Zawłaszczenie danych osób prowadzących działalność gospodarczą

Poradnik
15.06.2018
7 min. czytania
Tekst
Image
RODO_grafika

Artykuł jest elementem cyklu: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk.

Aktualizacja z 4 kwietnia 2019 r.: w odpowiedzi na liczne komentarze i pytania doprecyzowaliśmy niektóre kwestie i uzupełniliśmy artykuł o nowe wątki.

1. Na czym polega ta praktyka?

Firma, o której nigdy nie słyszałaś/-eś (i która nigdy nie pytała Cię o zgodę na takie działanie), przetwarza Twoje dane, powołując się na to, że pozyskała je z ogólnodostępnego rejestru przedsiębiorców (CEIDG). Takie przetwarzanie najczęściej ma cel marketingowy (mowa o spamie, który gęsto zalewa Twoją skrzynkę lub telefon), ale może się też okazać, że Twoje dane zasiliły komercyjny, internetowy rejestr (np. przedsiębiorców z danej branży albo bazę firm, które w serwisie są oceniane przez użytkowników).

Przykłady:

PanoramaFirm.pl – przetwarzane dane pochodzą z baz CEIDG, REGON, od podmiotów zewnętrznych, z firmowych stron WWW, portalów i serwisów internetowych.

ZnanyLekarz.pl – przetwarzanie danych bez spełniania obowiązków informacyjnych i nieuwzględnianie żądań o usunięcie danych.

GoWork – przetwarzanie danych bez spełniania obowiązków informacyjnych i nieuwzględnianie żądań o usunięcie danych.

2. Jak to się ma do RODO?

Dane osób fizycznych prowadzących działalność gospodarczą są chronione przez RODO, jeśli tylko spełniona jest przesłanka identyfikowalności danej osoby. A więc dane firmy Serwis Rowerowy na Marszałkowskiej nie będą chronione przez RODO, bo nie da się ich połączyć z możliwą do zidentyfikowania osobą fizyczną. Ale już Serwis Rowerowy Jan Kowalski – jak najbardziej. Firma, która twierdzi, że informacje o przedsiębiorcach nie są danymi osobowymi, nie ma racji.

To jednak nie oznacza, że tych danych pod żadnym pozorem nie można przetwarzać. Można, ale administrator, który to robi, musi wskazać konkretną podstawę prawną.

Taką podstawą może być jego uzasadniony interes – firma najczęściej powołuje się na niego, gdy:

  • wysyła oferty współpracy innym przedsiębiorcom, w tym prowadzącym jednoosobową działalność,
  • prowadzi wywiadownię gospodarczą w celu zapewnienia pewności obrotu gospodarczego,
  • prowadzi serwis, którego użytkownicy oceniają przedsiębiorców i świadczone przez nich usługi.

Firma, która pozyskała Twoje dane z ogólnodostępnego rejestru przedsiębiorców, po pierwsze, powinna poinformować Cię, że wykorzystuje Twoje dane (w świetle decyzji Prezesa UODO nie wystarczy zamieszenie informacji na ten temat na stronie internetowej), a po drugie – powinna dać Ci prawo sprzeciwu. W sytuacji, gdy dane są wykorzystywane w celu innym niż marketingowy, firma może Cię poprosić o wskazanie „szczególnej sytuacji”, która uzasadnia Twój sprzeciw (więcej w punkcie „Wyraź sprzeciw”).

Sam publiczny rejestr przedsiębiorców (CEIDG) działa w oparciu o przepisy prawa – dlatego w tym przypadku nikt nie pyta Cię o zgodę; nie możesz też zażądać usunięcia swoich danych z tego rejestru.

W grę może też wchodzić działalność dziennikarska (np. lokalna gazeta opisuje kontrowersje związane z działaniem przedsiębiorcy, który spowodował zatrucie środowiska czy notorycznie oszukiwał klientów) – w takim przypadku nikt nie musi Cię prosić o zgodę ani nawet informować o publikacji.

Wreszcie: podstawą przetwarzania danych może być Twoja zgoda. Jako przedsiębiorca prowadzący jednoosobową działalność możesz mieć przecież interes w tym, żeby Twoje dane zostały opublikowane (np. w rankingu najlepszych firm z danej branży). Przy czym w każdej chwili możesz taką zgodę wycofać.

3. Jak możesz zareagować?

  • Nie daj się spławić!

To, że masz zarejestrowaną firmę (działalność gospodarczą), czy fakt, że Twoje dane znajdują się w rejestrze osób wykonujących zawód zaufania publicznego (lekarza, adwokata etc.), nie oznacza, że nie przysługuje ci ochrona danych osobowych. Masz takie same prawa i możesz z nich korzystać.

  • Wyraź sprzeciw

Jeśli jakakolwiek firma przetwarza Twoje dane po to, żeby przesyłać Ci informację handlową, a Ty nie masz ochoty na taką komunikację (bo jest irytująca, zajmuje czas albo po prostu nie trafia w Twoje potrzeby), wystarczy, że powiesz „nie”. Swojego sprzeciwu nie musisz uzasadniać – firma powinna go uwzględnić w każdej sytuacji. Możesz go zgłosić w dowolnej formie.

Jeśli w grę wchodzi cel inny niż marketingowy – np. firma, która umieściła Twoje dane na swojej stronie internetowej, powołuje się na to, że realizuje interes publiczny (np. zwiększa pewność obrotu gospodarczego), albo na swój uzasadniony interes (np. prowadzi serwis informacyjny, na którym zarabia), a jednocześnie jest przekonana, że nie narusza Twojej prywatności (bo wykorzystuje dane, które i tak są dostępne w publicznym rejestrze) – zgłaszając sprzeciw, musisz go uzasadnić swoją „szczególną sytuacją”.

W przypadku osób prowadzących jednoosobową działalność gospodarczą taka „szczególna sytuacja” może sprowadzać się do tego, że adres prowadzenia działalności to jednocześnie adres zamieszkania. Ujawnienie prywatnego adresu w sieci naraża przedsiębiorcę i jego bliskich na osobiste ryzyko.

W takim przypadku to firma – w oparciu o konkretne okoliczności – podejmuje decyzję, czy uwzględni Twój sprzeciw, czy nie. Jeśli go odrzuci, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

  • Zażądaj usunięcia danych

Jeśli nie widzisz podstawy do przetwarzania (np. publikowania w komercyjnym serwisie) Twoich danych przez konkretną firmę (np. dlatego że właśnie zgłosiłaś/-eś swój uzasadniony sprzeciw albo firma nie była w stanie wskazać żadnej podstawy prawnej), możesz zażądać ich usunięcia. Wystarczy, że wyślesz do administratora proste pismo [wzór]. Jeśli sam administrator udostępnia formularz kontaktowy, warto z niego skorzystać. Administrator nie może uzależniać realizacji Twoich praw od uiszczenia opłaty.

Nawet jeśli administrator usunie Twoje dane, to może się zdarzyć, że wyszukiwarki internetowe nadal będą pokazywały link do strony i niektóre informacje na Twój temat (np. adres w opisie linku czy kontekst, w jakim pojawiały się Twoje dane). W takiej sytuacji możesz skorzystać z prawa do bycia zapomnianym – w przypadku Google’a należy wypełnić przygotowany przez firmę formularz.

  • Złóż skargę

Jeśli masz przekonanie, że firma, która „zawłaszczyła” Twoje dane, naruszyła przy tym prawo (np. skopiowała je z rejestru przedsiębiorców albo podobnego rejestru, ale nie miała żadnej podstawy, żeby je przetwarzać) lub nie podoba Ci się, że firma nie uwzględniła Twojego sprzeciwu, możesz zrobić kolejny krok i złożyć skargę do Prezesa UODO (a nawet pozew do sądu).

Polecamy:

Panoptykon: Zgoda wymuszona

Newsletter

Otrzymuj informacje o działalności Fundacji

Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje danejakie jeszcze prawa ci przysługują, w Polityce prywatności.