Firma-Kowalski wyłączona z RODO

opublikowano: 11-01-2018, 22:00

Konferencje „PB” Do nowych zasad ochrony danych osobowych można się przygotować, korzystając z rozwiązań starych przepisów

W resorcie cyfryzacji Kończą się prace nad projektem przyszłej nowej ustawy o ochronie danych osobowych.

TO NIE SPÓŁKI:
TO NIE SPÓŁKI:
RODO nie odnosi się do oznaczeń osób prawnych. Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, wyjaśnia, że według Brukseli dane osób fizycznych prowadzących działalność gospodarczą, nie uznanych w krajowym prawie za spółki, podlegają w pełni ochronie przewidzianej w rozporządzeniu UE.
Fot. Marek Wiśniewski

— Na planowanym w najbliższy poniedziałek spotkaniu z udziałem ok. 300 osób będziemy odpowiadać na uwagi, które napłynęły podczas konsultacji społecznych. Potem projekt ustawy z uwzględnieniem opinii innych resortów, generalnego inspektora, przedsiębiorców, izb gospodarczych, obywateli zostanie przekazany do dalszych prac legislacyjnych. Mam nadzieję, że za tydzień zajmą się nim komitety Rady Ministrów — powiedział dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji (MC) uczestnikom konferencji „Efektywne wdrożenie RODO/ GDPR” organizowanej przez „Puls Biznesu”.

Jego zdaniem, ustawodawca powinien zdążyć z wdrożeniem ustawy do 25 maja tego roku, od kiedy we wszystkich krajach UE ma być stosowane ogólne rozporządzenie ochrony danych osobowych (RODO). Niebawem resort ma też odnieść się do uwag zgłoszonych do innej ustawy — przepisów wprowadzających ustawę główną, która zmieni ok. 140 aktów, dostosowując do nowych wymagań przepisy sektorowe. Jedna z tych regulacji wywołuje wiele kontrowersji. Rodzi pytanie, jak i czy wprowadzanej reformie podlegają dane przedsiębiorców prowadzących biznes na własne nazwisko, wpisywanych do Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEIDG). Tę kwestię trzeba było wyjaśnić w Brukseli.

Art. 39b do skreślenia

Obecnie przepisów o ochronie danych osobowych nie stosuje się do jawnych treści udostępnianych w CEIDG (np. nazwy, adresu, czy NIP), z wyjątkiem tych regulacji, które nakazują odpowiednio zabezpieczać te dane przez podmiot je pozyskujący czy uprawniają organ nadzoru do kontroli ich wykorzystania. O tym jednak, że jakaś firma przetwarza takie informacje, osoby prowadzące indywidualną działalność nie muszą być informowane. To wynika z art. 39b ustawy o swobodzie działalności gospodarczej. Projektowana nowela, dostosowująca polskie prawo do unijnego rozporządzenia, uchyla ten przepis, co uzasadniono chociażby tym, że gdy ruszy reforma, dotychczasowa polska ustawa o ochronie danych, do której odwołuje się wspomniany artykuł, przestanie obowiązywać. Nie to jednak jest istotą sprawy, tylko RODO.

— Rozporządzenie stanowi, że jego przepisy nie znajdują zastosowania do oznaczeń osób prawnych i tak naprawdę tylko do tych, które są niezbędne do zapewnienia przedsiębiorcy funkcjonowania w obrocie prawnym. Osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi. Zwróciliśmy się do KE o wyjaśnienie, jak rozumieć to pojęcie, ponieważ nie ma jego unijnej definicji. Gdyby uznać, że chodzi o przedsiębiorcę, tak samo należałoby traktować dane z Krajowego Rejestru Sądowego i z CEIDG. Przyjmując punkt widzenia polskiego ustawodawstwa, firmy wpisane do ewidencji działalności gospodarczej nie są osobami prawnymi — mówił podczas konferencji dr Maciej Kawecki.

Puls Firmy
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
×
Puls Firmy
autor: Sylwester Sacharczuk
Wysyłany raz w tygodniu
Sylwester Sacharczuk
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Komisja przychyliła się do tej drugiej interpretacji. Stwierdziła, że jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.

— Inaczej będzie zatem traktowany KRS, a inaczej CEIDG — zapowiedział przedstawiciel MC, koordynujący krajową reformę ochrony danych osobowych.

Zbiory bez rejestracji

W uzasadnieniu do projektu przepisów wprowadzających przyszłą ustawę zwrócono jednak uwagę, że uchylany art. 39b był korzystny dla podmiotów wpisanych do CEIDG przetwarzających dane osobowe innych przedsiębiorców. Firma, która stworzyła bazę swoich kontrahentów wpisanych do centralnej ewidencji, np. na potrzeby fakturowania, nie musiała zgłaszać tego zbioru do rejestru Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Po 25 maja wymóg zgłaszania zbiorów w ogóle zniknie, ale pojawią się nowe obowiązki, jak np. rejestrowanie przez przedsiębiorców czynności przetwarzania danych, na co zwróciła uwagę uczestnikom konferencji Bogusława Pilc, radca prawny, dyrektor Departamentu Inspekcji w Biurze GIODO. Przede wszystkim jednak podkreślała, że w tej reformie ważna jest samodzielność w przyjmowaniu rozwiązań służących ochronie danych i spełniających wymagania RODO. Przepisy żadnych wskazówek nie dają. Podmioty będą musiały same ocenić ryzyko związane z gromadzeniem i wykorzystywaniem pozyskanych informacji.

— To administrator danych osobowych będzie decydować, jakie zastosować środki, metody, systemy zarówno techniczne, organizacyjne czy architektoniczne. Powinny one wiązać się z prowadzoną działalnością — wyjaśniała radca. Przedsiębiorców niepokoi, że bez określonych prawnych wskazówek organ kontrolny będzie mógł podejść do oceny ryzyka inaczej niż przedsiębiorca, co jest częste, gdy ktoś nie zna specyfiki biznesu i zagrożeń z niej płynących. Według Bogusławy Pilc, w zasadzie nie ma znaczenia to, czy inspektor zna określony rodzaj działalności.

— To kontrolowany podmiot ma wykazać, dlaczego dokonał oceny ryzyka w określony sposób, na czym się opierał i jakimi zasadami kierował. Organ kontrolny będzie oceniał stan prawny i faktyczny, ale on też musi uzasadnić swoje stanowisko — podkreśliła przedstawicielka GIODO. Bogusława Pilc radziła przedsiębiorcom, aby przygotowując się do RODO, korzystali ze sprawdzonych dotychczas wzorców zachowań, procedur i zabezpieczeń. Ponadto, aby nie wyrzucali dokumentacji (zwłaszcza tej, w której zinwentaryzowano zbiory) i mieli pod ręką rozporządzenie dotyczące technicznych rozwiązań, które utraci moc wraz ze startem reformy — ale zawiera przydatne podpowiedzi. W nowych przepisach ich nie znajdą.

Zobacz video

Wystąpienie dr. Macieja Kaweckiego z konferencji „Efektywne Wdrożenie RODO/GDPR”:

 

 

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane