Osoby fizyczne prowadzące działalność gospodarczą pod ochroną GIODO

Z dniem 1 stycznia 2012 r. ochronie przewidzianej w ustawie o ochronie danych osobowych  podlegają obecnie dane osób fizycznych bez względu na to czy osoby te  prowadzą działalność gospodarczą, czy też nie.  Administrator danych  osób fizycznych prowadzących działalność gospodarczą zobowiązany jest  więc do spełnienia obowiązków wynikających z przepisów ustawy o  ochronie danych osobowych, w tym obowiązku zgłoszenia zbioru do  rejestracji, określonego w art. 40 tej ustawy. Administrator danych  musi legitymować się odpowiednią przesłanką z uodo, na podstawie  której dopuszczalne będzie przetwarzanie przez niego danych osobowych  tychże osób.  Największym problemem, który związany jest z w/w zmianą jest jednak  obowiązek informacyjny, który obciąża administratorów danych osób  fizycznych prowadzących działalność gospodarczą również tych  zbieranych przed 1 stycznia 2012 r. w przypadku dalszego ich  przetwarzania.

Jesli jesteś  administratorem przetwarzającym takie dane powinieneś  dopełnić obowiązku informacyjnego wobec osób, których dane osobowe  przetwarzasz. Wykonanie tego obowiązku w sposób oczywisty może być dla Ciebie jako   administratora trudne oraz kosztowne do zrealizowania.  Aktualnie w Ministerstwie Gospodarki trwają prace na zmianami  przepisów w wyżej wymienionym zakresie tak, aby dostosować je do  potrzeb biznesowych jednocześnie uwzględniając usprawiedliwione prawa  osób, których dane dotyczą.  Na podstawie informacji jakie uzyskałam, zmianie nie ulegną  przepisy w zakresie obowiązków dotyczących odpowiedniego  zabezpieczania danych osobowych osób fizycznych prowadzących  działalność gospodarczą.

Dane osobowe

Za dane osobowe uważa się – według ustawy – “wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Informacja w tym kontekście oznacza wiadomości, wypowiedzi, prezentacje wyrażone i zapisane w jakikolwiek sposób: znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na taśmie magnetofonowej lub magnetowidowej.

Dane osobowe to zestaw danych pozwalający na zidentyfikowanie określonej osoby w takim stopniu, by było możliwe odróżnienie jej od innych osób, których dane dotyczą i skontaktowanie się z nią lub w znacznym stopniu ułatwiający kontakt z tą osobą i wyciąganie wniosków na jej temat na podstawie dostępnych danych. W toku przetwarzania danych są one uznawane za dane osobowe dopóty, dopóki można stwierdzić ich związek z osobą, której dotyczą.

Wszelkie informacje” służy podkreśleniu, iż w grę wchodzą informacje odnoszące się do każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego, prywatnego, wykształcenia, wiedzy czy cech charakteru. Informacje muszą “dotyczyć osoby fizycznej”, ma to znaczenie, że poza polem zainteresowania znajdują się zbiory informacji (ujęte np. w formę rejestrów i ewidencji) dotyczących podmiotów innych niż osoby fizyczne. Pojęcie danych osobowych na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, o ile możliwe jest zidentyfikowanie tej osoby.

Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamość da się określić bądź bezpośrednio, bądź pośrednio, w szczególności odwołując się do numeru identyfikacyjnego albo do jednego lub wielu specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

 Danymi osobowymi są m.in. informacje:

*       imię, nazwisko, płeć, wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL);
*       o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);
*       o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu;
*       o sytuacji majątkowej, operacjach finansowych, w tym też zaniechaniach (np. lista zaległości czynszowych);
*       o najróżniejszych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym);

Część informacji już z natury rzeczy identyfikuje osobę. Większość uzyskuje charakter danych osobowych dopiero w połączeniu z
informacjami identyfikującymi wprost lub pośrednio osobę.

Przykłady:

Numer PESEL – zgodnie z ustawą o ewidencji ludności i dowodach osobistych – jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną.

Adres poczty elektronicznej w większości przypadków umożliwia jednoznaczną identyfikację właściciela konta, czyli osoby, której dotyczy, i powinien być traktowany jako dane osobowe.

Numer karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, donktórej ta karta należy.

Kserowanie dokumentów a ochrona danych osobowych

Często spotykamy się z  koniecznością kserowania dokumentów, warto zatem  zastanowić się nad tą czynnością z uwagi na kwestie dotyczące  ochrony danych osobowych.

Przepisy ustawy o ochronie danych osobowych oczywiśnie nie zakazują kserowania dokumentów, ważne jest jednak przy tym aby nie kopiować i gromadzić dokumentów  w szerszym zakresie niż zakłada to cel dla którego dane są kserowane.

Na ten temat wypowiedział się  Naczelny Sąd Administracyjny,  w wyroku z dnia 19 grudnia 2001 r. (sygn. akt II SA 2869/00) orzekł, iż “gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych.”

Nie jest istotne przy tym jaką zastosowaną technikę utrwalania danych np kopiowanie, przepisywanie, gdyż technika ta nie przesądza o legalności przetwarzania danych. Decyduje o tym przede wszystkim : podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27) oraz granice przetwarzania (art. 26 ust. 1 pkt 3).

Analogiczne stanowisko zajął Naczelny Sąd Administracyjny w wyroku z dnia 7 listopada 2003 r. (sygn. akt II SA1432/02), który stwierdził, że “ustawa o ochronie danych osobowych nie zajmuje się określeniem techniki gromadzenia danych osobowych lecz zakresem ich przetwarzania (…).”