Zgodnie ustawą o ochronie danych osobowych (dalej: ODO) z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych. Wiele osób uważa, że dzięki temu przepisowi może bez ograniczeń korzystać z informacji powszechnie dostępnych. Jednak gromadzenie i przetwarzanie danych to coś zupełnie innego niż obowiązek rejestracji ich zbioru u Generalnego Inspektora Ochrony Danych Osobowych.
Przetwarzanie publicznie dostępnych danych wymaga zgody
W Internecie wiele danych jest umieszczonych całymi zbiorami i praktycznie bez żadnych ograniczeń w dostępie. Są to nie tylko serwisy społecznościowe (Facebook, NK), ale także portale urzędowe, np. Krajowy Rejestr Sądowy, Elektroniczna Księga Wieczysta czy Centralna Ewidencja Działalności Gospodarczej.
Jeśli dane jakiejś osoby są zamieszczone w Internecie, nie oznacza to jeszcze, że zezwoliła ona na ich przetwarzanie w każdym możliwym celu. Przykładowo, dane osób prowadzących działalność gospodarczą widnieją w CEDG tylko dlatego, że jawność tego rejestru i jego publikację w Internecie przewiduje prawo. Nie wynika to z faktu, że osoby rejestrujące działalność gospodarczą zdecydowały o ich upublicznieniu. Tymczasem podmioty gromadzące dane dostępne publicznie korzystają z nich na różne sposoby (marketing, analizy, kopie zapasowe).
Aby więc móc korzystać z danych osobowych powszechnie dostępnych, podobnie jak w każdym innym przypadku, trzeba mieć podstawę prawną do ich przetwarzania. Najlepszą podstawą jest zgoda danej osoby. W praktyce trudno sobie wyobrazić wysyłanie zapytania do każdej osoby, której personalia zostały pobrane z ogólnie dostępnych źródeł w Internecie. W związku z tym trzeba by uznać, że przetwarzanie danych będzie następowało wyłącznie dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych (art. 23 ust. 1 pkt 5 ustawy o ODO). Odbiorcą danych jest każdy, komu udostępnia się dane. Takie rozumowanie jest dopuszczalne, ale każdy przypadek wymaga indywidualnej oceny. Przykładowo, prawnie usprawiedliwionym celem jest właśnie wspomniany marketing bezpośredni.
Ponadto konieczne jest wypełnienie obowiązku z art. 25 ust. 1 ustawy o ODO. Zgodnie z tym przepisem w przypadku zbierania danych nie od osoby, której one dotyczą, gromadzący te dane musi bezzwłocznie poinformować osobę o:
- adresie swojej siedziby i pełnej nazwie bądź miejscu zamieszkania oraz imieniu i nazwisku w przypadku osób fizycznych;
- celu i zakresie zbierania danych;
- źródle pozyskania;
- prawie dostępu do treści swoich danych oraz ich poprawiania;
- możliwości żądania zaprzestania przetwarzania oraz wniesienia sprzeciwu wobec przetwarzania.
Zobacz także:
Tagi: dane osobowe, giodo
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
