Od początku roku obowiązują nowe zasady wykorzystywania informacji o przedsiębiorcach będących osobami fizycznymi. Teraz wykorzystywanie takich danych np. dla celów marketingowych w niektórych przypadkach wymagać będzie uzyskania wcześniejszej zgody przedsiębiorcy, którego dane dotyczą.

Do końca 2011 r. wykorzystywanie informacji o osobach fizycznych prowadzących działalność gospodarczą, które były ujawnione w ewidencji działalności gospodarczej, nie podlegało ustawie o ochronie danych osobowych. W szczególności możliwe było przesyłanie ofert handlowych takim przedsiębiorcom bez ich zgody. Wyjątkiem były oferty przesyłane drogą elektroniczną. Jednocześnie przetwarzanie informacji o przedsiębiorcach nie wymagało podejmowania żadnych specjalnych środków zabezpieczania danych, jak również spełnienia obowiązków w zakresie informowania takich osób o wykorzystywaniu ich danych osobowych.

Od 1 stycznia 2012 roku dane osobowe dotyczące osoby fizycznej prowadzącej działalność gospodarczą podlegają przepisom ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa).

Objęcie danych przedsiębiorców – osób fizycznych przepisami ustawy jest konsekwencją rozpoczęcia funkcjonowania Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) oraz utraty mocy art. 7a ustawy – Prawo działalności gospodarczej, który stanowił, iż dane zgromadzone w ewidencji działalności gospodarczej nie podlegają przepisom ustawy.

Dwie kategorie

Obecnie wszystkie informacje o osobach fizycznych prowadzących działalność gospodarczą, które wpisywane są do CEIDG, zostały objęte przepisami ustawy. Dane te zostały jednak podzielone na  jawne i informacje, które nie podlegają publicznemu udostępnieniu.

Danymi, które nie podlegają ujawnieniu, są informacje o numerze PESEL, dacie urodzenia i adresie zamieszkania indywidualnego przedsiębiorcy. Adres zamieszkania podlega jednak ujawnieniu, jeśli jest równocześnie adresem, pod którym przedsiębiorca prowadzi swoją działalność gospodarczą.

Do grupy danych niepodlegających ujawnieniu zastosowanie mają wszystkie wymagania przepisów ustawy. Dla podmiotów wykorzystujących takie dane w swojej działalności oznacza to m.in. konieczność:

• zapewnienia podstawy prawnej przetwarzania danych (np. konieczność wykonania umowy zawartej z tym podmiotem, obowiązujące przepisy uzasadniające przetwarzanie danych tego podmiotu albo uzyskanie zgody przedsiębiorcy na przetwarzanie jego danych);

• wypełnienia obowiązków informacyjnych wynikających z ustawy (m.in. informowanie o administratorze danych, celu zbierania danych),

• zabezpieczania danych zgodnie z zasadami wyznaczonymi w przepisach ustawy i aktach wykonawczych;

• sprawdzenia posiadania podstawy prawnej do przekazania danych do państw nienależących do Europejskiego Obszaru Gospodarczego (jeżeli takie przekazanie ma miejsce);

• sprawdzenia konieczności zgłoszenia zbioru danych przedsiębiorców – osób fizycznych do rejestru prowadzonego przez generalnego inspektora ochrony danych osobowych.

Powyższe obowiązki będą miały zastosowanie również do danych zaliczanych do kategorii informacji jawnych. Jednakże w odniesieniu do takich danych możliwe będzie skorzystanie z pewnych wyjątków od rygorów ustawy, np. w zakresie transferu danych do państwa spoza Europejskiego Obszaru Gospodarczego lub obowiązku zgłoszenia zbioru do rejestru generalnego inspektora ochrony danych osobowych.

Własne produkty

Przepisy ustawy umożliwiają wykorzystywanie zebranych danych do prowadzenia marketingu bezpośredniego własnych towarów i usług. Dopuszczalność takich działań wynika wprost z przepisów ustawy i nie wymaga uzyskiwania dodatkowych zgód od przedsiębiorcy – osoby fizycznej.

Uprawnienie to jest jednak ograniczone:

• z jednej strony obejmuje wyłącznie marketing własnych produktów lub usług (nie można promować produktów innych podmiotów),

• z drugiej zaś przedsiębiorca może się takiemu przetwarzaniu danych sprzeciwić w dowolnym czasie. Po wyrażeniu sprzeciwu nie można już wykorzystywać takich danych do prowadzenia działalności marketingowej.

Z praktycznego punktu widzenia w przypadku zamiaru administratora danych wykorzystania takich danych do określonych działań marketingowych produktów własnych lub marketingu produktów innych kontrahentów od 1 stycznia 2012 roku niezbędne będzie sprawdzenie legalności takich działań i ewentualne uzyskanie od przedsiębiorcy, którego dane dotyczą, zgody na ich prowadzenie.

Nowe obowiązki wprowadzają konieczność zróżnicowania w zakresie traktowania informacji o przedsiębiorcach, dzieląc je na:

• dane osób fizycznych prowadzących działalność gospodarczą i

• informacje o osobach prawnych i jednostkach organizacyjnych nieposiadających osobowości prawnej

W odniesieniu do tej drugiej grupy ustawa nie ma zastosowania.

Jeśli zatem przedsiębiorca planuje wysłać informacje o swojej działalności do potencjalnych kontrahentów, będzie zobowiązany rozdzielić taką pocztę na dwa rodzaje: do osób prawnych i jednostek organizacyjnych (głównie spółek) będzie mógł ją wysłać bez ograniczeń, do osób fizycznych zaś – przedsiębiorców, będzie musiał uprzednio sprawdzić posiadaną podstawę prawną do przetwarzania takich danych oraz spełnić szereg obowiązków wynikających z ustawy.

—Łukasz Czujko prawnik w kancelarii PwC Legal