Zasady przetwarzania danych w CEIDG wymagają doprecyzowania

Prezes UODO Mirosław Wróblewski zwraca uwagę, że należy doprecyzować zasady dostępu do systemu teleinformatycznego w ramach prac nad projektem ustawy o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy oraz ustawy o podatku od towarów i usług. Prace legislacyjne prowadzone są w ramach tzw. Pakietu Deregulacyjnego, opracowanego przez Ministerstwo Rozwoju i Technologii, który ma służyć uproszczeniu przepisów i wprowadzeniu rozwiązań, które mają ułatwić prowadzenie działalności gospodarczej w Polsce.  

Prezes UODO nie kwestionuje zmian mających na celu poprawę warunków prowadzenia działalności gospodarczej przez przedsiębiorców, doprecyzowania wymagają jednak zasady dostępu do systemu teleinformatycznego i zakres informacji  przekazywanej za jego pomocą.

Podstawowe wątpliwości budzi bardzo ogólne opisanie w projekcje ustawy zasad dostępu do danych w Punkcie Informacji dla Przedsiębiorcy (dalej: PIP), sposobu publikowania tych informacji, a także przekazywania tych danych/wymiany informacji pomiędzy systemami PIP i KAS w zakresie informacji zawartych w wykazie podatników VAT.

Z punktu widzenia zasady rozliczalności i przejrzystości (art. 5 ust. 1 lit. a i ust. 2 rozporządzenia 2016/679) niejasne są również zasady określania dostępu do wykazu określonego w ustawie o podatku od towarów i usług. Projektodawca powinien co najmniej wskazać role podmiotów, tryb przekazywania danych (wnioskowy/bezwnioskowy), czy informacje kto publikuje dane przy określaniu dostępu do wykazu.

W przypadku projektowanej nowelizacji ważne jest uwzględnienie zasad przetwarzania, w tym ochrony danych osobowych i prywatności na każdym etapie tworzenia oraz funkcjonowania technologii służącej ich przetwarzaniu.

Pojawia się zatem zasadnicze pytanie, jak i który administrator ma pełnić kontrolę nad systemem, jak będzie kształtowała się odpowiedzialność administratorów w związku z planowanymi zmianami. Określenie modelu przetwarzania danych osobowych w rejestrze CEIDG (dostępu do danych, publikacji danych) wymaga wyraźnego i konkretnego określenia celu i sposobu jego używania.

Inna ważną kwestią jest również łączenie baz danych. Chociaż z samego uzasadnienia projektu wynika, że nie będzie dochodziło do ich łączenia i projektodawca wskazuje na ich odrębność, to sama treść projektowanych przepisów tego nie potwierdza. Zakaz łączenia baz danych wynika wyraźnie z motywu 31 rozporządzenia RODO.

Charakter proponowanych rozwiązań prawnych i projektowanych zmian wskazuje na konieczność przeprowadzenia testu prywatności w procesie tworzenia prawa, w tym oceny skutków dla ochrony danych.

W opinii Prezesa UODO fundamenty modelu powszechnej dostępności i jawności bazy CEIDG powinny być poddane ponownej analizie z uwagi na powstanie nowych ryzyk dla danych osobowych osób fizycznych prowadzących i nieprowadzących już działalności gospodarczej (tudzież tych, którzy zawiesili jej prowadzenie) powszechnie dostępnych. Należą do nich m.in. profilowanie, łączenie baz danych, wykorzystywanie danych osób nieprowadzących już działalności gospodarczej w różnych celach przez podmioty trzecie, czy dostępność do prywatnych danych adresowych osób prowadzących działalność gospodarczą w ich miejscu zamieszkania.

Przy wprowadzaniu nowych rozwiązań w istniejących systemach teleinformatycznych konieczne jest zarówno zapewnienie wysokich standardów bezpieczeństwa, jak również poszanowania prywatności osób, których dane dotyczą.

DPNT.401.210.2025