Firma-Kowalski wyłączona z RODO

11-01-2018, 22:00

Konferencje „PB” Do nowych zasad ochrony danych osobowych można się przygotować, korzystając z rozwiązań starych przepisów

W resorcie cyfryzacji Kończą się prace nad projektem przyszłej nowej ustawy o ochronie danych osobowych.

Zobacz więcej

Fot. Marek Wiśniewski

Sprawdź program drugiej edycji konferencji "Efektywne wdrożenie RODO/GDPR", 9-10.04.2018, Warszawa >>

— Na planowanym w najbliższy poniedziałek spotkaniu z udziałem ok. 300 osób będziemy odpowiadać na uwagi, które napłynęły podczas konsultacji społecznych. Potem projekt ustawy z uwzględnieniem opinii innych resortów, generalnego inspektora, przedsiębiorców, izb gospodarczych, obywateli zostanie przekazany do dalszych prac legislacyjnych. Mam nadzieję, że za tydzień zajmą się nim komitety Rady Ministrów — powiedział dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji (MC) uczestnikom konferencji „Efektywne wdrożenie RODO/ GDPR” organizowanej przez „Puls Biznesu”.

Jego zdaniem, ustawodawca powinien zdążyć z wdrożeniem ustawy do 25 maja tego roku, od kiedy we wszystkich krajach UE ma być stosowane ogólne rozporządzenie ochrony danych osobowych (RODO). Niebawem resort ma też odnieść się do uwag zgłoszonych do innej ustawy — przepisów wprowadzających ustawę główną, która zmieni ok. 140 aktów, dostosowując do nowych wymagań przepisy sektorowe. Jedna z tych regulacji wywołuje wiele kontrowersji. Rodzi pytanie, jak i czy wprowadzanej reformie podlegają dane przedsiębiorców prowadzących biznes na własne nazwisko, wpisywanych do Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEIDG). Tę kwestię trzeba było wyjaśnić w Brukseli.

Art. 39b do skreślenia

Obecnie przepisów o ochronie danych osobowych nie stosuje się do jawnych treści udostępnianych w CEIDG (np. nazwy, adresu, czy NIP), z wyjątkiem tych regulacji, które nakazują odpowiednio zabezpieczać te dane przez podmiot je pozyskujący czy uprawniają organ nadzoru do kontroli ich wykorzystania. O tym jednak, że jakaś firma przetwarza takie informacje, osoby prowadzące indywidualną działalność nie muszą być informowane. To wynika z art. 39b ustawy o swobodzie działalności gospodarczej. Projektowana nowela, dostosowująca polskie prawo do unijnego rozporządzenia, uchyla ten przepis, co uzasadniono chociażby tym, że gdy ruszy reforma, dotychczasowa polska ustawa o ochronie danych, do której odwołuje się wspomniany artykuł, przestanie obowiązywać. Nie to jednak jest istotą sprawy, tylko RODO.

— Rozporządzenie stanowi, że jego przepisy nie znajdują zastosowania do oznaczeń osób prawnych i tak naprawdę tylko do tych, które są niezbędne do zapewnienia przedsiębiorcy funkcjonowania w obrocie prawnym. Osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi. Zwróciliśmy się do KE o wyjaśnienie, jak rozumieć to pojęcie, ponieważ nie ma jego unijnej definicji. Gdyby uznać, że chodzi o przedsiębiorcę, tak samo należałoby traktować dane z Krajowego Rejestru Sądowego i z CEIDG. Przyjmując punkt widzenia polskiego ustawodawstwa, firmy wpisane do ewidencji działalności gospodarczej nie są osobami prawnymi — mówił podczas konferencji dr Maciej Kawecki.

Komisja przychyliła się do tej drugiej interpretacji. Stwierdziła, że jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.

— Inaczej będzie zatem traktowany KRS, a inaczej CEIDG — zapowiedział przedstawiciel MC, koordynujący krajową reformę ochrony danych osobowych.

Zbiory bez rejestracji

W uzasadnieniu do projektu przepisów wprowadzających przyszłą ustawę zwrócono jednak uwagę, że uchylany art. 39b był korzystny dla podmiotów wpisanych

do CEIDG przetwarzających dane osobowe innych przedsiębiorców. Firma, która stworzyła bazę swoich kontrahentów wpisanych do centralnej ewidencji, np. na potrzeby fakturowania, nie musiała zgłaszać tego zbioru do rejestru Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Po 25 maja wymóg zgłaszania zbiorów w ogóle zniknie, ale pojawią się nowe obowiązki, jak np. rejestrowanie przez przedsiębiorców czynności przetwarzania danych, na co zwróciła uwagę uczestnikom konferencji Bogusława Pilc, radca prawny, dyrektor Departamentu Inspekcji w Biurze GIODO. Przede wszystkim jednak podkreślała, że w tej reformie ważna jest samodzielność w przyjmowaniu rozwiązań służących ochronie danych i spełniających wymagania RODO. Przepisy żadnych wskazówek nie dają. Podmioty będą musiały same ocenić ryzyko związane z gromadzeniem i wykorzystywaniem pozyskanych informacji.

— To administrator danych osobowych będzie decydować, jakie zastosować środki, metody, systemy zarówno techniczne, organizacyjne czy architektoniczne. Powinny one wiązać się z prowadzoną działalnością — wyjaśniała radca. Przedsiębiorców niepokoi, że bez określonych prawnych wskazówek organ kontrolny będzie mógł podejść do oceny ryzyka inaczej niż przedsiębiorca, co jest częste, gdy ktoś nie zna specyfiki biznesu i zagrożeń z niej płynących. Według Bogusławy Pilc, w zasadzie nie ma znaczenia to, czy inspektor zna określony rodzaj działalności.

— To kontrolowany podmiot ma wykazać, dlaczego dokonał oceny ryzyka w określony sposób, na czym się opierał i jakimi zasadami kierował. Organ kontrolny będzie oceniał stan prawny i faktyczny, ale on też musi uzasadnić swoje stanowisko — podkreśliła przedstawicielka GIODO. Bogusława Pilc radziła przedsiębiorcom, aby przygotowując się do RODO, korzystali ze sprawdzonych dotychczas wzorców zachowań, procedur i zabezpieczeń. Ponadto, aby nie wyrzucali dokumentacji (zwłaszcza tej, w której zinwentaryzowano zbiory) i mieli pod ręką rozporządzenie dotyczące technicznych rozwiązań, które utraci moc wraz ze startem reformy — ale zawiera przydatne podpowiedzi. W nowych przepisach ich nie znajdą.

Zobacz video

Wystąpienie dr. Macieja Kaweckiego z konferencji „Efektywne Wdrożenie RODO/GDPR”:

TO NIE SPÓŁKI: RODO nie odnosi się do oznaczeń osób prawnych. Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, wyjaśnia, że według Brukseli dane osób fizycznych prowadzących działalność gospodarczą, nie uznanych w krajowym prawie za spółki, podlegają w pełni ochronie przewidzianej w rozporządzeniu UE. [FOT. WM

 

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Firma-Kowalski wyłączona z RODO