Ochrona danych osobowych przedsiębiorcy: imię i nazwisko w firmie przedsiębiorcy podlega ochronie

Z początkiem roku skończyła się możliwość wykorzystywania takich danych jak np. imię i nazwisko osoby prowadzącej działalność gospodarczą z pominięciem przepisów ustawy o ochronie danych osobowych.

W wypadku najmniejszych przedsiębiorstw bardzo często jest tak, że jej firmę (nazwę) stanowi imię i nazwisko właściciela. Zresztą nie zawsze da się ją określić inaczej. Jak przecież stanowi art. 434 kodeksu cywilnego, firmą osoby fizycznej jest jej imię i nazwisko. Nie wyklucza to włączenia do firmy pseudonimu lub określeń wskazujących na przedmiot działalności przed- siębiorcy, miejsce jej prowadzenia oraz innych określeń dowolnie obranych. Jednak te pierwsze elementy muszą się pojawić. Zdarza się, że tożsame są także adresy zamieszkania właściciela i siedziby przedsiębiorstwa.

Niektórzy wykorzystywali to do tworzenia baz danych, formalnie zawierających dane przedsiębiorstw, a w praktyce obejmujących dane osób fizycznych. Informacje takie mogły być wykorzystywane w różnych celach, w tym np. marketingowych. Narażało to osoby, które zdecydowały się na zarejestrowanie działalności, na wykorzystywanie ich danych w znacznie większym stopniu, niż ma to miejsce w stosunku do osób fizycznych, które działalności nie prowadzą. Postępowanie takie było jak najbardziej legalne, ponieważ nie podlegało pod przepisy ustawy o ochronie danych osobowych.

Wynikało to z art. 7a ust 2 ustawy prawo działalności gospodarczej, który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych.

Przepis ten stracił moc obowiązującą z końcem ubiegłego roku. A to oznacza, że od pierwszego stycznia 2012r. przepisy o ochronie danych osobowych dotyczą także informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile – dla konkretnego stanu faktycznego – będą stanowiły dane osobowe w rozumieniu art. 6 ustawy.

Innymi słowy, dane osobowe przedsiębiorców są teraz traktowane tak samo jak inne dane osobowe i podlegają ochronie na zasadach wyrażonych w przepisach. Mówiąc jeszcze inaczej, dla przedsiębiorców oznacza to, że te ich dane, które są wykorzystywane w związku z prowadzoną działalnością podlegają ochronie, podmioty zaś, które chcą je przetwarzać, muszą spełnić wszystkie obowiązki wynikające z ustawy.

Identyfikacja

Omówiona zmiana nie wpływa oczywiście w żaden sposób na samą definicję danych osobowych i w szczególności nie rozszerza jej na inne podmioty niż osoby fizyczne. W dalszym ciągu w myśl art. 6 za takie dane uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Nie odnosi się więc bezwzględnie do wszystkich danych i każdego przedsiębiorcy. W szczególności tam, gdzie nazwa (firma) przedsiębiorcy ma charakter abstrakcyjny nie podlega oczywiście pod przepisy ustawy. Ta, jeszcze raz podkreślmy, ma zastosowanie do informacji identyfikujących lub umożliwiających identyfikację osoby fizycznej.

Jak wyjaśnia ust. 2 cytowanego artykułu, osobą możliwą do zidentyfikowania jest ta, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Ponadto informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zatem teoretycznie nie każda informacja o osobie fizycznej jest jednocześnie daną osobową w rozumieniu ustawy. Jednak w praktyce, ze względu na omawianą problematykę takich danych zawartych do tej pory w rejestrach firm, nie powinno budzić wątpliwości, że informacje z nich pozyskane z łatwością będą pozwalały na taką właśnie identyfikację.

Tym samym podmioty, które takie dane pozyskiwały, traktując je wyłącznie jako dane przedsiębiorców, stały się teraz administratorami danych osobowych.

Nowe obowiązki

A to oznacza, że spoczywają na nich wszystkie obowiązki wynikające z przepisów ustawy. W pierwszej kolejności należy zatem przypomnieć o tym, że przetwarzanie danych jest dopuszczalne tylko wówczas, gdy:

• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych,

• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie takiej osoby,

• jest niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego,

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo ich odbiorców, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Innymi słowy, aby przetwarzanie danych było legalne trzeba wykazać, że zachodzi przynajmniej jedna z powyższych przesłanek. Ich kolejność nie ma znaczenia i wszystkie mają równorzędną moc. W szczególności nie jest tak, że np. zgoda osoby na przetwarzanie jej danych jest zawsze wymagana.

Wystarczy udowodnić, że operowanie na danych znajduje uzasadnienie w innej przesłance, np. jest niezbędne do spełnienia obowiązku wynikającego z jakiegoś przepisu szczególnego.

Bezpieczeństwo

Zgodnie z art. 26 ustawy administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane te dotyczą. W szczególności jest zobowiązany zapewnić, aby informacje te były:

• przetwarzane zgodnie z prawem,

• zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

• merytorycznie poprawne i adekwatne w stosunku do celów ich przetwarzania,

• przechowywane w postaci umożliwiającej identyfikację osób nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Oprócz bezpieczeństwa danych, rozumianego jako ochrona interesów osób, których one dotyczą, administrator ma obowiązek zabezpieczyć je fizycznie. W tym celu musi zastosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (przed kradzieżą, uszkodzeniem, zniszczeniem, uzyskaniem wglądu do nich przez osobę nieuprawnioną, możliwością przypadkowego odczytania przez osoby postronne itp.).

Co istotne, administrator danych ma obowiązek przygotować i prowadzić dokumentację opisującą sposób przetwarzania danych oraz opisującą środki służące ich odpowiedniemu zabezpieczeniu.

Wolny dostęp

Raz na sześć miesięcy administrator musi być gotowy na opracowanie raportu dotyczącego konkretnej osoby, jeżeli zażąda ona stosownych informacji. Stanowi o tym art. 32, zgodnie z którym każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą.

W szczególności jest to prawo do uzyskania informacji o tym, czy taki zbiór w ogóle istnieje, a jeżeli tak, to co zawiera (treść danych), o celu, zakresie i sposobie przetwarzania informacji oraz o tym, kto jest odbiorcą danych. Uprawnienie to wiąże się także z prawem żądania uzupełnienia, sprostowania lub uaktualnienia informacji.

Inne zmiany

Z dniem pierwszego stycznia zmianie uległy także przepisy samej ustawy o ochronie danych osobowych. Wprowadziła je ustawa z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej. Zmiany wpływają przede wszystkim na tych administratorów, którzy przekazują dane osobowe do państw trzecich.

Do tej pory było to możliwe wtedy, gdy państwo docelowe dawało gwarancje ochrony takich danych przynajmniej na takim samym poziomie jak prawo polskie. Obecnie art. 47, który określa tę kwestię,stanowi, że przekazanie danych osobowych może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych.

Ten „odpowiedni poziom ochrony” musi być oceniany z uwzględnieniem wszystkich okoliczności dotyczących procesu przekazywania danych. W szczególności należy brać pod uwagę charakter danych, cel i czas przetwarzania, kraj pochodzenia i kraj ostatecznego przeznaczenia oraz przepisy prawa i stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.