Ustawa o ochronie danych osobowych mówi o konieczności rejestracji bazy danych w przypadkach, gdy dane osobowe wykorzystywane są do celów marketingowych i innych przez firmy, które te dane pobierają, poza pewnymi szczególnymi wyjątkami. Wyjątkami tymi są bazy danych wykorzystywane do celów prywatnych – czyli nie musimy obawiać się jakichkolwiek restrykcji z powodu posiadania rozbudowanej bazy kontaktów e-mail w swojej skrzynce adresowej, pod warunkiem, że są to kontakty wykorzystywane do celów prywatnych oraz nie udostępniamy ich osobom trzecim. Rekordy w bazie danych, których nazwa jednoznacznie wskazuje na to, kim jest osoba posiadająca dany adres e-mail (czyli gdy w nazwie adresu e-mail zawarte jest imię i nazwisko subskrybenta) również nie powinny podlegać rejestracji, gdyż wówczas mija się ona z celem.
Zgłaszaniem baz danych do rejestracji zajmuje się Administrator Danych Osobowych, czyli osoba upoważniona do ich przetwarzania, której prawa i obowiązki są ściśle opisane przepisami ustawy. Osoba taka to zwykle właściciel firmy, która do celów marketingowych pobiera dane od swoich klientów, czyli na przykład właściciele sklepów internetowych, blogów itp. Wszędzie tam, gdzie właściciel strony wymaga podania jakichkolwiek danych osobowych, w szczególności w newsletterach, subskrypcjach – wymagana jest rejestracja danych osobowych. Również wysyłanie faktur czy ofert o usługach i produktach wymaga rejestracji danych osobowych.
Administrator Danych Osobowych, który nie zgłosi danych do rejestracji może podlegać sankcjom określonym w przepisach prawnych. Nowelizacja ustawy z dnia 29 sierpnia 1997 roku ma na celu zaostrzenie przepisów prawnych dotyczących właśnie rejestracji i zabezpieczania danych osobowych, o czym nie każdy wie.
Jak zarejestrować bazę mailingową?
Administrator Danych, aby móc zarejestrować bazę mailingową, musi złożyć do Generalnego Inspektoratu Ochrony Danych Osobowych odpowiednią dokumentację. Musi ona zawierać przede wszystkim wniosek o rejestrację. Wnioski takie są dostępne w wersji papierowej, w siedzibach GIODO, oraz w wersji elektronicznej, do pobrania ze strony oficjalnej GIODO. Oprócz wniosku o rejestrację, dokumentacja powinna zawierać dane firmy zgłaszającej bazę, a także dane osobowe Administratora Danych. Musi zawierać też cel zbierania i przetwarzania danych, sposób, w jaki zostały zebrane, a jedną z najważniejszych rzeczy, jakie należy opisać w takiej dokumentacji, jest sposób, w jaki Administrator Danych zobowiązuje się zapewnić bezpieczeństwo danych osobowych, do których przetwarzania jest upoważniony. Administrator przy złożeniu wniosku zobowiązuje się zgłaszać do GIODO każdą zmianę dotyczącą bazy mailingowej w ciągu 30 dni od zaistnienia zmiany.
Ponadto, obostrzenia dotyczące nowej ustawy z 2012 roku w tej sprawie, dotyczą możliwości odmowy rejestracji danych przez GIODO. Może to mieć miejsce w przypadku, gdy nie został spełniony któryś z warunków opisanych w ustawie. Oczywiście, gdy Administrator Danych poprawi i usunie wady, które były przyczyna odmowy, wniosek może być złożony ponownie i rozpatrzony, tym razem pozytywnie.
Po co przetwarzamy dane?
Administratorzy, którzy zarządzają danymi, posiadają je w określonym celu. Przede wszystkim po to, by wśród swoich subskrybentów (osób, które dobrowolnie podały swoje dane osobowe oraz zgodziły się z polityką prywatności i wyraziły zgodę na przetwarzanie danych), móc rozsyłać różne oferty, dostosowane do ich wieku, zainteresowań, itp. Większość danych osobowych można przetwarzać już po zgłoszeniu faktu chęci rejestracji danych do GIODO. Jeśli chodzi o tzw. „dane wrażliwe”, czyli informacje na przykład o przekonaniach religijnych, trzeba z faktem przetwarzania poczekać aż do momentu zarejestrowania danych w GIODO. Czasem trwa to nawet kilka tygodni.
Czynności rejestracyjne
Aby Administrator mógł zarejestrować posiadane dane, musi przede wszystkim dokładnie przejrzeć swój zbiór oraz posiadana dokumentację. Przede wszystkim musi upewnić się, czy osoby, od których pobrał dane zostały poinformowane o polityce prywatności. Dane musi zbierać w sposób zgodny z obowiązującymi przepisami. Musi upewnić się, że przedsięwziął wszelkie możliwe środki techniczne i organizacyjne do zapewnienia bezpieczeństwa zebranych danych. Zadbanie o wymagane zgody i legalność powierzania ww. danych innym firmom, na przykład w przypadku wykorzystywania danych w call center itp.
We wniosku, który składamy, należy wypełnić kilka istotnych pól, wśród których najważniejsze to:
-określenie charakteru listy (np. baza mailingowa, newsletter itp.)
-określenie, czy zebrane dane mają być przekazywane dalej, do innych firm
-określenie faktycznego celu przetwarzania danych (np. wysyłka newslettera)
-wskazanie sposobu, w jaki zbieramy te dane
-dalsze pola dotyczą głównie sposobu zabezpieczeń technicznych i organizacyjnych baz danych
Gdy już zbierzemy potrzebne dane i poprawnie wypełnimy wniosek, ukoronowaniem całego procesu rejestracji danych niech będzie wysłanie wniosku do GIODO i czekanie na rozpatrzenie go.
Osoby, które zajmują się zbieraniem danych oraz ich przetwarzaniem, nim przystąpią do jakichkolwiek czynności przetwarzających, powinny szczegółowo zapoznać się z ustawami o ochronie danych osobowych oraz usług świadczonych drogą elektroniczną. Zgodnie ze starą maksymą „nieznajomość prawa szkodzi” – w naszym własnym interesie powinno być dokładne rozeznanie się w tych kwestiach. Nie wywiązanie się z wymogów opisanych ww. ustawą skutkować może karą grzywny lub pozbawienia wolności do lat 2.