Dane osobowe przedsiębiorców wpisanych w CEIDG

Zagadnął mnie P.T. Czytelnik: czy na gruncie „konstytucji dla biznesu” dane osobowe przedsiębiorców prowadzących jednoosobową działalność gospodarczą (wpisanych w CEIDG) będą podlegały ochronie?

Pytanie o tyle zasadne, że stan prawny zmieniał się w ostatnich latach jak w kalejdoskopie, jednak od dwóch lat mamy powrót do starego, rozsądnego racjonalnego rozwiązania — dane osobowe „ludzi z firmą” zasadniczo nie podlegają przepisom ustawy o ochronie danych osobowych.

art. 50 ustawy z  6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz.U. z 2018 r. poz. 647)
Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.

Spieszę donieść, że po wejściu w życie „konstytucji dla biznesu” nic się nie zmienia: zgodnie z art. 50 ustawy o CEIDG w odniesieniu do jawnych danych i informacji dostępnych w ewidencji ustawy o ochronie danych osobowych nie stosuje się — z wyjątkiem kontroli GIODO oraz obowiązku zabezpieczenia danych.

Wnikliwi zauważą, że przepis odnosi się do ustawy, która już wkrótce odejdzie w niebyt — co zatem z danymi osobowymi przedsiębiorców po wejściu w życie Rozporządzenia o Ochronie Danych Osobowych?

Sięgając do motywu 14 RODO mam wrażenie, że prawodawca unijny nie miał wątpliwości, że wyłączone spod regulacji są tylko „dane osobowe osób prawnych” (co samo w sobie brzmi jak bohomaz) — zaś osobie fizycznej przysługuje ochrona niezależnie od jej statusu.

Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych — niezależnie od ich obywatelstwa czy miejsca zamieszkania — w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Osobiście uważałbym to za pewien krok wstecz — oczywiście zdaję sobie sprawę z tego, że publiczny CEIDG może całkowicie wystarczać do osiągnięcia celu, w jakim się go wymyśliło i utrzymuje — ale chyba w owym „otwarciu” danych chodziło o coś więcej.

39 comments for “Dane osobowe przedsiębiorców wpisanych w CEIDG

  1. sjs
    6 kwietnia 2018 at 12:14

    A jak się do tego mają dane osobowe w KRS, np nr PESEL wspólników czy członków zarządów?

    • Olgierd Rudak
      9 kwietnia 2018 at 10:18

      Moim zdaniem odnosi się do tego zd. 2 owego motywu 14 RODO — „dane osobowe dotyczące osób prawnych”; dotyczące, więc powiązane, czyli odnoszące się do członków organów, etc.

      • ja
        10 kwietnia 2018 at 09:53

        Tylko, że PESEL nie należy do danych dotyczących osób prawnych tylko jest powiązany z osobą fizyczną.

        • 10 kwietnia 2018 at 10:36

          Oczywiście, że PESEL jest daną osobową osoby fizycznej — pytanie jednak jak rozumieć słowo „dotyczyć”. IMHO wyraz ten można rozumieć także jako „powiązanie” (człowieka z osobą prawną), wówczas moje dane osobowe „dotyczą” tej osoby prawnej.
          Nb. w przeciwnym razie zd. 2 nie miałoby w ogóle sensu — wystarczałoby „rozporządzenie dotyczy danych osobowych każdej osoby fizycznej, kropka”.

  2. 12 kwietnia 2018 at 14:58

    Od dawna twierdzę, że ta sraczka legislacyjna na punkcie danych osobowych do żadnych logicznych wniosków prowadzic nie może.

  3. Paweł
    22 kwietnia 2018 at 12:22

    Czyli od maja te różne panoramy firm będą musiały zniknąć? Czy tylko usuną informację o właścicielu i będzie tak jak było?

    • 22 kwietnia 2018 at 12:53

      Albo przeniosą swoją działalność do jakiegoś normalnego kraju.

      • Paweł
        23 kwietnia 2018 at 10:46

        Niby rodo jest eksterytorialne. Ale może trochę ciężko z egzekucją tych obowiązków.

    • Olgierd Rudak
      23 kwietnia 2018 at 19:15

      „Ochrona” danych osobowych nie oznacza, że dane te nie mogą być „upowszechniane” — ani też, że jeśli już, to tylko za zgodą :)

      • Paweł
        23 kwietnia 2018 at 19:21

        To do końca nie rozumiem. Czyli akurat w tej sprawie nic się nie zmieni? Te serwisy będą mogły legalnie działać jak działały?

        • Olgierd Rudak
          23 kwietnia 2018 at 19:25

          Tego nie wiem, ale wiem, że przejściowe okresy, w których dane z CEIDG były danymi osobowymi nie zmieniły nic jeśli chodzi o działalność takich serwisów.

          • Paweł
            23 kwietnia 2018 at 21:45

            No, ale teraz coś że kary. Chociaż mi się zdarzyło do GIODO napisać skargę na taki serwis, to przez dwa lata jak ją rozpatrywali to właśnie te przepisy się zmieniły i ją odrzucono. Ale może teraz będzie lepiej?

            • 24 kwietnia 2018 at 09:43

              A jaka była przyczyna skargi i dlaczego ją odrzucono?
              Bo w znanych mi „ekstremalnych” przypadkach jest tak, że jest skarga, GIODO wszczyna postępowanie, prosi administratora o wyjaśnienie, administrator podaje podstawę przetwarzania, ale informuje, że dane usunął — GIODO umarza postępowanie (bo skoro dane usunięte, to nie ma problemu).

              RODO tutaj wiele nie zmieni :)

              • Paweł
                24 kwietnia 2018 at 09:55

                Przyczyną było publikowanie moich danych na czyjejś stronie bez mojej zgody. No i faktycznie umorzono we wspomniany sposób: „W przedmiotowej sprawie decydującym jest fakt, że Spółka usunęła dane osobowe Skarżącego i aktualnie nie są one przetwarzane w sposób zakwestionowany w treści skargi. Tym samym stwierdzić należy, że postępowanie stało się bezprzedmiotowe, w związku z czym należy je umorzyć.” Ale w kolejnym zdaniu napisali, że dane z CEIDG nie obowiązuje ustawa o ochronie danych osobowych i sądziłem, że to jest faktyczny powód, dla którego nic się w tej sprawie nie robi.

              • Olgierd Rudak
                24 kwietnia 2018 at 10:40

                Okoliczność, że dane CEIDG nie podlegają tak ścisłej ochronie byłaby podstawą do wydania decyzji wówczas, gdyby podmiot nie usunął owych danych osobowych. Zapewne nie byłoby to wówczas umorzenie postępowania, lecz decyzja, w której GIODO stwierdzałby, że wszystko jest OK.

                Ale zwracam uwagę, że nawet w RODO podstawą przetwarzania nie jest tylko zgoda osoby (ba, przesłanek przetwarzania jest nawet więcej niż w UoODO!), mianowicie:

                art. 6 ust. 1 Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

                a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

                b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

                c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

                d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

                e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

                f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

                Myślę, że „przeglądy ludzi z firmą” mogą szukać podstawy do dalszego funkcjonowania właśnie w jednym z tych przepisów.

  4. Paweł
    24 kwietnia 2018 at 11:00

    Dziękuję za wyjaśnienie.

    A czyli biorąc pod uwagę:

    przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

    Można powiedzieć, że każda komercyjna strona internetowa może dane przetwarzać – bo ostatecznie ma przynieść pieniądze „na chleb” jej właścicielom i pracownikom – a posiadanie źródła utrzymania zdaje się być w czyimś żywotnym interesie. ;)

    • Olgierd Rudak
      24 kwietnia 2018 at 11:05

      Cóż, myślę, że żywotnym interesem „innej osoby fizycznej” nie może być interes administratora danych osobowych.

      W tym przypadku natomiast myślałbym o dostępie do informacji o podmiotach prowadzących działalność gospodarczą. Oczywiście CEIDG istnieje i jest dla wszystkich, w dodatku zapewnia aktualną informację (największą bolączką niektórych „zbieraczków” jest to, że leżą takie dane, jakie zostały pobrane), ale z drugiej strony nie każdy wie, umie, etc. (nawet wyszukiwarka niektórym może sprawić kłopot).

      • Olgierd Rudak
        27 kwietnia 2018 at 18:42

        Akurat dostałem wiadomość od Bisnode (cud, że nie wpadła do spamu!), idzie tak:

        3. Pani/Pana dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. f RODO, tj. w oparciu o niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią.

        4. Prawnie uzasadnione interesy realizowane przez Spółkę polegają na oferowaniu klientom produktów, które przede wszystkim przyczyniają się do zwiększenia stabilności i bezpieczeństwa obrotu gospodarczego. Takie produkty dostarczają również klientom Bisnode informacji na temat płynności finansowej ich klientów i kontrahentów oraz pozwalają w ten sposób minimalizować ryzyko nawiązywania relacji biznesowych z nierzetelnymi partnerami. Spółka udostępnia także dane ułatwiające przeprowadzenie skutecznych kampanii marketingowych. Przetwarzanie danych osobowych na potrzeby ww. produktów mieści się w zakresie działalności gospodarczej Bisnode, ujawnionym w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego. Co więcej, przetwarzanie danych jest niezbędne, aby Spółka mogła tworzyć i dostarczać swoim klientom takie produkty. (…)

        5. Pani/Pana dane osobowe są przetwarzane w celu dostarczania klientom Bisnode kompleksowej informacji gospodarczej w ramach oferowanych przez Spółkę produktów, jak również w celach statystycznych.

        (łącznie 16 punktów)

        • sjs
          27 kwietnia 2018 at 18:51

          W ten sposób to można przetwarzać (prawie) wszystkie dane dotyczące każdej osoby.

        • Paweł
          28 kwietnia 2018 at 18:03

          Też dostałem coś takiego. Czy to oznacza, że mają obowiązek informować o przetwarzaniu czy to ich nadgorliwość? Jak tak to ciekawe czy będą wysyłali zwykłe listy do ludzi co nie podali maila (swoją drogą to kolejny powód żeby tego maila tam nie podawać). A i w tym mailu jest informacja, że mam prawo żądać usunięcia informacji (i zakładam, że oni spełnią takie żądanie), czy faktycznie mam takie prawo czy to tylko miły gest z ich strony? Bo ja to rozumiem tak, że skoro uważają, że te dane wolno przetwarzać bez mojej zgody, to jej „wycofanie” (tzn. wyrażenie sprzeciwu) nie powinno mieć znaczenia.

          • Olgierd Rudak
            28 kwietnia 2018 at 21:46

            Obowiązek informowania o przetwarzaniu danych „pobranych” nie od osoby, której dane są przetwarzane był zawsze (art. 25 uoodo), ale się nie przyjął.

            Żądać usunięcia danych można, natomiast w pewnych sytuacjach administrator może odmówić spełnienia tego żądania. Zawsze można poćwiczyć :)

            • Paweł
              2 maja 2018 at 21:39

              W artykule 14 jest o informowaniu.

              Nałożenie obowiązku udzielenia informacji nie jest jednak konieczne, jeżeli […] wymagałoby niewspółmiernie dużego wysiłku. […] Uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.

              Ktoś by mógł powiedzieć, że wysłanie listu do milionów osób jest dla niego dużym wysiłkiem.

              • Olgierd Rudak
                3 maja 2018 at 09:15

                Najlepsze jest to, że media plotą, że RODO to duże obciążenie dla przedsiębiorców, a mnie się wydaje, że 90% jest tak samo, 5% to więcej obowiązków (dane dzieci, wyartykułowana anonimizacja danych i usuwanie), a 5% to większy luz (brak rejestracji zbiorów i ABI, więcej przesłanek przetwarzania, mniej dokumentacji, możliwość zwolnienia się z pewnych obowiązków ze względu na ich uciążliwość).

                BTW mailing do milionów to generalnie duże obciążenie, prawda.

    • Katarzyna
      6 lipca 2018 at 13:06

      I może – strona aleo (ING bank ) wrzuca dane jednoosobowych firm do bazy i nei można ich usunąć, nawet na wyraźne żądanie

      • 14 sierpnia 2018 at 12:45

        no własnie i co z nimi zrobić? Pisałam juz ze 3 maile i oni każą wykazać moją „szczególną sytuację”, która oni ocenią i na tej dopiero podstawie, usuną lub nie moje dane. Nie sądze jednak, żeby jakikolwiek podany przeze mnie powód uznali za ważniejszy niż realizowane przez nich interesy. No chyba, że stane sie świadkiem koronnym… Dramat… Ja rozumiem, CIDG, Baze regon, ale serwis aleo, który w zaden sposób nie zabezpiecza danych? I po co im informacje o firmach ktore nie działają, albo takich jednoosobowych działalnościach gospodarczych, które są zakładane jedynie po żeby podjać zatrudnienie, bo pracodowaca nie chce ich zatrudnić na umowe o prace jak w cywilizowanym kraju.

  5. Paweł
    29 kwietnia 2018 at 20:22

    Żądać usunięcia danych można, natomiast w pewnych sytuacjach administrator może odmówić spełnienia tego żądania.

    W pewnych? Bo to może nie najlepszy przykład, ale jeżeli ktoś w interesie publicznym umieści na stronie list gończy, to trochę głupio by było gdyby poszukiwany mógł powiedzieć „sorry, nie macie mojej zgody, proszę to usunąć”. Więc jeżeli teoretycznie w interesie publicznym działałaby taka panorama, to chyba też mogłaby odmówić takiemu żądaniu.

    • Olgierd Rudak
      29 kwietnia 2018 at 21:10

      Oczywiście, uważam, że dostarczane informacje gospodarcze o przedsiębiorcach,

      przyczyniają się do zwiększenia stabilności i bezpieczeństwa obrotu gospodarczego (…) oraz pozwalają w ten sposób minimalizować ryzyko nawiązywania relacji biznesowych z nierzetelnymi partnerami.

      Natomiast nie sądzę, by ów cel marketingowy też się tutaj mieścił, chyba że traktować go łącznie z tym co powyżej.

  6. Paweł
    3 maja 2018 at 11:49

    Najlepsze jest to, że media plotą, że RODO to duże obciążenie dla przedsiębiorców, a mnie się wydaje, że 90% jest tak samo, 5% to więcej obowiązków (dane dzieci, wyartykułowana anonimizacja danych i usuwanie), a 5% to większy luz.

    Jest to faktycznie duży problem dla ludzi prowadzących hobbystyczne strony internetowe. Używasz Google Analytics – powinieneś przygotować mechanizm do wyrażania zgody i odpalać GA dopiero po jej wyrażaniu, do tego powinieneś poinformować użytkownika co właściwie jest przetwarzane (a Google chyba tego nie mówi). To samo jak ma się przycisk do lajkowania na facebooku. Udział w sieci reklamowej – to samo. Do tego dochodzą ludzie co mówią, że bez zgody nie powinno się zapisywać adresów IP – więc do zmiany jest mechanizm komentowania czy logowania serwera www.

    • Olgierd Rudak
      3 maja 2018 at 20:48

      Używasz Google Analytics – powinieneś przygotować mechanizm do wyrażania zgody i odpalać GA dopiero po jej wyrażaniu

      To jedna z tzw. GDPR-legends. Na GA nie potrzeba zgody, podobnie jak nie potrzebuje jej Bisnode dla świadczenia swoich usług.

  7. Anonim
    25 maja 2018 at 15:15

    nie wiem czy ktoś zwrócił uwagę ale w CEIDG Firma przedsiębiorcy to zazwyczaj nazwa „XXXX Jan Kowalski”; wiec ta nazwa podlega ustawie jako dana osobowa???

    • Olgierd Rudak
      25 maja 2018 at 15:27

      Warto zwrócić uwagę, że nazwa (firma) przedsiębiorcy jednoosobowego zawsze musi składać się z jego imienia i nazwiska ;-)

      Niemniej bardzo-bardzo możliwe, że od dziś te dane podlegają ochronie jak wszystkie inne dane osobowe.

    • Anonim
      19 czerwca 2018 at 15:16

      Czy ktoś zna odpowiedź na to pytanie? czy dane firmy xxx Jan Kowalski to dane osobowe?

      • Olgierd Rudak
        19 czerwca 2018 at 15:27

        Tak, dane osobowe przedsiębiorców prowadzących jednoosobową działalność gospodarczą na podstawie wpisu do CEIDG są danymi osobowymi w rozumieniu RODO oraz ustawy o ochronie danych osobowych — wyłączenie z art. 50 ustawy o CEIDG nie działa po 25 maja 2018 r.

        • 123tomek
          19 czerwca 2018 at 21:39

          Tak, dane osobowe przedsiębiorców prowadzących jednoosobową działalność gospodarczą na podstawie wpisu do CEIDG są danymi osobowymi w rozumieniu RODO oraz ustawy o ochronie danych osobowych — wyłączenie z art. 50 ustawy o CEIDG nie działa po 25 maja 2018 r.

          Pytanie czy jest to stan przejściowy bo przecież ustawa o ochronie danych osobowych to obecnie zalążek a docelowo ma mieć wpływ na dziesiątki jeśli nie setki ustaw. Moim zdaniem dojdą i do ustawy o CEIDG ale na to trzeba czasu (bo przecież te 2 lata od ogłoszenia RODO to było „niewiadomonaco” i prace nad ustawo o ochronie danych rozpoczęto na miesiąc przed RODO.

  8. Marzena
    3 lipca 2018 at 20:36

    czy zgodnie z RODO dane osobowe tj. pesel, adres zameldowania udziałowców w spółce z o.o. będą ogólnie dostępne w krs ? tak jak dotychczas ? są to przecież wrażliwe dane osobowe, a spółka posiada swój nip ,regon,siedzibę ,telefony etc

    • Olgierd Rudak
      3 lipca 2018 at 20:50

      To nie są dane wrażliwe, a adres zameldowania (a nawet adres zamieszkania) nie jest ogólnie dostępny w KRS. Adres jest dostępny wyłącznie w aktach (trzeba się przejść do czytelni) i tylko w postaci nieszczęsnego adresu do doręczeń (ale nie ma go, jeśli udziałowcy wyznaczą inny organ jako właściwy do powoływania zarządu).

      Ani RODO, ani nowa ustawa o ochronie d.o. nie znowelizowała przepisów o KRS — zatem jak na razie numer PESEL jest dostępny w KRS.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.