Dane przedsiębiorców pod ochroną

Z dniem 31 grudnia 2011 r. z porządku prawnego zniknął przepis art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej. Wskazany przepis stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Sama ustawa Prawo działalności gospodarczej została zastąpiona już znacznie wcześniej nowymi regulacjami Ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, jednak wskazany przepis utrzymał moc obowiązującą na mocy przepisów przejściowych właśnie do końca ubiegłego roku. W jego miejsce nie pojawił się natomiast żaden inny przepis regulujący tą kwestię podobnie lub identycznie. Co to w oznacza w praktyce?

Otóż, dla podmiotów, które przetwarzają dane osób fizycznych prowadzących działalność gospodarczą rodzi to szereg nowych, niespotykanych dotychczas w ich działalności i - nie ma co ukrywać - uciążliwych obowiązków. W grupie tej znajdują także firmy windykacyjne, które nabywają wierzytelności wobec przedsiębiorców - osób fizycznych. Jeżeli firma windykacyjna nie działała dotychczas w obszarze wierzytelności konsumenckich (nie nabywała takich wierzytelności), w zasadzie nie była zmuszona sprostać wymaganiom stawianym przez przepisy ustawy o ochronie danych osobowych oraz przepisy wykonawcze do ustawy, o ile zakres przetwarzanych danych osobowych nie wykraczał poza dane ujawnione w ewidencji działalności gospodarczej, a więc takie, które wyjęte były spod reżimu ustawy.

Od 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych dotyczą także informacji identyfikujących przedsiębiorców w obrocie gospodarczym (zawartych w ewidencji działalności gospodarczej), jeżeli stanowią one dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych a więc na ich podstawie możliwe jest zidentyfikowanie konkretnej osoby fizycznej. Firmy windykacyjne z racji prowadzonej działalności gromadzą szeroki zakres informacji o dłużnikach - przedsiębiorcach, który oczywiście jednoznacznie kwalifikuje te informacje jako dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Nabywając wierzytelności wchodzą natomiast w prawa i obowiązki administratora danych osobowych a to pociąga za sobą szereg konkretnych obowiązków.

Pierwszym, chyba najmniej uciążliwym z punktu widzenia administratora danych osobowych jest obowiązek rejestracji zbiorów danych osobowych. Rejestracja nie będzie konieczna w sytuacji, gdy dane osobowe przedsiębiorców zostały włączone do wcześniej zarejestrowanego zbioru danych osobowych osób fizycznych i po ich włączeniu nie zaszły żadne zmiany w zbiorze. Jeżeli natomiast w wyniku włączenia danych przedsiębiorców spowodowało zmiany, konieczna będzie aktualizacja zbioru. Gdy natomiast dane przedsiębiorców - osób fizycznych stanowią odrębny zbiór, wymagana jest jego rejestracja.

Znacznie bardziej uciążliwe może się okazać uczynienie zadość obowiązkowi informacyjnemu. W przypadku nabycia wierzytelności wobec przedsiębiorcy - osoby fizycznej wystarczy w pierwszym kierowanym do niego piśmie bezpośrednio po utrwaleniu zebranych danych poinformować o adresie swojej siedziby i pełnej nazwie, celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania oraz uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy (prawie wniesienia w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz prawie wniesienia sprzeciwu wobec przetwarzania danych, gdy administrator zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych).

Skomplikuje się natomiast sytuacja wszystkich podmiotów pozyskujących i przetwarzających dane osób fizycznych prowadzących działalność gospodarczą w celach stricte marketingowych. Trudno obecnie znaleźć firmę, który nie korzysta z takiej aktywności i nie pozyskuje ze źródeł ogólnie dostępnych danych przedsiębiorców w celu zaoferowania im swoich usług. Tymczasem obowiązek informacyjny obowiązuje także w tym przypadku. Trudno sobie natomiast wyobrazić jego realizację poprzez pisemne (dla celów dowodowych) poinformowanie każdego przedsiębiorcy z osobna o jego prawach. Trudno także odnaleźć przesłankę zwalniającą z takiego obowiązku. W tym zakresie uregulowania ustawy funkcjonują w całkowitym oderwaniu od rzeczywistości i wymuszają działania, których koszty mogą się okazać całkowicie niewspółmierne do korzyści odnoszonych z przetwarzania danych. Ciekawe więc, jak szybko Generalny Inspektor Ochrony Danych Osobowych i ustawodawca zorientują się, że obowiązujące w tym zakresie unormowania są ponadprzeciętnie absurdalne.

Administrator danych osobowych, oprócz obowiązku rejestracji zbioru i obowiązku informacyjnego, musi także dopilnować, aby dane osobowe zostały odpowiednio zabezpieczone poprzez zastosowanie określonych środków technicznych i organizacyjnych. Wystarczy jedynie nadmienić, że wiąże się z tym obowiązek odpowiedniego zabezpieczenia pomieszczeń lub systemów teleinformatycznych, obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki zabezpieczenia danych, obowiązek wyznaczenia administratora bezpieczeństwa informacji (ABI), nadzorującego przestrzeganie zasad ochrony danych (chyba że administrator danych osobowych sam wykonuje czynności ABI), obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych itp.

Warto także odnieść się do sytuacji podmiotów (a wśród nich także firm windykacyjnych) przetwarzających dane przedsiębiorców przekazane przez innych administratorów danych osobowych (np. wierzycieli w celu dochodzenia na ich rzecz zapłaty wierzytelności). Zawierając umowę o obsługę wierzytelności nie należy obecnie zapominać, że konieczne jest zawarcie przy tej okazji także dodatkowej umowy powierzenia przetwarzania danych. Obowiązek taki wynika wprost z art. 31 ustawy o ochronie danych osobowych.

Gdyby więc pokusić się o zwięzłą ocenę obowiązującego stanu prawnego w zakresie ochrony danych osobowych osób fizycznych prowadzących działalność gospodarczą i spojrzeć na to przez pryzmat ilości i charakteru obowiązków nakładanych na podmioty przetwarzające te dane można dojść do prostego wniosku, że budowa absurdystanu idzie pełną parą.

Autor: Przemysław Jamróz