Dane osobowe w przedsiębiorstwach – uwaga na wymuszenia!
W mediach od niedawna można usłyszeć, że wielu przedsiębiorców posiadających strony internetowe z formularzem kontaktowym otrzymuje wiadomości mailowe z informacją o ewentualnej karze, jaka grozi im za nie zgłoszenie zbiorów danych osobowych do GIODO.
GIODO na swojej oficjalnej stronie przestrzega, że działania nadawców tego typu wiadomości są prowadzone bez wiedzy i akceptacji organu do spraw ochrony danych osobowych, dlatego nie należy na taką korespondencję odpowiadać.
Treść wiadomości:
Pragniemy zauważyć, że Państwa firma nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.
Każda firma, strona www lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO.
Każda firma posiada we własnych zbiorach dane pracowników czy też Klientów.
Ustawa z dnia 29 sierpnia 1997 roku. Dane osobowe to według Art. 6 Ustawy o ochronie danych osobowych, „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Chodzi o takie elementy, mniej lub bardziej specyficzne, które pozwalają określić pośrednio lub bezpośrednio tożsamość danej osoby np. nazwisko, imię, adres zamieszkania, nr telefonu – czyli dane, które klient e-sklepu podaje podczas zawierania transakcji. W grupie tej znajdzie się także adres e-mail – często bowiem jest imienny i oraz adres IP, który może być daną osobową (informacja o tym jest możliwa do uzyskania z innych źródeł) jest zobligowana do spełnienia obowiązku rejestracji w GIODO.
GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu.
W związku z powyższym nasza Kancelaria Liberty wzywa Państwa do dokonania stosownej rejestracji zbioru danych osobowych wraz z uzupełnieniem niezbędnej i wymagalnej dokumentacji w terminie 3 dni roboczych.
W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia/zawiadomienia o wszczęcie procedury kontrolnej GIODO celem wyegzekwowania koniecznej rejestracji oraz wymiaru kary pieniężnej.
Informujemy również, że nasza Kancelaria Liberty nie świadczy usług prawnych, porad, konsultacji itp.
W przypadku pozyskania wiedzy w zakresie rejestracji i dokumentacji rejestracyjnej proponujemy kontaktować się z podmiotami, które świadczą profesjonalne usługi z w/w zakresu.
Te wiadomości mailowe wprowadzają adresatów w błąd, ponieważ informują one, że przedsiębiorca ma obowiązek zgłosić zbiory danych do rejestracji. W rzeczywistości jednak ustawa o danych osobowych z tego obowiązku zwalnia w pewnych sytuacjach. Ponadto w mailu nadawca informuje, że zgłosi popełnienie rzekomego przestępstwa, a także zainicjuje procedurę kontrolną GIODO. Również i w tej kwestii jest nieścisłość – zgodnie z oficjalnym komunikatem GIODO, sam fakt braku zgłoszenia zbioru nie świadczy o popełnieniu przestępstwa, a żadem podmiot poza samym organem do spraw ochrony danych osobowych nie decyduje o przeprowadzeniu kontroli. Informacje związane z zastosowaniem ustawy o ochronie danych osobowych zgodnie z prawem, a w tym również dotyczące obowiązku rejestracji danych znajdują się na oficjalnej stronie internetowej GIODO.
Przykładowy e-mail:
Niewiele wspólnego z prawdą ma także informacja, jakoby przedsiębiorców czekała kara pieniężna za brak rejestracji zbioru danych osobowych oraz nie dostarczenie wymaganej i uzupełnionej dokumentacji w ciągu 3 dni roboczych, o której to karze mowa jest w tego typu wiadomościach.
Według informacji GIODO podmioty rozsyłające podobne wiadomości mailowe nie są zarejestrowane w KRS, przez co nie istnieją w obrocie prawnym. Ich celem jest wyłącznie zastraszanie i wprowadzanie w błąd przedsiębiorców. Trzeba jednak pamiętać, że administrator danych osobowych ma obowiązek przetwarzać te dane zgodnie z prawem oraz kontrolować legalność i wykonywanie obowiązków podmiotów zajmujących się ich przetwarzaniem.
Jednocześnie GIODO informuje, że:
1. Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.) GIODO prowadzi dwa ogólnokrajowe, jawne rejestry tj. Rejestr Zbiorów Danych Osobowych (art. 42 ust 1 u.o.d.o.) i Rejestr Administratorów Bezpieczeństwa Informacji (art. 46c u.o.d.o.) – link: https://egiodo.giodo.gov.pl/index.dhtml.
2. Biuro GIODO nie prowadzi rejestru stron internetowych, sklepów internetowych, witryn, aplikacji. Rejestracja firm – działających również w formie stron internetowych – odbywa się na podstawie odrębnych przepisów poprzez wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) w przypadku osób fizycznych lub Krajowego Rejestru Sądowego w przypadku spółek działających na podstawie prawa handlowego (np. spółka akcyjna, spółka z ograniczoną odpowiedzialnością);
3. Działania, których dopuszcza się Stowarzyszenie „Bądźmy Legalni” nie następują we współpracy, konsultacji czy pod patronatem Generalnego Inspektora. GIODO nie współpracuje również z podmiotami, które zgodnie z informacją przedstawianą w korespondencji mailowej świadczą profesjonalne usługi z zakresu rejestracji stron internetowych czy też ochrony danych osobowych.
4. GIODO wskazuje, że zgodnie z art. 40 u.o.d.o. administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, które wymienia art. 43 ust. 1 i 1a u.o.d.o. Zatem to do administratorów danych osobowych – również właścicieli stron internetowych, przez których działalność dokonywane jest przetwarzanie danych osobowych – należy przede wszystkim ocena czy posiadają oni zbiór danych o charakterze osobowym oraz analiza przesłanek ewentualnie wyłączających zgłoszenie zbioru na podstawie art. 43 ust. 1 i 1a u.o.d.o., przy czym ostateczna decyzja w przedmiocie rejestracji czy odmowy rejestracji zbioru należy do GIODO w trybie przewidzianym przepisami u.o.d.o. Przykładowo, gdy dane klienta są wykorzystywane np. w celu dostarczenia przesyłki z zamówionym towarem albo na potrzeby marketingowe bądź różnego rodzaju akcji lojalnościowych, utrzymywania kontaktów z klientami czy przesyłaniaNewslettera, to wówczas należy zgłosić tworzony na te potrzeby zbiór danych do rejestracji GIODO. Więcej informacji na temat rejestracji zbiorów danych osobowych można znaleźć pod adresem:http://www.giodo.gov.pl/1520227/j/pl/oraz bezpośrednio na platformie dedykowanej do rejestracji zbiorów danych e-GIODO tj. pod adresem https://egiodo.giodo.gov.pl/.
5. Należy przypomnieć, że aktualnie żaden przepis nie uprawnia wprost Generalnego Inspektora do nakładania kar finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Problematyka ta jest natomiast przedmiotem rozwiązań przyszłych, które wynikać będą z rozporządzenia Parlamentu Europejskiego i Rady (UE) zwanego ogólnym rozporządzeniem o ochronie danych. Obecnie za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna uregulowana w art. 53 u.o.d.o. (grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku). Jednak o rodzaju nałożonej kary decyduje sąd, nawet jeśli byłaby nią kara grzywny. W przypadku niewykonania wydanego mocą decyzji GIODO nakazu (na podstawie art. 18 u.o.d.o.), Generalny Inspektor może nałożyć grzywnę w celu przymuszenia jego wykonania. Nakładanie grzywien przez organy administracji państwowej regulują przepisy ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2014 r. poz. 1619, z późn. zm.).
6. Niezależnie od powyższego każdy administrator danych osobowych obowiązany jest zgodnie z prawem przetwarzać dane osobowe i stale monitorować zarówno legalność, jak i wykonywanie innych obowiązków podmiotu przetwarzającego dane osobowe. Jego obowiązkiem jest stałe monitorowanie zgodnego z przepisami ustawy o ochronie danych osobowych aktów wykonawczych do niej, jak i zgodnego z przepisami odrębnymi, szczególnymi, regulującymi przetwarzanie danych w poszczególnych sektorach prawa i życia, przetwarzania informacji o osobach. W tym celu tj. dla prawidłowej realizacji obowiązków wynikających m.in. z przepisów o ochronie danych osobowych może powołać administratora bezpieczeństwa informacji (podstawa: art. 36a). Korzystając z takiej możliwości administrator danych osobowych pozyskuje dla swojej organizacji osobę, która ze względu na posiadaną wiedzę z zakresu ochrony danych osobowych zapewnia należyte przestrzeganie przepisów o ochronie danych osobowych. Szczegółowe informacje na temat instytucji administratora bezpieczeństwa informacji znaleźć można w serwisie ABI-informator: https://abi.giodo.gov.pl/.