W Dz.U. z 2019 r. poz. 730 opublikowano ustawę z 21.2.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

1. Przepisy o konsumentach

W ustawie z 30.5.2014 r. o prawach konsumenta (t.j. Dz.U. z 2019 r. poz. 134 ze zm.) dodano art. 4a, z którego wynika, że administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z 6.3.2018 r. – Prawo przedsiębiorców (Dz.U. z 2018 r. poz. 646 ze zm.), czyli zdefiniowanego tam mikroprzedsiębiorcę, wykonuje obowiązki informacyjne z art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, str. 1; dalej: RODO) w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji.

Przepisu powyższego nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 RODO, a także nie stosuje się go do administratora danych, który:

  • przetwarza dane, o których mowa w art. 9 ust. 1 RODO (tzw. dane drażliwe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby), lub
  • udostępnia dane z art. 9 ust. 1 RODO innym administratorom, z wyjątkiem przypadku gdy: osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

Natomiast w ustawie z 12.5.2011 r. o kredycie konsumenckim (t.j. Dz.U. z 2018 r. poz. 993 ze zm.) do art. 10 dodano ust. 2 zgodnie, z którym jeżeli kredytodawca odmówi konsumentowi udzielenia kredytu konsumenckiego przepisy art. 70a ust. 1 i 2 ustawy z 29.8.1997 r. – Prawo bankowe (t.j. Dz.U. z 2018 r. poz. 2187 ze zm.) stosuje się odpowiednio. Z przepisów tych wynika, że banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wyjaśnienie to obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.

2. Informacje gospodarcze

Zmiany wprowadzono w ustawie z 9.4.2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (t.j. Dz.U. z 2019 r. poz. 681 ze zm.; dalej: UdostInfoGospU) m.in. zmieniając treść art. 3 UdostInfoGospU, zgodnie z którym po zmianie – do przetwarzania danych osobowych o dłużniku przez biuro informacji gospodarczej w związku z udostępnianiem informacji gospodarczych:

  • przepis art. 19 RODO stosuje się w ten sposób, że biuro informacji gospodarczej informuje o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania danych osobowych w zakresie określonym w art. 2 ust. 1 pkt 2 lit. a i c, pkt 3 lit. a, b i d oraz pkt 4 lit. b–f i h–j UdostInfoGospU (m.in. nazwisko, adres, PESEL, firmy, kwoty zaległości itd.) odbiorcę, któremu ujawniono dane osobowe, jeżeli nie upłynęło 90 dni od dnia ich otrzymania przez odbiorcę;
  • nie stosuje się przepisu art. 21 ust. 1 RODO (prawo do sprzeciwu).

O ograniczeniach tych biuro informacji gospodarczej informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.

Realizacja uprawnienia dłużnika do żądania ograniczenia przetwarzania danych osobowych w przypadku, o którym mowa w art. 18 ust. 1 lit. a i b RODO (tj. gdy osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych oraz przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania), następuje w trybie określonym w art. 21a ust. 1 UdostInfoGospU, czyli w formie sprzeciwu. O ograniczeniu tym wierzyciel informuje dłużnika w wezwaniu do zapłaty.

Obowiązki biura informacji gospodarczej w zakresie ograniczenia przetwarzania danych osobowych określa art. 21a ust. 3 UdostInfoGospU, tj. biuro wstrzymuje ujawnianie informacji gospodarczych objętych sprzeciwem na okres do 30 dni, w przypadku uzasadnionego przypuszczenia, że dotyczą one zobowiązania, które nie istnieje lub wygasło, a w pozostałych przypadkach biuro może wstrzymać ujawnianie informacji gospodarczych objętych sprzeciwem na okres konieczny do rozpatrzenia sprzeciwu nie dłuższy niż 30 dni.

Natomiast do przetwarzania danych osobowych przez wierzycieli w związku z przekazaniem do biura informacji gospodarczej informacji gospodarczych o dłużniku będącym osobą fizyczną nie stosuje się przepisu art. 21 ust. 1 RODO.

Ważne

Administrator danych zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.

Dodajmy, że w ustawie z 6.3.2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz.U. z 2018 r. poz. 647 ze zm.) uchylono art. 50, zgodnie z którym, poza wyjątkami, do jawnych danych i informacji udostępnianych przez CEIDG nie stosowało się przepisów ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.).