Najpierw cookies, teraz GIODO

Obowiązek zgłaszania zbioru danych na stronie www do GIODO
Oceń ten artykuł

Często ostatnio pytacie o konieczność zgłaszania do Generalnego Inspektora Ochrony Danych Osobowych stron internetowych, na których są przetwarzane dane osobowe. Od razu odpowiadamy -obowiązek taki rzeczywiście istnieje. Dotyczy to zwłaszcza wszelkich sklepów internetowych i systemów e-commerce, choć nie tylko. Do GIODO najbezpieczniej jest zgłosić każdy system informatyczny przetwarzający i przechowujący dane osobowe, zatem również strony nie oferujące np. bezpośredniej płatności, ale ogólnie przechowujące zbiór danych – np. systemy e-learningowe. Jako zbiór danych osobowych podlegających rejestracji kwalifikują się systemy przetwarzające i przechowujące dane takie, jak:
– imię i nazwisko,
– wizerunek (zdjęcie),
– adres zamieszkania,
– dane ewidencyjne (np. PESEL i NIP),
– informacje, które w połączeniu z innymi danymi pozwalają na identyfikację konkretnej osoby (np. adres e-mail, czy numer IP urządzenia podłączonego do Internetu).

Pytania o odpowiedzialność wobec GIODO pojawiły się wraz ze wzrostem aktywności firm rozsyłających do nieświadomych takiego obowiązku właścicieli stron internetowych propozycje dopełnienia za nich formalności, oczywiście za drobną opłatą, i straszących wygórowanymi konsekwencjami w przypadku niedopełnienia formalności. Sytuacja jest analogiczna, jak w przypadku głośnej dyrektywy unijnej, żartobliwie nazywanej Cookie Monster (Ciasteczkowy Potwór – od postaci z serialu dla najmłodszych Ulica Sezamkowa), nakazującej umieszczanie na stronach www informacji o przetwarzaniu plików cookie. Owszem obowiązek zgłoszenia strony www zbierającej i przetwarzającej dane osobowe istnieje (czyli wg nomenklatury przyjętej w ustawodawstwie – zbioru danych osobowych) , niemniej jednak każdy może w łatwy sposób wywiązać się z niego we własnym zakresie. Wystarczy wypełnić formularz wniosku (nie jest wymagany podpis elektroniczny) dostępny na stronie e-GIODO: https://egiodo.giodo.gov.pl/index.dhtml i… to wszystko. Samo złożenie wniosku jest już równoznaczne z dopełnieniem obowiązku – nawet jeśli dane przetwarzane na stronie www nie kwalifikują się jako zbiór danych podlegających rejestracji lub wniosek będzie niekompletny, obowiązek wynikający z ustawy zostanie dotrzymany, co zwalnia z ewentualnej odpowiedzialności. Dlatego warto taki wniosek złożyć nawet na wyrost. Według przepisów bowiem to do administratora danych należy kwestia identyfikacji posiadanego zbioru danych osobowych, jako podlegającego, bądź nie, rejestracji. Jeżeli zbiór nie podlega ustawowemu obowiązkowi, GIODO odmówi rejestracji i przekaże taką informację zainteresowanemu. Konsekwencje niedopełnienia obowiązku rejestracji zbioru danych w GIODO są tymczasem dość restrykcyjne – jest to czyn zabroniony, zagrożony karą grzywny, ograniczenia wolności lub nawet pozbawienia wolności do jednego roku. Sankcje te nie grożą jednak za zgłoszenie niekompletnego zbioru danych osobowych. Liczy się zatem sam fakt dopełnienia obowiązku.