UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy zgodne z ustawą o ochronie danych osobowych jest tworzenie na podstawie informacji ze źródeł powszechnie dostępnych różnego rodzaju baz danych (np. baza dziennikarzy)?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałuńynska - Jasak 2009-11-10
Wprowadził‚ informację: Robert Czapski 2009-11-10 13:41:51
Ostatnio modyfikował: 2013-11-28 12:56:59

Ustawa o ochronie danych osobowych nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie.

Jednak jeśli podmiot, który gromadzi pozyskane w ten sposób dane w oddzielnej bazie danych, zobowiązany jest stosować przepisy ustawy o ochronie danych osobowych. Nakazują one administratorom danych osobowych (czyli podmiotom decydującym o celach i środkach przetwarzania) wywiązanie się z kilku obowiązków, takich jak:

  • zarejestrowanie utworzonego zbioru danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych,
  • wykazanie się podstawą prawną uprawniającą do wykonywania jakichkolwiek działań na zawartych w takim zbiorze danych osobowych,
  • dopełnienie obowiązku informacyjnego.

Aby przetwarzanie danych osobowych (a więc wykonywanie na nich jakichkolwiek operacji, takich jak np. pozyskiwanie, upublicznianie czy przechowywanie) było zgodne z prawem, każdy administrator musi wskazać podstawę prawną takiego działania. Ustawa o ochronie danych osobowych wskazuje te podstawy w art. 23 ust. 1 pkt 1-5. Wśród nich wymieniona jest zgoda osoby, której dane dotyczą (pkt 1) lub prawnie usprawiedliwiony cel administratora danych (pkt 5).

Zaznaczyć trzeba, że zgodę na wykorzystanie danych osobowych wyraża osoba, której dane dotyczą, np. dziennikarz w przypadku tworzenia bazy dziennikarzy, a nie GIODO. Ponadto, osoba, która wyraża zgodę, musi wiedzieć wcześniej na co się godzi, tzn. komu, w  jakim zakresie i w jakim celu przekazuje swoje dane osobowe oraz co dalej się z  nimi stanie, np. czy zostaną przekazane innemu podmiotowi.

Kolejna kwestia to dopełnienie przez podmiot, który utworzył nowy zbiór danych osobowych, obowiązku informacyjnego uregulowanego w ustawie o ochronie danych osobowych. Jej art. 25 zobowiązuje administratorów danych pozyskanych nie bezpośrednio od osoby, której one dotyczą, aby zaraz po ich utrwaleniu poinformowali osobę, której dane zebrano, o:

  • swojej nazwie i adresie,
  • celu i zakresie zbierania danych, a  zwłaszcza o ich odbiorcach,
  • źródle, z którego dane zostały pozyskane,
  • prawie dostępu do danych i prawie ich poprawiania, a także o
  • prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych.

Spełnienie obowiązku informacyjnego jest o tyle istotne, że dzięki niemu osoba, której dane dotyczą ma świadomość, że jej dane są wykorzystywane. W związku z czym, jeśli osoba, której dane zostały pozyskane przez określony podmiot ze źródeł powszechnie dostępnych nie chce, aby były one przez ten podmiot wykorzystywane, może skorzystać z  przysługujących jej uprawnień i np. zażądać usunięcia jej danych osobowych.

Jak wskazał w swoim orzeczeniu z 22 stycznia 2004 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II Sa 2665/02) „przetwarzanie danych na podstawie art. 23 ust. 1 pkt 5 jest możliwe, o  ile jest niezbędne dla realizacji tych zadań i nie narusza praw i wolności osoby, której dane dotyczą. Tymczasem podstawowym prawem tej osoby jest prawo do ochrony jej danych. Zapewnienie jej tego prawa wymaga przynajmniej, aby mogła ona po uzyskaniu informacji o zebraniu jej danych od innego podmiotu sprzeciwić się dalszemu przetwarzaniu. Powinna mieć więc przynajmniej czas na możliwość do skorzystania ze środków przewidzianych w art. 32. (…) Osoba, której dane dotyczą musi więc mieć możliwość zaprotestowania przeciwko posługiwaniu się jej danymi przez inną firmę, której tych danych nie przekazywała. W przeciwnej sytuacji przekazanie danych jakiemukolwiek podmiotowi ograniczałoby na przyszłość ochronę danych osobowych i prawo do tej ochrony”.

Ostatnie aktualności