Ostatnio w internecie dość głośno zrobiło się na temat konieczności rejestracji swoich zbiorów danych osobowych subskrybentów lub kentów w GIODO. Kilka różnych firm rozsyłało maile do firm z pogróżkami a nawet groźbami sankcji za niezarejestrowanie. Proponowały rejestracje w GIODO oczywiście za konkretną opłatą. Zobaczmy kto powinien się zarejestrować a kto nie, ile to kosztuje i czy należy się przejmować.
Co to jest GIODO?
GIODO – Generalny Inspektor Ochrony Danych Osobowych jest organem stworzonym do spraw ochrony danych osobowych. Ich adres to http://giodo.gov.pl . Działa na podstawie Ustawy o Ochronie Danych osobowych z 29 sierpnia 1997 r (Dz. U. z 2014 r. poz. 1182).
GIODO kontroluje zgodność przetwarzania danych z przepisami ustawy, wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych, prowadzi rejestr zbiorów danych, opiniuje akty prawne dotyczące ochrony danych osobowych, inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Co to jest zbiór danych osobowych?
Zbiór danych osobowych jest określony w art. 7 pkt 1 ustawy o ochronie danych osobowych – “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Kto ma obowiązek zarejestrować się w GIODO?
Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych. Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak i prywatnym.
Obowiązkiem rejestracyjnym jest objęty każdy kto zbiera dane osobowe firm lub osób prywatnych zarówno chodzi tu o osoby fi. Ale ustawa o ochronie danych osobowych przewiduje dość dużo wyjątków (art 43.1):
Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) zawierających informacje niejawne;
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
2c) przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
9) powszechnie dostępnych;
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych,
Jeśli więc odliczymy wszystkie instytucje państwowe, wyznaniowe, radców prawnych, księgowych okaże się że z obowiązku rejestrowania zbiorów danych nie są zwolnione osoby, które prowadzą różnego kampanie reklamowe, newslettery itp. Obowiązek tyczy się również osób fizycznych więc blogerów jak najbardziej.
Jak zgłosić bazę do GIODO?
Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).
Wniosek należy wypełnić na platformie e-giodo. Jeśli ktoś posiada podpis elektroniczny może dokonać zgłoszenia swojej bazy danych elektronicznie. Natomiast wszyscy pozostali, którzy nie posiadają podpisu elektronicznego powinni wypełnić formularz na w/w platformie i podpisany wysłać pocztą lub dostarczyć osobiście na adres Biura Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
A co z firmami, które grożą w internecie ?
O tych firmach napisany jest tekst na stronie GIODO
W związku z masowym rozsyłaniem przez takie podmioty, jak „Bądźmy Legalni”, „Legalni z Prawem” czy „Kancelaria Liberty”, maili o grożącej odpowiedzialności za niedopełnienie obowiązku zgłoszenia zbiorów danych do rejestracji, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, żeby nie odpowiadać na tę korespondencję. Informuje również, że działalność tych podmiotów prowadzona jest bez wiedzy i akceptacji organu ds. ochrony danych osobowych.
Zawarte w niej informacje są bowiem nierzetelne, niezgodne z przepisami prawa, w tym z ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną, jak też mogą naruszać dobre imię firm, na które Stowarzyszenie powołuje się w wysyłanej korespondencji.
Już ze wstępnej analizy wynika, że podmioty te wprowadzają adresatów wiadomości w błąd, zobowiązując ich do zgłoszenia zbiorów danych do rejestracji, bez względu na to, czy taki obowiązek ich dotyczy, czy nie. Nie informują bowiem, że ustawa o ochronie danych osobowych zwalnia z tego obowiązku, określając, jakich konkretnie sytuacji to dotyczy.
Pełna treść pod adresem http://giodo.gov.pl/560/id_art/9197/j/pl
Dodaj komentarz