Dane osobowe przedstawicieli różnych firm są przechowywane w rejestrach takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej. Czy zatem konieczne jest podjęcie dodatkowych działań w związku z przetwarzaniem tych danych przez prywatną firmę? Szczegóły w artykule.
Wprawdzie RODO nie zabrania pozyskiwania danych osobowych ze źródeł powszechnie dostępnych. Problem tkwi w tym, czy CEiDG to takie właśnie źródło powszechnie dostępne. Poprzednik PUODO (GIODO) wymagał dla celów uznania źródła za „powszechnie dostępne” aby dane były zawarte „w zbiorze danych, z którymi może zapoznać się bez szczególnego nakładu sił i środków nieograniczony krąg podmiotów”. Dla uznania powszechnej dostępności danych osobowych nie ma znaczenia jakich osób dane te dotyczą. Chodzi bowiem o samą możliwość dostępu do danych nieograniczonego kręgu podmiotów i okoliczność, że można się z nimi zapoznać bez szczególnego nakładu sił i środków.
Nie należy mieć wątpliwości co do tego, że dane z CEiDG są powszechnie dostępne bo każdy może, podając jedynie kod captcha, szybko uzyskać dostęp do ich zawartości. A nie jest to specjalny nakład sił i środków.
Administrator danych uzyskanych ze źródeł powszechnie dostępnych, jak każdy inny administrator danych, musi legitymować się jedną z przesłanek przetwarzania danych osobowych (art. 6 i 9 RODO). W przypadku danych pozyskanych ze źródeł powszechnie dostępnych w grę może wchodzić zgoda osoby, której dane dotyczą lub prawnie usprawiedliwiony interes administratora danych. Powołanie się na prawnie usprawiedliwiony interes nie może jednak dotyczyć sytuacji, w których nadrzędny charakter wobec tego interesu mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. Wydaje się, że w przypadku przedsiębiorców, których dane są dostępne w CEiDG, z tym wyjątkiem nie mamy do czynienia.
Podmiot, który uzyskał dane osobowe ze źródeł powszechnie dostępnych musi wypełnić obowiązek informacyjny. Obecnie jest on regulowany przepisami RODO. Wywiązanie się z niego jest konieczne dla zgodnego z prawem przetwarzania danych powszechnie dostępnych. Z uwagi na fakt, że dane są zbierane nie bezpośrednio od osób, których dotyczą administrator danych powinien przekazać tej osobie informacje określone art. 14 RODO. Wskazany obowiązek informacyjny ma co do zasady charakter bezwzględny. Jedynie w kilku przypadkach RODO przewiduje zwolnienie z tego obowiązku np. w sytuacji gdy osoba, której dane dotyczą, dysponuje już tymi informacjami lub gdy udzielenie takich informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie – jeżeli danych nie uzyskuje się bezpośrednio od niej, lecz z innego źródła - w rozsądnym terminie, zależnie od okoliczności.
W przypadku danych przedsiębiorców wpisanych do CEiDG wskazane wyżej wyjątki zasadniczo nie zachodzą i trzeba zawsze wykonywać obowiązek informacyjny.
Więcej porad ekspertów dotyczących ochrony danych osobowych znajdziesz w portalu PoradyODO.pl
Podstawa prawna
● Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 9, art. 13, art. 14.
Marcin Sarna
radca prawny
Dodaj nowy komentarz