Skip to main content

Newslettery, dane osobowe i GIODO.

Dziś obowiązek, o którym mało który bloger jest świadomy. Dotyczy on prowadzenia newslettera i związanych z tym powinności związanych z ochroną danych osobowych.

Jestem przekonany, że żaden z blogerów nie ma pojęcia, że baza adresów mailowych, tworzona na potrzeby zwykłego, powszechnie stosowanego newslettera, wymaga rejestracji w Generalnym Inspektoracie Ochrony Danych Osobowych. Jednak ostatnio portale, blogi i inne serwisy prowadzące newslettery zaczęły otrzymywać tajemnicze wezwania (od równie tajemniczych kancelarii) do rejestracji w GIODO. Wiele osób jest zaskoczonych, ale czy słusznie?

Zgodnie z Art. 6 ustawy o ochronie danych osobowych przez dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Podanie adresu poczty elektronicznej jest podaniem danych osobowych. Stanowisko to potwierdza orzecznictwo Sądów. Wojewódzki Sąd Administracyjny w Krakowie (sygn. II SA/Kr 682/13)  stwierdził: Podanie numeru telefonu i adresu poczty internetowej stanowi podanie danych osobowych w rozumieniu art. 6 ust. 1-3 u.o.d.o., ponieważ te dane pozwalają na szybkie zidentyfikowanie konkretnej osoby.

Pozwolę sobie tutaj przytoczyć stanowisko wskazane przez samego GIODO;

Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Biorąc pod uwagę cel, dla którego dane osobowe są gromadzone oraz jego przeznaczenie, stwierdzić należy, że nie zachodzą w tym przypadku przesłanki wskazane w art. 43 ust. 1 ustawy, zwalniające z obowiązku zgłoszenia zbioru danych osobowych do rejestracji.
Zatem zbiór danych zawierający adresy e-mail osób, które chcą otrzymywać newsletter, należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) do rejestracji.

Skoro adres e-mail jest uznawany za dane osobowe, to osoba je wykorzystująca je administratorem tych danych, a zatem jest zobowiązana dokonać rejestracji zbioru.

Zgłoszenie zbioru danych do rejestracji powinno zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a; oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;
  3. cel przetwarzania danych;
  4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
  5. sposób zbierania oraz udostępniania danych;
  6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
  7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39;
  8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a;
  9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Poza rejestracja zachodzi konieczność uzyskania zgody na przetwarzanie da­nych (odpowiedni formularz przed rejestracją w newsletterze), dalej istnieje obowiązek informacyjny związany z przetwarzaniem danych oraz obowiązek odpowiedniego zabezpieczenia przetwarzanych danych.

Jeżeli blog jest dla Was jakimkolwiek źródłem dochodu to nie ma możliwości uwolnienia się od tego obowiązku, bowiem z obowiązków rejestracyjnych zwolnione są osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Granica jest płynna – nie trzeba prowadzić działalności gospodarczej by podlegać obowiązkowi rejestracji.

Jest to kolejny przykład obciążania obywateli kolejnymi całkowicie zbędnymi obowiązkami, o których praktycznie nikt nie ma pojęcia. Ale skoro ustawodawca tak zdecydował się uregulować kwestię ochrony danych osobowych to mam obowiązek przekazać, że taki obowiązek istnieje, a blogerom pozostaje tylko dokonać stosownego zgłoszenia w GIODO. Oczywiście nie każdemu!

Jakie konsekwencje grożą za brak zgłoszenia? Oddaje głos ustawodawcy:

Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *