W ostatnim czasie otrzymałem kilka maili, sugerujących rzekome nieprawidłowości w zakresie ochrony danych osobowych – „Pragniemy zauważyć, że Państwa firma nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.” Odebrałem parę telefonów z informacją, że powinienem zgłosić dane osobowe, jakie gromadzę w kwiaciarni, do Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Dostaję sygnały, że wielu przedsiębiorców florystycznych również otrzymało takie powiadomienia. Nadawcy straszą w nich kontrolami i wysokimi karami pieniężnymi! Szukamy informacji na ta ten temat, w sieci jest ich bardzo wiele, ale zdania co do obowiązku rejestrowania są podzielone, ciężko znaleźć konkretnej, wiarygodnej informacji. Które dane podlegają ustawie, a które nie? Kto powinien zając się problemem, a kto może sobie ten temat odpuścić?
Czy takie wezwania są zgodne z prawem, czy to typowe wymuszenie w granicach prawa wykorzystujące nieznajomość obowiązujących przepisów? Generalnie wiele informacji z maila jest prawdziwych, jednak forma przekazu nieodpowiednia. W sprawie wezwań mailowych stanowisko zajął GIODO – „W związku z masowym rozsyłaniem przez takie podmioty, jak „Bądźmy Legalni”, czy „Legalni z Prawem” maili o grożącej odpowiedzialności za niedopełnienie obowiązku zgłoszenia zbiorów danych do rejestracji, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, żeby nie odpowiadać na tę korespondencję. Informuje również, że działalność tych podmiotów prowadzona jest bez wiedzy i akceptacji organu ds. ochrony danych osobowych.”
Faktem pozostaje to, że przedsiębiorca, który gromadzi dane osobowe, powinien zgłosić taką bazę do GIODO. Przedsiębiorca nie może się tłumaczyć, że nikt go nie poinformował o obowiązujących przepisach, nieznajomość prawa nie zwalnia z jego przestrzegania.
Kto podlega obowiązkowi zgłoszenia bazy danych do GIODO?
Odpowiedź na to pytanie jest dość skomplikowana, a do sytuacji w każdej firmie należy podejść indywidualnie. Przepisy w zakresie danych osobowych modyfikowane były kilkukrotnie. Warto przypomnieć uregulowania dotyczące obowiązku rejestracyjnego, które obowiązują od 1 stycznia 2015 r.
Zarówno w nowym jak i poprzednim stanie prawnym, co do zasady każdy administrator danych osobowych jest zobowiązany zgłosić zbiory danych do rejestracji GIODO (art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. 2015 r. poz. 2135 z późn. zm. ). Z obowiązku rejestracji zwolnieni są administratorzy danych w sytuacjach wymienionych w art. 43 ustawy o ochronie danych osobowych.
Obowiązujące od 1 stycznia 2015 r. znowelizowane przepisy ustawy o ochronie danych osobowych wprowadzają dodatkowe ułatwienia. Zmiana przepisów ustawy o ochronie danych osobowych w odniesieniu do rejestracji zbiorów danych osobowych polegała bowiem m.in. na dodaniu dwóch nowych wyłączeń z obowiązku rejestracji.
Ze zwolnienia skorzystać zatem mogą administratorzy danych także w sytuacji gdy:
- Zbiór dotyczy wyłącznie danych „zwykłych” i prowadzony jest tylko w wersji papierowej;
- Zbiór dotyczy wyłącznie danych „zwykłych” i administrator danych zgłosił GIODO powołanie administratora bezpieczeństwa informacji.
Wiele to wyjaśnia!
Jeżeli przedsiębiorca florystyczny tworzy bazy danych osobowych jedynie zapisując notatki na papierze i nie są to dane szczególnie chronione, a raczej takich danych w kwiaciarni się nie gromadzi, to taki przedsiębiorca zwolniony jest z takiego obowiązku.
Zatem, aby skorzystać z tego zwolnienia konieczne jest spełnienie łącznie dwóch warunków: po pierwsze – dane w zbiorze nie są przetwarzane przy użyciu systemu informatycznego (forma papierowa), po drugie – zbiór nie zawiera danych wrażliwych (wymienionych w art. 27 ustawy o ochronie danych osobowych).
Ale…
Każda firma mająca swoją stronę www lub sklep internetowy, posiadające elementy takie jak newsletter, formularz kontaktowy, formularz rejestracyjny, logowanie itp. gromadzi dane osobowe za pomocą systemów informatycznych – wtedy takiemu obowiązkowi podlega.
W tym przypadku przedsiębiorca może skorzystać z kolejnego nowego zwolnienia z obowiązku rejestracyjnego, wprowadzonym nowelizacją z dnia 7 listopada 2014 r.. Jest to zwolnienie związane z powołaniem administratora bezpieczeństwa informacji (ABI) i zgłoszeniem go do rejestracji GIODO (art. 43 ust. 1a ustawy o ochronie danych osobowych).
Kogo możemy powołać na stanowisko ABI?
Przedsiębiorca, będący administratorem danych, działając we własnym interesie powinien powołać na to stanowisko osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych.
Przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp.. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.
ABI w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych musi ponadto podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zobowiązany jest do wyposażenia ABI w odpowiednie środki i zapewnienia mu organizacyjnej odrębności, co jest niezbędne do niezależnego wykonywania przez niego zadań (art. 36a. ust. 8 u.o.d.o).
Co w praktyce znaczy zgłoszenie ABI do rejestru GIODO?
Przed nowelizacją przedsiębiorca informował Generalnego Inspektora Ochrony Danych Osobowych tylko o fakcie wyznaczenia ABI lub jego niewyznaczenia.
Teraz powinien podać GIODO szczegółowe dane dot. ABI np. o jego wiedzy z zakresu ochrony danych osobowych, oświadczenie o jego niekaralności i pełnej zdolności do czynności prawnych i to GIODO decyzją administracyjną go akceptuje lub odmawia.
Wcześniej tzw. księgi rejestrowe dla zbiorów danych osobowych prowadził Generalny Inspektor Ochrony Danych Osobowych.
Aktualnie będzie to obowiązek każdego Administratora Bezpieczeństwa Informacji.
Przed nowelizacją kontrole prowadził GIODO.
Po nowelizacji nowo wyznaczony ABI musi na polecenie GIODO dokonać sprawdzenia u swojego pracodawcy i pisemne sprawozdanie powinien przesłać do GIODO.
GIODO – lepiej późno niż wcale
Ryzyko kontroli małej firmy jest niewielkie, do tej pory kontrole zazwyczaj wszczynane były z donosu lub też kontrolowane były większe firmy i te szczególnie nastawione na działalność w sieci. Jednak przedsiębiorca musi sobie zdawać sprawę z tego, że wcześniej czy później taka kontrola może również trafić do jego firmy, przecież strona www, sklep jest wyeksponowany w Internecie, a on dba o to aby ta widoczność była jak najlepsza.
Przedsiębiorcy mają obowiązek zgłaszania bazy danych osobowych do GIODO. Niestety to kolejny obowiązek na głowie przedsiębiorcy, o którym wielu nie ma pojęcia i czasu na zajmowanie się tego typu sprawami. Ale… niestety nie zgłaszając takich danych, nie zabezpieczając ich odpowiednio administrator danych naraża się na surowe kary.
Masz wątpliwości? Nie pytaj u źródła, gdyż i tak nie uzyskasz odpowiedzi
Niestety na stronie GIODO sami musimy szukać informacji, gdyż oficjalny komunikat brzmi – „GIODO nie udziela porad prawnych. Właściwe stosowanie ustawy o ochronie danych osobowych to obowiązek administratorów danych.”
A co w przypadku, gdy prawdopodobnie to Ty jesteś administratorem danych, nie współpracujesz z administratorem bezpieczeństwa informacji i masz wątpliwości? Proponuję zadać pytanie osobie, która w temacie ochrony danych osobowych ma wiedzę i doświadczenie.
Kosztowna ochrona
Współczesny marketing oparty jest na mailingach, kampaniach SMS, itp.. Imię, nazwisko czy nr telefonu to już dane osobowe. Decydując się na zbieranie danych osobowych trzeba zrobić to zgodnie z obowiązującymi przepisami. Choć samo wypełnienie wniosku i zgłoszenie do GIODO nic nie kosztuje to kto potrafi samodzielnie wypełnić te dokumenty, kto z nas ma na to czas? Osobiście skorzystałem z pomocy fachowca. Okazało się, że nie jest to aż tak drogie w porównaniu do konsekwencji braku takiego zgłoszenia. Taki audyt trwał kilka dni, ale teraz przynajmniej mam spokojną głowę i kolejną dziedzinę bycia przedsiębiorcą florystycznym mam uporządkowaną.
Andrzej Dąbrowski
Konsultant w biznesie florystycznym
Napisz do autora: a.dabrowski@florand.com.pl
Chciałbyś wdrożyć audyt w swojej firmie?
Jeśli potrzebujesz pomocy we wdrożeniu przepisów dotyczących Ochrony Danych Osobowych w Państwa firmie. Dowiedz się jak przebiega ten proces i skontaktuj się znami.
Dowiedz się więcej