Zawłaszczenie danych osób prowadzących działalność gospodarczą

Artykuł

Na czym polega ta praktyka?

Firma, o której nigdy nie słyszałaś/-eś (i która nigdy nie pytała Cię o zgodę na takie działanie), przetwarza Twoje dane, powołując się na to, że pozyskała je z ogólnodostępnego rejestru przedsiębiorców (CEIDG). Takie przetwarzanie najczęściej ma cel marketingowy (mowa o spamie, który gęsto zalewa Twoją skrzynkę lub telefon), ale może się też okazać, że Twoje dane zasiliły komercyjny, internetowy rejestr (np. przedsiębiorców z danej branży albo bazę firm, które w serwisie są oceniane przez użytkowników).

Przykłady:

PanoramaFirm.pl  przetwarzane dane pochodzą z baz CEIDG, REGON, od podmiotów zewnętrznych, z firmowych stron WWW, portalów i serwisów internetowych.

ZnanyLekarz.pl  przetwarzanie danych bez spełniania obowiązków informacyjnych i nieuwzględnianie żądań o usunięcie danych.

 

GoWork  przetwarzanie danych bez spełniania obowiązków informacyjnych i nieuwzględnianie żądań o usunięcie danych.

Jak to się ma do RODO?

Dane osób fizycznych prowadzących działalność gospodarczą są chronione przez RODO, jeśli tylko spełniona jest przesłanka identyfikowalności danej osoby. A więc dane firmy Serwis Rowerowy na Marszałkowskiej nie będą chronione przez RODO, bo nie da się ich połączyć z możliwą do zidentyfikowania osobą fizyczną. Ale już Serwis Rowerowy Jan Kowalski – jak najbardziej.

To naturalnie nie oznacza, że pod żadnym pozorem nie można ich przetwarzać. Można, ale administrator, który to robi, musi wskazać konkretną podstawę prawną. Taką podstawą może być jego uzasadniony interes (np. firma wysyła oferty współpracy innym przedsiębiorcom, w tym prowadzącym jednoosobową działalność), ale wówczas powinien Cię poinformować o przetwarzaniu danych i dać Ci prawo sprzeciwu. W grę może też wchodzić działalność dziennikarska (np. lokalna gazeta opisuje kontrowersje związane z działaniem przedsiębiorcy, który spowodował zatrucie środowiska czy notorycznie oszukiwał klientów) – w takim przypadku nikt nie musi Cię prosić o zgodę ani nawet informować o publikacji. Wreszcie: podstawą przetwarzania danych może być Twoja zgoda. Jako przedsiębiorca prowadzący jednoosobową działalność możesz mieć przecież interes w tym, żeby Twoje dane zostały opublikowane (np. w rankingu najlepszych firm z danej branży). Przy czym w każdej chwili możesz taką zgodę wycofać. Z kolei publiczny rejestr przedsiębiorców (CEIDG) działa w oparciu o przepisy prawa (i dlatego w tym przypadku nikt nas o zgodę nie pyta; nie możemy też zażądać usunięcia swoich danych z tego rejestru).

Firma, która pozyskała Twoje dane z ogólnodostępnego rejestru przedsiębiorców i na tej podstawie założyła własny, komercyjny serwis (zarabia na reklamie lub mikropłatnościach od użytkowników), po pierwsze, powinna poinformować Cię, że wykorzystuje Twoje dane, a po drugie – powinna się liczyć z tym, że możesz się sprzeciwić.

Jak możesz zareagować?

  • Nie daj się spławić!

To, że masz zarejestrowaną firmę (działalność gospodarczą), czy fakt, że Twoje dane znajdują się w rejestrze osób wykonujących zawód zaufania publicznego (lekarza, adwokata etc.), nie oznacza, że nie przysługuje ci ochrona danych osobowych. Masz takie same prawa i możesz z nich korzystać.

  • Wyraź sprzeciw

Jeśli jakakolwiek firma przetwarza Twoje dane po to, żeby przesyłać Ci informację handlową, a Ty nie masz ochoty na taką komunikację (bo jest irytująca, zajmuje czas albo po prostu nie trafia w Twoje potrzeby), wystarczy, że powiesz „nie”. Swojego sprzeciwu nie musisz uzasadniać. Możesz go zgłosić w dowolnej formie [wzór].

Jeśli w grę wchodzi cel inny niż marketingowy – np. firma, która umieściła Twoje dane na swojej stronie internetowej, powołuje się na to, że realizuje interes publiczny (np. zwiększa pewność obrotu gospodarczego), albo na swój uzasadniony interes (np. prowadzi serwis informacyjny, na którym zarabia), a jednocześnie jest przekonana, że nie narusza Twojej prywatności (bo wykorzystuje dane, które i tak są dostępne w publicznym rejestrze) – zgłaszając sprzeciw, musisz go uzasadnić swoją „szczególną sytuacją”.

W przypadku osób prowadzących jednoosobową działalność gospodarczą taka „szczególna sytuacja” może sprowadzać się do tego, że adres prowadzenia działalności to jednocześnie adres zamieszkania. Ujawnienie prywatnego adresu w sieci naraża przedsiębiorcę i jego bliskich na osobiste ryzyko.

  • Zażądaj usunięcia danych

Jeśli nie widzisz podstawy do przetwarzania (np. publikowania w komercyjnym serwisie) Twoich danych przez konkretną firmę (np. dlatego że właśnie zgłosiłaś/-eś swój uzasadniony sprzeciw albo firma nie była w stanie wskazać żadnej podstawy prawnej), możesz zażądać ich usunięcia. Wystarczy, że wyślesz do administratora proste pismo [wzór]. Jeśli sam administrator udostępnia formularz kontaktowy, warto z niego skorzystać.

  • Złóż skargę

Jeśli masz przekonanie, że firma, która „zawłaszczyła” Twoje dane, naruszyła przy tym prawo (np. skopiowała je z rejestru przedsiębiorców albo podobnego rejestru, ale nie miała żadnej podstawy, żeby je przetwarzać), możesz zrobić kolejny krok i złożyć skargę do Prezesa UODO (a nawet pozew do sądu).

Zobacz inne praktyki: RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk.

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

Jeśli dobrze pamiętam to od zmiany przepisów o rejestrze przedsiębiorców jeśli firma nie ma osobowości prawnej to należy wszystkich innych przedsiębiorców traktować jako osoby fizyczne. Więc wydaje mi się że w artykule powinna być o tym wzmianka bo nawet jeśli w nazwie nie podamy imienia i nazwiska wydaje mi się że to nadal będą dane osobowe i zgoda będzie wymagana.
Bazując na przykładzie pf.pl uważam że powinni ze swojego rejestru usunąć dane klientów, który takiej zgody nigdy nie wyrazili bądź o nią poprosi.
Poza tym jak dobrze pamiętam zgodnie z RODO nie ma czegoś takiego jak domniemanie zgodny - bo mogę mieć w tym interes.
Wiem, mogę teraz nad interpretować ale nie widzę tu dopuszczalnego interesu administratora (pf.pl), szczególnie że pf.pl przetwarza dane firm, które już nie istnieją i jak dobrze pamiętam w wielu przypadkach są tez nieaktualne.
ZnanyLekarz to jeszcze ciekawsza sprawa nie dość że przetwarzają dane lekarzy i pacjentów to jeszcze zbierają opinie pacjentów i świadczą usługi rejestracji online dla lekarzy (a one często potrafią być krzywdzące zważywszy na fakt że nawet najlepszemu się zdarzy gorszy dzień).

@bolek: Czy mógłbyś nas bardziej naprowadzić na te przepisy? Niestety nie udało nam się ich znaleźć. W przypadku jednoosobowych działalności stosujemy ogólne zasady RODO, w tym te dotyczące oceny, co jest lub nie jest daną osobową. Jednoosobowe działalności w CEIDG zawsze występują z nazwiskiem, bo taki jest wymóg prawa, więc tutaj nie mamy wątpliwości. Ale jeśli gdzieś pojawi się sama nazwa przedsiębiorstwa, bez nazwiska (nasz przykład z serwisem rowerowym), to zdecydowanie, czy mamy do czynienia z danymi osobowymi, będzie zależało od tego, czy osoba, która "kryje się" za tą nazwą jest możliwa do zidentyfikowania. Jeśli tak, to i wtedy serwisy, które opisujemy w artykule, muszą stosować RODO.

Jeśli zakwestionujemy nawet uzasadniony interes (rzeczywiście często pojawia się tu pole do dyskusji) i uważamy, że firma nie ma żadnych podstaw do przetwarzania danych, to wtedy można od razu zwrócić się do niej z żądaniem ich usunięcia, z pominięciem sprzeciwu.

Pani @Karolino chodzi mi o zmiany w przepisach o przedsiębiorcach (Ustawa z dnia 6 marca 2018 r. - Prawo przedsiębiorców) będąca częścią konstytucji biznesu. Według mojego mniemania (i wielu osób zajmujących się tymi zagadnieniami z którymi maiłem do czynienia podczas wielu szkoleń czy spotkań odnośnie RODO) zostało tam dokładnie zdefiniowane kim jest przedsiębiorca. Oczywiście jest to zbliżone do zapisów KC ale brzmi to obecnie tak:
"Art. 4.1 Przedsiębiorcą jest osoba fizyczna, osoba prawna lub jednostka organizacyjna niebędąca osobą prawną, której odrębna ustawa przyznaje zdolność prawną, wykonująca działalność gospodarczą.
2. Przedsiębiorcami są także wspólnicy spółki cywilnej w zakresie wykonywanej przez nich działalności gospodarczej"
czyli upraszczając jeśli nie jest to SP z o.o., SP.J., S.A. czy fundacja non profit należy takiego przedsiębiorcę traktować/uznawać za osobę fizyczną.
Tutaj jednak mam z tego powodu zagwozdkę, kiedy w takim wypadku dane przedsiębiorcy będącego osobą fizyczną są danymi osobowymi.
Do tej pory uważano, że NIP nie jest a teraz jest daną umożliwiającą pośrednią identyfikację, to samo z nazwą firmy i to bez nadmiernego kosztu :/

Oczywiście może to być problematyczne kiedy wejdą (o ile wejdą) projektowane zmiany, że w CEIDG ma się znajdować adres miejsca wykonywania usług (siedziby firmy) a nie adres zamieszkania jak to ma miejsce obecnie. Ale pozostaje jednak fakt definicji z przepisów ustawy i ostatecznie może to nie mieć żadnego znaczenia.

Owszem trochę naciągane z mojej strony, że sama nazwa firmy bez nazwiska to nie dana osobowa ale zwrócę uwagę na jeden fakt, który pojawi się rzadko ale zawsze może. Chodzi o sytuację gdzie np. nazwa jest marką dobrze rozpoznawalną, wtedy jeśli marka jest własnością/częścią nazwy działalności osoby fizycznej to mamy zgryz :) i nie chodzi mi o straszenie bo osobiście uważam, że sam troszkę przeginam teraz.

@bolek: "Tutaj jednak mam z tego powodu zagwozdkę, kiedy w takim wypadku dane przedsiębiorcy będącego osobą fizyczną są danymi osobowymi" - zawsze wtedy, gdy spełniają ogólną definicję danych osobowych z RODO. Czyli daną osobową będzie imię i nazwisko, ale także NIP jako indywidualny identyfikator konkretnej osoby fizycznej prowadzącej działalność gospodarczą. 

"Chodzi o sytuację gdzie np. nazwa jest marką dobrze rozpoznawalną, wtedy jeśli marka jest własnością/częścią nazwy działalności osoby fizycznej to mamy zgryz" - rzeczywiście mogą być takie przypadki, ale trzeba pamiętać o tym, że żeby taka nazwa marki była chroniona na gruncie RODO, to najpierw musi dojść do jej *przetwarzania* w ramach działalności, której nie uznamy za osobistą czy domową. Np. jeśli o takiej marce publikowano by artykuły w prasie, to wówczas prawo przewiduje zwolenienie redakcji z części obowiązków nakładanych przez RODO. W innych kontekstach taka nazwa przetwarzana byłaby pewnie tylko w ramach umów i w ramach portali takich jak opisane w naszym artykule.

Czy firma przetwarzająca dane ma prawo nie uznać uzasadnienia szczególnej sytuacji? Na przykład takiego jakie jest wymienione w artykule (odnośnie prywatnego adresu).

Bank ING pod marką Aleo także przetwarza i publikuje dane osób prowadzących działalność gosp. z CEDIGu. Zwróciłem się o usunięcie danych osobowych do ich ABI, ale dostałem takie pismo:
"ING Usługi dla Biznesu S.A.
ul. Chorzowska 50
40-121 Katowice abi.uslugi@ingdlabiznesu.pl
Szanowny Panie,
w odpowiedzi na korespondencję otrzymaną od Pana działając w imieniu ING Usługi dla Biznesu S.A. („Spółka”), uprzejmie informujemy, że Spółka w ramach prowadzonej działalności dokłada najwyższych starań, aby wszelkie dane, w tym dane osobowe były przetwarzane przez Spółkę tylko w przypadkach, kiedy jest to zgodne z obowiązującym prawem, jak też w sposób niegodzący w jakiekolwiek dobra. Aktualnie, zasady przetwarzania danych osobowych regulują przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych).
Uwzględniając powyższe przepisy, pragniemy wskazać, że Spółka przetwarza jawne (powszechnie dostępne) dane i informacje udostępniane przez Centralną Ewidencję i Informację o Działalności Gospodarczej (CEIDG) / Krajowy Rejestr Sądowy (KRS) wyłącznie w celach informacyjnych, związanych z upowszechnianiem informacji dotyczących prowadzenia działalności gospodarczej, w ramach prowadzonej platformy handlu internetowego Aleo. Platforma Aleo od początku swojego funkcjonowania działa w oparciu o najwyższe standardy etyczne i prawne, służąc przedsiębiorcom oraz użytkownikom platformy, jako innowacyjne narzędzie umożliwiające promocję ich produktów i usług. W tym celu platforma umożliwia między innymi dostęp do informacji dotyczących spółek (w tym ich organów oraz wspólników), w oparciu o publikatory urzędowe oraz rejestry publiczne, jak też dane dotyczące osób prowadzących indywidualną działalność gospodarczą, na podstawie jawnych danych udostępnianych przez CEIDG.
Przetwarzając w ramach platformy Aleo informacje na temat prowadzonej przez Pana działalności gospodarczej (bez jakichkolwiek informacji na temat Pana życia osobistego), Spółka realizuje prawnie uzasadnione interesy, zgodnie z wymogami ogólnego rozporządzenia o ochronie danych. Ma to związek z dążeniem do zwiększenia pewności i bezpieczeństwa obrotu gospodarczego, weryfikacji wiarygodności podmiotów prowadzących działalność gospodarczą, upowszechniania informacji dotyczących prowadzenia działalności gospodarczej, w tym poprzez opinie wystawiane w ramach platformy Aleo na temat przedsiębiorców.
Powyższe odpowiada również dotychczasowemu podejściu organu nadzorczego oraz orzecznictwu sądowemu, zgodnie z którym w sytuacji, gdy przedsiębiorca obejmuje zakresem danych indywidualnych dotyczących firmy swoje dane osobowe (np. imię i nazwisko czy adres), to w sytuacji gdy dane te pokrywają się, nie może on domagać się jako osoba fizyczna ochrony swoich danych osobowych. W tym bowiem przypadku dane te są wykorzystywane już nie jako dane osobowe, lecz jako dane firmy. Przedsiębiorca, decydując się na utożsamianie tych danych, godzi się tym samym na szersze ich ujawnianie i słabszą ochronę.
Wobec powyższego nie widzimy podstaw do uznania któregokolwiek z żądań przedstawionych w otrzymanej od Pana korespondencji.
Z poważaniem, Zespół Aleo"

Czy to nie próba niewywiązania się z obowiązków RODO?

Podobna sytuacja. Zarządałem od firmy PierwszyRazONiejSlyszę Sp z o.o. usunięcia swoich danych osobowych. Na co mi po kilku miesiącach wysmarowali maila następującego. Co myślicie?
W odpowiedzi na mail informujemy, że:

Dane gromadzone przez spółkę Creditreform pochodzą z różnych jawnych i powszechnie dostępnych źródeł takich jak:
- Krajowy Rejestr Sądowy
- Centralna Informacja Działalności Gospodarczej
- Główny Urząd Statystyczny
- Komisja Nadzoru Finansowego
- rankingi branżowe i terytorialne
- strony internetowe podmiotów gospodarczych
- giełdy wierzytelności itp.

Dane są gromadzone na potrzeby przygotowania raportów dotyczących wiarygodności płatniczej przedsiębiorstw działających na terenie Polski. Spółka Creditreform jest wywiadownią gospodarczą. Działalność wywiadowni gospodarczych służy zasadzie jawności obrotu gospodarczego, określonej w ustawach o KRS, o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy, o swobodzie działalności gospodarczej, o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych i w ustawie o ponownym wykorzystaniu informacji publicznej.
Poniżej przedstawiamy kategorie potencjalnych odbiorców tego typu informacji:
- Państwa potencjalni Partnerzy, Dostawcy lub Kontrahenci, tacy jak:
- Przedsiębiorstwa będących osobami prawnymi prowadzące działalność gospodarczą
- Osoby fizyczne prowadzące działalność gospodarczą lub zainteresowane problematyką gospodarczą, w szczególności Państwa branżą
- Podmioty naukowe i badawcze prowadzące działalność związaną z badaniem problematyki ekonomicznej

Wypełniając obowiązek informacyjny przesłaliśmy do Państwa mail, w którym piszemy, że w naszej bazie danych znajdują się informacje na temat Państwa przedsiębiorstwa. Macie Państwo możliwość decydowania o tych danych:
1. Jeżeli zachodzą przesłanki wymienione w art. 21 p. 1. RODO* i dane mają być usunięte ze zbioru danych, proszę określić wspomniane przesłanki oraz przesłać pocztą wydrukowany i podpisany dokument znajdujący się pod linkiem: https://www.crefo.pl/examples/pl/RODO_sprzeciw.docx
2. Dane mogą być ograniczone o zgody na ich marketingowe wykorzystanie. Jeżeli taka jest Państwa wola, proszę kliknąć w link https://www.creditreform.pl/zgodaMarketingowa?hash=1adc5db192d55ba620e9b...
3. Jeżeli jesteście Państwo zainteresowani wglądem w dane swojego przedsiębiorstwa, proszę kliknąć tutaj: https://www.crefo.pl/dane-personalne?hash=1adc5db192d55ba620e9bd1c6103a3...
4. Natomiast pod tym linkiem https://www.crefo.pl/crefo.seam?crefo=9417595939&lang=pl&openUpdateFirmP... . Jest możliwość uaktualnienia danych.

Pozdrawiamy,

Zespół Creditreform
Creditreform Polska Sp. z o.o.

"proszę określić wspomniane przesłanki oraz przesłać pocztą wydrukowany i podpisany dokument znajdujący się pod linkiem" to legalne??

@Kamil
Właśnie przed chwilą wysłałem skargę do zarządu ING Usługi dla Biznesu S.A., wkleiłem link do tego artykułu, dałem w dw rzecznika prasowego ing oraz jakiegoś managera od kontaktu z mediami. Zobaczymy czy to zadziała, jak nie to trzeba będzie robić skargę do giodo.

@grundis
Czy ING coś odpowiedział? Jakie są dalsze losy wniosku. Właśnie wysłałem do Aleo rządnie usunięcia moich danych osobowych i chciałbym wiedzieć co zrobić jeśli odmówią jak w komentarzu @Kamil'a.

Odpisałem Aleo, że powołując się na ryzyko osobiste w zw., że adres w CEDIGu jest adresem zamieszkania, chcę aby przestali prezentować dane (niech sobie tam przetwarzają jak chcą, ale nie wystawiają na świat). Oto co dostałem (po miesiącu, kontynuacja z 30.08):
"Szanowny Panie,

w odpowiedzi na korespondencję otrzymaną od Pana, pragniemy raz jeszcze zauważyć, iż ING Usługi dla Biznesu S.A („Spółka”) przetwarza – w ramach platformy handlu internetowego Aleo – jawne dane i informacje udostępniane przez Centralną Ewidencję i Informację o Działalności Gospodarczej (CEIDG) / Krajowy Rejestr Sądowy (KRS) wyłącznie w celach informacyjnych, związanych z upowszechnianiem informacji dotyczących prowadzenia przez przedsiębiorców działalności gospodarczej. W tym zakresie Spółka realizuje swoje prawnie uzasadnione interesy, zgodnie z wymogami ogólnego rozporządzenia o ochronie danych, co ma związek m.in. z dążeniem do zwiększenia pewności i bezpieczeństwa obrotu gospodarczego, weryfikacją wiarygodności podmiotów prowadzących działalność gospodarczą oraz upowszechnianiem informacji dotyczących prowadzenia działalności gospodarczej.

Uwzględniając powyższe, pragniemy wskazać, iż zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych osoba, której dane dotyczą ma prawo wnieść sprzeciw wobec przetwarzania jej danych w oparciu o ww. podstawę prawną. Przy czym wymaga to wykazania szczególnej sytuacji po Pana stronie, a ponadto istnienia interesów, które przeważałyby nad ww. interesami realizowanymi przez Spółkę.

Wobec powyższego, uprzejmie prosimy o doprecyzowanie wszelkich okoliczności, które pozwolą nam ocenić – zgodnie z przepisami ogólnego rozporządzenia o ochronie danych – zasadność Pana żądania."

A ja poszedłem do prawnika i zrobiliśmy z aleo com porządek ,moje dane osobowe jako prowadzący działalność gospodarczą zostały usunięte w ciągu 3 dni.
Pozdrawiam niedouczonego inspektora ochrony danych osobowych obsługujący aleo com.

@Endi - to może streść i pochwal się jak doszło do skutecznego wywiązania się Aleo z żądania ? każdy teraz będzie zatrudniał prawnika aby respektowane było prawo ?

@Endi, @Meme, @Kamil jak sobie z tym poradziliście? Zgłosiłam się do ING dla biznesu z prośbą o usunięcie danych i dostałam takie samo pismo, jak jest zamieszczone w komentarzu Kamila.

Moze by pojsc w tym kierunku: róznica pomiedzy bazą CEIDG a upublicznianiem informacji przez prywatne firmy, portale typu "panorama firm" jest taka, że aby uzyskac dostep do danych na temat dzialanosci gospodarczej zachowanej w CEIDG trzeba najpierw wpisac podany na tej stronie kod i dlatego wyszukiwarki typu google nie są w stanie wyswietlac informacji z tej bazy. Natomiast wszelkie inne portale nie posiadaja takiego zabezpieczenia i dane sa dostepne po prostu przez wyszukiwarkę. Wobec tego portale te nie powinny rozpowszechniac tych danych albo zastosowac odpowiednie zabezpieczenie uniemozliwiajace wyszukiwarkom wyswietlanie ich.

Dodaj komentarz