E-maile o takim temacie co jakiś czas zalewają skrzynki pocztowe przedsiębiorców, ze szczególnym „umiłowaniem” sklepów internetowych. Wiadomości te straszą wysokimi karami które na pewno nałoży GIODO, jeżeli nagabywany odbiorca wiadomości nie zarejestruje przetwarzanych zbiorów danych osobowych. Co wymaga podkreślenia, wiadomości tego typu pochodzą od rozmaitych stowarzyszeń, fundacji itd. „zaniepokojonych” takim „niezgodnym z prawem” przetwarzaniem danych osobowych; na szczęście organizacje te są w stanie polecić przedsiębiorcom „przykładowe” firmy, mogące pomóc w usunięciu „nieprawidłowości”. Poniżej przeklejamy jedną z takich wiadomości, otrzymaną bezpośrednio przez nas:
Witamy serdecznie,
Rozpoczynając naszą akcję „BEZPIECZNA WIOSNA DLA KLIENTÓW” pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.
Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO.
Ustawa z dnia 29 sierpnia 1997 roku. Dane osobowe to według Art. 6 Ustawy o ochronie danych osobowych, „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Chodzi o takie elementy, mniej lub bardziej specyficzne, które pozwalają określić pośrednio lub bezpośrednio tożsamość danej osoby np. nazwisko, imię, adres zamieszkania, nr telefonu – czyli dane, które klient e-sklepu podaje podczas zawierania transakcji. W grupie tej znajdzie się także adres e-mail – często bowiem jest imienny i oraz adres IP, który może być daną osobową (informacja o tym jest możliwa do uzyskania z innych źródeł) jest zobligowana do spełnienia obowiązku rejestracji w GIODO.
GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu.
W związku z powyższym Stowarzyszenie „Bądźmy Legalni” wzywa Państwa do dokonania stosownej rejestracji zbioru danych osobowych wraz z uzupełnieniem niezbędnej i wymagalnej dokumentacji w terminie 3 dni.
W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia o popełnieniu przestępstwa oraz zawiadomienia o wszczęcie procedury kontrolnej GIODO.
Informujemy również, że nasze Stowarzyszenie nie świadczy usług prawnych, porad, konsultacji itp.
W przypadku pozyskania wiedzy w zakresie rejestracji i dokumentacji rejestracyjnej proponujemy kontaktować się z podmiotami, które świadczą profesjonalne usługi z w/w zakresu:
Powyższe już na pierwszy rzut oka wygląda podejrzanie. Straszenie wysokimi karami ma wywołać w czytelniku obawę przed dotkliwymi konsekwencjami, mającymi najczęściej charakter finansowy. Jednocześnie mają zachęcić go do poszukiwania rozwiązania problemu, wprost wskazując na gotowe rozwiązania – link do stron przedsiębiorców świadczących odpowiednie usługi. Całość wygląda na typową akcję marketingową, opartą na wzbudzaniu u odbiorców prymitywnych instynktów (jak się okazuje, strach może sprzedawać równie skutecznie jak seks), wiadomości takie można zatem uznać za spam i potraktować analogicznie do tego typu przekazów (umieszczając je w koszu albo folderze „spam” poczty elektronicznej).
Teoretycznie w tym miejscu można by zakończyć, ale wiadomości tego typu potrafią zasiać szereg wątpliwości wśród przedsiębiorców, w tym także tych – zdawałoby się – posiadających pewną wiedzę w zakresie prawa ochrony danych osobowych, jak np. kancelarie prawnicze. Powyższe pokazuje tylko, jak wymagającą dziedziną jest ochrona danych osobowych i jak starannie trzeba dobierać wykonawców takich usług. Ujawnia to też istnienie dużo większego problemu, który można sprowadzić do pytania: skoro pomimo swojego kierunkowego wykształcenia (a nieraz i tytułu zawodowego radcy prawnego czy adwokata) trudność sprawia prawnikom „przebrnięcie” przez regulacje dotyczące ochrony danych osobowych, to jak w tych przepisach mogą orientować się pozostali przedsiębiorcy? W zaistniałych realiach tylko wsparcie wyspecjalizowanej kancelarii może zagwarantować, że przetwarzanie danych osobowych następować będzie zgodnie z przepisami.
Wracając jednak do spamu rozsyłanego przez wszelakie stowarzyszenia zauważyć trzeba, że podawane w nim informacje nie zawsze pokrywają się ze stanem wynikającym z przepisów prawa. Poniżej przedstawiamy listę tych najbardziej – naszym zdaniem – rażących błędów:
- Obowiązek „rejestracji” strony internetowej
Niejednokrotnie już w pierwszych zdaniach przesyłanych wiadomościach odbiorcy dowiadują się, że „pomimo istniejącego obowiązku ich strona internetowa nie została zgłoszona do rejestru GIODO”. Umieszczenie podobnej treści na początku wiadomości z miejsca pozwala uznać taką wiadomość za „przekręt” – nawet osoby początkujące w tematyce ochrony danych osobowych wiedzą, że rejestracji w rejestrze GIODO mogą podlegać wyłącznie zbiory danych osobowych lub osoby pełniące funkcję Administratora Bezpieczeństwa Informacji. Przepisy prawa nie przewidują natomiast obowiązku rejestracji stron internetowych, nawet jeżeli za pośrednictwem tych stron dochodzi do przekazywania danych osobowych.
- Twierdzenie o bezwzględnej (bez wyjątków) konieczności rejestracji zbiorów danych osobowych
Niejednokrotnie też stowarzyszenia i fundacje w przesyłanych e-mailach twierdzą, że zgłoszenia („rejestracji”) wymagają wszelkie przetwarzane przez przedsiębiorcę zbiory danych osobowych; co ciekawe, takie stwierdzenie pojawia się niejednokrotnie w tej samej wiadomości, w której informuje się o obowiązku rejestracji strony internetowej (co u wnikliwego czytelnika od razu powinno rodzić pytanie: co w takim razie podlega rejestracji, zbiór czy strona?). Takie stwierdzenie – choć bliższe przepisom prawa niż postulowany obowiązek rejestracji strony internetowej – nie jest jednak w pełni zgodne z prawdą. Obowiązek zgłaszania zbiorów danych osobowych nie istnieje (z wyjątkiem nielicznych przypadków) w razie powołania Administratora Bezpieczeństwa Informacji oraz w niektórych (wcale nierzadkich) przypadkach, wskazanych w art. 43 ustawy o ochronie danych osobowych. Wbrew zatem twierdzeniom autorów mailingu, obowiązek zgłoszenia zbioru danych osobowych do rejestru prowadzonego przez Generalnego Inspektora Danych Osobowych nie ma charakteru bezwzględnego, lecz doznaje wyjątków powodujących, że pewnych zbiorów nie trzeba zgłaszać.
- Twierdzenie, ze każdy adres e-mail oraz adres IP to dane osobowe
Nieprawdą jest, że każdy adres e-mail stanowi dane osobowe. Jeżeli na podstawie konkretnego adresu jesteśmy w stanie wskazać osobę korzystającą z tego adresu, wówczas można mówić o danych osobowych podlegających ochronie. Przykładowo, adres paulina.podsiadla@biuro-danych.pl wskazuje konkretnie na naszą koleżankę z Biura Bezpieczeństwa Danych i raczej nie ma wątpliwości, że jest to informacja dotycząca konkretnej, zidentyfikowanej osoby fizycznej. W opozycji do tego pozostają adresy e-mail w stylu suport@gmail.com (nie wiadomo, kto siedzi po drugiej stronie, zwłaszcza że mogą to być – i zapewne są – różne osoby) lub jan.nowak@gmail.com (bo jest wielu Janów Nowaków i na podstawie samego adresu e-mail nie wiadomo, który z nich korzysta ze wskazanego adresu) – choć oczywiście nie można wykluczyć świadomości, że pod adresem ksiegowosc@kontrahent.pl zawsze zastaniemy panią Halinę Kowalską z księgowości i wtedy taki adres mógłby stanowić dane osobowe. Choć powyższe przykłady mogą wydawać się złożone, to jednak mają za zadanie pokazać jedynie, że nie zawsze i nie dla każdego konkretny adres e-mail musi stanowić dane osobowe.
Powyższe należy tez odnieść do adresu IP – jeżeli ktoś jest w stanie ustalić tożsamość konkretnej osoby fizycznej na podstawie adresu IP, wówczas dla takiej osoby (i tylko dla niej) adres IP będzie stanowił dane osobowe takiej osoby fizycznej. W tym miejscu przedsiębiorca musi odpowiedzieć sobie na pytanie: czy jestem w stanie na podstawie adresu IP osoby odwiedzającej moją stronę internetową ustalić kim ona jest? Jeżeli odpowiedź na tak postawione pytanie jest negatywna można śmiało przyjąć, że adres IP nie jest dla przedsiębiorcy danymi osobowymi zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
W zakresie adresu IP (także dynamicznego adresu IP) jako danych osobowych odsyłamy też do świeżego wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-582/14 Patrick Breyer / Bundesrepublik Deutschland, który można podsumować następująco: dynamiczny adres IP zarejestrowany przez „dostawcę usług medialnych online” (czyli przez podmiot prowadzący witrynę internetową, w niniejszym wypadku niemieckie służby federalne) przy okazji przeglądania witryny internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego podmiotu prowadzącego dane osobowe, gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby odwiedzającej, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu tej osoby.
- Nakładanie kar finansowych przez GIODO
W pierwszej kolejności doprecyzowania wymaga terminologia – GIODO jest bowiem uprawniony do nałożenia grzywny, a nie kary finansowej (różnica może wydawać się znikoma, ale nie można utożsamiać tych dwóch pojęć). Jeżeli wyniki przeprowadzonej kontroli okażą się niekorzystne dla kontrolowanego przedsiębiorcy (GIODO stwierdzi uchybienia przepisom o ochronie danych osobowych), wówczas GIODO nałoży na takiego przedsiębiorcę obowiązek usunięcia stanu niezgodnego z prawem. Dopiero zignorowanie takiej decyzji GIODO (a więc daleko idąca „niefrasobliwość” przedsiębiorcy, który nie wykonuje decyzji administracyjnych) może spowodować nałożenie na przedsiębiorcę grzywny w celu przymuszenia do wykonania obowiązku stwierdzonego decyzją. Nie oznacza to jednak – jak sugerują e-maile od stowarzyszeń – że GIODO „na dzień dobry” nakłada na przedsiębiorców wysokie kary. Ponadto nawet w razie obciążenia przedsiębiorcy grzywną w celu przymuszenia obecnie obowiązujące regulacje przewidują możliwość ubiegania się o jej uchylenie. Jak wynika z powyższego, zagrożenie szeroko pojętymi karami finansowymi nie jest tak znaczne, jak wynikałby to z przesyłanego mailingu (co też nie oznacza bynajmniej, że można je bagatelizować).
Powyższa – krótka, acz naszym zdaniem wystarczająca – analiza przykładowej wiadomości przesyłanej przez stowarzyszenia, fundacje itd. dobitnie pokazuje prawdziwy cel takich wiadomości oraz rzeczowość przeprowadzanych przez nie „weryfikacji” zgodności przetwarzania danych osobowych z przepisami ustawy. Z tego też powodu naszym Klientom polecamy zawsze ignorowanie takich wiadomości i spokojny sen – niezależnie od gróźb i szantażu takich tajemniczych organizacji.
Na zakończenie podkreślić należy, że sam Generalny Inspektor Ochrony Danych Osobowych przestrzega przed organizacjami wysyłającymi e-maile o treści podobnej do omówionej powyżej. Wydany przez GIODO komunikat dotyczył działalności takich organizacji, jak m.in. „Bądźmy Legalni”, „Legalni z Prawem” czy „Kancelaria Liberty”. Komunikat ten nie jest już dostępny na stronie Generalnego Inspektora, ale z jego archiwalną wersją można zapoznać się pod adresem https://web.archive.org/web/20160731175802/http://www.giodo.gov.pl/560/id_art/9197/j/pl.
Podsumowując przedstawioną analizę można powiedzieć, że w Internecie – podobnie jak na drogach – należy stosować zasadę ograniczonego zaufania. Nie wszystkie przekazywane informacje są prawdziwe i rzetelne, a często informacja – pomimo jej pozornie neutralnego charakteru – ma na celu skłonić odbiorcę do określonego zachowania się. Jeżeli takie wiadomości wywołują nasze wątpliwości, wskazanym jest kontakt z fachowcami, zawodowo zajmującymi się określoną problematyką. Z powodów opisanych wcześniej (problemy samych kancelarii prawnych z interpretacją przepisów o ochronie danych osobowych) warto, aby tak wybrani fachowcy specjalizowali się ściśle w interesującej nas dziedzinie.
