print

Ogólne zasady zbierania danych osobowych

Główne zasady postępowania przy przetwarzaniu danych osobowych wyznacza art. 26 ust. 1 ustawy ujmując je w formę podstawowych obowiązków administratora danych. Z jego treści wynika, iż administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a co za tym idzie ma on przestrzegać pewnych zasad:
1) zasady legalności – przetwarzać dane zgodnie z prawem,
2) zasady celowości – zbierać dane dla oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami, 
3) zasady merytorycznej poprawności – dbać o merytoryczną poprawność danych,
4) zasady adekwatności danych – dbać o adekwatność danych w stosunku do celów, w jakich są przetwarzane,
5) zasady ograniczenia czasowego – przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.


W myśl powyższych zasad przetwarzanie danych osobowych przez administratora danych powinno odbywać się z zachowaniem poniższych warunków:
a) uzyskanie zgody osoby, której dane dotyczą, chyba że chodzi o usunięcie dotyczących jej danych,
b) niezbędność przetwarzania danych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
c) konieczność realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
d) przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
e) przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.

Za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów i usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Odrębny reżim przetwarzania danych odnosi się do danych „szczególnie chronionych” (danych wrażliwych - stan zdrowia, dane dotyczące skazań, rasa, wyznanie). Ich przetwarzanie co do zasady jest zabronione.


Zbieranie danych musi być jawne, a zatem osoba, której dane przedsiębiorca ma zamiar gromadzić i przetwarzać powinna być poinformowana o takim zamiarze. Jednocześnie osobie tej  powinien być zakomunikowany cel pozyskiwania jej danych i to jeszcze przed ich odbiorem. Niedopuszczalne jest uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w zupełnie innych celach (np. marketingu produktów i usług podmiotów trzecich).
Jednocześnie,  zgodnie z zasadą adekwatności,  administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Przykładowo za nieadekwatne uznać należało pozyskiwanie danych o wykształceniu i stanie cywilnym przy zawieraniu umów odpowiedzialności cywilnej posiadacza pojazdu mechanicznego.
Przechowywania  w/w danych w nie powinno trwać dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania. Po osiągnięciu celu (np. wykonaniu zawartej umowy,  ustanie stosunku pracy , zlecenia itp.) dane powinny zostać usunięte, zanonimizowane  lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora (np. przekazane do archiwum państwowego).

Zbiór danych osobowych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, ( GIODO)  o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku (np. zatrudnienie, świadczenie usług na podstawie umów cywilnoprawnych, dane potrzebne do wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,). Więcej na ten temat w artykule pt. „ Rejestracja zbioru danych”

W powyższych zadaniach administratora danych może zastąpić administrator bezpieczeństwa informacji przez niego powoływany. Administrator bezpieczeństwa informacji powinien być zgłaszano do GIODO. Więcej informacji na ten temat w artykule pt." Powoływanie administratora bezpieczeństwa informacji" lub w opisie procedur zamieszczonych na stronach e-PK.

Czy ta strona była przydatna?

Twoja opinia przyczyni się do polepszenia tej strony.