[b]– Czy informacje o podmiotach prowadzących działalność gospodarczą podlegają ochronie przewidzianej przez przepisy ustawy o ochronie danych osobowych? [/b]– pyta czytelnik .
Danymi osobowymi w rozumieniu[link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=677B1E8E540789351EF5163BC0645655?id=166335] ustawy o ochronie danych osobowych[/link] (dalej: uodo) są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6). Ochrona danych osobowych odnosi się natomiast do praw osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 uodo).
Wykładnia literalna jasno wskazuje, że [b]ochrona obejmuje wyłącznie dane osób fizycznych. Nie dotyczy więc osób prawnych ani jednostek organizacyjnych nieposiadających osobowości prawnej[/b].
Zróżnicowanie ochrony wydaje się uzasadnione również na gruncie prawa europejskiego.
Warto choćby wskazać, że dyrektywa 95/46/EC w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych zawiera sformułowanie, że jej przepisów nie stosuje się do ustawodawstwa dotyczącego ochrony osób prawnych w odniesieniu do przetwarzania ich danych.
[srodtytul]Firma bez ochrony[/srodtytul]
Wątpliwości pojawiają się w przypadku osób fizycznych, których dane wpisane zostały do ewidencji działalności gospodarczej. Innymi słowy – [b]problem powstaje w sytuacji, gdy dane osobowe osoby fizycznej pokrywają się z danymi tej osoby występującej w obrocie gospodarczym jako przedsiębiorca.[/b]
[b]Naczelny Sąd Administracyjny w wyroku z 28 listopada 2002 r. (II SA 3389/2001)[/b] wyraził pogląd, że ochrona zagwarantowana w uodo obejmuje wyłącznie dane osób fizycznych. Jej przepisów nie można zatem zastosować do danych indywidualnych, tj. danych, które dają się powiązać z podmiotem gospodarczym albo inną osobą prawną lub jednostką organizacyjną niemającą osobowości prawnej.
W orzeczeniu sądu odnaleźć można stwierdzenie, że „jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy”. Sąd podkreślił, że decydując się na utożsamianie tych danych, przedsiębiorca godzi się jednocześnie na szersze ich ujawnienie i słabszą ochronę.
Takie stanowisko koresponduje z treścią przepisu art. 7a ust. 2 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=15C3DC2F918EB38907BD58F64407A6BE?id=133304]prawa działalności gospodarczej[/link]. Przepis ten wyłącza wyraźnie dane zawarte w ewidencji działalności gospodarczej spod ochrony wynikającej z uodo Z jego treści wynika, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych.
[srodtytul]Tylko to, co w ewidencji[/srodtytul]
W ostatnim czasie stanowisko Naczelnego Sądu Administracyjnego ewoluowało jednak w kierunku uznania szerszego zakresu podmiotowego ustawy o ochronie danych osobowych.
[b]W wyroku z 15 marca 2010 r. (I OSK 756/09) NSA[/b] wyraził pogląd, że przepis art. 6 uodo nie różnicuje uprawnień osób fizycznych w zależności od tego, czy prowadzą działalność gospodarczą, czy też nie prowadzą jej. W tej sytuacji należałoby uznać, że brak jest podstaw do wyłączenia informacji o osobach fizycznych prowadzących działalność gospodarczą spod ochrony gwarantowanej tą ustawą.
Sąd wskazał wprawdzie, że istotne ograniczenia co do tej ochrony wprowadza, przywoływany art. 7a ust. 2 prawa działalności gospodarczej, ale podkreślił, że ograniczenie to stanowi wyjątek od ogólnej zasady i tym samym musi być interpretowane ściśle.
Skoro więc art. 7a ust. 2 prawa działalności gospodarczej odnosi się do danych zawartych w ewidencji działalności gospodarczej, to ochrona gwarantowana w uodo obejmuje pozostałe dane nieujawnione w ewidencji. A zatem [b]przedsiębiorca może skutecznie domagać się ochrony w sytuacji, gdy w sposób nieuprawniony przetwarzane są dane takie jak numer telefonu czy adres e-mail niewpisane do ewidencji działalności gospodarczej[/b].
[srodtytul]Po zamknięciu interesu[/srodtytul]
Sądowa wykładnia powołanych wyżej przepisów prowadzić powinna ponadto do wniosku, że wyłączenie spoza ochrony przewidzianej w ustawie o ochronie danych osobowych odnosi się tylko do danych osoby aktualnie prowadzącej działalność gospodarczą i aktualnie wpisanej do ewidencji działalności gospodarczej. W praktyce oznacza to, że jeżeli dany przedsiębiorca wyrejestruje swą działalność gospodarczą, to informacje identyfikujące jego osobę przestają go dotyczyć jako przedsiębiorcy, a stają się od danej daty danymi osoby fizycznej.
Co ważne, kwalifikacja i zakres ochrony danych osobowych nie zależą od subiektywnych przekonań administratora danych osobowych. W szczególności nie są uzależnione od wiedzy, czy przetwarzane przez administratora informacje dotyczą osoby fizycznej czy przedsiębiorcy.
To obiektywne czynniki, na co wskazał NSA, decydują o tym, czy mamy do czynienia z danymi osobowymi podlegającymi pełnej ochronie wynikającej z ustawy o ochronie danych osobowych.
Administrator danych osobowych w celu ustalenia charakteru informacji, jakimi dysponuje, powinien zatem każdorazowo zadać sobie dwa pytania.
Po pierwsze powinien ustalić, czy posiadane przez niego informacje są informacjami dotyczącymi zidentyfikowanej lub możliwej do zidentyfikowania osoby. Po wtóre winien się upewnić, że w grę nie wchodzą żadne przepisy szczególne ograniczające stosowanie ustawy o ochronie danych osobowych.
[i]Autorka jest prawnikiem wydawcy Harvard Business Review Polska[/i]
