Przetwarzanie danych osobowych

Zgodnie z art. 23. 1. ww. ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeśli nie zmieni się cel tego przetwarzania. W przypadku zbierania danych osobowych ADO zobowiązany jest poinformować osobę o swojej pełnej nazwie i adresie swojej siedziby, o celu zbierania danych, o prawie dostępu do treści swoich danych oraz ich poprawiania. Dodatkowo ADO powinien poinformować osobę o dobrowolności albo obowiązku podania danych (z podaniem podstawy prawnej). Te informacje są niezbędne, aby osoba wiedziała, gdzie przechowywane są jej dane osobowe i kto posiada do nich dostęp oraz do kogo należy zgłosić się w celu aktualizacji danych.

Zmiana administratora danych osobowych

Jeśli firma przyjmuje na siebie obowiązki administratora danych, powinna, zgodnie z art. 25 ust. 1 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., poinformować użytkowników tj. osoby, których dane znajdują się w zakupionej bazie danych, o zmianie administratora danych osobowych (ADO). Niezbędne jest poinformowanie o źródle pozyskania tych danych: adresu e-mail lub numeru telefonu. Powinna również przedstawić siebie jako obecnego administratora danych wraz z podaniem swoich danych rejestracyjnych.

Nowy ADO powinien również przekazać informację, w jakich celach i przez kogo będą przetwarzane dane osobowe, adres e-mail czy numer telefonu (zgodnie ze zgodą wyrażoną pierwotnie pierwszemu administratorowi danych osobowych). Jednocześnie należy poinformować użytkowników o prawie dostępu do treści swoich danych oraz do ich poprawiania, prawie wniesienia pisemnego umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację stosownie do art. 32 ust. 1 pkt 7 wyżej wskazanej ustawy, a także prawie wniesienia do administratora sprzeciwu wobec przetwarzania danych stosownie do art. 32 ust. 1 pkt 8 powyższej ustawy. Aktualny ADO powinien również przekazać użytkownikom informację, że w każdej chwili mogą się wypisać z bazy poprzez złożenie pisemnego wniosku. ADO powinien każdorazowo wysłać pisemne potwierdzenie usunięcia danych z bazy. 

Ochrona danych osobowych

Zgodnie z art. 26 ustawy administrator danych osobowych powinien dołożyć wszelkiej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 

– przetwarzane zgodnie z prawem
– zbierane dla oznaczonych, zgodnych z prawem celów
– merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane
– przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą

Zgodnie z art. 27 ustawy zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, dane o stanie zdrowia, nałogach, informacje o skazaniach czy otrzymanych mandatach karnych.

Art. 31 ustawy o ochronie danych osobowych dopuszcza możliwość, aby administrator danych powierzył innemu podmiotowi przetwarzanie danych osobowych na podstawie zawartej z nim umowy. Podmiot, o którym jest mowa, może przetwarzać te dane wyłącznie w zakresie i celu przewidzianym w umowie. Powinien podjąć wszelkie środki zabezpieczające zbiór danych (jeszcze przed rozpoczęciem przetwarzania danych) oraz spełnić wymagania określone w art. 39a ustawy. Odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych spoczywa nadal na ADO, jednak nie wyklucza również odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych osobowych niezgodnie z umową.

Wyrażenie zgody na przetwarzanie swoich danych osobowych, wbrew pozorom, nie jest niebezpieczne. Warto jednak taką zgodę skopiować i zarchiwizować, aby pamiętać, jaki jest zakres i cel przetwarzania naszych danych oraz gdzie możemy je szybko zaktualizować bądź po prostu wypisać się z danego zbioru bazodanowego.