Prowadzę serwis ogłoszeniowy – czy muszę się zarejestrować w GIODO?

Zgodnie z art. 40 Ustawy o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku dotyczącego sposobu przetwarzania i zabezpieczenia danych osobowych każdy podmiot przetwarzający dane osobowe, a za taki uchodzi również serwis ogłoszeniowy, musi wypełnić wymogi dotyczące ochrony danych osobowych.
Wprawdzie nie oznacza to zawsze rejestracji zbioru danych w GIODO, jednak należy pamiętać, że większość serwisów internetowych, w których możliwe jest utworzenie konta użytkownika i logowanie (jeśli można stworzyć konto, to znaczy, że zbierane są dane osobowe – często np. imię, nazwisko, adres e-mail, miejsce zamieszkania) ma obowiązek zgłoszenia zbioru danych w GIODO.

 

Zgłoszenie do GIODO – jak ocenić czy dane, które przetwarzam podlegają temu obowiązkowi?

Daną osobową nie jest konkretny rodzaj danych, są nim wszystkie dane lub ich połączenie umożliwiające zidentyfikować osobę z dużą dokładnością.

Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów Ustawy o ochronie danych osobowych, wystarczające jest już spełnienie kryterium umożliwiające odnalezienie danych osobowych w zestawie. Prawdopodobieństwo wyszukania według jakiegokolwiek kryterium osobowego (imienia, nazwiska, daty urodzenia, numeru PESEL) lub nieosobowego (data zamieszczenia danych w zbiorze) przesądza o tzw. uporządkowanym charakterze zestawu danych), a tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.

 

 

Należy pamiętać, że często podawane przez użytkowników serwisów ogłoszeniowych adresy poczty elektronicznej (e-mail) mogą (ale nie muszą) być danymi osobowymi w rozumieniu Ustawy o ochronie danych jeśli są w nich umieszczone takie informacje jak: imię, nazwisko, dodatkowa informacja np. nazwa firmy.

Wszystkie te dane razem wzięte umożliwiają bowiem identyfikację właściciela adresu e-mail a zatem stanowią daną osobową podlegającą rejestracji w GIODO.

 

I tak np.:

samodzielny adres e-mail: adam@mail.pl nie stanowi danej osobowej, ale już adres: jan@nowak.pl tak, gdyż ustalenie właściciela domeny pocztowej będzie możliwe bez konieczności zastosowania nadmiernych środków.

Zawsze (z uwzględnieniem wyłączeń z art. 43 Ustawy o ochronie danych osobowych) gdy przetwarzane przez ADO dane zostaną uznane za dane osobowe, zachodzi potrzeba zgłoszenia zbioru do GIODO.

 

Co, jeśli dane osobowe, które przetwarzam są publicznie dostępne?

Administrator danych osobowych zobowiązany jest zgłosić prowadzony przez siebie zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z wyjątkiem przypadków wskazanych w art. 43 ust. 1 Ustawy o ochronie danych osobowych. W szczególności, stosownie do art. 43 ust. 1 pkt 9 w.w. Ustawy, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych. Przesłanka ta jest spełniona, jeżeli z danymi zawartymi w zbiorze może się zapoznać bez konieczności stosowania nadmiernych środków nieograniczony krąg podmiotów. Oznacza to, że Administrator danych jest zwolniony z obowiązku rejestracji jedynie wtedy, gdy powszechnie dostępne są wszystkie, a nie tylko niektóre dane zawarte w zbiorze danych.

Oceny czy w danym przypadku Administrator danych osobowych może skorzystać więc ze zwolnienia z obowiązku rejestracji zbiorów należy dokonywać odrębnie dla każdego podmiotu.

 

Czy grozi mi kara za niezgłoszenie zbioru danych osobowych do GIODO?

Naruszenie przepisów o ochronie danych osobowych (w tym niezgłoszenie zbioru danych do GIODO) może narazić administratora danych na odpowiedzialność administracyjną (kontrole GIODO), karną (art. 49 – art. 54a Ustawy o ochronie danych osobowych), czy też wytoczenia przeciwko ADO powództwa cywilnego.
Niedopełnienie obowiązków związanych z ochroną danych osobowych może spowodować odpowiedzialność karną, wówczas to sąd rozstrzyga o nałożeniu kary, jej rodzaju i wysokości. GIODO ma prawo nałożyć na ADO grzywnę w celu przymuszenia w przypadku niewykonania wydanych przez niego decyzji.
Ustawa o ochronie danych osobowych w art. 53 [Niezgłoszenie zbioru danych do rejestracji] wskazuje: Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Podsumowanie

Serwis ogłoszeniowy na równi z innymi serwisami internetowymi podlega zgłoszeniu do GIODO
Niestety, nie da się wskazać jednakowego dla wszystkich przedsiębiorców wyliczenia zbiorów danych osobowych podlegających rejestracji.
Temat jest wbrew pozorom bardzo istotny i wart poruszenia jeszcze przed uruchomieniem serwisu.
Przestrzeganie przepisów o ochronie danych osobowych z całą pewnością wpłynie na pozytywny wizerunek serwisu wśród ogłoszeniodawców a Administratora danych osobowych uchroni przed negatywnymi konsekwencjami choćby podczas kontroli GIODO.

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?