoich uprawnień kontrolnych określonych w art. 32-35 ustawy. Ale to nie problem, bo stosowanie tych praw także zostało wyłączone.

Agresywne praktyki marketingowe oraz rosnące internetowe bazy danych są przykładem zarabiania na danych przedsiębiorców. W tym kontekście warto pamiętać o serwisach takich jak De Lege Artis, które podejrzewano o korzystanie w sposób nieprawidłowy z danych z CEIDG czy też o rosnącej liczbie serwisów oceniających przedsiębiorców, ich usługi i towary. Nie wiedząc o umieszczeniu naszej działalności gospodarczej w takiej bazie, nie możemy się szybko bronić przed negatywnymi konsekwencjami ocen użytkowników. Dlatego też pomimo, że dane przedsiębiorców mają być publiczne, nie powinno się ograniczać całkowicie ich praw.

***

zdjęcie autorstwa GaudiLab pochodzi z banku zdjęć Fotolia