Stowarzyszenie Bądźmy Legalni i rejestracja stron w GIODO – kto rzeczywiście powinien się bać?

Naszym zdaniem

Co jakiś czas pojawiają się informacje o tym co należy zrobić, aby być zgodnym z prawem, a w zasadzie czego ktoś nie zrobił i jaką poniesie za to karę. Sektor ochrony danych osobowych, jako coraz ważniejszy – można wręcz powiedzieć coraz modniejszy i bardziej wymagający z punktu widzenia właściwej obsługi prawnej – także został „doceniony” przez „dobrze radzące” podmioty, w tym przez Stowarzyszenie Bądźmy Legalni.

Po serii naciągnięć w zakresie rzekomych korzyści z przynależności do różnego rodzaju katalogów branżowych, rejestrów „publicznych”, urzędowych rejestrów znaków towarowych, firm, które „bezpłatnie doradzają” itp., przyszła kolej na dane osobowe. Od dawna nosiliśmy się z zamiarem zasygnalizowania tematu, ale ciągle ważniejsze sprawy nas absorbowały.

reklama

Ostatnie przypadki straszenia klientów, ich nasilenie oraz przede wszystkim język w nich użyty spowodowały jednak, że postanowiłem je przybliżyć.

Rejestracja stron w GIODO? Wiadomość o akcji „Bezpieczna Wiosna dla Klientów”

Od dłuższego czasu na rynku naciągaczy funkcjonowały słowa-wytrychy w stylu „GIODO nakłada wysokie kary finansowe”, „Za złamanie przepisów dotyczących ochrony danych osobowych firmom grożą kary sięgające nawet kilkuset tysięcy złotych”, „Brak rejestracji formularza kontaktowego oznacza karę 200 tyś. zł” itd. Aby nie reklamować tych pseudofachowców, nie będę przytaczał źródeł tych wypowiedzi. Dodam tylko, że mają się one nijak do rzeczywistości.

Ostatni mail, jaki trafił do naszych klientów, został wysłany przez Stowarzyszenie Bądźmy Legalni. Mail ten wymaga nieco dłuższego omówienia. Czytamy w nim (pogrubienie czcionki moje):

Witamy serdecznie,

Rozpoczynając naszą akcję „Bezpieczna Wiosna Dla Klientów” pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.

Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO.

Ustawa z dnia 29 sierpnia 1997 roku. Dane osobowe to według Art. 6 Ustawy o ochronie danych osobowych, „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Chodzi o takie elementy, mniej lub bardziej specyficzne, które pozwalają określić pośrednio lub bezpośrednio tożsamość danej osoby np. nazwisko, imię, adres zamieszkania, nr telefonu – czyli dane, które klient e-sklepu podaje podczas zawierania transakcji. W grupie tej znajdzie się także adres e-mail – często bowiem jest imienny i oraz adres IP, który może być daną osobową (informacja o tym jest możliwa do uzyskania z innych źródeł) jest zobligowana do spełnienia obowiązku rejestracji w GIODO.

GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu.

W związku z powyższym Stowarzyszenie „Bądźmy Legalni” wzywa Państwa do dokonania stosownej rejestracji zbioru danych osobowych wraz z uzupełnieniem niezbędnej i wymagalnej dokumentacji w terminie 3 dni.

W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia o popełnieniu przestępstwa oraz zawiadomienia o wszczęcie procedury kontrolnej GIODO.

 Informujemy również, że nasze Stowarzyszenie nie świadczy usług prawnych, porad, konsultacji itp.

W przypadku pozyskania wiedzy w zakresie rejestracji i dokumentacji rejestracyjnej proponujemy kontaktować się z podmiotami, które świadczą profesjonalne usługi z w/w zakresu (…).

Na końcu maila zostały wymienione podmioty zajmujące się tą tematyką, przy czym przynajmniej jeden z nich potwierdził nam, że nie miał nic wspólnego z akcją Bezpieczna Wiosna Dla Klientóworaz ze Stowarzyszeniem „Bądźmy Legalni”.

Abstrahując od kwestii danych osobowych, wykorzystanie nazwy podmiotu (firmy) w tego typu przekazie może być uznane za naruszenie jej dóbr osobistych, zasad uczciwej konkurencji oraz, w przypadku gdy nazwa została zarejestrowana jako znak towarowy, naruszenia prawa do znaku towarowego.

Kolejna sprawa, czy podmiot rozsyłający tego typu informacje ma zgodę na przesyłanie informacji handlowej? Wątpię, biorąc pod uwagę, że w przypadku naszych klientów nie posiadał zgody od żadnego z nich. Czy ma zarejestrowany zbiór danych przez GIODO? Te pytania pozostawiam jako oczywiście retoryczne.

Stowarzyszenie Bądźmy Legalni – analiza informacji

Przechodząc do samej treści informacji o akcji „Bezpieczna Wiosna Dla Klientów”:

„Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana”.

Żadna strona www nie jest zobowiązana do rejestracji, bowiem nie jest zbiorem danych jako taka, a UODO (zobacz najczęściej stosowane skróty) wymaga rejestracji zbioru danych (i to nie wszystkich, ale o tym potem). Widocznie autorom nie jest znane pojęcie zbioru danych oraz zasad, jakie rządzą ochroną danych osobowych. Skąd zatem prawo i pomysł do wypowiadania się w tej kwestii?

„Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO”.

Po pierwsze, nie jest to bezwzględny obowiązek (wyłącza go np. zgłoszenie ABI do rejestru prowadzonego przez GIODO), a po wtóre, jeden z tych zbiorów generalnie jest zwolniony z rejestracji (na podstawie art. 43 UODO- przeczytaj więcej).

„GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu”.

Uściślając, GIODO nakłada grzywny nie jako kary za stwierdzone uchybienia, ale jako grzywnę w przypadku niewykonania jego decyzji. Są to więc dwie różne sytuacje. Czym innym jest np. niezarejestrowanie zbioru danych, a czym innym (także w kontekście czasu) niewykonanie decyzji nakazującej rejestrację zbioru. Każdy rozsądny administrator, a zakładamy, że każdy nim jest, po otrzymaniu takiego ewidentnego zalecenia ze strony GIODO, wykona je. Oczywiście nie namawiamy do tego, by czekać na decyzję GIODO, ale to nie kary regulują procesy ochrony danych, ale sami administratorzy dbający o swoją renomę.

„W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia o popełnieniu przestępstwa oraz zawiadomienia o wszczęcie procedury kontrolnej GIODO”.

Pomijając ewidentne błędy językowe, ostatnią część pozostawiam bez komentarza, wszyscy bowiem znający znaczenie słowa szantaż dopasują go do treści tego zdania. Tak na marginesie, nie wiem czym jest zawiadomienie o wszczęciu procedury kontrolnej i co ono może oznaczać. Kto kogo ma zawiadamiać?

OM ad szkolenia
Reklama

Ochrona danych – coraz więcej fałszywych informacji

Reasumując, uważam, że tego typu (dez)informacji jak rozsyłana przez stowarzyszenie Bądźmy Legalni będzie niestety coraz więcej. Zbliża się rozporządzenie unijne i tylko patrzeć, jak posypią się maile (spam) o rzekomych już nakładanych karach rzędu 20 i więcej milionów euro.

Trzeba dbać o profesjonalistów zajmujących się tą tematyką, nie krytykować ich wyłącznie za to, że obsługują więcej niż jeden podmiot, czerpać informacje z dobrych i rzetelnych źródeł, a przede wszystkim, tak jak ze wszystkim co jest masowe i dostępne w sieci, zachować zdrowy rozsądek.

To profesjonalny ABI, przy wsparciu GIODO, powinien być tym najcenniejszym elementem ochrony danych osobowych, a wszyscy ci, którzy rozsyłają tego typu informacje prędzej czy później zostaną zweryfikowani przez rynek. W tym przypadku jest to o tyle trudne, że przekaz ten nie ma autora, a rzekome Stowarzyszenie Bądźmy Legalni nie jest zarejestrowane. Domena stowarzyszenia została zarejestrowana 29.03.2016, a podany w informacji o domenie adres jest nieprawidłowy.

Zakładam również, że ci, których dobra prawne naruszono i którzy deklarowali wyjaśnienie sprawy, nie pozostawią jej bez ciągu dalszego.

About Tomasz Osiej 10 Articles
Radca Prawny, Europejski Rzecznik Patentowy - specjalista z zakresu ochrony danych osobowych oraz Prawa Własności Przemysłowej. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego oraz Podyplomowego Studium Prawa Własności Przemysłowej (Instytut Prawa Własności Intelektualnej) na Uniwersytecie Jagiellońskim. Przygodę z ochroną danych rozpoczął w 1998 roku od pracy w Departamencie Prawnym Biura Generalnego Inspektora Ochrony Danych Osobowych. Obecnie prowadzi własną Kancelarię www.kancelariaosiej.pl Współautor (redaktor) książek "Ochrona danych osobowych w praktyce - pytania i odpowiedzi", „Ochrona danych osobowych – wybór zagadnień”, opracowania "Ochrona danych osobowych po wejściu do Unii Europejskiej” oraz artykułów w prasie branżowej. Od 1999 r. przeprowadza audyty, prowadzi otwarte jak i zamknięte szkolenia, występuje na konferencjach.