Jak pozyskać dane osobowe bez narażania się na konflikt z prawem?

Powiązanie to należy rozumieć jako możliwość przyporządkowania określonych informacji do konkretnej osoby. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku  określając zasady przetwarzania danych osobowych  wskazuje, iż jest to dopuszczalne tylko gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przy czym za prawnie usprawiedliwiony cel, o którym mowa powyżej uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Z kolei art. 25 ust. 1 Ustawy ochronie danych osobowych z dnia 29 sierpnia 1997 roku  stanowi, że w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3) źródle danych,
4) prawie dostępu do treści swoich danych oraz ich poprawiania,
5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. (prawie do żądania zaprzestania przetwarzania oraz prawie sprzeciwu)

W świetle powyższych zapisów Ustawy należy stwierdzić, że w aktualnym stanie prawnym istnieje możliwość pozyskiwania danych osobowych nie tylko bezpośrednio od osoby, której dane dotyczą. Ponadto dopuszczalne jest gromadzenie takich danych również z pominięciem obowiązku uzyskania zgody osoby, której dane dotyczą. Aby działanie podmiotu przetwarzającego dane było zgodne z obowiązującymi normami prawymi dane osobowe osób trzecich, które nie wyraziły zgody na wykorzystywanie swoich danych mogą być wykorzystywane jedynie gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego lub jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Ponadto na administratorze ciąży obowiązek niezwłocznego zawiadomienia osoby, której dane dotyczą o informacjach oraz uprawnieniach, określonych w art. 25 Ustawy ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Brak spełnienia powyższego obowiązku skutkuje bezprawnością przetwarzania danych oraz może wywołać odpowiedzialność karną.

Dodaj komentarz