Przedmiotowa wiadomość jest opatrzona groźnie brzmiącym tytułem: WAŻNE ! Dotyczy Państwa strony www jednak co ciekawe odbiorcami wiadomości są również podmioty nie posiadające strony internetowej. W dalszej treści wiadomości dowiadujemy się o tym, że strona internetowa powinna zostać zarejestrowana w rejestrze GIODO, co jest również nie prawdą, gdyż nie strona podlega rejestracji, a w niektórych przypadkach zbiory danych osobowych usług świadczonych drogą elektroniczną np. usługa newsletter.
„[…] pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana[…]”
Kolejno w treści wiadomości otrzymujemy nieudolną próbę zdefiniowania danych osobowych mającą na celu uwiarygodnienie wiadomości.
„[…] Chodzi o takie elementy, mniej lub bardziej specyficzne, które pozwalają określić pośrednio lub bezpośrednio tożsamość danej osoby np. nazwisko, imię […]”
Następnie pojawiają się ewentualne konsekwencje, które mogą dotknąć naszą organizację z tytułu rzekomego niezgłoszenia zbioru danych osobowych do rejestru prowadzonego przez GIODO:
- „GIODO może nałożyć karę grzywny w postępowaniu administracyjnym […]”
I tu pojawia się tzw. „wisienka na torcie”, czyli groźba opatrzona wymyślonym terminem trzy dniowym po upływie, którego nastąpi zawiadomienie o popełnieniu przestępstwa lub zawiadomienie o wszczęciu procedury kontrolnej. - „W związku z powyższym Stowarzyszenie "Bądźmy Legalni" wzywa Państwa do dokonania stosownej rejestracji zbioru danych osobowych […]
- „wraz z uzupełnieniem niezbędnej i wymagalnej dokumentacji […] W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia o popełnieniu przestępstwa oraz zawiadomienia o wszczęcie procedury kontrolnej GIODO.”
W celu uwiarygodnienia wiadomości pojawia się informacja o tym, że nie jest to reklama własnych produktów i usług. Jednak już w kolejnym zdaniu pojawia się zachęta do skorzystania z usług podmiotów, które świadczą usługi w branży ochrony danych osobowych podpisane przez członka rzekomo istniejącego stowarzyszenia.
Podsumowując warto jednak podkreślić niektóre elementy prawdziwe znajdujące się w treści powyższej wiadomości:
Ad. 1 - GIODO może opatrzyć wydaną przez siebie decyzję administracyjną środkiem przymusu administracyjnego, którym może być kara grzywny. (Art. 12 pkt 3 ustawy o ochronie danych osobowych);
Ad. 2 - Każdy podmiot przetwarzający dane osobowe jest zobowiązany do przygotowania i prowadzenia wewnętrznej dokumentacji ochrony danych osobowych. (Art. 36 ust. 2 ustawy o ochronie danych osobowych);
Ad. 3 - Każdy podmiot jest zobowiązany do zgłoszenia zbiorów danych osobowych do rejestru prowadzonego przez GIODO pod warunkiem, że nie są to zbiory danych osobowych zwolnione z tego obowiązku. (Art. 40 ustawy o ochronie danych osobowych);
Dlatego bezpieczniej jest dowiedzieć się jakie obowiązki faktycznie wynikają z przepisów prawa zanim skorzystamy z usług jakiegokolwiek podmiotu zewnętrznego. W związku z powyższym polecamy bezpłatne pobranie poradnika opisującego obowiązki podmiotów względem GIODO lub skierowanie bezpłatnego zapytania w zakresie ochrony danych osobowych za pośrednictwem formularza.