Firma, która kupuje bazę danych osobowych, nie może zaniedbać obowiązku poinformowania każdej z osób, których dane pozyskała, o tym fakcie. Obowiązek informacyjny jest wyraźnie podkreślony w ustawie o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.).
Na gruncie tej ustawy można rozróżnić dwie grupy przepisów regulujących ten obowiązek w zależności od tego, z jakiego źródła dane są pozyskiwane. Jedna grupa odnosi się do bezpośredniego zbierania danych od osoby, której one dotyczą (art. 24 ustawy), druga dotyczy sytuacji, gdy dane zbierane są z innych źródeł, pośrednich (art. 25). Treść obu przepisów jest podobna.
Bezpośrednio lub pośrednio
Art. 24 stanowi, że w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, to o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu zbierania danych, w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Przepisu tego nie stosuje się jedynie w dwóch sytuacjach. Mianowicie gdy przepis innej ustawy (jakiś przepis szczególny) zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania lub gdy osoba, której dane dotyczą, ma już wszystkie te informacje, czyli w praktyce zostały jej przekazane, zanim udostępniła swoje imię, nazwisko, adres lub inne dane na swój temat. W szczególności może to dotyczyć sytuacji kontynuacji jakichś umów wcześniej zawartych.
Art. 24 dotyczy zatem pierwotnego gromadzenia danych, czyli bezpośrednio od osoby, której dane dotyczą. Jak wynika z tego przepisu, ustawodawca nie dał administratorowi żadnego dodatkowego czasu na dopełnienie obowiązku informacyjnego. Tym samym należy przyjąć, że poinformowanie osoby powinno nastąpić najpóźniej w chwili zbierania danych, np. w momencie wypełniania ankiety lub jakiegoś formularza lub podpisywania umowy.
Z kolei art. 25 dotyczy sytuacji wtórnego (pośredniego) pozyskiwania danych.
Pozyskiwanie wtórne
W wypadku zakupu gotowej bazy danych administrator nie jest podmiotem, który bezpośrednio (samodzielnie) pozyskiwał informacje od osób, których dane znajdują się w zbiorze. Jednak nie wyłącza to obowiązku informacyjnego, chociaż tu także, jak przy art. 24, są pewne wyjątki.
Art. 25 stanowi, że w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, to o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu i zakresie zbierania danych, a w szczególności o odbiorcach danych,
- źródle danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 (żądanie zaprzestania przetwarzania lub prawo sprzeciwu w tym zakresie).
Obowiązku informacyjnego zgodnie z art. 25 ust. 2 nie stosuje się, jeżeli:
- przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
- dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
- dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i 2 pkt 1, na podstawie przepisów prawa (chodzi o organy państwowe lub samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne oraz podmioty niepubliczne realizujące publiczne zadania),
- osoba, której dane dotyczą, ma już wszystkie wymagane informacje.
Liczą się szczegóły
Brzmienie obu przepisów jest podobne. Jednak różnią się one pewnymi szczegółami. W przypadku bezpośredniego pozyskiwania danych (art. 24) obowiązek informacyjny powstaje „natychmiast” w chwili pozyskiwania danych. Art. 25 mówi o tym, że poinformować trzeba bezpośrednio po utrwaleniu zebranych danych. Przez „utrwalenie” należy rozumieć nadanie czemuś trwałości, zarejestrowanie, zachowanie w pamięci.
W praktyce może wystąpić sytuacja, w której administrator danych zbierze je (otrzyma nośnik, np. dysk twardy) i nie będzie musiał dokonywać utrwalenia danych w podanym znaczeniu. W szczególności administrator danych może kupić gotową bazę danych utrwalonych przez poprzedniego administratora.
Jak wskazuje Andrzej Drozd, „powyższe nie znaczy jednak, że w takiej sytuacji jest on zwolniony z obowiązku wyznaczonego w art. 25. Należy bowiem przyjąć, że zakresem art. 25 objęty jest każdy przypadek zbierania danych osobowych. Natomiast jeżeli dane zostały utrwalone już przez poprzedniego administratora, to obowiązek aktualizuje się bezpośrednio po zebraniu danych. Do zaktualizowania się omawianego obowiązku wystarczające jest utrwalenie (ew. zebranie już utrwalonej) choćby informacji dotyczącej jednej osoby” („Komentarz do ustawy o ochronie danych osobowych”, Lex Polonica).
Nieco inaczej kształtuje się także zakres informacji, które administrator ma obowiązek przekazać. W obu przypadkach, czyli niezależnie od tego czy dane zbierane są w trybie bezpośrednim czy pośrednim, administrator musi się ujawnić.
Wymagane jest podanie pełnego adresu, a nie np. wyłącznie numeru skrytki pocztowej. Skorzystanie przez osobę, której dane są zbierane, z uprawnień nadanych przez ustawę może bowiem wymagać realnej możliwości dotarcia do administratora i niczym nieskrępowanej możliwości kontaktu z nim.
Dla obu sytuacji identyczny jest obowiązek przekazania informacji o celu i zakresie zbierania danych, w szczególności podania informacji o odbiorcach lub kategoriach odbiorców danych. Także w obu przypadkach administrator ma obowiązek poinformować o prawie dostępu do treści swoich danych oraz ich poprawiania.
Pokaż źródło
Istnieją pewne różnice. I tak „pierwotny” administrator wśród wymaganych informacji musi zawrzeć tę o dobrowolności albo obowiązku podania danych. „Wtórny” administrator takiego obowiązku już nie ma. Z kolei musi on wskazać na źródło danych. W szczególności przez „źródło danych” należy rozumieć wskazanie administratora danych, który je udostępnia (sprzedaje, przekazuje zbiór danych). Oczywiście może to być inne źródło (katalog, książka itp.). Chociaż ustawa nie precyzuje, jak dokładnie ma zostać określone źródło danych, to znów ze względu na wymaganą staranność w działaniu i cel całego przepisu informacje te powinny umożliwić zainteresowanej osobie kontakt z podmiotem udostępniającym dane.
Kolejna różnica wiąże się z obowiązkiem poinformowania osoby, której dane dotyczą, o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Są one związane z prawem żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych.
Warto zaznaczyć, że także przy bezpośrednim pozyskiwaniu danych każda osoba, której dane zostały pozyskane, ma te same uprawnienia. Jednak w myśl art. 24 administrator nie musi jej o tym informować. W przypadku pośredniego pozyskiwania zbiorów (danych) taki obowiązek istnieje. Co ważne, niewykonanie obowiązków nałożonych przez art. 24 i 25 wiąże się z sankcjami na podstawie art. 54.
Zobacz więcej w serwisie:
»
»
»
»
