Zagadnął mnie P.T. Czytelnik: czy na gruncie „konstytucji dla biznesu” dane osobowe przedsiębiorców prowadzących jednoosobową działalność gospodarczą (wpisanych w CEIDG) będą podlegały ochronie?
Pytanie o tyle zasadne, że stan prawny zmieniał się w ostatnich latach jak w kalejdoskopie, jednak od dwóch lat mamy powrót do starego, rozsądnego racjonalnego rozwiązania — dane osobowe „ludzi z firmą” zasadniczo nie podlegają przepisom ustawy o ochronie danych osobowych.
art. 50 ustawy z 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz.U. z 2018 r. poz. 647)
Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.
Spieszę donieść, że po wejściu w życie „konstytucji dla biznesu” nic się nie zmienia: zgodnie z art. 50 ustawy o CEIDG w odniesieniu do jawnych danych i informacji dostępnych w ewidencji ustawy o ochronie danych osobowych nie stosuje się — z wyjątkiem kontroli GIODO oraz obowiązku zabezpieczenia danych.
Wnikliwi zauważą, że przepis odnosi się do ustawy, która już wkrótce odejdzie w niebyt — co zatem z danymi osobowymi przedsiębiorców po wejściu w życie Rozporządzenia o Ochronie Danych Osobowych?
Sięgając do motywu 14 RODO mam wrażenie, że prawodawca unijny nie miał wątpliwości, że wyłączone spod regulacji są tylko „dane osobowe osób prawnych” (co samo w sobie brzmi jak bohomaz) — zaś osobie fizycznej przysługuje ochrona niezależnie od jej statusu.
Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych — niezależnie od ich obywatelstwa czy miejsca zamieszkania — w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Osobiście uważałbym to za pewien krok wstecz — oczywiście zdaję sobie sprawę z tego, że publiczny CEIDG może całkowicie wystarczać do osiągnięcia celu, w jakim się go wymyśliło i utrzymuje — ale chyba w owym „otwarciu” danych chodziło o coś więcej.