Zgodnie z postulowaną przez Generalnego Inspektora Ochrony Danych Osobowych koncepcją privacy by design, zagadnienia ochrony prywatności powinny być uwzględniane już na etapie projektowania konkretnych rozwiązań (np. budowy systemów teleinformatycznych).
Zbieranie danych osobowych – co zrobić, by było legalne
Kategoria: Ochrona danych osobowych
Data: 21-03-2016 r.
Każdy, kto zbiera dane osobowe, przetwarza je, powinien legitymować się jedną z podstaw prawnych legitymujących ten proces. Poza tym, wobec osób, których dane dotyczą, powinien być spełniony obowiązek informacyjny. Administrator danych powinien również zgłosić podlegające zgłoszeniu zbiory danych do rejestracji.
Jeżeli zatem planujemy zbierać dane osobowe, to zanim jeszcze rozpoczniemy proces ich przetwarzania, powinniśmy zadbać o wdrożenie rozwiązań legalizujących przyszły proces przetwarzania danych osobowych.
Niezbędne jest zatem posiadanie podstawy prawnej określonej w art. 23 lub 27 ustawy o ochronie danych osobowych do przetwarzania danych osobowych. Administrator danych osobowych powinien ponadto zrealizować obowiązek informacyjny, a przetwarzanie powinno odbywać się zgodnie z zasadami:
-
adekwatności,
-
celowości,
-
czasowości,
-
rzetelności i
-
bezpieczeństwa.
Niekiedy niezbędne jest zgłoszenie zbioru danych osobowych do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych.
Tylko niezbędne dane
Zasada adekwatności zakłada, że dane osobowe powinny być niezbędne do realizacji celów, w jakich zostały zebrane. Większy zakres danych osobowych potrafi skuteczniej i bardziej precyzyjnie opisać osobę fizyczną, to natomiast przekłada się na większą wartość takiego zestawu danych osobowych.
Jasny cel zbierania danych
Zbierane dane osobowe powinny być – co do zasady – przetwarzane zgodnie z celem, w którym zostały zebrane. Częstym naruszeniem zasady celowości jest dla przykładu wykorzystywanie, ujawnionych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej 3, danych w postaci adresu poczty elektronicznej osoby fizycznej prowadzącej działalność gospodarczą do przesyłania jej ofert marketingowych.
Brak celu = koniec przetwarzania
Powiązana z zasadą celowości zasada czasowości zakłada, że dane powinny być przetwarzane tak długo, jak istnieje cel, dla których są pozyskiwane. Zbieranie danych osobowych w sytuacji, w której określony cel przetwarzania danych został już zrealizowany, będzie niezgodne z prawem.
Jeszcze przed rozpoczęciem zbierania danych osobowych warto określić okres, po jakim przetwarzane dane zostaną usunięte. Pomocne w tym zakresie są często przepisy prawa, regulujące wymóg przechowywania dokumentacji przez określony czas, np. art. 51u ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz.U. z 2015 r. poz. 1446).
Dane muszą być poprawne
Zebrane przez administratora dane osobowe powinny być merytorycznie poprawne. Niekiedy administrator danych osobowych w kwestii prawdziwości danych opiera się wyłączenie na oświadczeniu osoby, której dane dotyczą.
Skąd legalnie zbierać dane
Określając źródło zbieranych danych osobowych, możemy je podzielić na zbierane bezpośrednio od osób, których dane dotyczą i pośrednio (tj. nie od osób, których dane dotyczą).
Z sytuacją zbierania danych bezpośrednio od osób, których dane dotyczą, mamy do czynienia np. w przypadku wypełniania przez taką osobę formularzy (papierowych lub przy pomocy serwisów internetowych), podawania przez nią swoich danych przez telefon czy w drodze zawarcia przez nią umowy.
Ze zbieraniem danych pośrednio mamy do czynienia, gdy dane dotyczące osoby fizycznej pozyskujemy z innych źródeł, np. z polecenia, z Internetu (portale społecznościowe, branżowe, baza CeiDG) lub z kupionej bazy danych.
Zobacz także:
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
