Nasza firma kupiła bazę zawierającą dane osobowe, które będziemy wykorzystywać w celach marketingowych naszych produktów. Ponieważ dane w bazie nie były przez nas zbierane, powstała wątpliwość, czy musimy powiadomić każdą z osób z tej bazy o tym, że będziemy jej dane przetwarzać. Czy mamy taki obowiązek?
TAK. Każdej z osób należy indywidualnie przekazać informacje o przetwarzaniu jej danych. Wynika to z art. 25 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.). Należy to zrobić bezpośrednio po utrwaleniu danych. Ustawa nie wymaga, by musiało to nastąpić w jakiejś szczególnej formie (np. na piśmie). Zainteresowane osoby mają możliwość wniesienia sprzeciwu wobec przetwarzania ich danych, nie należy więc tych danych wykorzystywać przed daniem im szansy na wniesienie takiego sprzeciwu.
Firma, która kupiła bazę, stała się administratorem danych w niej zawartych. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator jest obowiązany, pod rygorem odpowiedzialności karnej, poinformować tę osobę o adresie swojej siedziby i pełnej nazwie. W przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych oraz źródle danych. Musi też poinformować o prawie dostępu do danych oraz prawie ich poprawiania, a także prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację. Należy też poinformować o prawie wniesienia sprzeciwu wobec przetwarzania danych, gdy administrator zamierza przetwarzać je w celach marketingowych, lub wobec przekazywania danych innemu administratorowi danych.
|