Taki obowiązek spoczywa na administratorze danych zgodnie z przepisami ustawy o ochronie danych osobowych (DzU z 2002r. nr 101, poz. 926 ze zm.). Zawarty w niej art. 25 ust. 1 mówi, że w wypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
Do tych uprawnień zalicza się prawo do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych osobowych ze względu na szczególną sytuację (pkt 7) oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych (pkt 8). Spełnienie obowiązku informacyjnego wiąże się z przekazaniem osobie, której dane dotyczą, pewnych informacji, istotnych ze względu na to, żeby mogła skorzystać z przysługujących jej uprawnień, np. wspomnianego prawa do wniesienia sprzeciwu wobec przetwarzania jej danych czy ewentualnej skargi na administratora danych. Bez istnienia takiego obowiązku zainteresowane osoby w ogóle nie miałyby świadomości, kto i w jakim celu gromadzi o nich informacje. W szczególności nie znałyby ani nazwy, ani adresu nowego administratora danych.
Co istotne administrator, który w ten sposób pozyskał informacje o jakiś osobach i nie dopełnił obowiązku informacyjnego, naraża się na odpowiedzialność karną. Wynika to z art. 54 wymienionej ustawy. Zgodnie z nim osoba, która, administrując zbiorem danych, nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub nie przekazuje tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
W tym miejscu warto jeszcze przytoczyć stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, który w wyroku z dnia 22 stycznia 2004 r. (II SA 2665/2002) wskazał, że: „Firma, która nabyła zbiór danych osobowych od innego administratora danych, powinna powiadomić klientów, że posiada ich dane, oraz dać im czas, aby mieli szansę wnieść sprzeciw na ich przetwarzanie do celów marketingowych. Niedotrzymanie tych warunków łamie przepisy o ochronie danych osobowych." Oczywiście nie zawsze taki obowiązek istnieje. Wspomniany art. 25 wprowadza bowiem pewne wyjątki. Innymi słowy zwalania administratora z obowiązku poinformowania osób zainteresowanych. Należy jednak od razu zaznaczyć, że dotyczy to wyjątkowych sytuacji. I tak obowiązek ten nie powstaje, gdy:
Dzień ochrony prywatności
28 stycznia odbędzie się VIII Dzień Ochrony Danych. Wszystkie osoby zainteresowane tematem ochrony danych osobowych lub pragnące zdobyć wiedzę na ten temat, mogą skorzystać z zaproszenia Generalnego Inspektora Ochrony Danych Osobowych i wziąć udział w organizowanych z tej okazji wydarzeniach. Jak co roku, będzie można skorzystać z bezpłatnych porad prawnych z zakresu ochrony danych osobowych, a także otrzymać publikacje Biura Generalnego Inspektora Ochrony Danych Osobowych oraz inne materiały edukacyjne dotyczące ochrony danych osobowych i prywatności.
