Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Zasady informowania

23-02-2018 Autor: Magdalena Czaplińska, Adrian Szutkiewicz, Anna Kobylańska

Czy informacje, które są dostępne w CEIDG, to dane osobowe w rozumieniu rodo? Co się dzieje ze zgodami oraz umowami powierzenia zawartymi przed wejściem w życie rodo, czy nadal są ważne? Wy pytacie, nasi eksperci odpowiadają.


Informacje z CEIDG jako dane osobowe
Odpowiada: Magdalena Czaplińska


Czy dostępne w internecie informacje o osobach fizycznych prowadzących działalność gospodarczą na gruncie rodo stanowią dane osobowe?

Informacje o osobie fizycznej, prowadzącej działalność gospodarczą, które możemy zdobyć przez stronę internetową lub przeczytać na stronie CEIDG, mogą mieć status danych osobowych. Nie powinno budzić wątpliwości, że definicja pojęcia „dane osobowe” zawarta w rodo obejmuje swoim zakresem informacje zarejestrowane w CEIDG.

Zgodnie z art. 4 pkt 1 rodo „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników, określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przepisy aktualnie obowiązującej ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej stanowią, że do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo) z wyjątkiem art. 14–19a i art. 21–22a uodo oraz rozdziału 5 uodo. W momencie rozpoczęcia stosowania rodo (25 maja 2018 r.) wyłączenie to nie będzie miało znaczenia. Zgodnie z motywem 14 preambuły rodo „ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. W rodo nie ma definicji osoby prawnej, zaś „przedsiębiorca” oznacza osobę fizyczną lub prawną, prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia, prowadzące regularną działalność gospodarczą.

Rodo znajduje zastosowanie do przetwarzania danych osobowych osób fizycznych, prowadzących działalność gospodarczą. Tym samym, projektując system ochrony danych zgodny z rodo, musimy brać pod uwagę także powszechnie dostępne dane z CEIDG.


Przetwarzanie danych osób ujętych w CEIDG według rodo jest objęte takimi samymi wymogami, jak przetwarzanie danych osób fizycznych. Rodo nie różnicuje poziomu ochrony danych osób fizycznych wykonujących i niewykonujących działalności gospodarczej.

Autorka jest radcą prawnym, partnerem w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p.



Dotychczas zawarte umowy powierzenia a rodo

Odpowiada: Adrian Szutkiewicz

Czy po rozpoczęciu stosowania rodo podstawą przetwarzania danych przez procesora mogą być umowy powierzenia zawarte jeszcze przed jego wejściem w życie?

Aby odpowiedzieć na powyższe pytanie, należy na początku przywołać 3 daty:

  • 4 maja 2016 r. – data publikacji rodo w Dzienniku Urzędowym UE;
  • 24 maja 2016 r.– data wejścia w życie rodo;
  • 25 maja 2018 r.– data rozpoczęcia stosowania rodo.

W przypadku instytucji o charakterze „ciągłym”, funkcjonujących przed i po rozpoczęciu stosowania rodo, takich jak przetwarzanie danych na podstawie zgód i zawartych umów powierzenia przetwarzania danych, „bariera” 25 maja 2018 r. wywołuje szereg wątpliwości.

W przypadku zgód kwestia ich „uznawalności” po 25 maja 2018 r. została praktycznie przesądzona w wydanych przez Grupę Roboczą art. 29, i zgodnych z motywem 171 rodo wytycznych (Article 29 Data Protection Working Party, Guidelines on Consent under Regulation 2016/679 adopted on 28 November 2017, WP 259), w których wskazano, że „stare” zgody nie utracą ważności, jednak pod warunkiem iż spełniają one jednocześnie przesłanki określone w rodo.

„Rewolucja” rodo znacząco rozszerzyła obligatoryjną treść umów powierzenia przetwarzania danych. Dotychczas dla swej prawidłowości taka umowa powinna być zawarta na piśmie i określać zakres oraz cel powierzanych danych, podczas gdy art. 28 rodo w minimalnej treści umowy powierzenia przetwarzania danych wskazuje chociażby na obowiązkowe określenie czasu trwania przetwarzania, rodzaj przekazywanych do przetwarzania danych czy też kategorie osób, których dane dotyczą.

Kluczem do odpowiedzi na pytanie, czy umowy powierzenia przetwarzania danych zawarte przed wejściem w życie rodo także zachowają status instrumentów legalizujących przetwarzanie danych przez procesora po rozpoczęciu jego stosowania, jest analiza motywu 171 preambuły rodo, wskazującego, że wszelkie operacje przetwarzania powinny zostać dostosowane do wymogów rodo nie później niż do 25 maja 2018 r.

Odstępstwa od wymogów, wynikających z przepisów rodo będą więc tolerowane wyłącznie do dnia rozpoczęcia jego stosowania. Ustawodawca europejski wprowadził przeszło 2-letnie quasi vacatio legis, w trakcie którego podmioty powinny osiągnąć stan zgodności z rodo do 25 maja 2018 r. Jeżeli osiągną ten stan wcześniej, będzie to wyłącznie z korzyścią dla nich. Co więcej, taki właśnie był cel ustawodawcy unijnego, by jeszcze przed rozpoczęciem stosowania rodo były zawierane umowy powierzenia przetwarzania danych zgodne z jego przepisami. Trzeba jednak zauważyć, że rodo zostało opublikowane 4 maja 2016 r. i weszło w życie 24 maja 2016 r.  

[...]

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.