61 847 55 18 kontakt@osobowedane.pl

Mamy liczne sygnały o tym, że sprzedawcy internetowi otrzymują wiadomości mailowe od Stowarzyszenia „Bądźmy Legalni” z informacją o niezgłoszeniu strony internetowej do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Poniżej opisujemy poszczególne kwestie zawarte w tym e-mailu, weryfikując je pod kątem obowiązującego stanu prawnego.

Niestety po raz kolejny spotykamy się z sytuacją, w której „Stowarzyszenie” próbuje skłonić sprzedawców internetowych do spełnienia wymogów prawnych, strasząc przy tym karami finansowymi i konsekwencjami prawnymi. O ile jednak samo zgłoszenie baz danych osobowych sklepu internetowego w GIODO w przeważającej większości przypadków jest konieczne, to sama forma wiadomości, pod którą podpisuje się Marek Dobrowolski zawiera liczne błędy i nieścisłości.

Poniżej wyjaśniamy większość z nich.

Zgłoszenie baz danych w GIODO – na czym to właściwie polega?

Praktycznie każdy sprzedawca internetowy w ramach prowadzonej działalności zbiera dane osobowe klientów, które wykorzystywane są chociażby w celu realizacji zamówienia, wysyłki newslletera, czy działań marketingowych. Oznacza to, że sprzedawca ma obowiązek zgłosić przetwarzane dane Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), zgodnie z art. 43 Ustawy o ochronie danych osobowych.

Stowarzyszenie „Bądźmy Legalni” podkreśla ten fakt na początku swojej wiadomości:

Rozpoczynając naszą akcję „BEZPIECZNA WIOSNA DLA KLIENTÓW” pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny,logowanie itp. bezwzględnie muszą być zarejestrowane w GIODO. (1)

Już na pierwszy rzut oka widać pierwszą nieścisłość – do GIODO nie zgłasza się strony internetowej, ale zbiory danych osobowych przetwarzanych w ramach prowadzonej działalności. Do takiego zgłoszenia zobligowany jest Administrator Danych Osobowych (ADO), czyli organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych w ramach prowadzonej działalności. W przypadku działalności jednoosobowej ADO to sam przedsiębiorca, z kolei przy spółkach Administratorem zostaje cały podmiot.

Co istotne można pominąć samo zgłoszenie baz danych wyznaczają Administratora Bezpieczeństwa Informacji (ABI), zgodnie z art. 43 ust. 12 punkt 1a Ustawy o ochronie danych osobowych:

Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji (…)

Wynika z tego jasno, że sformułowanie użyte w wiadomości:

„Państwa strona www nie jest jeszcze zarejestrowana w GIODO, a jest do tego prawnie zobligowana”

Jest nieprawdziwe i świadczy o braku znajomości obowiązujących przepisów.

Czy adres IP i e-mail stanowią dane osobowe?

W kolejnej części wiadomości Stowarzyszenia „Bądźmy Legalni” pojawiają się informacje dotyczące grup danych osobowych, które obligują do dokonania zgłoszenia w GIODO, jak adres e-mail czy adres IP. O ile adres e-mail zgodnie z interpretacjami samego GIODO wielokrotnie został uznany za dane osobowe (przede wszystkim ze względu na jego osobowy charakter w wielu przypadkach, np. adres w formie: jan.kowalski@domena.pl), to już adres IP niekoniecznie:

Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową. (2)

Kary nakładane przez GIODO. Czy faktycznie jest się czego bać?

Najbardziej newralgiczną kwestią zawartą w e-mailu Stowarzyszenia „Bądźmy Legalni” jest informacja o nakładaniu przez GIODO kary grzywny w wysokości nawet 200 tysięcy złotych w przypadku firm i 50 tysięcy dla osób fizycznych.

Warto tutaj zaznaczyć, że jak przyznaje samo GIODO, nie mają oni uprawnień do nakładania kary grzywny za niezgłoszenie baz danych osobowych:

(…) Ponadto należy przypomnieć, że żaden przepis nie uprawnia GIODO do nakładania kar

finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna,jednak o rodzaju kary decyduje sąd. Nawet jeśli byłaby nią kara grzywny, to nakłada ją sąd, i to on określa jej wysokość.(…) (3)

Sprzedawcy który nie zgłosił baz danych osobowych faktycznie grozi odpowiedzialność karna, jednak samo GIODO nie ma narzędzi prawnych do jej nałożenia – na wniosek Inspektora może to zrobić tylko sąd.

Wydaje się, że jest to drobna nieścisłość, jednak jasno wskazuje na brak podstawowej wiedzy merytorycznej autorów wiadomości, jaką otrzymali sprzedawcy internetowi.

Czy 3 dni wystarczą na dokonanie zgłoszenia baz danych?

Autorzy omawianej wiadomości wzywają do dopełnienia obowiązku rejestracji baz danych w ciągu dni. Termin ten jest nierealny przede wszystkim dlatego, że na samo rozpatrzenie wniosku przez GIODO czeka się obecnie nawet do kilku miesięcy, dlatego termin 3 dniowy jest praktycznie nierealny.

Enigmatyczne pozostaje również sformułowanie:

W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia o popełnieniu przestępstwa oraz zawiadomienia o wszczęcie procedury kontrolnej GIODO.

Wszczęcie owego postępowania odbywa się z urzędu – samo stowarzyszenie może oczywiście złożyć donos, jednak nie oznacza to, że Urząd automatycznie zajmie się sprawą.

 

Rejestrować bazy czy nie?

Jeśli więc wiadomość od Stowarzyszenia „Bądźmy Legalni” pełna jest błędów i nieścisłości, to czy sprzedawca faktycznie ma obowiązek zgłosić bazy danych osobowych do GIODO lub powołać ABIego?

Oczywiście. Wskazuje na to jasno art. 40 Ustawy o ochronie danych osobowych:

Administrator danych osobowych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.

Warto przy tym pamiętać, że Ustawę o ochronie danych osobowych uzupełnia rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dania 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych , w którym dodatkowo określa się ,że ADO powinien opracować i wdrożyć w swojej firmie politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym.

Jeśli szukasz więcej informacji na ten temat, skontaktuj się z nami telefonicznie lub przez formularz dostępny na stronie – z przyjemnością odpowiemy na wszystkie Twoje pytania i wątpliwości.

 

  1. Wszystkie cytaty z wiadomości od Stowarzyszenia „Bądźmy Legalni” pochodzą z e-maili, jakie otrzymali sprzedawcy internetowi, którzy zgłosili się do nas z prośbą o weryfikację zawartych w nich treści.
  2. http://www.giodo.gov.pl/319/id_art/2258/j/pl/
  3. http://giodo.gov.pl/560/id_art/8555/j/pl/
Pozostało do wprowadzenia RODO. Sprawdź więcej!