E-maile Stowarzyszenia Bądźmy Legalni i Kancelarii Liberty – czy jest się czego bać?

E-maile Stowarzyszenia Bądźmy Legalni i Kancelarii Liberty – czy jest się czego bać? shutterstock

E-wiadomości od Stowarzyszenia Bądźmy Legalni i te sygnowane przez Kancelarię Liberty budzą wiele emocji i niepokojów wśród przedsiębiorców. Tylko ich dokładna analiza prawna i przyjrzenie się faktycznym wymogom GIODO mogą rozwiać nasze wątpliwości.

Treść wiadomości – podstawowe znaki zapytania

Do wielu właścicieli sklepów internetowych i stron www dotarły e-maile od Stowarzyszenia Bądźmy Legalni czy Kancelarii Liberty. W telegraficznym skrócie brzmiały one następująco: „Państwa strona internetowa nie jest zgłoszona do GIODO mimo takiego obowiązku prawnego. Jeśli nie dopełnią go Państwo w ciągu 3 dni, zgłosimy popełnienie przestępstwa, a GIODO ukaże Państwa wysokimi grzywnami”.

Jest to zarówno esencja tych wiadomości, jak i zbiór popełnionych w nich błędów. Otóż do GIODO należy zgłaszać nie witryny www, ale zbiory danych osobowych. Prowadząc wysyłkę towarów, newsletterów, akcje mailingowe, programy lojalnościowe czy utrzymując kontakt z klientem, przedsiębiorcy muszą spełnić ten wymóg. Jednak nie jest to powszechny obowiązek. Zwalnia z niego np. posiadanie ABI (o czym mowa dalej), dysponowanie danymi osób uczących się czy przetwarzanymi tylko w celu wystawienia rachunku/FV. A jak wygląda kwestia trzydniowego terminu na dopełnienie formalności wobec GIODO? 

Miłosława Strzelec-Gwóźdź, partner w GP Kancelarii Radców Prawnych, która m.in. świadczy usługi SolidnePBI.pl oraz SolidnyRegulamin.pl, tak oto wyjaśnia ten problem: "Jeśli przedsiębiorca spełnia wymogi prawne, może zgłosić zbiory danych osobowych nawet w ciągu kilku godzin. Wystarczy wypełnić wnioski, wydrukować je i podpisać lub potwierdzić podpisem elektronicznym, przesłać drogą elektroniczną, pocztową lub dostarczyć osobiście. Niemniej jednak sama rejestracja w GIODO może trwać nawet do 2 lat".  

Obowiązki firm a kary od GIODO – stan rzeczywisty

Czytając o grzywnach rzędu 10, 50 czy 200 tys. zł, zapewne niejeden przedsiębiorca odczuje strach. Aż trudno uwierzyć, że taka była intencja wiadomości od Bądźmy Legalni lub Kancelarii Liberty. Działając szybko i w nieprzemyślany sposób, możemy bowiem trafić na pseudofachowców i skorzystać z wątpliwej jakości pomocy prawnej z „niepewnych źródeł”, gdzie tylko czyha się na łatwy zysk. Dlatego po pierwsze należy zachować spokój, nawet w obliczu tego typu wiadomości – stylizowanych jedynie na poważne, oficjalne, tłumaczące rzeczywistość prawną pisma. Jak widać, także w kwestii kar i grzywien rozmijają się one z prawdą. GIODO nie jest bowiem instytucją uprawnioną do nakładania kar finansowych. O ewentualnej karze, jej charakterze i wymiarze decyduje sąd. 

– Grzywny są przede wszystkim konsekwencją niezastosowania się do zaleceń pokontrolnych GIODO – zapewnia prawnik.  Dlatego lepiej nie zwlekać z formalnościami do tego etapu i odpowiednio wcześnie wywiązać się z obowiązków wobec GIODO, pamiętając, że za niedopełnienie ich grozi odpowiedzialność karna.

Bezpieczna Wiosna dla Klientów – jaki jest cel tej akcji?

Stowarzyszenie Bądźmy Legalni nie widnieje obecnie w KRS, co stawia pod znakiem zapytania jego istnienie. Również domena, z której rozesłano mailing o akcji Bezpieczna Wiosna dla Klientów, została uruchomiona tuż przed jego dystrybucją, więc najprawdopodobniej stworzono ją wyłącznie w tym celu. Z kolei e-mail od Kancelarii Liberty stanowi kalkę tego wcześniejszego. Z pewnością żaden z nich nie służy dobru ogółu ani przekazaniu merytorycznie wartościowych treści. – Naszym zdaniem akcje te przeprowadzono w celu zastraszenia przedsiębiorców i osiągnięcia ewentualnych korzyści majątkowych. Podobny schemat działania obserwowaliśmy już w przeszłości przy okazji stowarzyszeń skupiających się na klauzulach niedozwolonych – komentuje przedstawiciel GP Kancelarii Radców Prawnych. Środowisko prawnicze tak właśnie postrzega te sprawy. Również GIODO oficjalnie ostrzega przedsiębiorców przed odpowiadaniem na te e-maile, widząc w nich źródło nierzetelnych informacji od pseudoorganizacji o niejasnych intencjach. Dlatego postępowanie zgodnie z faktycznymi wymogami GIODO, wynikającymi bezpośrednio z treści ustawy o ochronie danych osobowych, jest najlepszym rozwiązaniem w tej sytuacji.

Co, jak i kiedy zgłaszać do GIODO?

Oto najważniejsze obowiązki przedsiębiorców wobec GIODO.

1. Administrator Bezpieczeństwa Informacji

Pierwszą możliwością – nie obowiązkiem – jest powołanie Administratora Bezpieczeństwa Informacji (ABI) przez Administratora Danych Osobowych (ADO) – podmiot lub instytucję decydującą o celach i środkach przetwarzania wiadomości o osobach. W przypadku spółek funkcję ADO pełni sama spółka, nie jej organy. Natomiast w wypadku działalności gospodarczej ADO to właściciel firmy. Nawet jeśli faktyczne operowanie danymi o osobach powierza się firmie zewnętrznej czy pracownikowi, są oni jedynie jednostkami administrującymi danymi osobowymi. Organem decyzyjnym i odpowiedzialnym za prawidłowe przetwarzanie danych osobowych wciąż jest ADO. Przysługuje mu jednak prawo wyznaczenia ABI. – Może nim być zarówno podmiot wewnętrzny (wspólnik, pracownik), jak i zewnętrzny. Pierwsze rozwiązanie jest praktyką bardziej powszechną, gdyż łatwiej wtedy ukształtować podległość ABI wobec ADO, którą zakładają przepisy – objaśnia prawnik i dodaje: – Ważne, by zgodnie z ustawą była to osoba niekarana za umyślne przestępstwo, mająca pełną zdolność do czynności prawnych, korzystająca z pełni praw publicznych oraz posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych. 

Podobne artykuły:

ABI powierza się bowiem sprawdzanie zgodności przetwarzania danych osobowych z przepisami, tworzenie/aktualizowanie dokumentów, sporządzanie sprawozdań dla ADO oraz prowadzenie szkoleń pracowników z zakresu ochrony danych osobowych. Jednocześnie na podstawie art. 43 ust. 1a Ochr.Dan.Os.U., powołując ABI, jesteśmy zwolnieni z obowiązku zgłaszania zbiorów danych osobowych do GIODO (oprócz tzw. danych wrażliwych opisanych w art. 27 ust. 1 rzeczonej ustawy). Wymagane jest tylko zgłoszenie ABI do rejestru GIODO do 30 dni od jego powołania (podobnie w przypadku odwołania). Natomiast do 14 dni zawiadamiamy o zmianach informacji podanych na formularzu zgłoszenia ABI.

2. Zbiory danych osobowych i ich modyfikacje

Przy braku ABI to ADO ma obowiązek zgłosić zbiór danych osobowych do rejestru GIODO (z wyjątkiem przypadków opisanych w art. 43 ust. 1 i 1a, np. zbiory doraźne tworzone w celu wystawiania faktur, zbiory danych pracowników). Dlatego dysponując danymi typu nazwiska, adresy, e-maile, numery PESEL czy daty urodzenia, gromadząc je, utrwalając, przechowując, udostępniając, usuwając czy wykonując jakiekolwiek inne operacje, winniśmy je zgłosić w postaci zbiorów. Tak, zbiorów – nie zbioru, gdyż nawet te same dane wykorzystywane w różnych celach, np. w celu wysyłania newslettera i prowadzenia statystyk, to już dwa osobne zbiory. Przedmiotem zgłoszenia nie jest też lista danych w zbiorze, ale jego usystematyzowany opis. – Zgłaszając zbiór, wskazujemy, co wchodzi w jego zakres, jaka jest podstawa pozyskania tych danych osobowych, w jakim celu są one przetwarzane, jakim podmiotom je powierzamy i udostępniamy oraz jakimi środkami je chronimy – wyjaśnia ekspert. Ponadto o każdej zmianie informacji podanej w formularzu należy zawiadomić GIODO w terminie do 30 dni od jej wprowadzenia. – Najczęściej są to zmiany danych ADO, nazwy zbioru, zawartości, zakresu i celu przetwarzania danych oraz podmiotów, którym je powierzono. Zgłaszanie ich jest konieczne, gdyż zapewnia to aktualność rejestru danych osobowych, który może spełniać swoje funkcje tylko wtedy, gdy zawiera wyłącznie informacje zgodne ze stanem rzeczywistym – stwierdza radca prawny.

3. Polityka bezpieczeństwa i instrukcja zarządzania

W myśl art. 46 Ochr.Dan.Os.U. ADO może rozpocząć przetwarzanie danych osobowych po zgłoszeniu zbioru, a w przypadku danych sensywnych (takich jak np. pochodzenie rasowe, poglądy polityczne, dane o stanie zdrowia) – po jego zarejestrowaniu. Przed rozpoczęciem działalności konieczne jest również posiadanie, wdrożenie i utrzymywanie dokumentacji wewnętrznej, takiej jak Polityka Bezpieczeństwa Informacji i Instrukcja Zarządzania Systemem Informatycznym. Nadzór nad ich opracowaniem i aktualizowaniem powierza się ABI, a przy jego braku – pozostawia ADO. – Oczywiście tych dokumentów nie zgłasza się do GIODO. Jednak w przypadku kontroli ze strony tego organu, ADO powinien je okazać – uczula prawnik. Dokumenty te określają sposób zarządzania, ochrony i dystrybucji danych osobowych w przedsiębiorstwie. Zawierają procedury postępowania dla właścicieli i pracowników oraz instrukcje działania w razie wycieku danych. Muszą więc wynikać z głębokiej analizy specyfiki firmy i być zgodne z prawdą. Nawet jeśli w obiegu funkcjonują wzory do uzupełnienia, pewnych informacji (wymagane są np.: wykaz budynków/pomieszczeń, gdzie przetwarza się dane osobowe, lista programów do operowania nimi, opis sposobu ich przepływu między systemami) nie da się zamknąć w szablonach.

Dopełnianie formalności – fachowa pomoc prawna

Jeśli nie czujemy się na siłach, by samemu zmierzyć się z formalnościami w GIODO, oczywiście możemy skorzystać z porad doświadczonych w tej dziedzinie prawników. – Obowiązki nałożone ustawą o ochronie danych osobowych często są niezrozumiałe dla przedsiębiorców. Myślą oni, że muszą zgłosić stronę www do GIODO, a nie poszczególne zbiory. Mylą Politykę Bezpieczeństwa Informacji z Polityką Prywatności obecną w ich serwisie. Mają trudności z samodzielnym przygotowaniem i wdrożeniem dokumentacji z zakresu ochrony danych osobowych, przeszkoleniem personelu i odpowiednim zabezpieczeniem danych osobowych czy wręcz identyfikacją ilości zbiorów  – przyznaje M. Strzelec-Gwóźdź z GP Kancelarii Radców Prawnych. Nie jest to rzecz jasna powód do kompleksów. Nikt z nas nie jest alfą i omegą, dlatego mamy prawo pytać i szukać fachowego wsparcia. Eksperci przygotują odpowiednią dla naszej firmy dokumentację z zakresu ochrony danych osobowych, wskażą ewentualne nieprawidłowości i sposoby ich eliminacji oraz będą reprezentować nas w trakcie zgłaszania zbiorów do GIODO lub podczas jego kontroli. A kiedy w takim razie możemy czuć się przysłowiowo „bezpiecznie”? – Już sam moment złożenia wniosku jest równoznaczny z wywiązaniem się z ustawowych obowiązków. Natomiast jego publikację na platformie e-GIODO możemy uznać za jednoznaczne potwierdzenie naszego zgłoszenia – konkluduje prawnik.

GP Kancelaria Radców Prawnych Poniatowska-Maj, Strzelec-Gwóźd Miłosława Strzelec-Gwóźdź