Strona główna Odpowiedzi na pytania dotyczące ustawy o ochronie danych osobowych
dotyczące ustawy o ochronie danych osobowych

Czy zgodne z ustawą o ochronie danych osobowych jest tworzenie na podstawie informacji ze źródeł powszechnie dostępnych różnego rodzaju baz danych (np. baza dziennikarzy)?

Ikona drukuj
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak2009-11-10
Wprowadził informację: Robert Czapski2009-11-10 13:58:24
Ostatnio modyfikował: Robert Czapski 2013-11-28 12:56:59

Tak, gdyż ustawa o ochronie danych osobowych nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie. Jednak, jeśli staje się ich administratorem, musi spełnić pewne wymagania z ustawy o ochronie danych osobowych.

Uzasadnienie

Podmiot, który gromadzi dane pozyskane ze źródeł powszechnie dostępnych tworząc w ten sposób swoją bazę danych (tzw. zbiór danych) staje się ich administratorem i jest zobowiązany stosować przepisy ustawy o ochronie danych osobowych. Nakazują one administratorom danych osobowych (czyli podmiotom decydującym o celach i środkach przetwarzania) wywiązanie się z kilku obowiązków, takich jak:

  • wykazanie się podstawą prawną uprawniającą do wykonywania jakichkolwiek działań na zawartych w takim zbiorze danych osobowych,
  • dopełnienie obowiązku informacyjnego.
  • zgłoszenia do rejestracji GIODO utworzonego zbioru danych osobowych.

Aby przetwarzanie danych osobowych (a więc wykonywanie na nich jakichkolwiek operacji, takich jak np. pozyskiwanie, upublicznianie czy przechowywanie) było zgodne z prawem, każdy administrator musi wskazać podstawę prawną takiego działania. Ustawa o ochronie danych osobowych wskazuje te podstawy w art. 23 ust. 1 pkt 1-5. Wśród nich wymieniona jest zgoda osoby, której dane dotyczą (pkt 1) lub prawnie usprawiedliwiony cel administratora danych (pkt 5).

Zaznaczyć trzeba, że zgodę na wykorzystanie danych osobowych wyraża osoba, której dane dotyczą, np. dziennikarz w przypadku tworzenia bazy dziennikarzy, a nie GIODO. Ponadto, osoba, która wyraża zgodę, musi wiedzieć wcześniej na co się godzi, tzn. komu, w jakim zakresie i w jakim celu przekazuje swoje dane osobowe oraz co dalej się z nimi stanie, np. czy zostaną przekazane innemu podmiotowi.

Innym obowiązkiem jest przekazanie bezpośrednio po utrwaleniu danych osobom, których te dane dotyczą, informacji wskazanych w art. 25 ust. 1 ustawy o ochronie danych osobowych, tj. o:

  • swojej nazwie i adresie,
  • celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach,
  • źródle, z którego dane zostały pozyskane,
  • prawie dostępu do danych i prawie ich poprawiania, a także o
  • prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych.

Spełnienie obowiązku informacyjnego jest o tyle istotne, że dzięki niemu osoba, której dane dotyczą ma świadomość, że jej dane są wykorzystywane. W związku z czym, jeśli osoba, której dane zostały pozyskane przez określony podmiot ze źródeł powszechnie dostępnych nie chce, aby były one przez ten podmiot wykorzystywane, może skorzystać z przysługujących jej uprawnień i np. zażądać usunięcia jej danych osobowych.

Jak wskazał w  uzasadnieniu do orzeczenia z 22 stycznia 2004 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II Sa 2665/02) „przetwarzanie danych na podstawie art. 23 ust. 1 pkt 5 jest możliwe, o ile jest niezbędne dla realizacji tych zadań i nie narusza praw i wolności osoby, której dane dotyczą. Tymczasem podstawowym prawem tej osoby jest prawo do ochrony jej danych. Zapewnienie jej tego prawa wymaga przynajmniej, aby mogła ona po uzyskaniu informacji o zebraniu jej danych od innego podmiotu sprzeciwić się dalszemu przetwarzaniu. Powinna mieć więc przynajmniej czas na możliwość do skorzystania ze środków przewidzianych w art. 32. (…) Osoba, której dane dotyczą musi więc mieć możliwość zaprotestowania przeciwko posługiwaniu się jej danymi przez inną firmę, której tych danych nie przekazywała. W przeciwnej sytuacji przekazanie danych jakiemukolwiek podmiotowi ograniczałoby na przyszłość ochronę danych osobowych i prawo do tej ochrony”.