Zgodnie z treścią art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgoda na przetwarzanie naszych danych może obejmować również przetwarzanie ich w przyszłości, jeżeli tylko nie zmienia się cel przetwarzania. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody na przetwarzanie danych osobowych jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. W praktyce internetowe udostępnianie naszych danych występuje, gdy rejestrujemy się w portalach internetowych takich jak e-sklepy, serwisy aukcyjne, fora, czy serwisy ogłoszeniowe. Wypełniając stosowny formularz zgłoszeniowy zgadzamy się, aby dostęp do naszych danych, a co za tym idzie prawo do ich przetwarzania, otrzymał operator danego serwisu internetowego.
Pamiętajmy, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
- przetwarzane zgodnie z prawem,
- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest jednak dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
- w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
- z zachowaniem przepisów art. 23 i 25 omawianej ustawy (m.in. zgoda właściciela danych, badania naukowe, dydaktyczne czy statystyczne).
Tym samym musimy być w pełni świadomi tego, że przetwarzanie naszych danych (udostępnionych nawet jednemu serwisowi internetowemu) może odbywać się przez inne podmioty upoważnione przez ustawę. Stanowi o tym nie tylko dotychczas omówiona regulacja, ale także art. 31 przytoczonego aktu prawnego. Zgodnie z tym przepisem, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Nowy podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, jest on jednocześnie obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w przepisach wykonawczych do ustawy o ochronie danych osobowych. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Warto wiedzieć, że dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:
- daty pierwszego wprowadzenia danych do systemu;
- identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
- źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
- informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
- sprzeciwu wobec przetwarzania danych osobowych.
Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa powyżej.
Zgoda na przetwarzanie danych może być oczywiście cofnięta przez ich właściciela w każdym momencie. Niezależnie od tego dane osobowe przetwarzane w celu wykrywania osób powinny być przechowywane jedynie przez okres konieczny do osiągnięcia celów, dla których zostały wprowadzone. Strona, która wprowadziła wpis, musi najdalej w ciągu 3 lat od dnia wprowadzenia danych ocenić ich dalszą przydatność.