W ostatnich latach regulacje dotyczące danych osobowych przedsiębiorców ulegały znaczącym zmianom. Początkowo do tych danych nie miały zastosowania przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, następnie, od 2012 r. w odniesieniu do danych przedsiębiorców ustawę tę stosowano w całości.

Od 19 maja 2016 r., w wyniku wejścia w życie ustawy z dnia 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw, znaczącej zmianie uległo m.in. przetwarzanie danych osobowych przedsiębiorców, ujawnionych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

W wyniku nowelizacji, do ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej dodano art. 39b, który stanowi:

Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.

Powyżej wskazany przepis wszedł w życie w dniu 19 maja 2016 r. Wynika z niego, iż ustawa o ochronie danych osobowych nie znajdzie zastosowania do jawnych danych i informacji udostępnianych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (tzw. CEIDG) poza przepisami dotyczącymi:

• kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

• trybu prowadzenia postępowań,

• zabezpieczenia danych osobowych.

Zgodnie z wprowadzoną zmianą, za dane osobowe nie będzie się uważało danych dotychczas ujawnianych w rejestrze CEIDG. Tymi danymi są:

• imię i nazwisko przedsiębiorcy,

• numer NIP,

• numer REGON,

• firma przedsiębiorcy,

• dane kontaktowe przedsiębiorcy, w szczególności adres poczty elektronicznej, strony internetowej, numer telefonu, o ile dane te zostały zgłoszone we wniosku o wpis do CEIDG,

• dane adresowe, takie jak: adres głównego miejsca wykonywania działalności, adresy dodatkowych miejsc wykonywania działalności, adres do doręczeń,

• informacja o obywatelstwie polskim przedsiębiorcy, o ile takie posiada, i innych obywatelstwach przedsiębiorcy,

• dane dodatkowe, takie jak m.in.: informacja o wykonywanej działalności gospodarczej, data rozpoczęcia, zawieszenia, trwałego zakończenia oraz wznowienia działalności gospodarczej, informacja o istnieniu lub ustaniu małżeńskiej wspólności majątkowej,

• informacje o spółkach cywilnych, których wspólnikiem jest przedsiębiorca,

• zapisy dotyczące ustanowionych zakazów,

• informacje dotyczące upadłości, postępowania naprawczego lub postępowania restrukturyzacyjnego,

• dane dotyczące ustanowionych pełnomocnictwa,

• informacje o koncesjach, zezwoleniach, licencjach oraz wpisach do rejestrów działalności regulowanej wydanych na rzecz przedsiębiorcy,

• informacja o wykreśleniu przedsiębiorcy z CEIDG.

Poniższa tabela szczegółowo przedstawia zasady dotyczące przetwarzania danych nieujawnionych i ujawnionych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Z analizy informacji przedstawionych w powyższej tabeli należy wnioskować, że wszystkie informacje i dane dotyczące przedsiębiorców nieujawnione w CEIDG dalej będą korzystać z ochrony prawnej zapewnianej przez ustawę o ochronie danych osobowych. Zatem w przypadku, gdy na przykład na stronie internetowej przedsiębiorcy znajdować się będzie adres e-mail czy jakiekolwiek inne dane kontaktowe, które nie zostały ujawnione w CEIDG, będą one uznane za dane osobowe w rozumieniu wspomnianej ustawy. W związku z tym podmiot przetwarzający takie dane będzie musiał spełnić szereg obowiązków, takich jak: zgłoszenie zbioru danych osobowych do rejestru GIODO czy obowiązki informacyjne.

Nietrudno zauważyć, iż obowiązujące od 19 maja 2016 r. uregulowanie prowadzi do dualizmu w zakresie traktowania oraz ochrony danych i podstawowych informacji o przedsiębiorcach. Choć z założenia nowelizacja ustawy o swobodzie działalności gospodarczej miała ułatwić przetwarzanie danych osobowych, to na gruncie nowych przepisów może dojść do sytuacji, w której część danych konkretnego przedsiębiorcy będzie podlegała w całości regulacjom ustawy o ochronie danych osobowych, a część będzie spod nich wyłączona. W związku z tym istnieje ryzyko, że administratorzy danych, przetwarzający dane nie zwrócą na tę kwestię należytej uwagi i potraktują przepisy obowiązujące od 18 maja 2016 r. jako podstawę do dowolnego przetwarzania wszystkich danych osobowych przedsiębiorcy, bez względu na źródło ich pozyskania i kwestię ujawnienia w CEIDG. Może to skutkować sporą liczbą naruszeń przepisów ustawy o ochronie danych osobowych.

Dane ujawnione w CEIDG nie korzystają z ochrony przewidzianej w ustawie o ochronie danych osobowych od chwili rozpoczęcia prowadzenia działalności gospodarczej przez przedsiębiorców, aż do momentu ich usunięcia. Należy jednak zwrócić uwagę na fakt, iż tym samym dane osobowe przedsiębiorcy podlegają ochronie do momentu rozpoczęcia przez niego działalności. Przedsiębiorca może zrezygnować z wpisu, jeżeli składając wniosek o wpis do rejestru, poda datę rozpoczęcia działalności gospodarczej późniejszą niż chwila złożenia wniosku. Jeżeli przedsiębiorca zrezygnuje z wpisu zanim wskazana data nadejdzie, wówczas jego dane nie zostaną opublikowane. Pociąga to za sobą istotne konsekwencje: dane osoby, która zrezygnowała z wpisu będą korzystały z ochrony udzielanej na mocy ustawy o ochronie danych osobowych. Wynika to z tego, iż na gruncie ustawy o swobodzie działalności gospodarczej osoba, która nie rozpoczęła prowadzenia działalności gospodarczej nie jest uważana za przedsiębiorcę.

Przyznanie przez ustawodawcę prymatu prawa do informacji nad ochroną prawną danych podmiotów może pociągać za sobą negatywne konsekwencje takie jak np.: kradzieże tożsamości, oszustwa kredytowe. Ryzyko takich nadużyć zwiększa przepis art. 61 ust. 1 ustawy z dnia 15 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw, wprowadzający obowiązek uzupełnienia istniejących wpisów o numer PESEL do 19 maja 2018 r. Przepis ten stanowi:

W przypadku gdy wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej nie zawiera numeru PESEL, z wyjątkiem wpisów dotyczących przedsiębiorców, o których mowa w art. 13 ust. 1 i 2 ustawy zmienianej w art. 1, przedsiębiorca uzupełnia wpis o tę daną w terminie 2 lat od dnia wejścia w życie niniejszej ustawy.

Dotychczas podmioty, tworzące prywatne bazy danych osobowych przy wykorzystaniu informacji pochodzących z CEIDG, musiały wskazywać wyraźne podstawy prawne takich działań. Co do zasady na twórcach takich baz, jako na podmiotach przetwarzających dane, spoczywał obowiązek zgłoszenia stworzonych zbiorów danych Generalnemu Inspektorowi Ochrony Danych Osobowych, a także obowiązki informacyjne. Wynikało to z ochrony danych przedsiębiorców, którą zapewniała ustawa o ochronie danych osobowych.

Jak wykazano powyżej, z dniem 19 maja 2016, a więc od momentu wejścia w życie art. 39 b ustawy o swobodzie działalności gospodarczej, ochrona ta została prawie całkowicie wyłączona w stosunku do danych ujawnianych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Podmioty chcące utworzyć bazy danych, w których wykorzystywane są wyłącznie dane i informacje o przedsiębiorcach pozyskane z CEIDG, będą częściowo ograniczone powinnościami wynikającymi z ustawy o ochronie danych osobowych. W dalszym ciągu na tych podmiotach będzie ciążył obowiązek zapewnienia należytej ochrony informacji poprzez zabezpieczenie danych osobowych. Będą zatem musiały czynić zadość wymaganiom zawartym w rozdziale 5 ustawy o ochronie danych osobowych, a także tym wynikającym z rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.