fbpx

Dane osobowe przedsiębiorców włączone pod ustawę o ochronie danych osobowych

Otrzymuję różnego rodzaju oferty czy to na mail czy w formie reklamy pocztowej, gdzie nadawca powołuje się na uchylony z dniem 31 grudnia 2011 r. zapis ustawy o swobodzie gospodarczej. Otóż spieszę z wyjaśnieniem. Od 1 stycznia 2012 r dane osobowe przedsiębiorców zostały włączone pod ochronę danych osobowych.

Stało się tak, ponieważ uchylony został artykuł 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Jakie niesie to za sobą skutki ?

Przede wszystkim obowiązek rejestracji zbiorów danych osobowych, w których są dane przedsiębiorców jeżeli zbiór nie podlega przesłankom do zwolnienia z takiej rejestracji zawartej w art. 43.1. ustawy o ochronie danych osobowych. Jeżeli więc, prowadzisz sklep internetowy i posiadasz klientów biznesowych i osoby nieprowadzące działalności gospodarczej to powinieneś zaktualizować zgłoszony zbiór w GIODO o kilka dodatkowych pól takich jak: numer identyfikacji podatkowej, adres siedziby firmy lub regon. Firmy prowadzące sprzedaż towarów i usług w sektorze b2b powinny zgłosić taki zbiór do GIODO, ponieważ od stycznia zaczęły przetwarzać dane osobowe. W przypadku kiedy prowadzimy sklep – hurtownię internetową, w której jest np. rejestracja konta czyli firma może tam założyć sobie konto po to aby wiecznie wypisywać danych do formularza zamówienia to istnieje konieczność zgłoszenia takiego zbioru w GIODO. Identycznie będzie w przypadku wszelkich działań marketingowych. Nie znajdziemy wyłączenia ze zgłoszenia takiego zbioru, w związku z czym wszystkie biznesowe newslettery, branżowe serwisy internetowe powinny zainteresować się ustawą o ochronie danych osobowych a co za tym idzie rejestracją w GIODO.

Korzystanie z bazy CEIDG

Centralna Ewidencja Informacji Działalności Gospodarczej w skrócie CEIDG została utworzona w lipcu 2011 roku na podstawie nowych przepisów Ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej ( Dz.U.204 Nr 173 poz. 1807 ). Jest to system informatyczny, w którym znajdziemy dane osobowe przedsiębiorców będących osobami fizycznymi. Można to porównać coś w rodzaju Krajowego Rejestru Spółek – KRS. CEIDG ma na celu ułatwienie załatwienia wszelkich formalności związanych z rejestracją działalności gospodarczej oraz dokonywania zmian dla już istniejących właścicieli firm. Dzięki temu zaczęło funkcjonować tzw. „jedno okienko”, skrócił się czas rejestracji firmy, ponieważ wniosek ten był jednocześnie zgłoszeniem do ZUS, KRUS, GUS, Urzędu Skarbowego. Zgodnie z ustawą o swobodzie gospodarczej jednym z celów tej ewidencji jest:

…udostępnianie informacji o przedsiębiorcach i innych podmiotach w zakresie wskazanym w ustawie; Art. 23.3. Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej Dz.U.204 Nr 173 poz. 1807

Niektórzy przedsiębiorcy korzystają jednak z tej ewidencji jak z książki telefonicznej i atakują inne firmy ofertami, a tak nie wolno ! Niedawno dostałem ofertę od jednej dużej firmy. W jakie zdumienie wpadłem czytając na dole oferty krótki zapis:

„… Państwa dane osobowe zostały pozyskane z bazy danych z Głównego Urzędu Statystycznego, zgodnie z art. 7a ustawy z dnia 19 listopada 1999 roku Prawo działalności gospodarczej (Dz. U. z 1999 roku, Nr 101 poz 1178 ze zm.)…”

Ponad połowa roku za nami a tam w najlepsze ktoś rozsyła oferty powołując się na nieistniejący już artykuł ustawy. W związku z tą zmianą nie możemy już swobodnie sobie korzystać z tej bazy do rozsyłania własnych ofert, a w każdym bądź razie nie możemy się powoływać na ten zapis. Skoro dane osobowe przedsiębiorców podlegają ochronie danych osobowych to przy wysyłaniu oferty do niego powinniśmy się kierować takimi samymi zasadami jak w przypadku osoby fizycznej. Na dodatek w przypadku wysyłania informacji handlowej w postaci elektronicznej zahaczamy o kolejną ustawę o świadczeniu usług elektronicznych, która reguluje co możemy uznać za tzw. spam czyli niezamówioną informację handlową. Adres email przedsiębiorcy to w niektórych przypadkach są dane osobowe i podlegają ochronie i przestrzeganiu prawa. Jeżeli chcemy wysłać komuś ofertę powinniśmy poprzedzić to tzw. zapytaniem ofertowym czy wyraża na to zgodę. Ponadto pisząc takie zapytanie powinniśmy wyjaśnić skąd mamy dane tej osoby. Zapytanie ofertowe nie może przejawiać treści reklamowej, w związku z czym nie możemy wysłać informacji o takiej treści:

„… Czy chcielibyście Państwo otrzymać ofertę zakupu naszego nowego modelu odkurzacza jaki zamierzamy wprowadzić do stałej oferty naszego sklepu ? Jeżeli tak to prosimy o zgodę…”

Wskazuje ona wyraźnie produkt i może być uznana za reklamę. Należałoby napisać zapytanie wskazując np. tak „…Czy chcielibyście Państwo otrzymać ofertę handlową z branży urządzeń czyszczących…

Korzystać z tej ewidencji można jednak nie można w ofertach powoływać się na uchylony artykuł ustawy, ponieważ na dzień dzisiejszy on nie istnieje.

 

Dane powszechnie dostępne

Zmieniła się również definicja danych osobowych powszechnie dostępnych, o których mowa w art. 43.1. pkt. 9 Ustawa o ochronie danych osobowych. Za dane powszechnie dostępne w przypadku osób prowadzących działalność gospodarczą uznaję się wszystkie te dane, które on sam podaje do publicznej wiadomości. Najlepszym przykładem takich danych mogą być dane kontaktowe na internetowej stronie firmowej. Jeżeli budujemy sobie bazę potencjalnych klientów z sektora b2b w oparciu o źródła takie jak branżowe katalogi firm np. Panorama Firm, Polskie Książki Telefoniczne, itp. to zbiór takich danych osobowych nie podlega zgłoszeniu do GIODO ze względu na wyłączenie go z obowiązku rejestracji zgodnie z wyżej wspomnianym przeze mnie artykułem ustawy. Jednak tworząc ofertę handlową powinniśmy mieć na uwadze prawo osoby do ochrony danych, oraz zapisy ustawy o świadczeniu usług drogą elektroniczną dotyczącą dostarczania niezamówionej informacji handlowej art. 10.1 ustawy z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną (Dz.U. Nr. 144 poz. 1204 z późń. zm.), art. 10.3. ustawie o zwalczaniu nieuczciwej konkurencji. Działanie takie kwalifikuje się jako wykroczenie, za które można dostać karę z UOKiK. Czy jest więc sposób na wysyłanie ofert handlowych bez poprzedzenia zapytaniem ofertowym ? Odpowiadam jest. Powinniśmy do tego wykorzystać wszelkie możliwości własne do pozyskiwania adresów. Najlepszym przykładem może być formularz kontaktowy na naszej stronie internetowej, na której osoba wyrazi zgodę na otrzymywanie ofert handlowych od nas. Kolejnym przykładem może być stworzenie bazy adresów email składających się z nazw nieuznawanych za dane osobowe np. biuro@nazwafirmy.pl, kontakt@nazwafirmy.pl, sklep@nazwafirmy.pl. Takie adresy nie podlegają ustawie o ochronie danych osobowych wobec czego nie podlegają pod ochronę z racji ustawy. Jednak można posądzić nadawcę o rozsyłanie spamu, toteż zawsze warto w treści oferty napisać skąd dysponujemy tym adresem oraz zapewnienie, że jeżeli firma nie jest zainteresowana otrzymywaniem ofert od nas to prosimy o informację dotyczącą usunięcia ich adresu z naszej bazy. Wykształtuje nam się w ten sposób baza adresowa naszych potencjalnych klientów, których możemy informować o naszych produktach. Sprawa wysyłania ofert niezamówionych ofert jeśli dobrze się w nią wczytać nie jest do końca jasna i różnie jest ona interpretowana. Podane przeze mnie przykłady adresów email z pewnością nie podlegają pod ustawę o ochronie danych osobowych.

 

Planowane zmiany GIODO w kwestii zwiększenia liczby kontroli w firmach.

Z przytoczonego przez mnie wcześniej wystąpienia GIODO przed Sejmem w sprawie sprawozdania swojej działalności za lata 2009 – 2010, wskazał zwiększenie rejestracji zbiorów przez firmy i instytucje. Niestety lub pewnie dla przedsiębiorców to dobra wiadomość – liczba przeprowadzonych kontroli nie zmieniła się za wiele. Główną przyczyną tego faktu jest ograniczony budżet tego organu. Jednym z planów jakie zasłyszałem wiele razy było wprowadzenie oddziałów terytorialnych GIODO tak aby w każdym mieście wojewódzkim znalazła się jednostka terenowa Generalnego Inspektora Ochrony Danych Osobowych np. działająca przy Urzędzie Wojewódzkim. Z pewnością takie rozwiązanie spowodowałoby wzmożenie liczby kontroli poza miastem stołecznym Warszawa. Póki co nie ma funduszy w i tak dziurawym budżecie naszego państwa na zwiększenie wydatków na działanie Generalnego Inspektora. Z drugiej jednak strony gdyby wnikliwie zabrać się za przestrzeganie ustawy o ochronie danych osobowych przez przedsiębiorców to ta instytucja byłaby bardzo dochodowa. Temat ochrony danych osobowych przez wiele firm jest traktowany bardzo po macoszemu i w zasadzie przedsiębiorcy zaczynają się interesować tematem kiedy wpływają na niego skargi, słyszał o kontrolach w innych firmach, lub też wyniknie jakaś afera np. z wyciekiem danych, lub w stylu klauzule niedozwolone w regulaminach sklepów internetowych. Biorąc pod uwagę możliwość zastosowania przymusu w postaci kar na przedsiębiorców oraz szybką ich ściągalność to wiele firm mogłoby popaść w kłopoty. Jednak dla uspokojenia wszystkich zainteresowanych na razie temat jednostek terenowych upadł, natomiast są plany aby wzmocnić pozycję ABI w firmie o uprawnienia kontrolera z GIODO.

 

ABI kontroler GIODO

Drugim pomysłem Generalnego Inspektora Ochrony Danych Osobowych na wzmożenie kontroli w firmach jest właśnie zmiana zasad funkcjonowania ABI w firmie. ABI, czyli Administrator Bezpieczeństwa Informacji to osoba wyznaczona przez Administratora Danych Osobowych (ADO) do pełnienia nadzoru i kontroli w firmie nad właściwym przestrzeganiem zasad przetwarzania danych osobowych zawartych w polityce bezpieczeństwa informacji, instrukcji zarządzania systemem informatycznym oraz ustawie o ochronie danych osobowych, która stoi na czele tych zasad. Pomysł wygląda następująco:

Przedsiębiorca byłby zwolniony z obowiązku zgłaszania zbioru danych osobowych jeżeli nie przetwarza danych uznanych za dane sensytywne, które to definiuje art. 27.1 ustawy.

„…dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym…”

Jednak administrator danych osobowych musiałby zgłosić właśnie Administratora Bezpieczeństwa Informacji. Ten natomiast miałby niektóre uprawnienia, które na dzień dzisiejszy są zarezerwowane dla inspektorów GIODO. Podczas wywiadu jaki udzielił Generalny Inspektor w Trzecim programie Polskiego Radia w „Pulsie Trójki” dowiadujemy się:

… – Zaproponowaliśmy wspólnie z Ministerstwem Gospodarki, żeby w kolejnej ustawie deregulacyjnej znalazły się przepisy, które – z jednej strony – zlikwidowałyby obowiązek rejestracji zbiorów danych osobowych w tych przypadkach, w których nie jest to konieczne i stanowi zbędne obciążenie administracyjne, a z drugiej – umożliwiły przeprowadzanie swego rodzaju wirtualnych kontroli…”

Ta wirtualna kontrola, ma polegać na zleceniu kontroli wewnętrznej ABI przez GIODO na jego określonych zasadach. Jak widać bardzo wzmocni to pozycję administratora bezpieczeństwa informacji w firmie, ponieważ wzrośnie jego odpowiedzialność za jego działania. Jednocześnie też ABI w firmie będzie pewnego rodzaju zapewnieniem zgodności przetwarzania do czasu poważnych uchybień lub sytuacji, które zaniepokoiłby GIODO czego powodem mogłaby być kontrola odgórna. Możliwość taka byłaby w przypadku np. wycieku danych, lawinowo sypiących się skarg od osób, których dane dotyczą na niezgodną z ustawą działalność firmy przy przetwarzaniu danych.

Projekt ten nie znalazł zbyt dużego uznania w Polskiej Konfederacji Pracodawców Prywatnych LEWIATAN uznając, że proponowane zmiany doprowadziłyby do utworzenia nowej grupy zawodowej, będącej w praktyce utrzymywaną przez przedsiębiorcę i osadzoną w strukturze firmy jednostką GIODO. Kolejną obawą jest egzekwowanie pewnej zależności na linii pracownik – pracodawca zatrudnionej osoby na stanowisku ABI. Szczerze przyznaję, że nie wiem jak miałoby to wyglądać. Tutaj bardziej skłaniałbym się do outsourcingu usług ABI, ponieważ z obu stron umowę taką można w dość prosty sposób wypowiedzieć. Z doświadczenia dodam, że jeżeli firma, w której pełnię obowiązki ABI nie stosuje się do moich zaleceń to staram się zakończyć współpracę bo uważam to za bezsensowne działanie z obu stron i szkoda na to nerwów i kłopotów. Propozycja zmian dla mnie jest pisana typowo pod outsourcing tej usługi.

 

Na podsumowanie dodam co wypada zapamiętać. Od stycznia bieżącego roku dane osobowe przedsiębiorcy podlegają ochronie danych osobowych. Nie można się powoływać na uchylony art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a co za tym idzie wykorzystywać danych z CEIDG do swoich działań w ramach marketingu oferowanych przez siebie usług czy produktów. Jeżeli ustawa deregulacyjna, o której wspominał GIODO w swoim wywiadzie w radiowej „Trójce” wejdzie w życie nastąpią zmiany złagodzenia przepisów ochrony danych osobowych związanych z rejestracją zbiorów, jednak wzmocni to pozycję ABI w firmie oraz odpowiedzialność za swoje działania, ponieważ będzie on gwarantem przestrzegania ustawy o ochronie danych osobowych przez administratora danych.

 


Artykuł dotyczący ochrony danych osobowych pochodzi z magazynu Mensis.pl nr 10. Autor Krzysztof Krawczyk


1 komentarz

  1. janush 26-06-2015

Zostaw odpowiedź