Z informacji, które można uzyskać na stronie internetowej generalnego inspektora ochrony danych osobowych (www.giodo.gov.pl) można się dowiedzieć, że:
- „Kancelaria Liberty" „Bądźmy Legalni", „Legalni z Prawem" rozsyłają masowo maile o odpowiedzialności grożącej za niedopełnienie obowiązku zgłoszenia zbiorów danych do rejestracji,
- prowadzony mailing to dezinformowanie przedsiębiorców,
- adres e-mail – biuro@kancelaria-giodo.waw.pl oraz treść tej korespondencji noszą pozory działania z urzędu i wprowadzają odbiorców wiadomości w błąd,
- GIODO nie wzywa za pośrednictwem powyższego maila do rejestracji i nie jest ani autorem, ani inicjatorem tych maili, korespondencja ta nie pochodzi od organu ds. ochrony danych osobowych,
- treść maili wskazuje na konieczność dokonania rejestracji zbiorów danych osobowych w terminie 3 dni roboczych – informacje te są nierzetelne, niezgodne z przepisami prawa, w tym z ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną,
- GIODO przestrzega, żeby nie odpowiadać na tę korespondencję.
Korespondencja ta wprowadza adresatów w błąd, zobowiązując ich do zgłoszenia zbiorów danych do rejestracji, bez względu na to, czy taki obowiązek ich dotyczy, czy nie. Zgodnie bowiem z art. 40 ustawy o ochronie danych osobowych, administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji generalnemu inspektorowi, z wyjątkiem przypadków, które wymienia art. 43 ust. 1 i 1a. Zatem to do administratorów danych osobowych – również właścicieli stron internetowych, przez których działalność dokonywane jest przetwarzanie danych osobowych – należy przede wszystkim ocena, czy posiadają oni zbiór danych o charakterze osobowym oraz analiza przesłanek wyłączających obowiązek zgłoszenia zbioru, przy czym ostateczna decyzja w przedmiocie rejestracji lub jej odmowy należy do GIODO.
Przykładowo, gdy dane klienta są wykorzystywane np. w celu dostarczenia przesyłki z zamówionym towarem albo na potrzeby marketingowe bądź różnego rodzaju akcji lojalnościowych, utrzymywania kontaktów z klientami czy przesyłania Newslettera, to wówczas należy zgłosić tworzony na te potrzeby zbiór danych do rejestracji GIODO. Jeżeli jednak te dane są np. wykorzystywane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej to wtedy przepisy nie wymagają dokonania rejestracji (art. 43 ust. 1 pkt 8). Uwaga! W ostatnim zdaniu ważne jest słowo „wyłącznie".
Ponadto w myśl art. 43 ust 1a z obowiązku dokonywania rejestracji zbiorów w ogóle może być zwolniony administrator danych, który powołał u siebie (i zgłosił GIODO) administratora bezpieczeństwa informacji, chyba że przetwarza w swoich zbiorach dane wrażliwe.
Warto także podkreślić, że wbrew informacjom zawartym w mailach, aktualnie żaden przepis nie uprawnia wprost generalnego inspektora do nakładania kar finansowych, w tym za niezgłoszenie zbioru danych osobowych do rejestracji. Obecnie za niedopełnienie tego obowiązku przewidziana jest odpowiedzialność karna uregulowana w art. 53 (grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku). Jednak o rodzaju nałożonej kary decyduje sąd, a nie GIODO, nawet jeśli byłaby nią kara grzywny. Dopiero, w przypadku niewykonania nakazu, wydanego decyzją administracyjną przez GIODO (na podstawie art. 18) generalny inspektor może nałożyć grzywnę w celu przymuszenia jego wykonania.
Wreszcie GIODO przypomina, że administratorzy danych osobowych w celu prawidłowej realizacji obowiązków wynikających m.in. z przepisów o ochronie danych osobowych mogą powołać administratora bezpieczeństwa informacji (art. 36a). Korzystając z takiej możliwości administrator danych osobowych pozyskuje dla swojej organizacji osobę, która ze względu na posiadaną wiedzę z zakresu ochrony danych osobowych zapewnia należyte przestrzeganie przepisów w tym zakresie.
