Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO nie definiuje pojęcia dane osobowe dostępne publicznie.
W art. 4 ust. 1 (Rozporządzenie ogólne o ochronie danych osobowych) mamy definicję danych osobowych – czyli są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować.
W praktyce należy wskazać dwa źródła danych osobowych dostępnych publicznie:
- Dane osobowe zawarte w rejestrach publicznych np. Krajowy Rejestr Sądowy (KRS), CEIDG – Centralna Ewidencja Działalności Gospodarczej
- Dane osobowe, które zostały ujawnione publicznie, ale z innych źródeł np. dane kontaktowe na stronie internetowej.
Przetwarzanie danych osobowych dostępnych publicznie w większości przypadków będzie wiązało się ze spełnieniem obowiązku informacyjnego, przetwarzaniem danych osobowych z poszanowaniem zasad określonych w Rozporządzeniu RODO.
Jednoosobowe działalności gospodarcze a Rozporządzanie RODO?
W motywie 14 RODO podkreślono, iż Rozporządzenie o ochronie danych osobowych „powinno mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.”
W Polsce jednoosobowe działalności gospodarcze wpisane do CEIDG nie są osobami prawnymi, co zgodnie z przytoczonym motywem oznacza, iż podlegają pod Rozporządzenie RODO.
Zakres danych zawartych w rejestrze CEIDG jest ściśle uregulowany w Ustawie z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy
Art. 5 ust. 1niniejszej ustawy reguluje kwestię tzw. danych ewidencyjnych a ust. 2 danych informacyjnych.
Do danych ewidencyjnych, podlegających wpisowi zalicza się:
- imię i nazwisko przedsiębiorcy, numer PESEL, o ile taki posiada, oraz data urodzenia, o ile nie posiada numeru PESEL;
- dodatkowe określenia, które przedsiębiorca włącza do firmy, o ile przedsiębiorca takich używa;
2a) oznaczenie „w spadku”, jeżeli został ustanowiony zarząd sukcesyjny; - numer identyfikacyjny REGON przedsiębiorcy, o ile taki posiada;
- numer identyfikacji podatkowej (NIP) przedsiębiorcy, o ile taki posiada, oraz informacje o jego unieważnieniu lub uchyleniu;
- informacja o obywatelstwie przedsiębiorcy;
- adres do doręczeń oraz – jeżeli przedsiębiorca takie miejsce posiada – adres stałego miejsca wykonywania działalności gospodarczej; dane dotyczące adresu są zgodne z oznaczeniami kodowymi przyjętymi w krajowym rejestrze urzędowym podziału terytorialnego kraju, o ile to w danym przypadku możliwe;
- inne niż wymienione w pkt 6 dane kontaktowe przedsiębiorcy, w szczególności adres poczty elektronicznej, adres strony internetowej, numer telefonu, o ile dane te zostały zgłoszone przez przedsiębiorcę we wniosku o wpis do CEIDG;
- przedmiot wykonywanej działalności gospodarczej według Polskiej Klasyfikacji Działalności (PKD) na poziomie podklasy, w tym jeden przedmiot przeważającej działalności.
Art. 43(4) Kodeksu Cywilnego – „Firmą osoby fizycznej jest jej imię i nazwisko. Nie wyklucza to włączenia do firmy pseudonimu lub określeń wskazujących na przedmiot działalności przedsiębiorcy, miejsce jej prowadzenia oraz innych określeń dowolnie obranych.”
Krajowy Rejestr Sądowy a RODO
Ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym w art. 36 wymienia podmioty, które mają obowiązek dokonania wpisu do rejestru przedsiębiorców. Zalicza się do nich m.in. spółka jawna, spółka z ograniczoną odpowiedzialności, spółka komandytowa, spółka akcyjna.
Poza danymi dotyczącymi m.in. nazwy, adresu, numeru NIP czy REGON w rejestrze znajdują się jeszcze dane osobowe wspólników, osób wchodzących w skład organu reprezentującego bądź też nadzorczego. Warto podkreślić, iż mimo że te dane odnoszą się wprost do danego podmiotu prawnego, to wskazują one na określoną osobę a tym samym należy uznać je za dane osobowe.
W kwestii rozważań oraz podjęcia działań przez właściwe organy pozostaje kwestia numeru PESEL, które jest widoczny w odpisie KRS. Pytanie czy powinien być on ogólnie dostępny?
Art. 43(5) § 3 Kodeksu cywilnego: „Firma osoby prawnej może zawierać nazwisko lub pseudonim osoby fizycznej, jeżeli służy to ukazaniu związków tej osoby z powstaniem lub działalnością przedsiębiorcy. Umieszczenie w firmie nazwiska albo pseudonimu osoby fizycznej wymaga pisemnej zgody tej osoby, a w razie jej śmierci – zgody jej małżonka i dzieci.”
Np. jeżeli w nazwie firmy znajduje się np. nazwisko właściciela Nowak ….. Sp. z o.o. to w praktyce nie uznajemy nazwy takiego podmiotu za dane osobowe.