Fajgielski Paweł, Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych

Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Jednym z podstawowych obowiązków administratora danych jest informowanie osoby, której dane dotyczą (podmiotu danych) o przetwarzaniu danych jej dotyczących. Obowiązkowi informacyjnemu po stronie administratora danych odpowiada uprawnienie do uzyskania informacji przyznane podmiotowi danych. Jest ono niezwykle istotne, gdyż umożliwia uzyskanie wiedzy na temat przetwarzania danych i stwarza możliwość reagowania w sytuacji, gdy dane osobowe przetwarzane są niezgodnie z prawem. Przepisy art. 24 i 25 u.o.d.o. określają zakres informacji, które mają być przekazane podmiotowi danych oraz przypadki, w których obowiązek informacyjny został przez ustawodawcę wyłączony. W przepisie art. 24 u.o.d.o. uregulowany został obowiązek informacyjny nałożony na administratora danych uzyskującego dane osobowe od osoby, której te dane dotyczą, natomiast w art. 25 u.o.d.o. uregulowany został obowiązek informacyjny ciążący na administratorze pozyskującym dane osobowe z innych źródeł.

Oprócz informowania przy gromadzeniu danych, na administratorze danych ciąży także obowiązek informowania osoby, której dane dotyczą na jej żądanie (art. 33 u.o.d.o.).

Administrator danych gromadzi dane osobowe dla realizacji różnych celów (np. dla zawarcia i wykonania umowy, dla realizacji zadań publicznych itp.). Gdy administrator ma potrzebę zebrania danych, powinien sprawdzić, czy przetwarzanie danych jest prawnie dopuszczalne, a więc czy zachodzi jedna z przesłanek określonych w art. 23 ust. 1 lub art. 27 ust. 2 u.o.d.o. Po stwierdzeniu dopuszczalności przetwarzania danych, administrator może przystąpić do zbierania danych.

Ustawodawca wyróżnił dwa rodzaje źródeł pozyskiwania danych (od osoby, której dane dotyczą bądź z innych źródeł) i uzależnił zakres obowiązku informacyjnego od tego, z którego z tych źródeł dane są zbierane.