Od stycznia obowiązek rejestracji w GIODO także danych firm?

Czy każdy zbiór danych firm należy teraz rejestrować w GIODO, jako zbiór danych osobowych? Co oznacza to dla milionów polskich przedsiębiorstw? Z dniem 31 grudnia 2011 r. stracił moc obowiązującą art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który stanowił, że dane osób fizycznych prowadzących działalność gospodarczą nie podlegały ustawie o ochronie danych osobowych. Od dnia 1 stycznia 2012 r. przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych dotyczą danych osób fizycznych prowadzących działalność gospodarczą.

O tym, co zmiany te oznaczają dla polskich firm rozmawiamy z Katarzyną Dyl, prawnikiem PIN Consulting Sp. z o.o., czołowego w Polsce zespołu konsultantów w zakresie ochrony danych osobowych.

SerwerSMS.pl: Co zmiana ta w praktyce oznacza dla tych podmiotów, które obsługują tylko firmy i ich bazy kontaktów firmowych (handlowych) zawierają dane osób prowadzących działalność gospodarczą? Czy oznacza to, że takie zbiory należy teraz rejestrować w GIODO jako bazy danych osobowych?

Katarzyna Dyl, prawnik PIN Consulting: Dane osób fizycznych prowadzących działalność gospodarczą od dnia 1 stycznia 2012 r. są udostępnione w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) i zgodnie z przepisem art. 38 ust. 1 ustawy z dnia 2 lipca 2004 o swobodzie działalności gospodarczej, są jawne. Jawność danych zamieszczonych w CEIDG nie stanowi jednak zwolnienia z rejestracji określonego w art. 43 ust. 1 pkt 9 ustawy o ochronie danych osobowych (u.o.d.o.). Należy bowiem mieć na uwadze, iż na podstawie danych z CEIDG przedsiębiorcy tworzą różne zbiory, zawierające nie tylko dane z CEIDG. Z chwilą zestawienia różnych danych - bez względu na źródło ich uzyskania - tworzy się nowy zbiór, który w świetle obecnych przepisów podlega rejestracji.

SerwerSMS.pl: Wyobraźmy sobie bazę firm, np. katalog, składającą się między innymi z wpisów osób fizycznych prowadzących działalność gospodarczą. Wpisy takie zawierają imię i nazwisko, adres, telefon, często także telefon komórkowy zarejestrowany na osobę prywatną. Czy takie bazy należy zgłaszać do GIODO?

PIN: Obecnie w CEIDG nie figuruje numer telefonu stacjonarnego, komórkowego osoby fizycznej prowadzącej działalność gospodarczą, czy też numer PESEL (pozostaje on niejawny). W świetle obecnych przepisów dane te podlegają ochronie prawnej i stworzenie zbioru zawierającego te dane wymaga jego rejestracji w GIODO.

SerwerSMS.pl: W Polsce istnieją setki, a może i tysiące katalogów firm oraz producentów baz danych biznesowych. Czy wszystkie te bazy należy zgłaszać w GIODO? Czy są jakieś wyjątki? Czy bazy utworzone przed 31.12.2011 roku podlegają obowiązkom wynikającym z nowych przepisów?

PIN: Obowiązek rejestracyjny w tym przypadku również istnieje, gdyż w praktyce często bazy firm zawierają dane spoza katalogu zamieszczonego w CEIDG.
Istnieje szereg wyłączeń spod obowiązku rejestracji, są one określone w art. 43 ust. 1 u.o.d.o. Zgodnie ze wskazanym przepisem, z obowiązku rejestracji zwolnieni są m.in. administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych i uczących się. Oznacza to w praktyce, że jeśli osoba fizyczna prowadząca działalność świadczy usługi na rzecz administratora danych na podstawie umowy cywilnoprawnej, to administrator danych zwolniony jest z obowiązku rejestracji zbioru zawierającego dane takiej osoby.
Przepisy u.o.d.o. mają zastosowanie w całości, a co za tym idzie – istnieje szereg obowiązków, jakie muszą wypełnić administratorzy danych osobowych. Bazy danych utworzone przed dniem 31.12.2011 r. również podlegają rejestracji. Administratorzy będą musieli zadośćuczynić tzw. obowiązkowi informacyjnemu wynikającemu z przepisu art. 24 lub 25 u.o.d.o. (w zależności od tego, czy dane uzyskał pośrednio, czy też bezpośrednio od osoby, której dane dotyczą). W mojej ocenie, przepisy art. 24-25 mają zastosowanie jednak tylko do danych zbieranych po wejściu w życie zmian, tj. po dniu 1 stycznia 2012 r. Obowiązek informacyjny wobec podmiotów, których dane zostały zebrane przed 31 grudnia 2011 r. nie powinien istnieć.

SerwerSMS.pl: Jeżeli posiadamy bazę firm, w tym osób fizycznych prowadzących działalność gospodarczą, to jakie spoczywają na nas obowiązki poza zgłoszeniem takiej bazy w GIODO?

PIN: Jak już zostało wspomniane, na administratorach danych osobowych spoczywa obowiązek informacyjny. Jest to obowiązek poinformowania osoby, której dane dotyczą o: adresie siedziby i pełnej nazwie, celu zbierania danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych (jeśli istnieje – wskazanie podstawy prawnej tegoż obowiązku). Istnieje również tzw. wtórny obowiązek informacyjny, który ma zastosowanie w sytuacji, kiedy administrator danych zbiera dane osobowe nie od osoby której one dotyczą (art. 25 u.o.d.o.). Jest to typowy przykład pozyskiwania danych z baz danych, CEIDG etc. Administrator danych w takim przypadku informuje osobę również o źródle danych oraz prawie wniesienia sprzeciwu lub pisemnego żądania wobec przetwarzania jego danych w celach marketingowych lub wobec przekazania danych innemu administratorowi danych. Niezbędne jest również zbieranie przez administratorów danych zgód na przetwarzanie podanych im danych osobowych, czyli stworzenie odpowiednich klauzul w dokumentacji, w oparciu o którą administratorzy pozyskują dane.
Ponadto administratorzy danych zobowiązani są zadośćuczynić przepisom określonym w rozdziale 5 u.o.d.o. Główne obowiązki wynikające z przepisów tego rozdziału to: zastosowanie odpowiednich środków technicznych zapewniających ochronę danych, wyznaczenie administratora bezpieczeństwa informacji (ABI), prowadzenie ewidencji osób uprawnionych do przetwarzania danych. Nie należy również zapominać, iż administratorzy danych muszą spełniać wymogi określone w Rozporządzeniu z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024).

SerwerSMS.pl: Wiele firm obawia się zgłaszania baz w rejestrze GIODO, można powiedzieć nawet, że instytucja GIODO jest dość mocno zdemonizowanym urzędem. Czy naprawdę rejestracja bazy w GIODO jest tak trudna, skomplikowana, kosztowna i ryzykowna? Wiele firm unika rejestracji bazy w GIODO obawiając się konsekwencji, kontroli i kar w wyniku tychże kontroli.

PIN: Nic bardziej mylnego. Obecnie rejestracja bazy w GIODO jest procedurą bardzo prostą, polegającą na przesłaniu wypełnionego wniosku, zawierającego informacje o których mowa w art. 41 ust. 1 u.o.d.o. Od lipca 2006 r. rejestracji można dokonać także drogą elektroniczną z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Rejestracja zbioru jest bezpłatna, zatem administratorzy danych nie ponoszą żadnych kosztów.
Jeśli chodzi o obawę przed kontrolami GIODO należy pamiętać, iż organ ten jest powołany do kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych przez wszystkie podmioty – nie tylko administratorów danych, którzy dokonali rejestracji. Rezygnując zatem z rejestracji zbioru nie wyłączamy ryzyka wszczęcia kontroli przez GIODO, wręcz przeciwnie- narażamy siebie i firmę na dotkliwe kary finansowe a nawet na karę ograniczenia lub pozbawienia wolności.

SerwerSMS.pl: Co dokładnie powinna zrobić firma, która posiada dane osób fizycznych prowadzących działalność gospodarczą, a chce działać w zgodzie z nowymi przepisami, które takie dane traktują jako dane osobowe?

PIN: Powinna działać w sposób legalny, tj. w sposób zgodny z przepisami o ochronie danych osobowych i wypełniać wszystkie obowiązki wynikające z ustawy o ochronie danych osobowych oraz rozporządzenia dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.