Dostałem wezwanie o mniej więcej takiej treści "Rozpoczynając naszą akcję BEZPIECZNA WIOSNA DLA KLIENTÓW pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana. Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO." Czy mam obowiązek odpowiedzieć na tego typu wezwanie czy są to fałszywe wezwania do rejestracji w GIODO?
Adam, Warszawa
Od jakiegoś czasu na rynku pojawiają się stowarzyszenia, których celem jest informowanie przedsiębiorców o ochronie danych osobowych ich klientów. Działają one pod różnymi nazwami - Bądźmy legalni, Legalni z Prawem czy Kancelaria Liberty, rozsyłając maile o grożącej przedsiębiorcom odpowiedzialności za niezarejestrowanie zbiorów danych osobowych w GIODO (Generalny Inspektor Ochrony Danych Osobowych). Wiadomości te nie mają jednak podstaw prawnych, a samo GIODO przestrzega przed odpowiadaniem i współpracowaniem z tego typu podmiotami, wskazując, że mają one na celu tylko i wyłącznie zastraszenie i wyłudzenie pieniędzy.
Legalność działania tych podmiotów budzi poważne wątpliwości, ponieważ w większości przypadków stowarzyszenia te nie są nawet zarejestrowane w KRS. Skoro nie istnieją, nie mogły w sposób zgodny z prawem nabyć danych kontaktowych w postaci adresów e-mail, które są chronione przez ustawę o ochronie danych osobowych. Na działanie na danych osobowych takich jak e-mail zgodę musi wyrazić podmiot, którego przetwarzanie dotyczy.
Groźby o złożeniu doniesienia o popełnieniu przestępstwa oraz zawiadomienia o wszczęciu procedury kontrolnej GIODO w większości przypadków nie mają podstaw. Samo GIODO zapewnia, że tego typu zgłoszenia nie będą inicjowały procedury kontrolnej.
W pismach kierowanych do przedsiębiorców często jest również umieszczana informacja o możliwości nałożenia kary w wysokości 10 000 zł dla osób fizycznych i 50 000 zł dla osób prawnych. Należy pamiętać, że GIODO nie nakłada kar za stwierdzenie uchybienia.
Ustawa o ochronie danych osobowych wprost określająca uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, stanowiąc, że GIODO ma m.in. prawo do kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz do rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych. Mówi o tym art. 12 ustawy o ochronie danych osobowych:
| Art. 12. Do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych; 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych; 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2016 r. poz. 599); 4) prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji; 5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych; 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych; 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. |
Podmiotem właściwym do nakładania kar jest sąd. W przypadku stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych, kara administracyjna nakładana jest w drodze decyzji. Jednak w pierwszej kolejności przedsiębiorcy, u których w wyniku kontroli stwierdzono niezgodności, zostają wezwani do ich usunięcia, czyli do zarejestrowania jako administratora danych osobowych w związku z przetwarzaniem danych klientów. Przetwarzanie danych osobowych to nie tylko ich wykorzystywanie poprzez wysyłanie informacji handlowych drogą elektroniczną czy drogą tradycyjną. Samo gromadzenie danych o klientach poprzez newslettery, formularze kontaktowe czy rejestracyjne jest przetwarzaniem danych osobowych. Dopiero po bezskutecznym wezwaniu przez GIODO mogłaby być nałożona kara.
Wobec powyższego zawarte w treści wiadomości informacje rozsyłane przez podmioty typu Bądźmy Legalni czy Legalni z Prawem są nierzetelne i niezgodne z ustawą o ochronie danych osobowych oraz ustawą o świadczeniu usług drogą elektroniczną.
