Wiele przedsiębiorst otrzymuje w ostatnim czasie mail zawierające nie prawdziwe informacje dotyczące rejestracji w GIODO.
W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wydał oświadczenie na swojej stronie internetowej, który zamieszczamy w całości.
W związku z masowym rozsyłaniem przez takie podmioty, jak „Bądźmy Legalni”, „Legalni z Prawem” czy „Kancelaria Liberty”, maili o grożącej odpowiedzialności za niedopełnienie obowiązku zgłoszenia zbiorów danych do rejestracji, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, żeby nie odpowiadać na tę korespondencję. Informuje również, że działalność tych podmiotów prowadzona jest bez wiedzy i akceptacji organu ds. ochrony danych osobowych.
Zawarte w niej informacje są bowiem nierzetelne, niezgodne z przepisami prawa, w tym z ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną, jak też mogą naruszać dobre imię firm, na które Stowarzyszenie powołuje się w wysyłanej korespondencji.
Już ze wstępnej analizy wynika, że podmioty te wprowadzają adresatów wiadomości w błąd, zobowiązując ich do zgłoszenia zbiorów danych do rejestracji, bez względu na to, czy taki obowiązek ich dotyczy, czy nie. Nie informują bowiem, że ustawa o ochronie danych osobowych zwalnia z tego obowiązku, określając, jakich konkretnie sytuacji to dotyczy.
Zapowiadają przy tym, że będą zgłaszały popełnienie rzekomego przestępstwa oraz że będą inicjowały procedurę kontrolną GIODO. Informacje te nie odpowiadają prawdzie, bowiem ani fakt niezgłoszenia zbioru do GIODO nie przesądza o popełnieniu przestępstwa, ani inny podmiot poza GIODO nie decyduje o przeprowadzeniu czynności kontrolnych.
Dodatkowo informujemy, że podmioty te nie istnieją, nie są zarejestrowane w KRS, więc nie funkcjonują w obrocie prawnym. Prowadzony mailing to jedynie dezinformowanie przedsiębiorców i ich zastraszanie.
Wobec powyższego GIODO informuje, że wszelkie informacje dotyczące zgodnego z prawem stosowania ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych, w tym dotyczących obowiązków rejestracji zbiorów danych dostępne są na stronie internetowej Urzędu.
Mniej
Jednocześnie GIODO informuje, że:
1. Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.) GIODO prowadzi dwa ogólnokrajowe, jawne rejestry tj. Rejestr Zbiorów Danych Osobowych (art. 42 ust 1 u.o.d.o.) i Rejestr Administratorów Bezpieczeństwa Informacji (art. 46c u.o.d.o.) – link: https://egiodo.giodo.gov.pl/index.dhtml.
2. Biuro GIODO nie prowadzi rejestru stron internetowych, sklepów internetowych, witryn, aplikacji. Rejestracja firm – działających również w formie stron internetowych – odbywa się na podstawie odrębnych przepisów poprzez wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) w przypadku osób fizycznych lub Krajowego Rejestru Sądowego w przypadku spółek działających na podstawie prawa handlowego (np. spółka akcyjna, spółka z ograniczoną odpowiedzialnością);
3. Działania, których dopuszcza się Stowarzyszenie „Bądźmy Legalni” nie następują we współpracy, konsultacji czy pod patronatem Generalnego Inspektora. GIODO nie współpracuje również z podmiotami, które zgodnie z informacją przedstawianą w korespondencji mailowej świadczą profesjonalne usługi z zakresu rejestracji stron internetowych czy też ochrony danych osobowych.
4. GIODO wskazuje, że zgodnie z art. 40 u.o.d.o. administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, które wymienia art. 43 ust. 1 i 1a u.o.d.o. Zatem to do administratorów danych osobowych – również właścicieli stron internetowych, przez których działalność dokonywane jest przetwarzanie danych osobowych – należy przede wszystkim ocena czy posiadają oni zbiór danych o charakterze osobowym oraz analiza przesłanek ewentualnie wyłączających zgłoszenie zbioru na podstawie art. 43 ust. 1 i 1a u.o.d.o., przy czym ostateczna decyzja w przedmiocie rejestracji czy odmowy rejestracji zbioru należy do GIODO w trybie przewidzianym przepisami u.o.d.o. Przykładowo, gdy dane klienta są wykorzystywane np. w celu dostarczenia przesyłki z zamówionym towarem albo na potrzeby marketingowe bądź różnego rodzaju akcji lojalnościowych, utrzymywania kontaktów z klientami czy przesyłaniaNewslettera, to wówczas należy zgłosić tworzony na te potrzeby zbiór danych do rejestracji GIODO. Więcej informacji na temat rejestracji zbiorów danych osobowych można znaleźć pod adresem:http://www.giodo.gov.pl/1520227/j/pl/oraz bezpośrednio na platformie dedykowanej do rejestracji zbiorów danych e-GIODO tj. pod adresem https://egiodo.giodo.gov.pl/.
5. Należy przypomnieć, że aktualnie żaden przepis nie uprawnia wprost Generalnego Inspektora do nakładania kar finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Problematyka ta jest natomiast przedmiotem rozwiązań przyszłych, które wynikać będą z rozporządzenia Parlamentu Europejskiego i Rady (UE) zwanego ogólnym rozporządzeniem o ochronie danych. Obecnie za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna uregulowana w art. 53 u.o.d.o. (grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku). Jednak o rodzaju nałożonej kary decyduje sąd, nawet jeśli byłaby nią kara grzywny. W przypadku niewykonania wydanego mocą decyzji GIODO nakazu (na podstawie art. 18 u.o.d.o.), Generalny Inspektor może nałożyć grzywnę w celu przymuszenia jego wykonania. Nakładanie grzywien przez organy administracji państwowej regulują przepisy ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2014 r. poz. 1619, z późn. zm.).
6. Niezależnie od powyższego każdy administrator danych osobowych obowiązany jest zgodnie z prawem przetwarzać dane osobowe i stale monitorować zarówno legalność, jak i wykonywanie innych obowiązków podmiotu przetwarzającego dane osobowe. Jego obowiązkiem jest stałe monitorowanie zgodnego z przepisami ustawy o ochronie danych osobowych aktów wykonawczych do niej, jak i zgodnego z przepisami odrębnymi, szczególnymi, regulującymi przetwarzanie danych w poszczególnych sektorach prawa i życia, przetwarzania informacji o osobach. W tym celu tj. dla prawidłowej realizacji obowiązków wynikających m.in. z przepisów o ochronie danych osobowych może powołać administratora bezpieczeństwa informacji (podstawa: art. 36a). Korzystając z takiej możliwości administrator danych osobowych pozyskuje dla swojej organizacji osobę, która ze względu na posiadaną wiedzę z zakresu ochrony danych osobowych zapewnia należyte przestrzeganie przepisów o ochronie danych osobowych. Szczegółowe informacje na temat instytucji administratora bezpieczeństwa informacji znaleźć można w serwisie ABI-informator: https://abi.giodo.gov.pl/
źródło: http://giodo.gov.pl/560/id_art/9197/j/pl