Czy dane przedsiębiorców prowadzących działalność gospodarczą podlegają ochronie?

Zgodnie z motywem 14 RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, ogólnego rozporządzenia o ochronie danych – rozporządzenie to powinno mieć zastosowanie do osób fizycznych, niezależnie od ich obywatelstwa czy miejsca zamieszkania, w związku z przetwarzaniem ich danych osobowych. Motyw 14 wyraźne przy tym podkreśla, iż rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Przedsiębiorcą w rozumieniu RODO jest natomiast (zgodnie z art. 4 pkt 18) osoba fizyczna lub prawna prowadząca działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą.

Pytanie więc, czy przepisy RODO znajdą zastosowanie do danych osobowych przedsiębiorców będących osobami fizycznymi i prowadzącymi jednoosobowe działalności gospodarcze.

Wątpliwości te mogą zrodzić się również z uwagi na poprzednio obowiązujący stan prawny, w którym do jawnych danych i informacji udostępnianych przez CEIDG nie stosowało się części przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w tym przepisów dotyczących stosowania klauzul informacyjnych).

RODO nie odpowiada wprost na pytanie, czy jego przepisy znajdują zastosowanie także do osób fizycznych prowadzących działalność gospodarczą. W literaturze wskazuje się jednak, iż istotą prowadzenia działalności gospodarczej przez osoby fizyczne jest właśnie funkcjonowanie tych osób w obrocie jako osoby fizyczne. Argumentem, który ma przekonywać do stosowania przepisów RODO, także do osób fizycznych prowadzących działalność gos­podarczą, ma być również wyraźne wskazanie w motywie 14, iż RODO nie stosuje się do przedsiębiorców będących osobami prawnymi, a więc nie fizycznymi (Litwiński P. (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, 2018). W konsekwencji należy więc stosować przepisy RODO do danych osobowych osób fizycznych prowadzących działalność gospodarczą.

Takie stanowisko potwierdza także decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 marca 2019 r. (ZSPR.421.3.2018). W przedmiotowej decyzji organ nadzorczy nałożył karę na administratora danych za niedopełnienie obowiązku informacyjnego określonego w art. 14 ust. 1 i 2 RODO wobec osób fizycznych, których dane osobowe administrator przetwarza, a które to osoby fizyczne prowadzą aktualnie lub w przeszłości prowadziły właśnie jednoosobową działalność gospodarczą, oraz wobec osób fizycznych, które zawiesiły wykonywanie tej działalności. Organ uznał więc, iż RODO jak najbardziej znajdzie zastosowanie w przypadku przetwarzania danych osobowych osób fizycznych prowadzących jednoosobową działalność gospodarczą.