Pozyskiwanie danych z powszechnie dostępnych źródeł

Data: 28-09-2015 r.

Powszechna obecność danych osobowych w łatwo dostępnych źródłach stwarza pokusę do korzystania z nich bez zgody osób, których one dotyczą. Należy jednak pamiętać, że nawet jeśli ktoś upublicznił informacje na swój temat w Internecie, to musimy mieć podstawę prawną, by móc je wykorzystać.

W obecnych czasach wiele informacji jest zamieszczonych w powszechnie dostępnych źródłach, np. w Internecie. Znajdują się one np. w Centralnej Ewidencji Działalności Gospodarczej, Krajowym Rejestrze Sądowym czy Elektronicznych Księgach Wieczystych.

W związku z obrotem gospodarczym pojawia się pokusa, aby korzystać z informacji znajdujących się w tych źródłach w celu np. promowania produktów lub usług naszej firmy. Czy takie działanie jest dozwolone z punktu widzenia ustawy o ochronie danych osobowych?

Pierwsza wątpliwość, jaką musimy rozstrzygnąć w związku z korzystaniem z informacji z powszechnie dostępnych źródeł, dotyczy tego, czy stanowią one dane osobowe. Analizę należy rozpocząć od art. 6 ustawy o ochronie danych osobowych, który określa, jakie informacje są danymi osobowymi.

Po pierwsze informacje muszą dotyczyć osoby fizycznej. Ponadto wskazane informacje powinny umożliwić pośrednią lub bezpośrednią identyfikację osoby fizycznej poprzez opisanie cech ekonomicznych czy fizycznych. W definicji ustawowej nie ma zawężenia mówiącego o tym, że jeżeli jakaś informacja jest podana do publicznej wiadomości, to nie stanowi danych osobowych w rozumieniu ustawy o ochronie danych osobowych.

Wskazany pogląd znacząco różni się od tego powszechnie przyjętego w obrocie gospodarczym. Wiele podmiotów uważa, że jeżeli jakieś informacje na temat osoby fizycznej znajdują się w źródłach powszechnie dostępnych, to tego typu informacje nie stanowią danych osobowych lub nie podlegają jakiejkolwiek ochronie ze względu właśnie na swój powszechny dostęp.

W związku z tym, że pozyskaliśmy dane osobowe w opisany sposób, powinniśmy spełnić wymogi wynikające z ustawy o ochronie danych osobowych. Pierwszym z nich jest spełnienie podstawy przetwarzania danych osobowych. Podstawy przetwarzania zostały wskazane w art. 23 ust. 1 oraz art. 27 ust. 2 uodo.

Jeśli pozyskaliśmy dane zwykłe, zastosowanie mają podstawy z art. 23 ust. 1 ustawy o ochronie danych osobowych. W związku z tym, że dane osobowe ze źródeł powszechnie dostępnych pozyskujemy zazwyczaj w celach marketingowych, podstawą przetwarzania będzie wyłącznie zgoda lub prawnie usprawiedliwiony cel administratora danych osobowych. Pozyskanie zgody jest zdecydowanie bezpieczniejszym rozwiązaniem z punktu widzenia zagwarantowania legalności przetwarzania danych osobowych.

Po pozyskaniu danych powinniśmy skontaktować się z osobą, której dane dotyczą, i poprosić o wyrażenie zgody na ich przetwarzanie, np. wysyłając klauzulę zgody pocztą elektroniczną. Należy pamiętać, aby klauzula zgody była prawidłowa. Jeżeli osoba nie wyrazi zgody, to w myśl ustawy o ochronie danych osobowych powinniśmy usunąć pozyskane dane osobowe.

Drugą przesłanką, jaką możemy rozważyć, jest art. 23 ust. 1 pkt 5 uodo, czyli prawnie usprawiedliwiony cel administratora danych. Będzie nim w szczególności marketing własny produktów i usług administratora danych osobowych. Oparcie przetwarzania danych na wskazanej podstawie jest rozwiązaniem zdecydowanie bardziej probiznesowym, może jednak zostać podważone przez Generalnego Inspektora Ochrony Danych Osobowych.

Kolejnym wymogiem związanym z realizacją ustawy o ochronie danych osobowych jest konieczność dopełnienia obowiązku informacyjnego. W związku z tym, że pozyskaliśmy dane niebezpośrednio od osoby, której dane dotyczą, powinniśmy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Przepisy nie regulują, w jaki dokładnie sposób powinniśmy dopełnić obowiązku informacyjnego. Najlepszym rozwiązaniem jest wybranie sposobu, który pozostawi po sobie ślad dowodowy.

Warto również pamiętać, aby w odniesieniu do danych pozyskanych ze źródeł powszechnie dostępnych stosować także pozostałe obowiązki związane z ochroną danych osobowych. Przede wszystkim należy zabezpieczyć dane przed dostępem osób nieupoważnionych.

Należy również pamiętać o zgłoszeniu/aktualizacji zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych, o ile jeszcze takiego zgłoszenia wcześniej nie złożyliśmy.

Łukasz Onysyk, ekspert ds. ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 37816 )
Array ( [docId] => 37816 )

Array ( [docId] => 37816 )