A A+
Strona główna Porady i wskazówki Odpowiedzi na pytania
Serwisy GIODO
 |
 |
Aktualności
- Rozmowa w Radiu PiN, 2.09.2010 r.
- Program I Polskiego Radia pyta o rekrutację do przedszkoli, 30.08.2010 r.
- Wywiad dla „Computerworld”, 16.08.2010 r.
- Z Polskim Radiem Jedynką o rekrutacji do przedszkoli, 25.08.2010 r.
- GIODO gościem programu „Kawa czy herbata”, 25.08.2010 r.
- Komentarz dla „Dziennika Gazety Prawnej”, 19.08.2010 r.
Ważne
Najpopularniejsze
- Obowiązujący tekst ustawy: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
- Jak zarejestrować zbiór danych osobowych
- Elektroniczna Skrzynka Podawcza
- Vademecum ochrony danych osobowych
- Telefon informacyjny
- Kto musi rejestrować swoje zbiory
Odpowiedzi na pytania
Na czym polega obowiązek informacyjny spoczywający na administratorze danych?
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Małgorzata Kałużyńska-Jasak | - |
| Wprowadził informację: | Marcin Urban | 2004-04-30 11:08:42 |
| Ostatnio modyfikował: | Rafał Grodzki | 2009-09-17 10:16:14 |
Obowiązek informacyjny jest jednym z podstawowych obowiązków, jakie ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nakłada na administratorów danych.
Na gruncie powołanej ustawy rozróżnić należy dwie grupy przepisów regulujących ten obowiązek w zależności od tego, z jakiego źródła dane są pozyskiwane. Jedna grupa odnosi się do bezpośredniego zbierania danych od osoby, której one dotyczą (art. 24 ustawy), druga zaś dotyczy sytuacji, gdy dane zbierane są z innych źródeł - pośrednich (art. 25 ustawy).
Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
Z literalnego brzmienia cytowanego przepisu wynika, że obowiązek informacyjny, o którym przepis ten stanowi, winien być wykonany w momencie zbierania danych (np. w chwili podpisywania umowy lub wypełniania ankiety).
Obowiązek ten, stosownie do brzmienia ust. 2 cytowanego wyżej przepisu, jest wyłączony, gdy:
Na mocy art. 25 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
W przypadku zbierania danych nie od osoby, której one dotyczą, administrator jest obowiązany udzielić powyższych informacji bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie.
Przesłanki zwolnienia z przedmiotowego obowiązku enumeratywnie wymienione zostały w art. 25 ust. 2 ustawy. Obowiązek, o którym mowa w art. 24 i 25 ustawy, odnosi się do zbierania danych od dnia jej wejścia w życie, tj. od dnia 30 kwietnia 1998 r. Winien on być realizowany na etapie zbierania (gromadzenia) danych. Oznacza to, iż obowiązek informacyjny nie musi być realizowany wobec osób, których dane zostały zebrane przed dniem wejścia w życie ustawy, a po tym dniu są wyłącznie przechowywane. Natomiast w sytuacji, gdy administrator danych zebrał je przed dniem wejścia w życie ustawy, a po tej dacie dane te uzupełniał, uaktualniał, poszerzał ich zakres, wówczas obowiązany jest dopełnić ciążącego na nim obowiązku informacyjnego.
Na gruncie powołanej ustawy rozróżnić należy dwie grupy przepisów regulujących ten obowiązek w zależności od tego, z jakiego źródła dane są pozyskiwane. Jedna grupa odnosi się do bezpośredniego zbierania danych od osoby, której one dotyczą (art. 24 ustawy), druga zaś dotyczy sytuacji, gdy dane zbierane są z innych źródeł - pośrednich (art. 25 ustawy).
Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Z literalnego brzmienia cytowanego przepisu wynika, że obowiązek informacyjny, o którym przepis ten stanowi, winien być wykonany w momencie zbierania danych (np. w chwili podpisywania umowy lub wypełniania ankiety).
Obowiązek ten, stosownie do brzmienia ust. 2 cytowanego wyżej przepisu, jest wyłączony, gdy:
- przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
- osoba, której dane dotyczą, posiada już informacje, o których mowa w ust. 1.
Na mocy art. 25 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
- źródle danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- o prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi; uprawnienia te przysługują wyłącznie w sytuacji, gdy administrator przetwarza dane na podstawie art. 23 ust. 1 pkt 4 i 5 ustawy, a więc, gdy przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz, gdy jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której one dotyczą.
W przypadku zbierania danych nie od osoby, której one dotyczą, administrator jest obowiązany udzielić powyższych informacji bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie.
Przesłanki zwolnienia z przedmiotowego obowiązku enumeratywnie wymienione zostały w art. 25 ust. 2 ustawy. Obowiązek, o którym mowa w art. 24 i 25 ustawy, odnosi się do zbierania danych od dnia jej wejścia w życie, tj. od dnia 30 kwietnia 1998 r. Winien on być realizowany na etapie zbierania (gromadzenia) danych. Oznacza to, iż obowiązek informacyjny nie musi być realizowany wobec osób, których dane zostały zebrane przed dniem wejścia w życie ustawy, a po tym dniu są wyłącznie przechowywane. Natomiast w sytuacji, gdy administrator danych zebrał je przed dniem wejścia w życie ustawy, a po tej dacie dane te uzupełniał, uaktualniał, poszerzał ich zakres, wówczas obowiązany jest dopełnić ciążącego na nim obowiązku informacyjnego.