Prowadzenie baz danych, które zawierają dane ze źródeł powszechnie dostępnych

Niniejszy artykuł ma za zadanie przybliżyć tematykę prowadzenie baz danych, które zawierają dane ze źródeł powszechnie dostępnych takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej oraz Krajowy Rejestr Sądowy.   Ustawa o ochronie danych osobowych (dalej: u. o. d. o.) nie zabrania przetwarzania danych osobowych ze źródeł powszechnie dostępnych. Istnieje oczywiście pewna kontrowersja w doktrynie, czym mianowicie są owe powszechnie dostępne źródła. Rozwiewa je w jakiejś mierze generalny inspektor ochrony danych osobowych (GIODO), który zauważa, że danymi powszechnie dostępnymi są „dane zawarte w zbiorze danych, z którymi może zapoznać się bez szczególnego nakładu sił i środków nieograniczony krąg podmiotów”. Takimi źródłami są z całą pewnością są Centralna Ewidencja i Informacja o Działalności Gospodarczej oraz Krajowy Rejestr Sądowy.   Podsumowując aktualny stan prawny, pozyskanie danych ze źródła powszechnie dostępnego nie jest obarczone koniecznością uzyskiwania żadnych zgód ani od dysponenta danych (osoby fizycznej), ani – tym bardziej – od GIODO.   W momencie jednak, kiedy tak pozyskane dane utworzą bazę danych, czyli – w rozumieniu przepisów u .o. .o. – zbiór danych osobowych, podmiot je pozyskujący staje się administratorem danych osobowych i zaczynają na nim ciążyć obowiązki wynikające z u. o. d. o. Najistotniejszy wydaje się obowiązek informacyjny wynikający z treści art. 25 ust. 1 u. o. d. o., a więc zobowiązanie administratora danych (o ile – tak jak w wypadku danych pobranych ze źródeł powszechnie dostępnych – zebrane dane nie zostały pozyskane od osób, których dotyczą) do poinformowania wszystkich osób fizycznych, których dane zgromadzono w zbiorze, o: -nazwie i adresie administratora, -celu i zakresie zbierania danych, a zwłaszcza o odbiorcach danych, -źródle, z którego dane zostały pobrane, -prawie dostępu do danych i prawie ich poprawiania, -prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych.   Obowiązek informacyjny wykreowany przez wspomniany przepis art. 25 ust. 1 u .o. d. o. jest właściwie bezwzględny, ustawowe wyłączenia dotyczą badań naukowych, dydaktycznych, historycznych, statystycznych albo badania opinii publicznej, a także sytuacji, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Warto podkreślić, że rewersem obowiązku informacyjnego ciążącego na administratorze danych (przedsiębiorcy) jest uprawnienie dysponenta danych (osoby fizycznej, której dane ujawnione zostały w KRS) do dostępu do własnych danych i ich poprawiania, ale również – co znacznie bardziej istotne – do żądania zaprzestania przetwarzania danych oraz sprzeciwu, jeżeli administrator zamierza wykorzystać dane do celów marketingowych. Jest to więc realny oręż zapobiegający wykorzystaniu danych dostępnych powszechnie dla celów nieakceptowalnych przez ich dysponenta.   Obowiązek informacyjny może być rzecz jasna dolegliwy dla administratora przetwarzającego dane pozyskane ze źródeł powszechnie dostępnych, w szczególności zaś koszty takiej operacji mogą się okazać znaczące.   Jednakże w świetle stanowiska NSA sposób realizacji obowiązku informacyjnego powinien być jak najmniej dotkliwy dla administratora. Wobec tego zamiast ustalania za pośrednictwem Centralnego Biura Adresowego adresów zamieszkania osób fizycznych, których dane pobrano z KRS, informację z art. 25 ust. 1 u. o. d .o. należy – zdaniem NSA – przesłać na adres podmiotu gospodarczego. Byłoby to zresztą w pełni spójne 
z treścią przepisu art. 42 ust. 1 k.p.a., który za równoważne do doręczenia w miejscu zamieszkania uznaje doręczanie pism osobom fizycznym w ich mieszkaniu lub miejscu pracy.   Agnieszka Musiał Prawnik Kancelaria NK Legal]]>