Czy dane z CEIDG będą jawne?

Przedmiotem dzisiejszego wpisu jest omówienie nowych zasad korzystania z danych ujętych w CEIDG[1]. Zmiany o których mowa są związane z nowelizacją ustawy o swobodzie działalności gospodarczej. Komentowane przeze mnie przepisy wejdą w życie w maju następnego roku. Z uwagi na wagę zagadnienia postaram się wskazać na podstawowe cele i skutki nowelizacji z punktu widzenia ochrony danych osobowych.
W pierwszych słowach uzasadnienia projektu do ustawy czytamy, że konieczne jest zaproponowanie kolejnych rozwiązań prawnych mających na celu sprawniejszą i skuteczniejszą obsługę przedsiębiorców. Wprowadzenie zaproponowanych zmian przyczyni się również do skuteczniejszego wykonywania zadań związanych z prowadzeniem rejestru CEIDG, nałożonych na Ministra Gospodarki ustawą o swobodzie działalności gospodarczej.

W ramach wstępu przypomnijmy sobie jak sprawa wygląda obecnie. Zgodnie z literalnym brzmieniem art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej ewidencja działalności gospodarczej była jawna i dane osobowe w niej zawarte nie podlegały przepisom ustawy o ochronie danych osobowych. Taki stan trwał do dnia 31 grudnia 2011 roku. Później uchylono tą regulacje i z dniem 1 stycznia 2012r. dane przedsiębiorców dostępne w CEIDG podlegały ochronie na gruncie ustawy o ochronie danych osobowych.[2]

Ale to już przeszłość. Skupmy się na tym co będzie. Zgodnie z nowelizacją ustawy o swobodzie działalności gospodarczej, z dniem 18 maja 2016 roku jawne dane i informacje udostępniane w CEIDG nie podlegają ustawie o ochronie danych osobowych. Wyjątek stanowią jedynie przepisy odnoszące się do kontroli przetwarzania danych przez GIODO i zabezpieczeniu danych osobowych. Jak widać zmiany są ogromne. Przyjrzyjmy się im po kolei.

Literalne brzmienie dodanego art. 39 b

„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.”

Jakie dane przedsiębiorców z CEIDG są jawne? Zgodnie z art. 37 ustawy o swobodzie działalności gospodarczej CEIDG udostępnia dane określone w art. 25 ww. ustawy z wyjątkiem numeru PESEL, daty urodzenia oraz adresu zamieszkania, o ile nie jest on taki sam jak miejsce wykonywania działalności gospodarczej. Art. 25 ustawy o swobodzie działalności gospodarczej wprowadza szeroki katalog informacji jakie są jawne. Jest to m.in. numer identyfikacyjny REGON, numer identyfikacyjny NIP, informacja o obywatelstwie polskim przedsiębiorcy, data rozpoczęcia działalności gospodarczej, adres poczty elektronicznej przedsiębiorcy oraz jego strony internetowej, informacje o istnieniu lub ustaniu małżeńskiej wspólności majątkowej. Podkreślenia wymaga stwierdzenie, że dane osobowe zawarte w ewidencji nie podlegają przepisom ustawy o ochronie danych osobowych należy, jak się wydaje , odnosić wyłącznie do udostępniania danych, nie zaś do ich rozpowszechniania lub przetwarzania przez osoby, którym je udostępniono[3].

 Jakie zmiany dla procesu przetwarzania danych wniesie komentowana nowelizacja? Bez wątpienia będzie można „łatwiej” przetwarzać dane przedsiębiorców. W obecnym stanie prawnym przetwarzanie danych osób ujętych w CEIDG jest objęte takimi samymi wymogami jak przetwarzania danych osób fizycznych. Jako przykładu możemy użyć przetwarzania danych z CEIDG w celach marketingowych. Jeżeli dzisiaj chcielibyśmy w ten sposób przetwarzać dane, to powinniśmy uprzednio dopełnić obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych oraz zebrać zgody na przetwarzanie danych w celach marketingowych. Należałoby również zarejestrować odpowiedni zbiór danych w GIODO o ile wcześniej nie był zarejestrowany. Dopiero po spełnieniu wskazanych wymagań (oraz pozostałych z ustawy o ochronie danych osobowych) mogliśmy wysłać naszą ofertę marketingową.
W świetle znowelizowanych przepisów musimy wyłącznie odpowiednio zabezpieczyć pozyskane z CEIDG informacje. Odpowiednio, czyli spełniając wymagania wskazane w rozdziale 5 ustawy o ochronie danych osobowych. Warto podkreślić, iż zgodnie z nowymi przepisami nie musimy już zbierać zgód (czy zapewnić inną podstawę przetwarzania danych), dopełniać obowiązku informacyjnego czy rejestrować zbioru ale dalej powinniśmy w sposób odpowiedni zabezpieczać posiadane dane. Poprzez odpowiednie zabezpieczenia należy rozumieć nie tylko np. nie wyrzucanie dokumentów na śmieci ale również posiadanie polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym czy wydanie upoważnień do przetwarzania danych.

Ale to nie koniec zmian jakie przyniesie nowelizacja ustawy o swobodzie działalności gospodarczej. Nowelizacja dodaje kolejne przepisy odnoszące się do ochrony danych osobowych. Wskazuje na kwestie udostępnia danych z CEIDG. I tak:

  1. Dane dostępne w CEIDG mogą być nieodpłatnie udostępniane po uprzednim ustaleniu z ministrem właściwym do spraw gospodarki warunków udostępniania tych danych
  2. Podmioty, którym udostępniono dane CEIDG w trybie ust. 1, nie mogą przekazywać tych danych, ani ich fragmentów, innym podmiotom
  3. W zakresie nieuregulowanym w ust. 1 i 2 do ponownego wykorzystywania danych CEIDG stosuje się przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej
  4. CEIDG udostępnia zawarte w niej dane i informacje o uzyskaniu, cofnięciu, utracie lub wygaśnięciu uprawnień wynikających z koncesji czy licencji, a także informacji o zakazie wykonywania działalności gospodarczej organom państwowym w celu realizacji ich ustawowych zadań. Analogiczne organy państwowe nie mogą dalej przekazywać uzyskanych informacji, ani ich fragmentów

W przedmiotowym wpisie staram się wskazać na podstawowe zmiany jakie wejdą w życie w maju 2016 r.  Na chwilę obecną trudno jest mi jednoznacznie stwierdzić czy nowelizacja jest dobra czy też zła. Na pewno wzbudzi kontrowersje i stanie się zalążkiem do przyszłych rozważań nad skutecznością przyjętych rozwiązań . Czy nie jest tak, że cechą demokratycznego państwa jest pewność, stabilność i bezpieczeństwo prawa? Czy jawność informacji o przedsiębiorcach zmniejszy automatycznie ilość oszustw? Na chwilę obecną pytania te zostawiam bez odpowiedzi.

[1] Ustawa z dnia 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw

[2] http://www.giodo.gov.pl/1520021/j/pl/

[3] Andrzej Powałowski, Komentarz do art.7(a) ustawy – Prawo działalności gospodarcze, ABC, 2007

Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).

 

Czy numer telefonu to dana osobowa?

Na prośbę jednego z naszych Czytelników zmierzymy się dziś z problemem, czy numer telefonu to dana osobowa.

telefon

Wyobraźmy sobie, że jako ABI doradzamy naszemu mocodawcy, w jaki sposób należy dostosować smsowy konkurs do wymogów ustawy o ochronie danych osobowych. Konkurs polegać ma na tym, że w jednym z branżowych pism pojawi się ulotka reklamowa konkursu, zachęcająca czytelników do wysłania na podany numer telefonu wiadomości z wymyślonym przez czytelnika nowym hasłem reklamowych organizatora konkursu. Czy numer telefonu to dana osobowa? To podstawowe i najważniejsze pytanie w tym momencie (pozostałe kwestie związane z ochroną danych osobowych przy prowadzeniu konkursów zostaną omówione w innych artykułach). Odpowiedź na nie przesądza w omawianym przypadku o tym, czy do oceny konkursu stosować należy ustawę o ochronie danych osobowych.

Numer telefonu to ciąg cyfr identyfikujących abonenta telefonicznego, których wybranie za pomocą urządzeń telekomunikacyjnych (telefon, telefaks, modem) powoduje zestawienie połączenia, przy wykorzystaniu publicznej sieci telefonicznej, z żądanym abonentem (któremu ten numer został przypisany przez operatora telekomunikacyjnego). Format i schemat wybierania numerów telefonicznych w Polsce są określone przez ministra właściwego ds. łączności (obecnie Minister Administracji i Cyfryzacji) w Planie Numeracji Krajowej dla publicznych sieci telefonicznych. Z kolei numery telefoniczne przydziela operatorom Prezes Urzędu Komunikacji Elektronicznej (UKE). Skoro już wiemy co to jest numer telefonu od strony technicznej możemy przejść do sedna sprawy.

Definicję pojęcia danych osobowych zawiera art. 6 ustawy o ochronie danych osobowych. Poniżej zamieszczam jego treść:

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Z samej definicji możemy błyskawicznie wyciągnąć trzy wnioski. Chodzi o:

  1. wszelkie informacje,
  2. dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby,
  3. przyporządkowane osobie fizycznej.

Czy numer telefonu spełnia te wymogi? Tutaj, a więc w miejscu gdzie przechodzimy z poziomu przepisów na praktykę, zaczynają się schody… Nie mam wątpliwości, że warunki wymienione w pkt 1 i 3 powyżej mogą być spełnione. Co jednak z wymogiem, by informacja dotyczyła zidentyfikowanej lub możliwej do zidentyfikowania osoby? Czy jeśli mamy numer telefonu pozwoli to nam na identyfikację lub choćby potencjalną identyfikację? Czy jeśli mamy bazę 100 numerów telefonów, to ile z nich powinno pozwalać na identyfikację (również potencjalną identyfikację) osoby? Czy odpowiedź na ostatnie pytanie w ogóle ma znaczenie w kontekście omawianego problemu? Co w takim razie z art. 6 ust. 3 ustawy, a więc ograniczeniem definicji danych osobowych w przypadku, gdy ustalenie tożsamości wymagałoby nadmiernych kosztów czasu, lub działań? Co na to GIODO? W tym miejscu pozwolę sobie na dygresję. Nie wiem jak Ty Czytelniku, ale ja mam wrażenie, że im bardziej staram się znaleźć odpowiedź, tym więcej pojawia się pytań i niewiadomych. Tak to jest w branży ochrony danych osobowych… Pora na chwilę oddechu i zaraz wracam w następnej linii…

Moim osobistym zdaniem, numer telefonu pozwala zazwyczaj na identyfikację a jeszcze częściej na potencjalną identyfikację. Gdybyśmy stworzyli standardowy wzorzec człowieka, który korzystając ze standardowo dostępnych narzędzi miałby przyporządkować numer telefonu do jego właściciela, to jestem zdania, że w standardowej sytuacji operacja zakończyłaby się sukcesem i nastąpiłaby identyfikacja. W dobie książek telefonicznych, internetu, poczty elektronicznej nie wydaje się to trudne. Powyższe przesądza moim zdaniem również o tym, że ograniczenie definicji danych osobowych zawarte w art. 6 ust. 3 ustawy nie będzie miało w przypadku numeru telefonu zastosowania. Nie ma znaczenia czy mamy jeden numer telefonu czy więcej – ten wątek związany jest z tematem zbioru danych, ale o tym innym razem.

Oczywiście takie ujęcie tematu, że numer telefonu będzie zawsze daną osobową byłoby błędne. Na potrzeby niniejszego opracowania byłbym bardziej skłonny powiedzieć, że co do zasady, w standardowej sytuacji tak będzie. Oczywiście jeśli mamy bazę numerów, zdecydowanie bezpieczniej z punktu widzenia administratora danych jest przyjąć, że posiadając numery telefonów – administrator przetwarza dane osobowe. Jeden z moich znajomych zajmujących się bezpieczeństwem w IT odpowiedział na moje pytanie o identyfikację właściciela numeru telefonu w ten sposób:

Chcesz poznać imię i nazwisko właściciela numeru telefonu? Wykręć numer i zapytaj z kim masz przyjemność.

Fakty są takie, że odbierając połączenie od nieznanego mi numeru faktycznie się przedstawiam imieniem i nazwiskiem… Jeśli moje argumenty nie są w tej materii przekonujące, proszę o ciętą ripostę w komentarzach.

Bardzo trudno znaleźć jakiekolwiek przesądzające rozstrzygnięcie GIODO w tej materii. Na różnych spotkaniach w których biorą udział inspektorzy GIODO można usłyszeć sprzeczne informacje. Raz numer telefonu jest daną osobową, innym razem nie jest. Podobnie „lawirują” zazwyczaj wszelkiego rodzaju podmioty zajmujące się doradztwem w zakresie ochrony danych osobowych, a nawet kancelarie prawne. Udało mi się dotrzeć jednak do jednej z sygnalizacji GIODO. Sprawa dotyczyła ujawnienia prywatnych numerów telefonów policjantów. W tejże właśnie sygnalizacji (DOLiS-440-211/07) GIODO stwierdził, że:

W świetle przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, nie budzi wątpliwości, iż numer telefonu jest daną osobową w rozumieniu art. 6 ust. 1 ustawybowiem dotyczy możliwej do zidentyfikowania osoby fizycznej. Ponadto wskazać należy, iż na podstawie art. 159 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.) ww. dana objęta jest tajemnicą telekomunikacyjną.

Proszę jednak aż tak bardzo nie sugerować się przywołanym stanowiskiem GIODO. To tylko sygnalizacja…

Co na to Świat? Poniżej kilka cytatów.

Data Protection Technical Guidance – Determining what is personal data (opracowanie odpowiednika naszego GIODO w UK)

For example, if searching a public register or reverse directory would enable the individual to be identified from an address or telephone number, and this resource is likely to be used for this purpose, the address or telephone number data should be considered to be capable of identifying an individual.

 Judgment of the European Court of Justice C-101/2001 of 06.11.2003 (Lindqvist), § 27

The European Court of Justice has spoken in that sense when considering that „referring, on an internet page, to various persons and identifying them by name or by other means, for instance by giving their telephone number or information regarding their working conditions and hobbies, constitutes the processing of personal data […] within the meaning of […] Directive 95/46/CE.

Dla odmiany, odpowiednik GIODO w Australii twierdzi, że:

Finally, the ALRC suggested that information that simply allows an individual to be contacted—such as a stand alone telephone number, street address or IP address—would not, and should not, fall within the proposed definition of ‘personal information’.

Był to pierwszy artykuł, który pojawił się na prośbę jednego z Czytelników. Mam nadzieję, że udało się rzucić trochę światła na temat numeru telefonu w kontekście definicji danych osobowych. Jeżeli ktoś ma pomysł na następny wpis to bardzo proszę o kontakt. Z przyjemnością zmierzymy się z praktycznymi problemami związanymi ze stosowaniem przepisów o ochronie danych osobowych.