Stanowisko Konfederacji Lewiatan w sprawie projektu ustawy o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw
2014-10-30
Treść listu wysłanego do Grażyny Henclewskiej, Podsekretarz Stanu w Ministerstwie Gospodarki.
Art. 26b
W ocenie Konfederacji Lewiatan wiele wątpliwości budzi projektowany art. 26b, stanowiący, że złożenie wniosku o wpis do CEIDG jest równoznaczne z wyrażeniem zgody na przetwarzanie danych i informacji w nim zawartych.
Zgodnie z definicją określoną w art. 7 pkt 5 ustawy o ochronie danych osobowych, zgoda na przetwarzanie danych osobowych jest oświadczeniem woli. Niezbędnym elementem oświadczenia woli jest, aby było ono złożone określonemu podmiotowi (adresatowi oświadczenia). Projektowany przepis nie wskazuje, kto jest adresatem oświadczenia składanego przez wnioskodawcę, tj. komu jest udzielana zgoda na przetwarzanie danych osobowych (można się jedynie domyślać, że zgoda jest udzielana organowi prowadzącemu ewidencję, tj. ministrowi właściwemu ds. gospodarki). Ponadto, zgoda na przetwarzanie danych osobowych nie może mieć charakteru abstrakcyjnego i powinna odnosić się do skonkretyzowanego stanu faktycznego, a także obejmować wyłącznie określone dane oraz sprecyzowany sposób i cel ich przetwarzania (tak: J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 7 ustawy o ochronie danych osobowych [w:] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz. Lex 2011, nr 106638). Projektowany przepis nie określa celu, który obejmuje zgoda na przetwarzanie danych wyrażana przez wnioskodawcę. Z uzasadnienia projektu ustawy wynika, że celem projektowanego przepisu jest stworzenie podstawy prawnej do przechowywania i przetwarzania w systemie teleinformatycznym CEIDG informacji zawartych we wniosku o wpis, a nie tylko we wpisie, co ma umożliwić m.in. „prewypełnienie" wniosku o wpis (jak się należy domyślać, chodzi o wniosek aktualizacyjny). Z punktu widzenia ochrony danych osobowych, cel przetwarzania tych danych powinien zostać określony w przepisach ustawy.
Przy okazji pojawia się pytanie o generalną prawidłowość rozwiązania polegającego na tym, aby podstawą przetwarzania danych zawartych we wniosku o wpis była zgoda wnioskodawcy. Należy zwrócić uwagę, że zgodnie z powoływanym już art. 7 pkt 5 ustawy o ochronie danych osobowych, zgoda na przetwarzanie danych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być w każdym czasie odwołana. Projektowany przepis narusza tę zasadę, ponieważ wprowadza domniemanie, że złożenie wniosku o wpis jest równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych. Jeżeli podstawą przetwarzania tych danych ma być zgoda wnioskodawcy, to zgoda taka powinna być wyrażana w sposób wyraźny, świadomy i dobrowolny. Zapewniona powinna być również możliwość odwołania zgody w każdym czasie. W związku z czym pojawia się pytanie o to, w jaki sposób zostanie zapewniona realizacja prawa wnioskodawcy do odwołania zgody na przetwarzanie danych i jakie będą praktyczne konsekwencje odwołania zgody.
Aby uniknąć tego rodzaju komplikacji, które mogłyby negatywnie wpłynąć na efektywność systemu udostępnienia informacji dotyczących przedsiębiorców za pośrednictwem CEIDG, należy rozważyć, czy podstawa do przetwarzania tego rodzaju danych nie powinna wynikać wprost z przepisu ustawy, bez odwoływania się do (domniemywanej) zgody wnioskodawcy. Dla przypomnienia, w świetle art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne bez zgody osoby, której dane dotyczą, m.in. jeżeli jest to niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego, jak również jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jak się wydaje, przetwarzanie danych zawartych we wniosku w zakresie wynikającym z uzasadnienia projektu ustawy, ma związek z realizacją zadań o charakterze publicznym. Równocześnie wydaje się, że określony w uzasadnieniu cel przetwarzania (usprawnienie obsługi wniosków o wpis) można uznać za usprawiedliwiony cel w rozumieniu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, zaś przetwarzanie tych danych w sposób i w zakresie wynikającym z projektu ustawy oraz uzasadnienia nie wydaje się nadmierne w stosunku do tak określonego celu przetwarzania, w związku z czym nie zachodzi ryzyko naruszenia praw i wolności podmiotów danych.
Art. 37.
Zgodnie z projektowanym art. 37 ust. 1 CEIDG udostępnia zawarte w niej dane i informacje określone:
„1) w art. 25 ust.1, z wyjątkiem numeru PESEL, daty urodzenia, adresu zamieszkania, o ile nie jest on taki sam jak pozostałe adresy wskazane w art. 25 ust. 1 pkt 5, oraz danych kontaktowych, o których mowa w art. 25 ust. 1 pkt 6, w przypadku gdy przedsiębiorca nie wyrazi zgody na ich udostępnianie;",
Zgodnie z proponowanym brzmieniem artykułu 25 ust 1 pkt 6, podmiot składający wniosek o wpis może podać dodatkowe dane kontaktowe, takie jak m.in. adres elektroniczny lub numer kontaktowy.
W ocenie Konfederacji Lewiatan nie jest uzasadnione uzależnianie udostępniania podanych przez przedsiębiorcę danych kontaktowych od dodatkowej zgody na ich udostępnienie. Należy podkreślić, że podanie dodatkowych danych kontaktowych (adresu poczty elektronicznej i strony internetowej, wskazanych w art. 25 ust 1. pkt 6) nigdy nie było obligatoryjne. Skoro podmiot prowadzący działalność gospodarczą dobrowolnie podaje te dane we wniosku o wpis, to należy przyjąć, że robi to w celu udostępniania ich w CEiDG, m.in. dla ułatwienia kontaktu potencjalnym klientom i kontrahentom. Obecne brzemienne tego przepisu powodowałoby, że, poza podaniem tych danych we wniosku o wpis, przedsiębiorca musiałby dodatkowo wyrazić zgodę na ich udostępnienie w CEiDG.
Proponujemy następującą zmianę w analizowanym projekcie ustawy:
19) w art.37:
a) w ust.1 pkt 1 otrzymuje brzmienie:
1) w art. 25 ust.1, z wyjątkiem numeru PESEL, daty urodzenia, adresu zamieszkania, o ile nie jest on taki sam jak pozostałe adresy wskazane w art. 25 ust. 1 pkt 5, w przypadku gdy przedsiębiorca nie wyrazi zgody na ich udostępnianie;",
lub
W pkt 2(4) uzasadnienia do projektu ustawy wskazano, że intencją poszerzenia wyjątków w art. 37 ust. 1 pkt 1 jest umożliwienie przedsiębiorcy podania danych kontaktowych tylko na potrzeby kontaktów z administracją publiczną. By pozostawić taką możliwość proponujemy, co do zasady, aby dane te były udostępniane, chyba że wypełniając wniosek przedsiębiorca się temu sprzeciwi. W braku sprzeciwu, wszystkie podane we wniosku dane kontaktowe podlegałyby udostępnieniu w CEiDG:
1) w art. 25 ust.1, z wyjątkiem numeru PESEL, daty urodzenia, adresu zamieszkania, o ile nie jest on taki sam jak pozostałe adresy wskazane w art. 25 ust. 1 pkt 5 oraz danych kontaktowych, o których mowa w art. 25 ust. 1 pkt 6, chyba, że podając te dane, przedsiębiorca sprzeciwił się ich udostępnianiu w CEiDG.
Zwracamy uwagę na to, że wprowadzenie takiej zmiany wymagałoby zmiany wniosku CEIDG-1. Obecnie nie ma w nim bowiem pola zgłoszenie takiego sprzeciwu.
Art. 39a.
Konfederacja Lewiatan co do zasady popiera zmiany dotyczące zniesienia opłat za „hurtowe" udostępnianie danych z CEIDG podmiotom prywatnym, a także liberalizacji form udostępniania danych.
Po zmianach dane z CEIDG będą udostępniane nieodpłatnie zarówno podmiotom publicznym, jak i podmiotom prywatnym, po uzgodnieniu warunków z ministrem gospodarki (art. 39 po zmianie i dodany art. 39a SDG). Jednocześnie pozostaje w mocy przepis, który zakazuje podmiotom, którym udostępniono dane z CEIDG w tym trybie, przekazywania tych danych ani ich fragmentów, innym podmiotom (art. 39 ust. 2 SDG). Ratio legis tego przepisu co do zasady jest zrozumiałe. Poddajemy jednak pod rozwagę jego modyfikację w kontekście działalności Biur Informacji Gospodarczej (BIG-i).
Konfederacja Lewiatana od jakiegoś czasu zabiega o umożliwienie BIG-om zbierania, przetwarzania i udostępniania danych, które istotnie mogłyby się przyczynić do dokładniejszej oceny wiarygodności płatniczej osób i firm, a także do zapobiegania i wykrywania fraudów (pochodzących z baz KRS, CEIDG, REGON czy PESEL; geolokacyjnych, takich jak nazwy ulic, numery domów, danych aplikacyjnych, czyli m.in. dotyczących złożonych wniosków o udzielenie kredytu lub innej formy finansowania). Z racji szczegółowej regulacji prawnej i wysokich wymagań w zakresie bezpieczeństwa danych, a także z uwagi na doświadczenie wynikające z ponad 10 lat prowadzenia działalności w zakresie udostępniania informacji przetwarzanych w systemach informatycznych, BIG-i mogłyby pełnić rolę platformy integrującej informacje gospodarcze dostarczane przez sektor prywatny oraz dane pochodzące z rejestrów publicznych. Pośredniczenie w dostępie do danych zawartych w publicznych rejestrach i zbiorach miałoby na celu w szczególności umożliwienie klientom weryfikacji zgodności przekazywanych informacji gospodarczych z danymi zawartymi w rejestrach, co ma istotne znaczenie w związku z przewidzianą w art. 48 ustawy sankcją karną za przekazanie nieprawdziwych informacji gospodarczych. Ponadto, w obliczu utrzymującego się kryzysu zaufania na rynku, wprowadzenie rozwiązań umożliwiających dostęp do zintegrowanej, kompleksowej informacji na temat potencjalnego kontrahenta miałoby istotny wpływ na zwiększenie dostępu do kredytu finansowego i kupieckiego, przyczyniając się do wzrostu gospodarczego i poprawy wskaźników makroekonomicznych.
Projektowane w CEIDG zmiany powyższy postulat częściowo realizują. Pozostaje jednak w mocy - o czym była mowa wyżej - przepis, który zakazuje podmiotom, którym udostępniono dane z CEIDG w tym trybie, przekazywania tych danych ani ich fragmentów, innym podmiotom (art. 39 ust. 2 SDG). Oznacza to, że wykorzystanie danych z CEIDG przez BIG-i w celu realizacji ich ustawowych zadań będzie niemożliwe, a co najmniej będzie podlegać istotnym ograniczeniom. Mając to na uwadze, a także w kontekście projektowanych przez Ministerstwo Gospodarki zmian w ustawie o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (UIG), polegających m.in. na umożliwieniu biurom informacji gospodarczej przetwarzania danych pochodzących z rejestrów publicznych, w tym CEIDG[1], racjonalne byłoby wprowadzenie w odniesieniu do BIG-ów wyjątku od zakazu udostępniania danych innych podmiotom. Należy pamiętać, że udostępnianie danych osobom trzecim do celów związanych z oceną wiarygodności płatniczej należy do istoty funkcjonowania BIG-ów. Dlatego, dopiero zmiana art. 39 SDG a także art. 7 UIG umożliwiłaby BIG-om nie tylko „pobieranie" danych z CEIDG na zasadach preferencyjnych, ale także wykorzystywania tych danych w celu realizacji ich ustawowych zadań.
Wobec powyższego proponujemy zmianę art. 39 SDG i art. 7 UIG, a także dodanie nowego art. 7a UIG,
w następujący sposób:
Art. 39 otrzymuje brzmienie:
„Art. 39. 1. Dane CEIDG mogą być nieodpłatnie udostępniane, w sposób inny niż określony w art. 38 ust. 2, po uprzednim ustaleniu z ministrem właściwym do spraw gospodarki warunków udostępniania tych danych.
2. Podmioty, którym udostępniono dane CEIDG w trybie ust. 1, nie mogą przekazywać tych danych ani ich fragmentów innych podmiotom.
3. Dane CEIDG są nieodpłatnie udostępniane biurom informacji gospodarczej, o których mowa w ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, zwanym dalej „biurami informacji gospodarczej", po uprzednim ustaleniu z ministrem właściwym do spraw gospodarki technicznych i organizacyjnych warunków udostępniania tych danych.
4. Biura informacji gospodarczej, o których mowa w ust. 3, mogą przetwarzać dane udostępnione przez CEIDG na zasadach określonych w ustawie, o której mowa w ust. 3.
5. W zakresie nieuregulowanym w ust. 1-4 do ponownego wykorzystania danych CEIDG stosuje się przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej."
W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (tekst jednolity Dz. U. z 2014 r., poz. 1015, z późn. zm.) wprowadza się następujące zmiany:
1) art. 7 otrzymuje brzmienie:
„Art. 7. 1. Przedmiotem działalności gospodarczej biura jest pośrednictwo w udostępnianiu informacji gospodarczych, polegające na przyjmowaniu informacji gospodarczych od wierzycieli, przechowywaniu i ujawnianiu tych informacji.
2. Przedmiotem działalności gospodarczej biura może być również:
1) przetwarzanie archiwalnych informacji gospodarczych, o których mowa w art. 21 ust. 3 i 4, dla celów statystycznych, dotyczących dłużników niebędących konsumentami;
1a) pośrednictwo w udostępnianiu danych z publicznych zbiorów, rejestrów i ewidencji
2) zarządzanie majątkiem biura;
3) prowadzenie działalności szkoleniowej lub edukacyjnej w zakresie objętym działalnością biura.
3. Przychody z działalności, o której mowa w ust. 2 pkt 2 i 3, nie mogą przekraczać 10% ogólnych przychodów biura.
4. Biuro nie może powierzyć innym podmiotom wykonywania czynności związanych z przedmiotem działalności gospodarczej, o którym mowa w ust. 1 i 2, z wyjątkiem innych biur oraz instytucji utworzonych na podstawie art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe.
5. Biuro jest obowiązane do zabezpieczenia roszczeń o naprawienie szkody, która może wyniknąć w związku z działalnością gospodarczą biura. Zabezpieczenie może nastąpić w drodze zawarcia umowy ubezpieczenia odpowiedzialności cywilnej, zlecenia udzielenia gwarancji bankowej lub poręczenia bankowego."
2) Po art. 7 dodaje się art. 7a w brzmieniu:
„7a. Biuro może przetwarzać dane, w tym dane osobowe, udostępnione z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, o której mowa w ustawie z dnia o swobodzie działalności gospodarczej (Dz. U. ...), zwanej dalej „CEIDG", w związku z wykonywaniem działalności, o której mowa w art. 7 ust. 1 i ust. 2 pkt 1b.
2. Biuro ujawnia dane udostępnione z CEIDG w celu realizacji złożonych w biurze wniosków o ujawnienie tych danych.
3. Biuro może przetwarzać dane udostępnione przez CEIDG również w celu weryfikacji zgodności informacji gospodarczych przekazywanych przez wierzycieli na zasadach określonych w art. 14-18 z danymi CEIDG."
Art. 39b.
Pozytywnie oceniamy wyłączenie spod ustawy o ochronie danych osobowych udostępnianych w CEiDG, danych osób fizycznych prowadzących działalność gospodarczą.
W ocenie Konfederacji Lewiatan pewność obrotu przemawia za tym, żeby dane osób fizycznych, które jednocześnie identyfikują je w obrocie gospodarczym nie podlegały tak daleko idącej ochronie jak dane związane z ich sferą prywatną. Jak orzekł Wojewódzki Sąd Administracyjny w wyroku z 2009 roku (II SA/Wa 1584/09) pojęcie "prywatność osoby fizycznej" dotyczyć może jedynie osób fizycznych, a nie przedsiębiorcy. Sferę prywatności posiada wyłącznie człowiek, a nie podmiot gospodarczy. Gdy osoba fizyczna prowadzi działalność gospodarczą pod firmą swojego nazwiska (staje się tym samym przedsiębiorcą czyli podmiotem gospodarczym) w pierwszym rzędzie korzysta z ochrony jaką ustawodawca zapewnia przedsiębiorcy. Do przedsiębiorcy, podmiotu gospodarczego nie ma zastosowania pojęcie prywatności. Podejmując działalność gospodarczą w tej formie prawnej, a nie np. w formie spółki kapitałowej, należy liczyć się nie tylko z ryzykiem gospodarczym, ale i ryzykiem utraty prywatności w tym zakresie.
Artykuł 39b usunie istniejące wątpliwości interpretacyjne co do zasad przetwarzania danych przedsiębiorców. Wyeliminuje też praktyczne trudności i koszty związane z koniecznością stosowania przepisów o ochronie danych osobowych do ujawnionych w CEIDG danych podmiotów gospodarczych, które przetwarzane są w kontekście prowadzonej przez nie działalności.
Zwłaszcza w kontekście punktu 22 uzasadnienia do projektu ustawy wątpliwości budzi to, że do udostępnionych w CEIDG danych nadal będą miały zastosowanie przepisy regulujące zabezpieczenie danych (Rozdział V) i tryb przeprowadzanej przez GIODO kontroli (art. 14-19a i 21-22a). Obowiązek realizacji wszystkich obowiązków przewidzianych w rozdziale V (m.in. do prowadzenia dokumentacji opisującej sposób przetwarzania, dopuszczania do przetwarzania tych danych tylko osób mających odpowiednie upoważnienie, prowadzenie ewidencji tych osób i zastosowanie środków ochrony technicznej z restrykcjami dotyczącymi polityki haseł, szyfrowaniem danych) wydają się nieproporcjonalne wobec pochodzących z jawnego rejestru danych podmiotów gospodarczych.
Postulujemy wykreślenie słów od: „z wyjątkiem art. 14 - 19a i 21 - 22a oraz przepisów rozdziału 5 tej ustawy.";
Art. 39b. Do danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z wyjątkiem art. 14 - 19a i 21 - 22a oraz przepisów rozdziału 5 tej ustawy.";
Konfederacja Lewiatan,
Warszawa, 29 października 2014 r.
[1] Założenia projektu ustawy o zmianie ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych - wersja z 18 kwietnia 2014 r., projekt Ministerstwa Gospodarki
