13 wrz Przetwarzasz dane osobowe? Dostałeś niepokojącego e-maila? Zachowaj ostrożność!

Tematyka przetwarzania danych osobowych dotyczy w praktyce niemal każdego przedsiębiorcy, a wykorzystywanie zbiorów danych w działalności gospodarczej wiąże się nieraz z szeregiem obowiązków i formalności. Nieświadomość co do zakresu tych obowiązków jest często wykorzystywana przez podmioty, które korzystając z ogólnodostępnych adresów e-mail informują o rzekomych naruszeniach. Niejednokrotnie posuwają się dalej, sprawiając wrażenie reprezentowania rzekomo poszkodowanej osoby lub właściwej instytucji państwowej – w tym wypadku Generalnego Inspektora Ochrony Danych Osobowych (GIODO). W ostatnich tygodniach obserwowaliśmy nasilenie tego typu aktywności, co może wynikać z obecnego w mediach tematu rewolucyjnych zmian w ochronie danych osobowych wynikających z przyjęcia na poziomie Unii Europejskiej nowych przepisów regulujących tę kwestię (o czym pisaliśmy m.in. w Gazecie Prawnej). Wysyłany ostatnio mailing przybiera charakter masowy (spam) i ma następującą treść:

„WAŻNE ! Dotyczy Państwa firmy! Pragniemy zauważyć, że Państwa firma nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana. Każda firma wystawiająca FV, wysyłająca FV, wysyłająca towar lub posiadająca na swoich stronach www elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO. Każda firma posiada też we własnych zbiorach dane pracowników czy też Klientów (…) GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu. W związku z powyższym (…) wzywa Państwa do dokonania stosownej rejestracji zbioru danych osobowych wraz z uzupełnieniem niezbędnej i wymagalnej dokumentacji w terminie 3 dni roboczych. W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia/zawiadomienia o wszczęcie procedury kontrolnej GIODO celem wyegzekwowania koniecznej rejestracji oraz wymiaru kary pieniężnej. (…)”

Udostępniając możliwość uniknięcia kary rzekomo grożącej przedsiębiorcy, podmioty takie niejednokrotnie oferują wsparcie „losowo wybranych” instytucji świadczących reklamowane usługi rejestracji zbiorów danych, audytów danych osobowych etc. Praktyki takie nie są zjawiskiem nowym, a o podobnych działaniach w innych sektorach wielokrotnie informowaliśmy (np. 15 września 2010 r., 16 sierpnia 2012 r., 8 kwietnia 2014 r.). Pomimo rosnącej świadomości przedsiębiorców i ostrzeżeń ze strony organów państwa (GIODO), działania takie pozostają powszechne. Przeprowadzenie odpowiedniego audytu przetwarzania danych osobowych faktycznie pozwala na zapewnienie zgodności podejmowanych działań z prawem. Sam obowiązek rejestracji dotyczy niektórych zbiorów danych, jednak w wielu przypadkach – jak m.in. przetwarzanie danych w związku z zatrudnieniem u danego przedsiębiorcy, czy wykorzystywanych wyłącznie w celu wystawienia faktury – przedsiębiorcy są z takiego obowiązku zwolnieni. Ewentualne kary pieniężne nie są przy tym nakładane automatycznie w przypadku wykrycia naruszenia. Poprzedza je wezwanie organu do naprawienia naruszeń – dzięki któremu przedsiębiorca ma szansę na dostosowanie swoich działań do przepisów prawa. Zapewnienie zgodności przetwarzania danych osobowych z przepisami jest oczywiście kwestią istotną – szczególnie w związku ze wspomnianym powyżej nowymi regulacjami na poziomie Unii Europejskiej, które umożliwią w przyszłości nałożenie na przedsiębiorcę kary sięgającej nawet równowartości 20 milionów Euro. Podjęcie odpowiednich działań dostosowujących zasady obowiązujące w przedsiębiorstwie do nowych przepisów jest jednak działaniem strategicznym, wymagającym przygotowania i wykraczającym poza rejestrację wybranych zbiorów danych. Z tego względu, zalecamy zachowanie daleko idącej ostrożności w przypadku otrzymania wiadomości podobnych do cytowanej powyżej. W sytuacji odebrania zawiadomienia z nieznanego źródła (choćby nawet sprawiającego wrażenie oficjalnego czy urzędowego) w pierwszej kolejności zachęcamy do kontaktu ze sprawdzonym prawnikiem lub bezpośrednio z odpowiednim organem. Najczęściej już podstawowa weryfikacja rzetelności takiego komunikatu pozwala na ocenę ryzyka i podjęcie świadomej decyzji co do ewentualnych działań.