Z początkiem roku skończyła się możliwość wykorzystywania takich danych jak np. imię i nazwisko osoby prowadzącej działalność gospodarczą z pominięciem przepisów ustawy o ochronie danych osobowych.

W wypadku najmniejszych przedsiębiorstw bardzo często jest tak, że jej firmę (nazwę) stanowi imię i nazwisko właściciela. Zresztą nie zawsze da się ją określić inaczej. Jak przecież stanowi art. 434 kodeksu cywilnego, firmą osoby fizycznej jest jej imię i nazwisko. Nie wyklucza to włączenia do firmy pseudonimu lub określeń wskazujących na przedmiot działalności przed- siębiorcy, miejsce jej prowadzenia oraz innych określeń dowolnie obranych. Jednak te pierwsze elementy muszą się pojawić. Zdarza się, że tożsame są także adresy zamieszkania właściciela i siedziby przedsiębiorstwa.

Niektórzy wykorzystywali to do tworzenia baz danych, formalnie zawierających dane przedsiębiorstw, a w praktyce obejmujących dane osób fizycznych. Informacje takie mogły być wykorzystywane w różnych celach, w tym np. marketingowych. Narażało to osoby, które zdecydowały się na zarejestrowanie działalności, na wykorzystywanie ich danych w znacznie większym stopniu, niż ma to miejsce w stosunku do osób fizycznych, które działalności nie prowadzą. Postępowanie takie było jak najbardziej legalne, ponieważ nie podlegało pod przepisy ustawy o ochronie danych osobowych.

Wynikało to z art. 7a ust 2 ustawy prawo działalności gospodarczej, który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych.

Przepis ten stracił moc obowiązującą z końcem ubiegłego roku. A to oznacza, że od pierwszego stycznia 2012r. przepisy o ochronie danych osobowych dotyczą także informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile – dla konkretnego stanu faktycznego – będą stanowiły dane osobowe w rozumieniu art. 6 ustawy.

Innymi słowy, dane osobowe przedsiębiorców są teraz traktowane tak samo jak inne dane osobowe i podlegają ochronie na zasadach wyrażonych w przepisach. Mówiąc jeszcze inaczej, dla przedsiębiorców oznacza to, że te ich dane, które są wykorzystywane w związku z prowadzoną działalnością podlegają ochronie, podmioty zaś, które chcą je przetwarzać, muszą spełnić wszystkie obowiązki wynikające z ustawy.

Identyfikacja

Omówiona zmiana nie wpływa oczywiście w żaden sposób na samą definicję danych osobowych i w szczególności nie rozszerza jej na inne podmioty niż osoby fizyczne. W dalszym ciągu w myśl art. 6 za takie dane uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Nie odnosi się więc bezwzględnie do wszystkich danych i każdego przedsiębiorcy. W szczególności tam, gdzie nazwa (firma) przedsiębiorcy ma charakter abstrakcyjny nie podlega oczywiście pod przepisy ustawy. Ta, jeszcze raz podkreślmy, ma zastosowanie do informacji identyfikujących lub umożliwiających identyfikację osoby fizycznej.

Jak wyjaśnia ust. 2 cytowanego artykułu, osobą możliwą do zidentyfikowania jest ta, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Ponadto informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zatem teoretycznie nie każda informacja o osobie fizycznej jest jednocześnie daną osobową w rozumieniu ustawy. Jednak w praktyce, ze względu na omawianą problematykę takich danych zawartych do tej pory w rejestrach firm, nie powinno budzić wątpliwości, że informacje z nich pozyskane z łatwością będą pozwalały na taką właśnie identyfikację.

Tym samym podmioty, które takie dane pozyskiwały, traktując je wyłącznie jako dane przedsiębiorców, stały się teraz administratorami danych osobowych.

Nowe obowiązki

A to oznacza, że spoczywają na nich wszystkie obowiązki wynikające z przepisów ustawy. W pierwszej kolejności należy zatem przypomnieć o tym, że przetwarzanie danych jest dopuszczalne tylko wówczas, gdy:

• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych,

• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie takiej osoby,

• jest niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego,

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo ich odbiorców, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Innymi słowy, aby przetwarzanie danych było legalne trzeba wykazać, że zachodzi przynajmniej jedna z powyższych przesłanek. Ich kolejność nie ma znaczenia i wszystkie mają równorzędną moc. W szczególności nie jest tak, że np. zgoda osoby na przetwarzanie jej danych jest zawsze wymagana.

Wystarczy udowodnić, że operowanie na danych znajduje uzasadnienie w innej przesłance, np. jest niezbędne do spełnienia obowiązku wynikającego z jakiegoś przepisu szczególnego.

Bezpieczeństwo

Zgodnie z art. 26 ustawy administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane te dotyczą. W szczególności jest zobowiązany zapewnić, aby informacje te były:

• przetwarzane zgodnie z prawem,

• zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

• merytorycznie poprawne i adekwatne w stosunku do celów ich przetwarzania,

• przechowywane w postaci umożliwiającej identyfikację osób nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Oprócz bezpieczeństwa danych, rozumianego jako ochrona interesów osób, których one dotyczą, administrator ma obowiązek zabezpieczyć je fizycznie. W tym celu musi zastosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (przed kradzieżą, uszkodzeniem, zniszczeniem, uzyskaniem wglądu do nich przez osobę nieuprawnioną, możliwością przypadkowego odczytania przez osoby postronne itp.).

Co istotne, administrator danych ma obowiązek przygotować i prowadzić dokumentację opisującą sposób przetwarzania danych oraz opisującą środki służące ich odpowiedniemu zabezpieczeniu.

Wolny dostęp

Raz na sześć miesięcy administrator musi być gotowy na opracowanie raportu dotyczącego konkretnej osoby, jeżeli zażąda ona stosownych informacji. Stanowi o tym art. 32, zgodnie z którym każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą.

W szczególności jest to prawo do uzyskania informacji o tym, czy taki zbiór w ogóle istnieje, a jeżeli tak, to co zawiera (treść danych), o celu, zakresie i sposobie przetwarzania informacji oraz o tym, kto jest odbiorcą danych. Uprawnienie to wiąże się także z prawem żądania uzupełnienia, sprostowania lub uaktualnienia informacji.

Inne zmiany

Z dniem pierwszego stycznia zmianie uległy także przepisy samej ustawy o ochronie danych osobowych. Wprowadziła je ustawa z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej. Zmiany wpływają przede wszystkim na tych administratorów, którzy przekazują dane osobowe do państw trzecich.

Do tej pory było to możliwe wtedy, gdy państwo docelowe dawało gwarancje ochrony takich danych przynajmniej na takim samym poziomie jak prawo polskie. Obecnie art. 47, który określa tę kwestię,stanowi, że przekazanie danych osobowych może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych.

Ten „odpowiedni poziom ochrony” musi być oceniany z uwzględnieniem wszystkich okoliczności dotyczących procesu przekazywania danych. W szczególności należy brać pod uwagę charakter danych, cel i czas przetwarzania, kraj pochodzenia i kraj ostatecznego przeznaczenia oraz przepisy prawa i stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.

Obowiązek rejestracji

To nie koniec nowych obowiązków dla osób dysponujących do tej pory wyłącznie danymi przedsiębiorców, których nie traktowały (zgodnie z prawem) jako zbiorów danych osobowych.

Zgodnie bowiem z art. 40 ustawy, administrator jest zobowiązany zarejestrować zbiór generalnego inspektora danych osobowych.

Wyjątki od tego obowiązku wymienia art. 43 ust. 1. I tak są z niego zwolnieni administratorzy danych:

• zawierających informacje niejawne,

• które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

• przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o krajowym rejestrze karnym,

• przetwarzanych przez generalnego inspektora informacji finansowej,

• przetwarzanych przez właściwe organy na potrzeby udziału Polski w systemie Schengen,

• przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw Unii Europejskiej,

• dotyczących osób należących do Kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego Kościoła,

• przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

• dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

• tworzonych na podstawie przepisów dotyczących wyborów powszechnych i referendów,

• dotyczących osób pozbawionych wolności,

• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

• powszechnie dostępnych,

• przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

• przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Zadaniem przedsiębiorcy jest rozstrzygnąć, czy zachodzi jedna lub kilka z tych przesłanek, i czy w związku z tym może być zwolniony z obowiązku rejestracji. Niedochowanie tego obowiązku, w przypadku gdy rejestracja byłaby wymagana, naraża administratora na sankcje w postaci grzywny, kary ograniczenia lub nawet pozbawienia wolności do roku.

Tak stanowi art. 53 ustawy o ochronie danych osobowych.