„BĄDŹMY LEGALNI” i „KANCELARIA LIBERTY” straszą mailami!
W ostatnim czasie do wielu firm w Polsce zaczęły masowo docierać e-maile w celu zastraszenia ich odpowiedzialnością za niedokonanie rejestracji zbiorów danych osobowych w GIODO (Generalnego Inspektora Ochrony Danych Osobowych). Odpowiedzialne za to są podmioty takie jak: Stowarzyszenie „Bądźmy legalni”, Stowarzyszenie „Legalni z Prawem”, Kancelaria „Liberty” o/Warszawa oraz inne w mniejszym zakresie.
Dostałeś taką wiadomość? Sprawdź!
Przykładowa treść takiego maila:
„Pragniemy zauważyć, że Państwa firma nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana. Każda firma, strona www lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO. Każda firma posiada we własnych zbiorach dane pracowników czy też Klientów.”
Co na to sam GIODO w sprawie maili Stowarzyszenia „Bądźmy legalni”, „Legalni z Prawem” i Kancelarii „Liberty”?
W niniejszej sprawie apeluje Generalny Inspektor Ochrony Danych Osobowych (GIODO) radząc by nie odpowiadać na takę korespondencję.
Wskazuje, że działalność tych podmiotów prowadzona jest bez wiedzy i akceptacji organu ds. ochrony danych osobowych.
Co więcej wyżej wymienione podmioty nie funkcjonują w obrocie prawnym. Prowadzony mailing ma na celu zastraszanie przedsiębiorców poprzez zapowiedź wszczęcia kontroli przez GIODO i umyślne wprowadzanie w błąd!
Informacja rozsyłana przez w.w. podmioty jest nieprawdziwa. Ustawa o ochronie danych osobowych wskazuje przypadki gdy rejestracja zbioru w GIODO nie jest obowiązkiem. Sytuację prawną każdego przedsiębiorcy zakresie ochrony danych osobowych należy rozpatrywać odrębnie.
Czy mamy do czynienia z przestępstwem?
Rozsyłane informacje są więc przede wszystkim niezgodne z przepisami prawa, w tym z ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną.
Dodatkowo godzą w dobre imię firm, na które powołują się w rozsyłanej korespondencji.
Można snuć przypuszczenia, że poprzez wysyłanie linków do stron przedsiębiorców, zawierających de facto ofertę handlową w rozumieniu art. 2 pkt. 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną Stowarzyszenie pod pretekstem wykonywania działalności „statutowej” obchodzi zakaz przesyłania niezamówionych informacji handlowych przy wykorzystaniu środków komunikacji elektronicznej, wskazany w art. 10 ustawy.
Oznaczałoby to, że Stowarzyszenie naruszyło art. 172 ustawy z dnia 16 lipca 2004r. Prawo telekomunikacyjne poprzez przeprowadzenie akcji mailingowej bez uzyskania zgody odbiorców końcowych.
Dodatkowo działania fikcyjnych podmiotów mogły naruszyć przepisy ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji – choćby art. 10 ust 3 ustawy o świadczeniu usług drogą elektroniczną, zgodnie z którym działanie polegające na przesyłaniu niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy o zwalczaniu nieuczciwej konkurencji.
W świetle przytoczonych argumentów nielegalne działanie podmiotów nie pozostawia najmniejszych wątpliwości.
Jednocześnie GIODO informuje, że:
1. Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.) GIODO prowadzi dwa ogólnokrajowe, jawne rejestry tj. Rejestr Zbiorów Danych Osobowych (art. 42 ust 1 u.o.d.o.) i Rejestr Administratorów Bezpieczeństwa Informacji (art. 46c u.o.d.o.) – link: https://egiodo.giodo.gov.pl/index.dhtml.
2. Biuro GIODO nie prowadzi rejestru stron internetowych, sklepów internetowych, witryn, aplikacji. Rejestracja firm – działających również w formie stron internetowych – odbywa się na podstawie odrębnych przepisów poprzez wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) w przypadku osób fizycznych lub Krajowego Rejestru Sądowego w przypadku spółek działających na podstawie prawa handlowego (np. spółka akcyjna, spółka z ograniczoną odpowiedzialnością);
3. Działania, których dopuszcza się Stowarzyszenie „Bądźmy Legalni” nie następują we współpracy, konsultacji czy pod patronatem Generalnego Inspektora. GIODO nie współpracuje również z podmiotami, które zgodnie z informacją przedstawianą w korespondencji mailowej świadczą profesjonalne usługi z zakresu rejestracji stron internetowych czy też ochrony danych osobowych.
4. GIODO wskazuje, że zgodnie z art. 40 u.o.d.o. administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, które wymienia art. 43 ust. 1 i 1a u.o.d.o. Zatem to do administratorów danych osobowych – również właścicieli stron internetowych, przez których działalność dokonywane jest przetwarzanie danych osobowych – należy przede wszystkim ocena czy posiadają oni zbiór danych o charakterze osobowym oraz analiza przesłanek ewentualnie wyłączających zgłoszenie zbioru na podstawie art. 43 ust. 1 i 1a u.o.d.o., przy czym ostateczna decyzja w przedmiocie rejestracji czy odmowy rejestracji zbioru należy do GIODO w trybie przewidzianym przepisami u.o.d.o. Przykładowo, gdy dane klienta są wykorzystywane np. w celu dostarczenia przesyłki z zamówionym towarem albo na potrzeby marketingowe bądź różnego rodzaju akcji lojalnościowych, utrzymywania kontaktów z klientami czy przesyłania Newslettera, to wówczas należy zgłosić tworzony na te potrzeby zbiór danych do rejestracji GIODO. Więcej informacji na temat rejestracji zbiorów danych osobowych można znaleźć pod adresem:http://www.giodo.gov.pl/1520227/j/pl/oraz bezpośrednio na platformie dedykowanej do rejestracji zbiorów danych e-GIODO tj. pod adresem https://egiodo.giodo.gov.pl/.
5. Należy przypomnieć, że aktualnie żaden przepis nie uprawnia wprost Generalnego Inspektora do nakładania kar finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Problematyka ta jest natomiast przedmiotem rozwiązań przyszłych, które wynikać będą z rozporządzenia Parlamentu Europejskiego i Rady (UE) zwanego ogólnym rozporządzeniem o ochronie danych. Obecnie za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna uregulowana w art. 53 u.o.d.o. (grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku). Jednak o rodzaju nałożonej kary decyduje sąd, nawet jeśli byłaby nią kara grzywny. W przypadku niewykonania wydanego mocą decyzji GIODO nakazu (na podstawie art. 18 u.o.d.o.), Generalny Inspektor może nałożyć grzywnę w celu przymuszenia jego wykonania. Nakładanie grzywien przez organy administracji państwowej regulują przepisy ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2014 r. poz. 1619, z późn. zm.).
6. Niezależnie od powyższego każdy administrator danych osobowych obowiązany jest zgodnie z prawem przetwarzać dane osobowe i stale monitorować zarówno legalność, jak i wykonywanie innych obowiązków podmiotu przetwarzającego dane osobowe. Jego obowiązkiem jest stałe monitorowanie zgodnego z przepisami ustawy o ochronie danych osobowych aktów wykonawczych do niej, jak i zgodnego z przepisami odrębnymi, szczególnymi, regulującymi przetwarzanie danych w poszczególnych sektorach prawa i życia, przetwarzania informacji o osobach. W tym celu tj. dla prawidłowej realizacji obowiązków wynikających m.in. z przepisów o ochronie danych osobowych może powołać administratora bezpieczeństwa informacji (podstawa: art. 36a). Korzystając z takiej możliwości administrator danych osobowych pozyskuje dla swojej organizacji osobę, która ze względu na posiadaną wiedzę z zakresu ochrony danych osobowych zapewnia należyte przestrzeganie przepisów o ochronie danych osobowych. Szczegółowe informacje na temat instytucji administratora bezpieczeństwa informacji znaleźć można w serwisie ABI-informator: https://abi.giodo.gov.pl/.
Podsumowanie
Prezentowana w niniejszym artykule sytuacja winna uwrażliwić każdego przedsiębiorcę na podobne patologie w przyszłości. Coraz częściej żeruje się na naiwności i nieznajomości prawa. Ustawa o ochronie danych osobowych przewiduje możliwość zwolnień z obowiązku rejestracji określonych zbiorów danych osobowych chociażby np. w sytuacji powołania Administratora bezpieczeństwa informacji. Zawsze do każdego problemu prawnego oraz sytuacji przedsiębiorcy warto podejść indywidualnie by mieć gwarancję działania zgodnego z prawem.
