Z dniem 1 stycznia br. utraciła moc obowiązującą ustawa z 19 listopada 1999 r. Prawo działalności gospodarczej (Dz.U.99.101.1178 ze zm.), przez co również zmieniła się sytuacja podmiotów przetwarzających dane osobowe osób fizycznych prowadzących działalność gospodarczą.
Dane osobowe osób prowadzących działalność gospodarczą
Do tej pory bowiem dane zawarte w ewidencji działalności gospodarczej (zastąpionej ostatecznie Centralną Ewidencją i Informacją o Działalności Gospodarczej) były, na mocy art. 7a nieobowiązującego już Prawa działalności gospodarczej, wyłączone spod reżimu ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.02.101.926 j.t. ze zm.) („u.o.d.o.”).
Natomiast od 1 stycznia br. dane osoby prowadzącej działalność gospodarczą, o ile spełnią kryteria uznania ich za dane osobowe, będą uważane za takie w rozumieniu tej ustawy. W konsekwencji podmioty przetwarzające dane osobowe osób prowadzących działalność gospodarczą (i ujawnionych w związku z prowadzoną działalnością) będą musiały zadbać o przetwarzanie tych danych zgodnie z zasadami wyrażonymi w ustawie o ochronie danych osobowych.
Przekazywanie danych osobowych poza EOG
Jakkolwiek z 1 stycznia br. weszły w życie również zmiany wprowadzone ustawą z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej (Dz. U. Nr 230, poz. 1371), najistotniejsza z nich, a odnosząca się do kwestii zasad przekazywania danych osobowych do docelowego państwa trzeciego (tj. nienależącego do Europejskiego Obszaru Gospodarczego), sprowadza się do przeformułowania art. 47 ust. 1-2 u.o.d.o., w tym przez dodanie ust. 1a.
Dotychczasowe brzmienie art. 47 ust. 1 u.o.d.o. wskazywało wprost na konieczność zapewnienia przez państwo trzecie gwarancji takiej ochrony danych osobowych, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. W doktrynie pojawiały się głosy, że brak jest uzasadnienia dla uznania w trybie art. 47 ust. 1 u.o.d.o., że przekazanie danych do kraju trzeciego nie jest dozwolone we wszystkich przypadkach, w których państwo docelowe nie daje przynajmniej takich gwarancji ochrony danych osobowych, jakie zapewnia polska ustawa1. Takie podejście zostało uznane przez doktrynę za zbyt restrykcyjne.
Nowa redakcja ust. 1 art. 47 przewiduje, że dla dokonania transferu danych osobowych wystarczające jest zapewnienie przez państwo docelowe odpowiedniego poziomu ich ochrony, co uszczegółowiono w ust. 1a tegoż artykułu.
———–
1 J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art.47 ustawy o ochronie danych osobowych, pkt. 2.
Odpowiedni poziom ochrony danych osobowych
Wspomniane już kryterium „odpowiedniego poziomu ochrony” zostało sformułowane w rezultacie implementacji do polskiej ustawy ust. 2 art. 25 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.95.281.31 ze zm.), który definiuje rozumienie wymaganej adekwatności ochrony.
Odpowiedni poziom ochrony danych osobowych ma być zatem oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności − charakteru danych, celu i czasu trwania proponowanych operacji przetwarzania danych, kraju pochodzenia i kraju ostatecznego przeznaczenia danych oraz przepisów prawa obowiązujących w danym państwie trzecim oraz stosowanych w tym państwie środków bezpieczeństwa i zasad zawodowych.
Podsumowanie
Zdaje się więc, że − wbrew informacji na stronie GIODO − zmiany wprowadzone do ustawy o ochronie danych osobowych nie będą miały aż tak istotnego wpływu na praktykę Generalnego Inspektora przy ocenie wniosku o udzielenie zgody na przekazanie danych osobowych do państwa trzeciego, tym bardziej że art. 48 u.o.d.o. odnoszący się do tej kwestii wciąż mówi o „gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej”. Potwierdził to jeden z urzędników zajmujących się wskazaną problematyką. W jego ocenie uznanie adekwatności ochrony w państwie trzecim sprowadza się de facto do ustalenia, czy spełnione zostały wymogi polskiej ustawy o ochronie danych osobowych.
Tym samym zmiana odnosząca się do objęcia reżimem ustawy o ochronie danych osobowych informacji dotyczących podmiotu będącego osobą fizyczną i prowadzącego działalność gospodarczą jest jedyną spośród tych, które weszły w życie 1 stycznia br., która będzie miała istotny wpływ na ochronę danych osobowych.
Lucyna Olewniczak, Zespół Technologie Ochrony Danych Osobowych kancelarii Wardyński i Wspólnicy
www.portalprocesowy.pl