RODO chroni dane osobowe, a zatem wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Rozporządzenie nie obejmuje swoim zakres danych dotyczących spółek. Co jednak w przypadku, gdy dane osób fizycznych pojawią się w publicznych rejestrach przedsiębiorców? Czy podlegają ochronie wynikającej z RODO? Czy fakt ich upublicznienia pozwala je dowolnie wykorzystywać? Dowiesz się z poniższego artykułu, czy dane osobowe przedsiębiorców wpisanych w CEIDG i KRS podlegają ochornie!
Jakie dane osobowe można odnaleźć w publicznych rejestrach przedsiębiorców?
Obecnie funkcjonują dwa publiczne rejestry przedsiębiorców. Rejestr przedsiębiorców Krajowego Rejestru Sądowego (KRS), w którym odnajdziemy dane dotyczące spółek handlowych, tj. spółki jawnej, partnerskiej, komandytowej, komandytowo-akcyjnej, spółki z ograniczoną odpowiedzialnością oraz spółki akcyjnej. W tym rejestrze odnaleźć można również informacje dotyczące fundacji i stowarzyszeń. Z kolei jednoosobowi przedsiębiorcy oraz spółki cywilne zarejestrowane są w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).
W CEIDG znajdziemy szereg informacji, które pozwolą nam zidentyfikować – pośrednio lub bezpośrednio – osobę fizyczną (przedsiębiorcę), w tym m.in. imię i nazwisko przedsiębiorcy, numer identyfikacji podatkowej czy dane teleadresowe prowadzone działalności gospodarczej. Nierzadko pojawia się równie adres e-mail przedsiębiorcy bądź numer telefonu. W KRS z kolei znajdziemy imiona i nazwiska członków zarządu i wspólników spółek, numery PESEL czy pełnione przez dane osoby funkcje w danej spółce.
RODO a dane z publicznego rejestru
Do wejścia w życie Ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku obowiązywała regulacja, która zezwalała na swobodne przetwarzanie danych osobowych zawartych w publicznych rejestrach. W art. 50 ustawy o CEIDG można było przeczytać, że do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy. Kontaktowanie się z przedsiębiorcami ujawnionymi w rejestrze nie wymagało wtedy spełnienia dodatkowych wymogów czy informowania ich, że ich dane zostały wpisane do bazy danych, którą dysponujemy. Powyższy przepis został uchylony przez ustawę o ochronie danych osobowych z 2018 roku. Obecnie zatem do danych osobowych ujawnionych w publicznych rejestrach stosuje się takie same zasady wynikające z RODO jak do wszelkich innych danych.
Jakie obowiązki wiążą się z przetwarzaniem danych z rejestru?
RODO nie wyłącza w odniesieniu do administratora danych osobowych publicznie dostępnych stosowania zasad i obowiązków wynikających z tego rozporządzenia. Co do zasady zatem, korzystając z danych osobowych dostępnych w jawnych rejestrach, powinniśmy spełnić wszelkie wymogi wynikające z RODO. Stosowanie RODO do danych z publicznych rejestrów nie oznacza, że danych tych nie można przetwarzać. Należy się jednak każdorazowo zastanowić, czy posiadamy legalną podstawę do ich przetwarzania (np. zgodę lub uzasadniony interes) oraz wypełnić obowiązek informacyjny wobec danej osoby.
Wyjątki od obowiązku przekazywania klauzuli
Zgodnie z RODO spełnienie obowiązku informacyjnego nie jest konieczne, jeżeli utrwalenie lub ujawnienie danych jest wyraźnie przewidziane prawem. Dlatego też nie otrzymamy klauzuli informacyjnej w związku ze wpisem naszych danych do CEIDG bądź KRS.
RODO przewiduje jednak również, że przekazanie klauzuli informacyjnej może nie być konieczne w przypadku, gdy takie działanie okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
-
przetwarzanie służy celom archiwalnym w interesie publicznym,
-
celom badań naukowych lub historycznych,
-
celom statystycznym.
Uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.
Kara RODO dla brokera danych za niewypełnienie obowiązku informacyjnego
Niespełnienie obowiązku informacyjnego wobec przedsiębiorców, których dane zostały ujawnione w CEIDG było podstawą do wydania pierwszej w Polsce kary Prezesa UODO. Broker danych osobowych za niepoinformowanie podmiotów danych o przetwarzaniu otrzymał karę na kwotę prawie 1 mln zł. W wyniku zaskarżenia decyzji Prezesa UODO kara została jednak uchylona przez sąd.
Rozpatrując powyższą sprawę, sąd z jednej strony jasno stanął na stanowisku, iż okoliczność, że dane i informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do tych danych i informacji ujawnionych w rejestrze (art. 45 ust. 1 ustawy o CEIDG) nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dane zostały w CEIDG zgromadzone.
Sąd uznał za odpowiadającą prawu tę część decyzji Prezesa UODO, która dotyczyła niewypełnienia przez brokera danych obowiązku informacyjnego wobec przedsiębiorców, którzy obecnie prowadzą działalność gospodarczą oraz wobec tych, którzy działalność gospodarczą zawiesili zgodnie z informacjami przedstawionymi w rejestrze.
Zdaniem sądu zasadnie Prezes UODO stwierdził w odniesieniu do tych osób, że samo umieszczenie informacji wymaganych w art. 14 ust. 1 i ust. 2 RODO na stronie internetowej spółki nie może być uznane za wystarczające dla wypełnienia obowiązku informacyjnego.
Sąd słusznie zauważył, że skoro przeciętny przedsiębiorca wpisany do rejestru nie ma pojęcia o tym, że jego dane mogą być przetwarzane przez brokera danych, to tym bardziej nie zna nazwy takiej spółki, a zatem nie ma szans trafić na jej stronę internetową i zapoznać się z klauzulą informacyjną tam zawartą.
W ocenie sądu jednak zaskarżona decyzja Prezesa UODO w części, w jakiej nakazuje spółce dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 RODO byłym przedsiębiorcom, których wpis nadal widnieje w CEIDG – wydana została z naruszeniem prawa. Sąd podzielił wątpliwości ukaranej spółki co do trudności w pozyskaniu aktualnych danych kontaktowych w odniesieniu do osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą. W przypadku takich osób, które widnieją w rejestrze jako byli przedsiębiorcy, zdaniem sądu wykonanie obowiązku informacyjnego byłoby nadmiernie utrudnione, ponieważ wymagałoby pozyskania od byłych przedsiębiorców ich adresów lub danych kontaktowych. Ustalenie takich danych wobec liczby takich przedsiębiorców, których dane przetwarzał broker, byłoby zdaniem sądu niewspółmiernie trudne.
