31 październik 2016

Centralna Ewidencja i Informacja o Działalności Gospodarczej. Przetwarzanie danych przedsiębiorców

Udostępnij

W Polsce pod koniec 2015 r. funkcjonowało 2 mln 972,1 tys. osób fizycznych prowadzących jednoosobową działalność gospodarczą. Taka liczba widnieje w rejestrze REGON prowadzonym przez Główny Urząd Statystyczny. Wszystkie te osoby są też wpisane do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (dalej zwaną ewidencją lub CEIDG). Warto, żeby przedsiębiorcy zadali sobie pytanie, czy faktycznie wiedzą, jak ona działa? Z jakich jej funkcjonalności można skorzystać? I, przede wszystkim, na co uważać?

 

Czym jest CEIDG i jakie są podstawy prawne jej działania?

Ewidencja jest bazą danych prowadzoną przez ministra właściwego do spraw gospodarki, czyli obecnie ministra rozwoju. Zasady jej działania zostały uregulowane w ustawie o swobodzie działalności gospodarczej[1] (rozdział 3). W tym zakresie jej przepisy stanowią regulację szczególną wobec ustawy o ochronie danych osobowych[2], która reguluje przetwarzanie informacji o zidentyfikowanych albo możliwych do zidentyfikowania osobach fizycznych. Celem tego ostatniego aktu prawnego jest ochrona interesów tych osób oraz ustalenie zakresu obowiązków właścicieli baz, czyli administratorów danych.

 

W art. 23 ust. 3 ustawy o swobodzie działalności gospodarczej określono cele istnienia CEIDG. Są to m.in.:

1) ewidencjonowanie przedsiębiorców,

2) udostępnianie informacji o przedsiębiorcach,

3) umożliwianie ustalenia terminu i zakresu zmian informacji o przedsiębiorcach.

 

Dzięki CEIDG każdy może sprawdzić, czy osoba, z którą chce podjąć współpracę, rzeczywiście jest przedsiębiorcą oraz gdzie i jaką działalność prowadzi. W publicznie dostępnej części ewidencji, czyli w portalu internetowym, można znaleźć:

1) dane identyfikacyjne (imię i nazwisko, firmę czyli nazwę działalności, NIP, REGON i adresy przedsiębiorcy);

2) dane dotyczące działalności (przedmioty działalności, jej zawieszenie i wznowienie, upadłość, zakazy prowadzenia działalności, dane pełnomocników itp.);

3) dane kontaktowe (np. adres poczty elektronicznej czy strony internetowej, numer telefonu), jeżeli przedsiębiorca nie sprzeciwił się ich udostępnianiu (o tym więcej poniżej).

 

Jakie dane można wpisać, jakich nie warto?

Warto w tym miejscu zadać sobie pytanie, jakie dane podać do ewidencji. W przypadku adresu przedsiębiorca powinien przemyśleć, czy chce podać swój adres domowy. Bardziej zalecane jest udostępnienie adresu miejsca wykonywania działalności (np. biura) albo adresu do doręczeń. Jeżeli jednak jedynym adresem, jaki poda przedsiębiorca będzie miejsce zamieszkania, to właśnie ono zostanie udostępnione w ewidencji. Niezależnie od tego jaki adres będzie widniał w CEIDG, trzeba pamiętać o odbieraniu zeń poczty. Mogą na niego wpływać nie tylko oferty od innych podmiotów gospodarczych, ale także rachunki, pisma sądowe czy urzędowe. Przykładowo minister rozwoju doręcza przedsiębiorcy pisma tylko na adres wskazany w CEIDG, gdyż zgodnie z art. 33a ustawy o swobodzie działalności gospodarczej doręczenie takie jest skuteczne.

 

Podanie danych kontaktowych należy rozważyć pod względem prowadzonej działalności. Jeżeli przedsiębiorcy zależy np. na rozpowszechnieniu swojego numeru telefonu czy adresów elektronicznych, to warto zezwolić na ich udostępnianie. Jednakże jeżeli prowadzący działalność dysponuje tylko jednym numerem telefonu i nie chce, by każdy mógł się do niego dodzwonić, przepisy pozwalają zastrzec te dane[3]. Najlepiej zrobić to na samym początku prowadzenia działalności gospodarczej, np. przy jej rejestracji. W przeciwnym wypadku jest duża szansa, że na adres domowy, adres mailowy będzie przychodziło mnóstwo ofert na niezamawiane produkty i usługi. Często zresztą będzie się to odbywało z naruszeniem przepisów o ochronie danych i zakazie spamowania uregulowanym w ustawie o świadczeniu usług drogą elektroniczną[4] oraz w ustawie Prawo telekomunikacyjne[5].

 

Niezależnie od tego, ile i jakie dane zostaną podane, trzeba mieć pewność, że są one prawidłowe. Zgodnie z art. 33 ustawy o swobodzie działalności gospodarczej domniemywa się bowiem, że przedstawiane dane są prawdziwe. W przypadku gdy jest inaczej – np. gdy są one nieaktualne – można zostać pociągniętym do odpowiedzialności za szkody wyrządzone tym faktem innym osobom (np. nieuwzględnienie reklamacji z powodu zmiany adresu) oraz ponieść karę (np. za brak reakcji na pismo urzędowe).

 

Retencja danych, czyli czas ich przechowywania w ewidencji

Dane przekazane do ewidencji są w niej przechowywane, czyli także udostępniane, bezterminowo. Należy pamiętać, że nawet wtedy, kiedy działalność zostanie wyrejestrowana, to informacje o niej i o samych przedsiębiorcach pozostaną w CEIDG. Gdyby ewidencja była zwykłym zbiorem danych w rozumieniu ustawy o ochronie danych osobowych, taka sytuacja byłaby niedopuszczalna. Zapobiegałaby temu zasada ograniczenia czasowego, zgodnie z którą dane powinny być przetwarzane tylko przez pewien ustalony czas. Jednak wartością ewidencji jako publicznego rejestru osób prowadzących działalność gospodarczą jest możliwość sprawdzania wszystkich przedsiębiorców, także tych działających w przeszłości. Jest to kolejny powód, dla którego należy rozważnie decydować o tym, jakie dane będą umieszczone w CEIDG.

 

Możliwość udostępniania danych podmiotom z sektora prywatnego

Z danymi pojedynczego przedsiębiorcy każdy może bezpłatnie zapoznać się przez przeglądanie wpisów ujętych w CEIDG w portalu internetowym (ceidg.gov.pl). Istnieje także możliwość uzyskania wielu rekordów z ewidencji po zawarciu umowy z ministrem rozwoju. W ten sposób można pozyskać dane o większej liczbie przedsiębiorców z konkretnego sektora, regionu itd. Jest to łatwiejsze niż np. mozolne przeglądanie pojedynczych wpisów w portalu internetowym i tworzenie bazy kontaktów poprzez dopisywanie do tabelek kolejnych rekordów.

 

Zmiany

Ważne zmiany w tym zakresie, o których należy pamiętać, zostały wprowadzone przy okazji nowelizacji ustawy o swobodzie działalności gospodarczej, która weszła w życie 19 maja 2016 r. Do tego dnia informacje z CEIDG były udostępniane odpłatnie zainteresowanym podmiotom z sektora prywatnego na podstawie art. 39 ust. 2 i następnych wspomnianej ustawy. Stawka była określana na podstawie przepisów rozporządzenia wykonawczego ministra gospodarki z dnia 13 marca 2014 r.[6] Określono w nim także sposób, w jaki dane były udostępniane. Działo się to przy pomocy urządzeń teletransmisji, czyli przesyłu siecią Internet. W zależności od tego, ile danych było przekazywanych i ile czasu zajmowało ich przygotowanie, ustalana była kwota „wynagrodzenia”. Stawka za roboczogodzinę wynosiła 50 złotych netto. Dla tych, którzy chcieli mieć ciągły dostęp, określano opłatę dodatkową.

 

Opłaty, o których mowa, stanowiły oczywiście dochód budżetu państwa. W ten sposób państwo działało w pewnym sensie jako dystrybutor danych swoich obywateli, jednocześnie określając zasady ochrony tych danych. Osoba, która je pozyska może je wykorzystać w ustalonym przez siebie celu. W poprzednim brzmieniu przepisów (czyli do 19 maja) były to cele zarówno komercyjne, jak i niekomercyjnie. Ale należy pamiętać, że informacje pozyskane od ministra rozwoju nie mogą być dalej udostępniane. Jest to zabronione na podstawie art. 39 ust. 2 ustawy o swobodzie działalności gospodarczej. Wyklucza to oficjalnie możliwość handlowania bazami danych przedsiębiorców pozyskanych od ministra rozwoju.

 

i nowa ustawa

Nowelizacja z 19 maja 2016 r., dzięki której wspomniane dane zbiorcze są dostępne bez opłat, była też niejako „wstępem” do kolejnej zmiany. Dnia 16 czerwca 2016 r. weszła w życie ustawa o ponownym wykorzystywaniu informacji publicznej[7]. Stanowi ona wdrożenie postanowień unijnej dyrektywy o ponownym wykorzystywaniu informacji sektora publicznego[8], zmienionej ostatnio w 2013 r. W przepisach tej ustawy określono, że informacje sektora publicznego (np. rejestry państwowe dotyczące kartografii, statystyki, danych finansowych itd.) mają być szeroko dostępne celem wzbogacenia wiedzy obywateli o kraju i ułatwienia możliwości tworzenia nowych usług na podstawie tych danych. Udostępnianie danych z CEIDG w zakresie nieuregulowanym w przepisach ustawy o swobodzie działalności gospodarczej podlega także przepisom nowej ustawy. Można dojść do wniosku, że kolejność nowelizacji mogła być odwrotna – najpierw uznanie danych przedsiębiorców za nadające się do ponownego wykorzystywania i stosowanie tych przepisów, a później zwolnienie z opłat za udostępnianie. Nie zmienia to faktu, że dane przedsiębiorców są od 16 czerwca br. dostępne w najszerszym jak dotąd zakresie dla każdego zainteresowanego.

 

Zmiana ograniczająca ochronę danych osobowych przedsiębiorców

Nowelizacja z 19 maja 2016 r., poza wspomnianym zniesieniem opłat za udostępnianie danych, przyniosła jeszcze jedną, nawet ważniejszą dla przedsiębiorców zmianę w zakresie ochrony ich danych ujętych w ewidencji. Zmodyfikowano mianowicie zasady przetwarzania jawnych danych przedsiębiorców udostępnianych z CEIDG, tzn. nie są już one objęte wszystkimi przepisami ustawy o ochronie danych osobowych.

 

Warto pamiętać, że od 2012 do 2016 r. dane identyfikacyjne i kontaktowe osób fizycznych prowadzących działalność gospodarczą były chronione przepisami ustawy o ochronie danych osobowych w pełnym zakresie, czyli tak jak dane osób fizycznych, tj. konsumentów. Obecnie zbliżyliśmy się do stanu prawnego sprzed 2012 r., kiedy uznawano, że dane przedsiębiorców są w całości publiczne i możliwe jest ich swobodne wykorzystywanie[9].

 

Oczywiście zastosowanie nadal mają przepisy o kontroli prawidłowości przetwarzania. Generalny Inspektor Ochrony Danych Osobowych (GIODO) może zatem z własnej inicjatywy podejmować czynności kontrolne i, w drodze decyzji administracyjnej, nakazać przetwarzanie danych zgodnie z prawem oraz informować organy ścigania o podejrzeniu popełnienia przestępstwa (art. 14‒19a oraz 21‒22a ustawy o ochronie danych osobowych). Podmioty przetwarzające dane mają także obowiązek odpowiednio je zabezpieczać przed nieuprawnionym dostępem, zmianą i usunięciem oraz wykorzystaniem niezgodnym z prawem.

 

Można byłoby powiedzieć, że skoro GIODO nadal kontroluje przetwarzanie tych danych, to niewiele się zmieniło. Trzeba jednak pamiętać, jakie przepisy ustawy nie są już stosowane do danych przedsiębiorców. Chodzi m.in. o to, że nie ma już obowiązku informowania osób prowadzących działalność gospodarczą o fakcie przetwarzania ich danych, a oni nie mogą żądać zaprzestania takiego przetwarzania (np. usunięcia danych) czy złożyć skargi do GIODO.

 

CEIDG w obliczu wejścia w życie unijnego rozporządzenia o ochronie danych osobowych

W maju 2018 r. przepisy ustawy o ochronie danych osobowych zostaną zastąpione przepisami unijnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. ogólne rozporządzenie o ochronie danych). Akt ten został ogłoszony po trwających ponad cztery lata pracach, w których udział brały Komisja Europejska, Parlament Europejski, rządy państw członkowskich oraz przedstawiciele organizacji biznesowych i społecznych nie tylko z Europy. Stanowi ono rozwinięcie dotychczas obowiązujących zasad ochrony danych osobowych w obliczu postępu technologicznego, jaki ma miejsce w obszarze analizy danych w każdym sektorze gospodarki. Jego przepisy przewidują m.in., że zastosowanie zasad (w tym wspomnianego ograniczenia czasowego) może być limitowane m.in. w celu prowadzenia rejestrów publicznych z uwagi na względy interesu publicznego. Oznacza to, że CEIDG w obecnej ogólnej postaci nie zmieni się. Na podstawie obecnie obowiązujących przepisów ustawy o swobodzie działalności gospodarczej dane mogą być przechowywane i udostępniane przez ministra rozwoju bezterminowo. Można się jednak spodziewać, że przy okazji dostosowania polskiej ustawy o swobodzie działalności gospodarczej do wymienionego unijnego rozporządzenia, zostanie wskazany skończony okres przechowywania. Oznaczałoby to wzmocnienie ochrony przetwarzanych danych zgodnie z celami unijnego rozporządzenia. Np. dane mogłyby być udostępniane jeszcze przez pięć lat po zakończeniu wykonywania działalności. Wiele zależy tutaj od stanowiska Generalnego Inspektora Ochrony Danych Osobowych, który opiniuje projekty zmian aktów prawnych w zakresie przetwarzania danych. To, że dojdzie do weryfikacji przepisów m.in. ustawy o swobodzie działalności gospodarczej, jest pewne, gdyż na konferencji w Senacie 22 czerwca br. ogłosił to Wiceminister Cyfryzacji Witold Kołodziejski. Jest też prawdopodobne, że rejestracja i wprowadzanie zmian danych będą łatwiejsze, dzięki planom rządu polegającym na rozszerzaniu oferty e-usług administracji publicznej. Może się temu przysłużyć uchwalana obecnie ustawa o usługach zaufania. Ma ona zastąpić ustawę o podpisie elektronicznym i poszerzać wachlarz e-podpisów dostępnych dla obywateli. Stanowić będzie ona uzupełnienie unijnego rozporządzenia nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym[10], które weszło w życie w 1 lipca br.

 

Bez Centralnej Ewidencji i Informacji o Działalności Gospodarczej obrót gospodarczy w Polsce z jednej strony byłby trudniejszy, gdyż niemożliwym byłoby sprawdzanie potencjalnych kontrahentów i usługodawców. Z drugiej dostępność tak dużej bazy danych prowadzi do nadużyć. Powszechna dostępność informacji o przedsiębiorcach wymaga szczególnej uwagi i ostrożności od osób prowadzących działalność. Znajomość przepisów prawa i aktywna ochrona własnych interesów stają się dziś szczególnie ważne. Ochrona danych przedsiębiorcy musi stanowić coraz ważniejszą część dbania o własną reputację i pozycję na rynku. Dlatego też, pomimo że dane przedsiębiorców są publiczne, nie powinno się ograniczać całkowicie ich praw.

 

Krzysztof M. Król

prawnik,

Lookreatywni.pl

 

Artykuł pochodzi z Biuletynu Euro Info Listopad 2016.



[1] Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej DzU z 2015 r., poz. 584 ze zm.).

[2] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2016 r., poz. 922).

[3] Art. 37 ust. 1 pkt 1 ustawy o swobodzie działalności gospodarczej.

[4] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (DzU z 2016 r., poz. 1030).

[5] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (DzU z 2014 r., poz. 243 ze zm.).

[6] Rozporządzenie Ministra Gospodarki z dnia 13 marca 2014 r. w sprawie sposobu obliczania wysokości oraz sposobu uiszczania opłat za udostępnianie danych z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (DzU z 2014 r., poz. 359).

[7] Ustawa z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (DzU z 2016 r., poz. 352).

[8] Dyrektywa 2003/98/WE Parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz. Urz. UE L 345 z 2003 r., s. 90, ze zm.).

[9] Do końca 2011 r. dane osób fizycznych prowadzących działalność gospodarczą były wyłączone spod przepisów ustawy o ochronie danych osobowych na podstawie art. 7a ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (DzU z 1999 r., nr 101, poz. 1178). Z kolei obecne ograniczenie stosowania przepisów o ochronie danych wynika z obowiązującego od 19 maja 2016 r. art. 39b Ustawy o swobodzie działalności gospodarczej.

[10] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 2014 r., s. 73).