Artykuły eksperckie

NIP i REGON to podstawowe dane identyfikacyjne, którymi posługują się polscy przedsiębiorcy. Czy adresując korespondencję do firmy lub publikując treść w internecie, można tymi informacjami posługiwać się bez ograniczeń? Czy NIP i REGON stanowią dane osobowe?

Czego dowiesz się z tego artykułu:

• Numery NIP i REGON są danymi identyfikacyjnymi przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą i stanowią dane osobowe w świetle RODO.
• Zasady przetwarzania danych osobowych określa rozporządzenie RODO i to nimi powinien kierować się administrator lub procesor.
• Niezasadne przetwarzanie danych osobowych wiąże się z ryzykiem naruszenia RODO i możliwością nałożenia wysokich sankcji przez organ regulacyjny.

Czym są NIP i REGON?

Numer Identyfikacji Podatkowej (NIP) to indywidualny identyfikator podatnika, dzięki któremu może on zostać zidentyfikowany przez organy skarbowe. Posługują się nim m.in.:

• osoby fizyczne prowadzące jednoosobową działalność gospodarczą,
• spółki prawa handlowego,
• fundacje i stowarzyszenia,
• spółki cywilne w zakresie podatku VAT.

Numer NIP nadawany jest w trybie ustawy o zasadach ewidencji i identyfikacji podatników i płatników. Do nadania numeru NIP niezbędne jest złożenie formularza NIP-7 do naczelnika właściwego urzędu skarbowego. Raz nadanego numeru NIP nie można zmienić, ale czasami trzeba go będzie zaktualizować.

Z kolei REGON to 9-cyfrowe oznaczenie przedsiębiorstwa (niekiedy 14-cyfrowe), które lokuje firmę w Krajowym Rejestrze Urzędowych Podmiotów Gospodarki Narodowej prowadzonym przez Prezesa Głównego Urzędu Statystycznego. Baza REGON zawiera informacje o wszystkich podmiotach gospodarczych zarejestrowanych w Polsce. Numer REGON jest przyznawany osobom fizycznym prowadzącym JDG, osobom prawnym i jednostkom organizacyjnym oraz ich jednostkom lokalnym. Numer REGON jest nadawany na podstawie przepisów ustawy o statystyce publicznej i właściwych rozporządzeń wykonawczych i następuje to automatycznie z chwilą wpisu firmy do JDG lub KRS.

Zarówno NIP, jak i REGON są informacjami powszechnie dostępnymi w rejestrach przedsiębiorców. Można je łatwo, szybko i całkowicie bezpłatnie zweryfikować w Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz Krajowym Rejestrze Sądowym. Na pierwszy rzut oka mogłoby się więc wydawać, że oboma oznaczeniami można posługiwać się swobodnie. A jak jest w istocie?

Sprawdź również: Seria i numer dowodu osobistego – jak przetwarzać te dane osobowe?

Czy NIP i REGON stanowią dane osobowe?

Należy wskazać, że zgodnie z przepisami RODO pod pojęciem danych osobowych należy rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W szczególności danymi osobowymi będą identyfikatory takie, jak:

• imię i nazwisko,
• numer identyfikacyjny,
• dane o lokalizacji,
• identyfikator internetowy,
• jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W praktyce należy uznać, że zarówno numer NIP, jak i REGON to numery identyfikacyjne, które pozwalają na bezpośrednie zidentyfikowanie osoby fizycznej (chociażby poprzez wykorzystanie systemów filtrowania informacji dostępnych w rządowych witrynach CEIDG). Skoro tak, należy uznać je za dane osobowe wraz ze wszystkimi tego konsekwencjami.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Jak przetwarzać NIP i REGON, aby robić to legalnie?

O przetwarzaniu numerów NIP i REGON można mówić w każdym przypadku, kiedy dane te są wykorzystywane. Rozporządzenie RODO definiuje proces przetwarzania, jako każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak m.in.:

• zbieranie,
• utrwalanie,
• organizowanie,
• porządkowanie,
• przechowywanie, adaptowanie lub modyfikowanie,
• pobieranie,
• przeglądanie.

Identyfikacja numerów NIP i REGON jako danych osobowych powoduje, że mogą być one przetwarzane wyłącznie na podstawie jednej z podstaw legalizacyjnych, o których mowa w art. 6 RODO. Korzystanie z nich podlega zasadzie minimalizacji, co oznacza, że należy z nich korzystać wyłącznie wtedy, kiedy jest to niezbędne i tylko w takim zakresie, aby osiągnąć cel dozwolony przez prawo. Dlatego jeśli np. numery identyfikacyjne przedsiębiorcy znajdują się w bazie informatycznej, należy dostęp do takiej bazy zaszyfrować i wprowadzić narzędzia kontroli dostępu, aby uniemożliwić wgląd do zapisanych w niej informacji osobom nieuprawnionym.

Stosując się do powyższych zasad administrator danych osobowych lub procesor czynią zadość zasadzie rozliczalności. To bardzo ważne, ponieważ uchybienia w zakresie RODO polegające np. na przetwarzaniu danych osobowych bez podstawy prawnej, stwarzają ryzyko nałożenia dotkliwych kar finansowych. Ma to szczególnie duże znaczenie w dobie internetu, kiedy wiele informacji, pozornie niegroźnych, dostaje się do sieci, np. na portale społecznościowe.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Audyty i wdrożenia RODO – Kancelaria After Legal

Zespół Kancelarii After Legal to prawnicy z wieloletnim doświadczeniem w praktycznym stosowaniu przepisów dotyczących ochrony danych osobowych. Zajmujemy się kompleksowym wdrażaniem RODO w firmach. Przeprowadzamy audyty zgodności procesów z zasadami przetwarzania danych osobowych. Prowadzimy szkolenia, przygotowując zarówno pracowników, jak i osoby zarządzające do przestrzegania unijnych regulacji. Jeśli masz pytania lub wątpliwości dotyczące legalności przetwarzania danych osobowych, możemy Ci pomóc. Skontaktuj się z nami i zaplanujmy razem strategię Twojego bezpieczeństwa!

Pytania i odpowiedzi:

Q: Jak długo trwa wdrożenie RODO w firmie?

A: Czas wdrożenia RODO jest w dużej mierze uzależniony od wielkości organizacji i stopnia skomplikowania procesów związanych z przetwarzaniem danych osobowych. W przypadku jednoosobowych działalności proces wdrożenia można przeprowadzić w ciągu jednego do dwóch tygodni. W dużych firmach wdrażanie RODO trwa nawet kilka miesięcy.

Q: Czy warto przeprowadzić audyt RODO w organizacji?

A: Przeprowadzenie audytu RODO pozwala ustalić stan ochrony danych osobowych w firmie oraz poziom świadomości pracowników w tym zakresie. Audyty RODO należy przeprowadzać cyklicznie, aby zachować zgodność działań operacyjnych z przepisami, a także wytycznymi organów nadzoru.