Jednym z pierwszych wpisów na blogu była analiza dotycząca tego, czy, a jeśli tak – to jakiej ochronie podlegają dane osób prowadzących jednoosobową działalność gospodarczą („Dane osobowe przedsiębiorcy” marzec 2015). Na początku 2015 roku, w związku z uchyleniem w 2011 roku art. 7a ustawy Prawo działalności gospodarczej (już nieobowiązującej), który stanowił, że dane osobowe zawarte w ewidencji działalności gospodarczej nie podlegają przepisom ustawy o ochronie danych osobowych, dane zawarte w jawnym rejestrze CEIDG chronione były tak samo, jak dane osoby fizycznej nieprowadzącej działalności gospodarczej.
Na skutek jednej z nowelizacji ustawy o swobodzie działalności gospodarczej (również już nieobowiązującej), w dniu 19 maja 2016 roku wprowadzony został przepis art. 39b, zgodnie z którym „do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (…), z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy”. Nastąpił zatem powrót do stanu prawnego sprzed uchylenia wzmiankowanego art. 7a ustawy o swobodzie działalności gospodarczej.
W dniu 25 maja 2018 roku historia zatoczyła kolejne koło i wraz z obowiązkiem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („GDPR”) dane osoby fizycznej prowadzącej jednoosobową działalność gospodarczą podlegają co do zasady takiej samej ochronie, jak inne dane osobowe. Nie ma znaczenia, że dane „jednoosobowych działalności gospodarczych” są publicznie dostępne – w szczególności przepisy GDRP odnoszą się do tych danych w zakresie obowiązku informacyjnego, realizowanego na podstawie art. 14 GDPR. Boleśnie przekonała się o tym spółka dotknięta pierwszą karą pieniężną nałożoną na gruncie GDPR przez Prezesa Urzędu Ochrony Danych Osobowych („Prezes UODO”) – decyzja z dnia 15 marca 2019 roku (ZSPR.421.3.2018) dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób pozyskane ze źródeł publicznie dostępnych m.in. z CEiDG i przetwarzała je w celach zarobkowych, jednakże bez dopełnienia obowiązku informacyjnego. Prezes UODO oszacował, że spółka powinna nie tylko zrealizować obowiązek podania informacji określonych w art. 14 ust. 1 i 2 GDPR „osobom fizycznym, których dane osobowe spółka przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalność, którym informacje te nie zostały podane – w terminie trzech miesięcy od dnia doręczenia decyzji”, ale również zapłacić karę w wysokości 943 tys. zł, przy czym wydaje się, że realizacja pierwszego z zobowiązań może wiązać się z jeszcze większymi kosztami, niż zapłata nałożonej kary pieniężnej.
Wydawać by się mogło, że przedsiębiorcy – administratorzy danych osobowych, operujący od wielu lat na rynku, powinni mieć opracowane podejście do danych jednoosobowych działalności gospodarczych, z uwagi na to, że z ich kwalifikacją jako danych osobowych mieliśmy do czynienia jeszcze kilka lat temu. Wystarczyłoby tylko powrócić do zasad i mechanizmów obowiązujących przed w/w nowelizacją ustawy o swobodzie działalności gospodarczej. Jak się okazało, nic bardziej mylnego. Mimo tego, że GDPR wbrew pozorom nie wprowadziło żadnej wielkiej rewolucji w zakresie przetwarzania i ochrony danych osobowych (i będę się przy tym konsekwentnie upierała), to spowodowało rewolucję w myśleniu i postrzeganiu zagadnienia danych osobowych, które w mojej opinii były niejednokrotnie traktowane jako ostatni element biznesowej analizy prowadzonej działalności i powiązanych z tym ryzyk.
W związku z tym, wraz z obowiązkiem stosowania GDPR każdy przedsiębiorca musiał dokonać analizy czy, a jeśli tak – to na jakiej podstawie może przetwarzać dane osobowe osób fizycznych prowadzących jednoosobową działalność gospodarczą, tak będących jego kontrahentami, byłymi kontrahentami, jak i nie posiadających takiego przymiotu. Niejednokrotnie analiza ta dotyczyła tysięcy, dziesiątek tysięcy osób np. prowadzących tzw. PSD (punkty sprzedaży detalicznej), stanowiących dla przedsiębiorcy – producenta określonych towarów – klienta pośredniego, którego dane pozyskiwane są za pośrednictwem dystrybutora. To, z czym nasi Klienci, przy naszym wsparciu, musieli się m.in. zmierzyć, to ocena, jaką podstawę przetwarzania danych przyjąć dla poszczególnych kategorii kontrahentów/kontrahentów pośrednich – wykonanie umowy, zgoda, uzasadniony interes? Następnie należało przekonać tych kontrahentów, że dokonana analiza i wybrana podstawa przetwarzania jest prawidłowa, co niejednokrotnie stawało się najtrudniejszym zadaniem w całej operacji. Nie mogliśmy też zapomnieć o obowiązku informacyjnym, który co prawda trzeba zrealizować w stosunku do osób, których dane są przetwarzane, ale równocześnie w taki sposób, aby zrównoważyć konieczność spełniania obowiązku wynikającego z GDPR z technicznymi i finansowymi kosztami takiego zabiegu.
Nie był to łatwy czas, ale teraz, kiedy kurz powoli opada i mamy ponad roczne doświadczenie w mierzeniu się z realiami życia z GDPR, z satysfakcją patrzymy, jak naszym Klientom udaje się w sposób skuteczny wdrażać rozwiązania, które zabezpieczają ich biznes w obszarze ochrony danych osobowych. Wciąż pojawiają się pytania i konieczność korekty rozwiązań, wywoływana dostępnością coraz obszerniejszych analiz, wydawanymi decyzjami, ale i nowinkami technicznymi oraz ciągłym rozwojem biznesu. Jednak to, z czym spotykamy się obecnie powszechnie, to stawiane przez Klientów na jednym z pierwszych miejsc pytanie, czy dane rozwiązanie lub pomysł biznesowy nie niesie zagrożeń z punktu widzenia ochrony danych osobowych. Burza wokół GDPR przynosi zamierzone efekty!
Dodaj komentarz
Chcesz się przyłączyć do dyskusji?Feel free to contribute!