Wielu przedsiębiorców zadaje sobie pytanie, czy przepisy RODO dotyczą również danych osób fizycznych prowadzących działalność gospodarczą , które są ogólnodostępne w CEIDG? Są to przecież informacje, które może pozyskać każdy. Ponadto osoby zakładające działalność gospodarczą godzą się, że dane te będą widoczne bez ograniczeń w internecie.
Prawo podchodzi jednak do tego zagadnienia zupełnie inaczej. RODO ani inne akty prawne, w szczególności te, które obowiązują w Polsce, nie przewidują żadnych wyjątków w tej kwestii. Jeżeli zatem sprzedają Państwo towary osobom fizycznym prowadzącym działalność gospodarczą i w związku z wystawieniem faktury gromadzą Państwo ich dane osobowe, konieczne jest spełnienie wszystkich obowiązków określonych przepisami RODO. Muszą Państwo m.in. wypełnić obowiązek informacyjny (art. 13 RODO), czyli przekazać osobie najważniejsze informacje dotyczące sposobu przetwarzania jej danych, ustalić zakres gromadzonych danych, okres ich przechowywania danych, a następnie odpowiednio je zabezpieczyć.
Oczywiście sprzedaż towarów jest tylko i wyłącznie jednym z przykładów sytuacji, w której może dojść do gromadzenia danych. Firmy gromadzą dane jednoosobowych przedsiębiorców także w celu nawiązania ewentualnej współpracy, wysyłania informacji marketingowych itd. Wówczas również należy pamiętać o RODO.
A jak było wcześniej? Zanim zaczęło obowiązywać RODO, zgodnie z art. 39b ustawy o swobodzie działalności gospodarczej do jawnych danych i informacji udostępnianych przez CEIDG nie miały zastosowanie przepisy przepisy ustawy o ochronie danych osobowych, z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy. Oznaczało to, że jeżeli ktoś gromadził dane tylko i wyłącznie dostępne w CEIDG, nie musiał np. otrzymać zgody na ich przetwarzanie; informować, że będzie je przetwarzał czy też zawierać umów z podmiotami, którym powierza przetwarzanie danych. GIODO mogło jednak przeprowadzić kontrolę przetwarzania takich danych, zaś podmiot posiadający dane musiał odpowiednio je chronić, w tym wdrożyć dokumentację opisującą sposób, w jaki zostały one zabezpieczone.
W praktyce bardzo rzadko zdarzało się, aby przedsiębiorca posiadał dane swoich kontrahentów, które są identyczne z danymi dostępnymi w CEIDG. Zatem wyłączenia te miały niewielkie znaczenie w typowej działalności gospodarczej.
Czy jest szansa na wprowadzenie w polskim prawie wyjątków dotyczących danych osób fizycznych prowadzących działalność gospodarczą? Niestety na razie się na to nie zanosi. Również Komisja Europejska stoi na stanowisku, że przepisy RODO trzeba stosować w stosunku do osób fizycznych, nawet jeśli ich dane gromadzone są w związku z prowadzoną przez nie działalnością gospodarczą. Dlatego trudno sobie wyobrazić, aby w najbliższym czasie doszło do diametralnych zmian w tej kwestii.
