RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Rozporządzenie o ochronie danych – wybrane zagadnienia

W związku z planowanymi zmianami w zakresie ochrony danych osobowych chciałabym omówić podstawowe zmiany jakie przyniesie ogólne rozporządzenie o ochronie danych osobowych. Wskaże dodatkowo na różnice i podobieństwa jakie będzie można zaobserwować w kontekście obecnych przepisów związanych z ochroną danych osobowych, a planowanym i zmianami w tym zakresie.

Nowe rozporządzenie unijne zastąpi Dyrektywę 95/46/WE[1] ,która zostaje uchylona z dniem określonym w przepisach ww. rozporządzenia. Jak czytamy dalej z chwilą wejścia w życie rozporządzenia dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej powinna zostać poddana gruntownemu przeglądowi.

Bazując na tekście rozporządzenia wskaże na podstawowe zmiany. Na wstępie warto jednak zaznaczyć, że nie sposób opisać wszystkich nowości w dzisiejszym wpisie dlatego też postaram się w najbliższym czasie sukcesywnie omawiać kolejne instytucje, które ulegną zmianie w związku z nowymi przepisami.

Poniżej lista zagadnień, które po krótce omówię:

  1. Cechy charakterystyczne zgody
  2. Status i kompetencje inspektora ochrony danych
  3. Współadministratorzy- kiedy można ich powołać?
  4. Rejestr przetwarzania danych osobowych
  5. Problem przetwarzania fotografii
  6. Europejska Rada Ochrony Danych
  7. Ogólne warunki nakładania grzywien administracyjnych- procedura nakładania grzywien administracyjnych, wysokość, podmiot upoważniony do ich nakładania

Jak pisałam już wcześniej w artykule „Reforma ochrony danych osobowych – najważniejsze zagadnienia” rozporządzenie precyzuje warunki jakimi powinna charakteryzować się zgoda jako jedna z przesłanek przetwarzania danych osobowych. Precyzując. Do najważniejszych cech zgody zgodnie z przedmiotowym rozporządzeniem należy zakwalifikować:

  • zgoda powinna być udzielona za pomocą klarownej, potwierdzającej czynności, która wyraża dobrowolne, konkretne, świadome i jednoznaczne przyzwolenie podmiotu danych na przetwarzanie dotyczących go danych osobowych i która ma np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia
  • jeśli chodzi o milczenie (dorozumianą zgodę) czy też okienka domyślnie zaznaczone lub niepodjęcie czy też zaniechanie działania nie powinny oznaczać zgody
  • zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele
  • jeżeli natomiast podmiot danych ma udzielić zgody w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Kolejne zagadnienie, które chciałabym omówić to status i kompetencje inspektora ochrony danych. Będzie on odpowiednikiem dotychczas funkcjonującego Administratora Bezpieczeństwa Informacji.

Obok pojęcia inspektora ochrony danych rozporządzenie wskazuje na definicję legalną podmiotu przetwarzającego (odpowiednika procesora z art. 31 ustawy o ochronie danych).

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, administrator korzysta z usług wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i chroniło prawa podmiotów danych”

I tak jak wskazano w dalszych przepisach rozporządzenia administrator oraz podmiot przetwarzający dopilnują by inspektor był właściwie i terminowo angażowany we wszystkie sprawy z zakresu ochrony danych osobowych. Warto dodać, że inspektor danych nie może otrzymywać żadnych instrukcji od pracodawcy co do wykonywania tych zadań. Nie może on być odwołany ani też penalizowany przez administratora danych lub podmiot przetwarzający za wypełnianie swoich zadań. Ograniczenie to nie dotyczy natomiast sytuacji kiedy inspektor ochrony danych naruszy przepisy rozporządzenie. Co więcej jak wskazano w przedmiotowym rozporządzeniu inspektor ochrony danych zobowiązany jest to zachowania danych w tajemnicy i poufności co do zakresu wykonywania swoich zadań.

Zadania inspektora ochrony danych

Do zadań inspektora należy w szczególności:

  • informowanie pracowników o zasadach przetwarzania danych osobowych
  • przeprowadzanie szkoleń personelu uczestniczącego w przetwarzaniu danych osobowych
  • prowadzenie konsultacji w sprawach związanych z przetwarzaniem danych osobowych
  • monitorowanie przestrzegania przepisów rozporządzenia
  • współpraca z organem nadzorczym, a także udzielanie porad na żądanie co do oceny skutków pod kątem ochrony danych osobowych.

Obowiązek wyznaczenia inspektora ochrony danych

Kolejne zagadnienie wymagające dłuższej refleksji dotyczy obowiązku wyznaczenia inspektora ochrony danych. I tak jak na gruncie ustawy o ochronie danych osobowych wyznaczenie administratora bezpieczeństwa informacji jest dobrowolne tak i rozporządzenie unijne nie nakłada obowiązku powołania takiej osoby. Niemniej rozporządzenie wskazuje na przypadki, w których powołanie inspektora ochrony danych jest obligatoryjne.

 

  • Pierwsza sytuacja dotyczy przetwarzania dokonywanego przez organ lub podmiot publiczny, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę. W grę wchodzą tu takie podmioty jak banki, instytucje finansowe, zakłady ubezpieczeń, firmy marketingowe.
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa. Dobrym przykładem będą tu szpitale czy służby takie jak policja.

 

Z uwagi na liczne pytania jakie trafiają do redakcji naszego bloga warto zauważyć, że rozporządzenie precyzuje również kwestie związane z przetwarzaniem fotografii. Jak wskazano przetwarzanie fotografii nie będzie zawsze newralgiczne, gdyż fotografie będą podlegać definicji „danych biometrycznych” i tylko wtedy, gdy będą przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Poniżej przedstawię definicję legalną danych biometrycznej przyjętą na gruncie rozporządzenia:

Dane biometryczne oznaczają wszelkie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych, lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikacją tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”

Pewnym novum na gruncie ogólnego rozporządzenia jest instytucja współadministratorów. Jak czytamy w pierwszych słowach rozporządzenia za współadministratorów uważa się tych administratorów danych, którzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych. W drodze wspólnych uzgodnień w przejrzysty sposób określają podział zadań w zakresie wypełniania obowiązków wynikających z niniejszego rozporządzenia. Muszę przyznać, że nie do końca jestem przekonana co do tego rozwiązania. W praktyce mogą pojawić się problemy np. do kogo osoba, której dane dotyczą, ma zwrócić się w związku z prawem do skorzystania z szeroko rozumianym prawem do informacji.

Jeśli jesteśmy już przy omawianiu zmian w kontekście administratorów danych to warto zauważyć, że za jakiś czas każdy administrator danych będzie zobowiązany do prowadzenia rejestru przetwarzania danych osobowych. W rejestrze tym znajdować się będą takie informacje jak: imię, nazwisko, nazwa, dane kontaktowe administratora oraz wszystkich współadministratorów, cele przetwarzania, opis kategorii podmiotów danych oraz kategorii danych osobowych, kategorię odbiorców w stosownym przypadku informacji o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej, w miarę możliwości planowane terminu usunięcia poszczególnych kategorii danych, w miarę możliwości ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Jak widać pewne tożsame elementy możemy znaleźć w jawnym rejestrze zbiorów danych osobowych prowadzonym przez ABI.

Po pierwsze rejestr przetwarzania danych osobowych zobowiązane będą prowadzić podmioty zatrudniające więcej niż 250 osób. Bez względu na liczbę zatrudnionych podmiot przetwarzający dane zobowiązany będzie do prowadzenia rejestru kiedy może to nieść zagrożenia dla praw i wolności podmiotu danych, przetwarzanie nie ma charakteru sporadycznego i nie obejmuje przetwarzania danych szczególnych kategorii. Dodatkowo na wniosek organu nadzorczego administrator lub podmiot przetwarzający zobowiązani są udostępnić mu taki rejestr. Co warto dodać rejestr taki będzie mógł być prowadzony zarówno w wersji papierowej jak i elektronicznej.

Skupmy się teraz na nowym organie jakim będzie Europejska Rada Ochrony Danych. Zgodnie z przepisami rozporządzenia podmiot ten posiadać będzie osobowość prawną. Powinien być także niezależnym organem Unii. Do głównych zadań Europejskiej Rady Ochrony Danych należeć będzie w szczególności zapewnienie spójnego stosowania rozporządzenia poprzez szereg działań określonych w art. 66 rozporządzenia (doradztwo Komisji w sprawach związanych z ochroną danych osobowych, opracowywanie wytycznych, zaleceń, opinii co do tego jak z ogólnodostępnych usług łączności usuwać łącza do danych osobowych, opracowuje kryteria profilowania czy wskazuje na wytyczne w kontekście wymierzania grzywien administracyjnych). Europejską Radę Ochrony Danych powinien reprezentować jej przewodniczący. Zastąpi ona  Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. W jej działaniach Komisja powinna uczestniczyć bez prawa głosu, a Europejski Inspektor Ochrony Danych – bez prawa głosu w niektórych sprawach. Co warto zauważyć, Europejska Rada Ochrony Danych sporządzać będzie roczne sprawozdania na temat ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii , w jeśli zajdzie taka potrzeba również w przypadku państw trzecich czy też organizacji międzynarodowych.

Rozdział VII zatytułowany „Środki ochrony prawnej, odpowiedzialność prawna i sankcje” wskazuje, że grzywny administracyjne stosowane przez organy nadzorcze muszą spełniać kilka warunków. Po pierwsze muszą być skuteczne, proporcjonalne i odstraszające. Rozporządzenie wskazuje inne kwoty dla przedsiębiorstw, a także inne z uwagi na charakter popełnionego czynu. I tak:

Za naruszenie:

  • obowiązku administratora i podmiotu przetwarzającego w kwestii praw osób, których dane dotyczą, przetwarzania danych wrażliwych, rejestrowania czynności przetwarzania danych osobowych- grozi grzywna administracyjna sięgająca 10 000 000 EURO, a w przypadku przedsiębiorstw- sięgającej 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Za naruszenie:

  • podstawowych zasad przetwarzania danych osobowych w tym warunków zgody
  • nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych
  • przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowe

– grozi grzywna administracyjna sięgająca 20 000 000 EURO, a w przypadku przedsiębiorstwa- sięgającej 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

 

Należy podkreślić, że grzywny administracyjne zastąpią odpowiedzialność karną. Jak widać kary administracyjne są bardzo wysokie i z pewnością zmobilizują podmioty przetwarzające dane osobowe do większej dyscypliny w zakresie ochrony danych osobowych. Jak wskazano kary administracyjne będą nakładane oprócz lub zamiast środków szczegółowo określonych w przepisach rozporządzenia. Kary te będą nakładane za wykryte w kontrolowanym podmiocie uchybienia, a nie jak dotychczas jedynie w celu zapewnienia wykonania decyzji administracyjnej (grzywna w celu przymuszenia).

 

Jak widać rozporządzenie ogólne w sprawie ochrony danych przyniesie dużo istotnych zmian. Wskazałam tylko część z nich. Co prawda data wejścia w życie rozporządzenia jest jeszcze odległa, ale skala zmian jakie pojawią się w przyszłości już wywołuje lawinę pytań i wątpliwości nie tylko wśród firm specjalizujących się w ochronie danych osobowych. Do ożywionej dyskusji włączyli się nie tylko praktycy, ale również teoretycy prawa. Organizacje pozarządowe również nie pozostają obojętne na proponowaną treść rozporządzenia. Główne wątpliwości odnoszą się do zagrożeń prywatności.

[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dziennik Urzędowy L 281 , 23/11/1995 P. 0031 – 0050

Czy dane z CEIDG będą jawne?

Przedmiotem dzisiejszego wpisu jest omówienie nowych zasad korzystania z danych ujętych w CEIDG[1]. Zmiany o których mowa są związane z nowelizacją ustawy o swobodzie działalności gospodarczej. Komentowane przeze mnie przepisy wejdą w życie w maju następnego roku. Z uwagi na wagę zagadnienia postaram się wskazać na podstawowe cele i skutki nowelizacji z punktu widzenia ochrony danych osobowych.
W pierwszych słowach uzasadnienia projektu do ustawy czytamy, że konieczne jest zaproponowanie kolejnych rozwiązań prawnych mających na celu sprawniejszą i skuteczniejszą obsługę przedsiębiorców. Wprowadzenie zaproponowanych zmian przyczyni się również do skuteczniejszego wykonywania zadań związanych z prowadzeniem rejestru CEIDG, nałożonych na Ministra Gospodarki ustawą o swobodzie działalności gospodarczej.

W ramach wstępu przypomnijmy sobie jak sprawa wygląda obecnie. Zgodnie z literalnym brzmieniem art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej ewidencja działalności gospodarczej była jawna i dane osobowe w niej zawarte nie podlegały przepisom ustawy o ochronie danych osobowych. Taki stan trwał do dnia 31 grudnia 2011 roku. Później uchylono tą regulacje i z dniem 1 stycznia 2012r. dane przedsiębiorców dostępne w CEIDG podlegały ochronie na gruncie ustawy o ochronie danych osobowych.[2]

Ale to już przeszłość. Skupmy się na tym co będzie. Zgodnie z nowelizacją ustawy o swobodzie działalności gospodarczej, z dniem 18 maja 2016 roku jawne dane i informacje udostępniane w CEIDG nie podlegają ustawie o ochronie danych osobowych. Wyjątek stanowią jedynie przepisy odnoszące się do kontroli przetwarzania danych przez GIODO i zabezpieczeniu danych osobowych. Jak widać zmiany są ogromne. Przyjrzyjmy się im po kolei.

Literalne brzmienie dodanego art. 39 b

„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.”

Jakie dane przedsiębiorców z CEIDG są jawne? Zgodnie z art. 37 ustawy o swobodzie działalności gospodarczej CEIDG udostępnia dane określone w art. 25 ww. ustawy z wyjątkiem numeru PESEL, daty urodzenia oraz adresu zamieszkania, o ile nie jest on taki sam jak miejsce wykonywania działalności gospodarczej. Art. 25 ustawy o swobodzie działalności gospodarczej wprowadza szeroki katalog informacji jakie są jawne. Jest to m.in. numer identyfikacyjny REGON, numer identyfikacyjny NIP, informacja o obywatelstwie polskim przedsiębiorcy, data rozpoczęcia działalności gospodarczej, adres poczty elektronicznej przedsiębiorcy oraz jego strony internetowej, informacje o istnieniu lub ustaniu małżeńskiej wspólności majątkowej. Podkreślenia wymaga stwierdzenie, że dane osobowe zawarte w ewidencji nie podlegają przepisom ustawy o ochronie danych osobowych należy, jak się wydaje , odnosić wyłącznie do udostępniania danych, nie zaś do ich rozpowszechniania lub przetwarzania przez osoby, którym je udostępniono[3].

 Jakie zmiany dla procesu przetwarzania danych wniesie komentowana nowelizacja? Bez wątpienia będzie można „łatwiej” przetwarzać dane przedsiębiorców. W obecnym stanie prawnym przetwarzanie danych osób ujętych w CEIDG jest objęte takimi samymi wymogami jak przetwarzania danych osób fizycznych. Jako przykładu możemy użyć przetwarzania danych z CEIDG w celach marketingowych. Jeżeli dzisiaj chcielibyśmy w ten sposób przetwarzać dane, to powinniśmy uprzednio dopełnić obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych oraz zebrać zgody na przetwarzanie danych w celach marketingowych. Należałoby również zarejestrować odpowiedni zbiór danych w GIODO o ile wcześniej nie był zarejestrowany. Dopiero po spełnieniu wskazanych wymagań (oraz pozostałych z ustawy o ochronie danych osobowych) mogliśmy wysłać naszą ofertę marketingową.
W świetle znowelizowanych przepisów musimy wyłącznie odpowiednio zabezpieczyć pozyskane z CEIDG informacje. Odpowiednio, czyli spełniając wymagania wskazane w rozdziale 5 ustawy o ochronie danych osobowych. Warto podkreślić, iż zgodnie z nowymi przepisami nie musimy już zbierać zgód (czy zapewnić inną podstawę przetwarzania danych), dopełniać obowiązku informacyjnego czy rejestrować zbioru ale dalej powinniśmy w sposób odpowiedni zabezpieczać posiadane dane. Poprzez odpowiednie zabezpieczenia należy rozumieć nie tylko np. nie wyrzucanie dokumentów na śmieci ale również posiadanie polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym czy wydanie upoważnień do przetwarzania danych.

Ale to nie koniec zmian jakie przyniesie nowelizacja ustawy o swobodzie działalności gospodarczej. Nowelizacja dodaje kolejne przepisy odnoszące się do ochrony danych osobowych. Wskazuje na kwestie udostępnia danych z CEIDG. I tak:

  1. Dane dostępne w CEIDG mogą być nieodpłatnie udostępniane po uprzednim ustaleniu z ministrem właściwym do spraw gospodarki warunków udostępniania tych danych
  2. Podmioty, którym udostępniono dane CEIDG w trybie ust. 1, nie mogą przekazywać tych danych, ani ich fragmentów, innym podmiotom
  3. W zakresie nieuregulowanym w ust. 1 i 2 do ponownego wykorzystywania danych CEIDG stosuje się przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej
  4. CEIDG udostępnia zawarte w niej dane i informacje o uzyskaniu, cofnięciu, utracie lub wygaśnięciu uprawnień wynikających z koncesji czy licencji, a także informacji o zakazie wykonywania działalności gospodarczej organom państwowym w celu realizacji ich ustawowych zadań. Analogiczne organy państwowe nie mogą dalej przekazywać uzyskanych informacji, ani ich fragmentów

W przedmiotowym wpisie staram się wskazać na podstawowe zmiany jakie wejdą w życie w maju 2016 r.  Na chwilę obecną trudno jest mi jednoznacznie stwierdzić czy nowelizacja jest dobra czy też zła. Na pewno wzbudzi kontrowersje i stanie się zalążkiem do przyszłych rozważań nad skutecznością przyjętych rozwiązań . Czy nie jest tak, że cechą demokratycznego państwa jest pewność, stabilność i bezpieczeństwo prawa? Czy jawność informacji o przedsiębiorcach zmniejszy automatycznie ilość oszustw? Na chwilę obecną pytania te zostawiam bez odpowiedzi.

[1] Ustawa z dnia 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw

[2] http://www.giodo.gov.pl/1520021/j/pl/

[3] Andrzej Powałowski, Komentarz do art.7(a) ustawy – Prawo działalności gospodarcze, ABC, 2007