Niniejszy artykuł dotyczy wybranych kwestii związanych z ochroną danych osobowych w firmie, na które przedsiębiorcy winni zwrócić uwagę celem zabezpieczenia swoich interesów przed ewentualnymi roszczeniami finansowymi osób trzecich lub negatywnymi konsekwencjami kontroli przeprowadzonej przez pracowników Generalnego Inspektora Ochrony Danych Osobowych.

Przetwarzanie danych osobowych

Przedsiębiorca prowadząc działalność gospodarczą sprzedaje swoje towary lub świadczy usługi m.in. na rzecz osób fizycznych. W ramach prowadzonej działalności często zdarza się, iż gromadzi on, czy to na komputerze, czy też na innym nośniku dane swoich kontrahentów, w tym imię, nazwisko, adres zamieszkania czy też numer telefonu. Jeżeli dodatkowo dane te są odpowiednio uporządkowane i skatalogowane (tworzą zbiór danych osobowych) przedsiębiorca winien liczyć się z faktem, iż jego działania winny być zgodne z przepisami o ochronie danych osobowych. Należy bowiem zauważyć, że wszelkie informacje dotyczące osoby fizycznej, które ją identyfikują lub pozwalają na jej zidentyfikowanie bez ponoszenia przez przedsiębiorcę istotnych kosztów w tym zakresie stanowią dane osobowe w rozumieniu ustawy o ochronie danych osobowych. O danych osobowych można natomiast mówić wyłącznie w odniesieniu do informacji dotyczących osób fizycznych. Zatem dane m.in. spółek jawnych, stowarzyszeń, spółek kapitałowych nie stanowią danych osobowych w rozumieniu ustawy o ochronie danych osobowych. Należy jednak pamiętać, iż dane dotyczące członków stowarzyszenia, wspólników spółek handlowych – jeżeli osoby te są osobami fizycznymi – podlegają ochronie przewidzianej w ustawie.

Każda czynność, każda operacja wykonywana na danych osobowych stanowi ich przetwarzanie. Przedsiębiorca przetwarza zatem dane osobowe m.in. przez to, że zbiera, przechowuje a nawet usuwa dane swoich klientów. Nie ma zatem znaczenia, czy zebrane dane będą wykorzystywane tylko na potrzeby wykonania montażu okien zamówionych przez klienta, naprawy komputera w domu klienta, czy też udzielaniu korepetycji uczniowi szkoły podstawowej. Jeżeli przedsiębiorca posiada dane osobowe swoich kontrahentów jest obowiązany stosować się do przepisów ustawy o ochronie danych osobowych i związanych z tą ustawą obowiązków, w tym m.in. obowiązku rejestracji zbioru danych osobowych oraz obowiązku zabezpieczenia posiadanego zbioru zgodnie z wymogami ustawy o ochronie danych osobowych.

Dane osobowe przedsiębiorców

Od 1 lipca 2011 roku przestał obowiązywać przepis art. 7a ust. 2 ustawy – Prawo działalności gospodarczej, który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Aktualnie obowiązująca ustawa o swobodzie działalności gospodarczej również przewiduje, iż dane osobowe przedsiębiorców w zakresie określonym w tej ustawie są jawne, jednak brak jest informacji o wyłączeniu stosowania do tych danych przepisów ustawy o ochronie danych osobowych.

W konsekwencji należy przyjąć, iż zbieranie, przechowywanie, czy też prace nad danymi osobowymi osób fizycznych prowadzących działalność gospodarczą – także nad tymi danymi, które są udostępnione na stronie internetowej Centralnej Ewidencji i Informacji o Działalności Gospodarczej – regulowane są przez przepisy ustawy o ochronie danych osobowych. Takie stanowisko zajmuje również Generalny Inspektor Ochrony Danych Osobowych, który na swojej stronie internetowej zamieścił stosowną informację na temat rejestracji zbioru danych osobowych osób fizycznych prowadzących działalność gospodarczą (http://www.giodo.gov.pl/1520021/j/pl/ – strona aktualna na dzień 12 kwietnia 2013 roku).

Świadczenie usług przez Internet na rzecz osób fizycznych

Ustawa o ochronie danych osobowych nie jest jedynym aktem, który określa obowiązki przedsiębiorców w zakresie przetwarzania danych osobowych. Oprócz tej ustawy podmioty świadczące usługi lub sprzedaż przez Internet winny stosować się do ustawy o świadczeniu usług drogą elektroniczną. Należy mieć na uwadze, iż ustawa ta stanowi podstawowy akt prawny dla podmiotów, które prowadzą działalność gospodarczą za pośrednictwem Internetu.

Rozdział 4 ustawy o świadczeniu usług drogą elektroniczną zawiera regulację dotyczącą ochrony danych osobowych. W powyższym zakresie niezwykle istotna kwestia dotyczy faktu, iż jakiekolwiek przetwarzanie danych osobowych – niezależnie od tego, czy odbywa się to w ramach utworzonego zbioru danych, czy też nie – winno następować zgodnie z regulacjami ustawy o świadczeniu usług drogą elektroniczną.

Podstawowym obowiązkiem i ograniczeniem przedsiębiorcy w zakresie zbierania danych osobowych jego klientów poprzez Internet jest ich niezbędność dla wykonania samej usługi. Przedsiębiorca nie powinien zatem żądać od swojego przyszłego kontrahenta podania danych, które nie mają znaczenia dla realizacji umowy, chyba że sam kontrahent wyrazi na to zgodę. Należy zatem rozdzielić te dane, które są potrzebne dla wykonania umowy od tych, które nie są związane z usługą.

Należy także zauważyć, iż po wykonaniu usługi przedsiębiorca powinien usunąć dane osobowe swojego kontrahenta, chyba że zaistnieje jedna z okoliczności wymienionych w samej ustawie, jak na przykład dochodzenie roszczeń z tytułu płatności za korzystanie z usługi.

Ewentualna odpowiedzialność za naruszenie przepisów o ochronie danych osobowych

Przedsiębiorca, który narusza przepisy o ochronie danych osobowych winien mieć na uwadze następujące zagrożenia:

  1. obowiązek naprawienia szkody za naruszenie dóbr osobistych osoby, której dane osobowe zostały przetworzone w sposób nielegalny,
  2. kontrole pracowników Generalnego Inspektora Ochrony Danych Osobowych,
  3. grzywna nałożona w trybie ustawy o postępowaniu egzekucyjnym w administracji,
  4. odpowiedzialność karna, w tym kara pozbawienia wolności nawet do 3 lat.

Podsumowanie

Każda działalność gospodarcza, która wiąże się ze zbieraniem danych osobowych osób fizycznych podlega przepisom ustawy o ochronie danych osobowych oraz niekiedy przepisom innych ustaw. Zbagatelizowanie tego faktu może wiązać się z negatywnymi konsekwencjami, które przedsiębiorca winien wziąć pod uwagę oceniając ryzyko oraz koszty prowadzonej działalności gospodarczej.