Fałszywe informacje o obowiązku rejestrowania zbiorów danych osobowych

Biuro generalnego inspektora ochrony danych osobowych ostrzega o masowej akcji rozsyłania e-maili o odpowiedzialności grożącej za niedopełnienie obowiązku zgłoszenia zbiorów danych. Prowadzony mailing to dezinformowanie przedsiębiorców. GIODO skierował do organów ścigania zawiadomienie o podejrzeniu popełnienia przestępstwa oszustwa.

Z informacji, które można uzyskać na stronie internetowej generalnego inspektora ochrony danych osobowych (www.giodo.gov.pl) można się dowiedzieć, że:

  • „Kancelaria Liberty” „Bądźmy Legalni”, „Legalni z Prawem” rozsyłają masowo maile o odpowiedzialności grożącej za niedopełnienie obowiązku zgłoszenia zbiorów danych do rejestracji,
  • prowadzony mailing to dezinformowanie przedsiębiorców,
  • adres e-mail – biuro@kancelaria-giodo.waw.pl oraz treść tej korespondencji noszą pozory działania z urzędu i wprowadzają odbiorców wiadomości w błąd,
  • GIODO nie wzywa za pośrednictwem powyższego maila do rejestracji i nie jest ani autorem, ani inicjatorem tych maili, korespondencja ta nie pochodzi od organu ds. ochrony danych osobowych,
  • treść maili wskazuje na konieczność dokonania rejestracji zbiorów danych osobowych w terminie 3 dni roboczych – informacje te są nierzetelne, niezgodne z przepisami prawa, w tym z ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną,
  • GIODO przestrzega, żeby nie odpowiadać na tę korespondencję.

Korespondencja ta wprowadza adresatów w błąd, zobowiązując ich do zgłoszenia zbiorów danych do rejestracji, bez względu na to, czy taki obowiązek ich dotyczy, czy nie. Zgodnie bowiem z art. 40 ustawy o ochronie danych osobowych, administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji generalnemu inspektorowi, z wyjątkiem przypadków, które wymienia art. 43 ust. 1 i 1a. Zatem to do administratorów danych osobowych – również właścicieli stron internetowych, przez których działalność dokonywane jest przetwarzanie danych osobowych – należy przede wszystkim ocena, czy posiadają oni zbiór danych o charakterze osobowym oraz analiza przesłanek wyłączających obowiązek zgłoszenia zbioru, przy czym ostateczna decyzja w przedmiocie rejestracji lub jej odmowy należy do GIODO.

Przykładowo, gdy dane klienta są wykorzystywane np. w celu dostarczenia przesyłki z zamówionym towarem albo na potrzeby marketingowe bądź różnego rodzaju akcji lojalnościowych, utrzymywania kontaktów z klientami czy przesyłania Newslettera, to wówczas należy zgłosić tworzony na te potrzeby zbiór danych do rejestracji GIODO. Jeżeli jednak te dane są np. wykorzystywane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej to wtedy przepisy nie wymagają dokonania rejestracji (art. 43 ust. 1 pkt 8). Uwaga! W ostatnim zdaniu ważne jest słowo „wyłącznie”.

Ponadto w myśl art. 43 ust 1a z obowiązku dokonywania rejestracji zbiorów w ogóle może być zwolniony administrator danych, który powołał u siebie (i zgłosił GIODO) administratora bezpieczeństwa informacji, chyba że przetwarza w swoich zbiorach dane wrażliwe.

Warto także podkreślić, że wbrew informacjom zawartym w mailach, aktualnie żaden przepis nie uprawnia wprost generalnego inspektora do nakładania kar finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Obecnie za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna uregulowana w art. 53 (grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku). Jednak o rodzaju nałożonej kary decyduje sąd, a nie GIODO, nawet jeśli byłaby nią kara grzywny. Dopiero, w przypadku niewykonania nakazu, wydanego decyzją administracyjną przez GIODO (na podstawie art. 18) generalny inspektor może nałożyć grzywnę w celu przymuszenia jego wykonania.

Wreszcie GIODO przypomina, że administratorzy danych osobowych w celu prawidłowej realizacji obowiązków wynikających m.in. z przepisów o ochronie danych osobowych mogą powołać administratora bezpieczeństwa informacji (art. 36a). Korzystając z takiej możliwości administrator danych osobowych pozyskuje dla swojej organizacji osobę, która ze względu na posiadaną wiedzę z zakresu ochrony danych osobowych zapewnia należyte przestrzeganie przepisów w tym zakresie.

dyplom
Wielkopolski Związek Pracodawców Lewiatan
ul. Grunwaldzka 104
60-307 Poznań
tel. 61 657 60 51
tel. 691 98 68 68
biuro@wzp.org.pl
www.wzp.org.pl
konfederacja lewiatan
Copyright by MindsEater