Kiedy administrator danych ma obowiązek udostępnić dane osobowe?

Do każdego z nas, w tym również do administratorów danych może w każdej chwili „zapukać” sąd, prokurator czy urząd skarbowy i poprosić o przekazanie informacji, dokumentów, które pomogą tym organom w zakończeniu postępowania. Jak powinniśmy się wtedy zachować? Czy możemy przekazać dokumenty? Co z ochroną naszych danych lub danych osobowych innych osób?

Administrator danych jest uprawniony do tego, aby ujawnić przetwarzane przez swój podmiot dane osobowe m.in. odbiorcom danych. Art. 4 pkt. 9 RODO wskazuje, że odbiorcą danych może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane, niezależnie od tego czy jest stroną trzecią. Do odbiorców danych zalicza się m.in. podmioty, którym dane osobowe powierzamy do przetwarzania. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub państwa członkowskiego nie są jednak uznawane za odbiorców danych.

Ujawnienie danych osobowych co do zasady może przybrać dwie formy: powierzenia danych do przetwarzania lub ich udostępnienia. Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wówczas, gdy administrator danych powierza do przetwarzania innemu zewnętrznemu podmiotowi dane osobowe w swoim imieniu.

Podmiot, który przetwarza powierzone mu dane osobowe realizuje zatem cele i sposoby przetwarzania administratora danych, a nie swoje własne. Z udostępnieniem danych osobowych do przetwarzania mamy do czynienia wówczas, gdy zewnętrzny podmiot po otrzymaniu od administratora danych osobowych będzie je przetwarzał do realizacji swoich własnych celów przetwarzania, a nie celów administratora. Zatem z chwilą udostępnienia danych zewnętrzny podmiot staje się niezależnym administratorem danych.

Kiedy udostępnienie danych jest dobrowolne, a kiedy obowiązkowe?

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Istnieje możliwość dokonania podziału podjęcia udostępnienia danych na dwie formy: fakultatywną oraz obligatoryjną. Udostępnienie danych jest fakultatywne, a zatem dobrowolne, w sytuacji, w której administrator danych otrzyma wniosek o udostępnienie danych od innego zewnętrznego podmiotu, który będzie posiadał interes prawny lub faktyczny w ujawnieniu mu danych osób fizycznych.

Obligatoryjne udostępnienie danych będzie wynikało wprost z przepisów prawa, które nakazują ujawnienie danych, informacji przez każdego, kto tymi informacjami dysponuje. W tej sytuacji administrator danych ma obowiązek udostępnić dane osobowe, albowiem nakaz takiego zachowania wynika z powszechnie obowiązujących przepisów prawa.

Udostępnianie danych na żądanie sądów

Pierwszym przykładem powszechnie obowiązującego przepisu prawa, nakładającego obowiązek udostępnienia danych osobowych jest art. 248 §1 Kodeksu postępowania cywilnego.

art. 248 Kodeksu postępowania cywilnego
§1 Każdy obowiązany jest przedstawić na zarządzenie sądu w oznaczonym terminie i miejscu dokument znajdujący się w jego posiadaniu i stanowiący dowód faktu istotnego dla rozstrzygnięcia sprawy, chyba że dokument zawiera informacje niejawne.

Przepis ten daje zatem sądom uprawnienie do tego, aby żądać od każdego - w tym również od administratorów danych - dokumentów, które mogą pomóc rozstrzygnąć określony spór sądowy, nawet jeśli dokumenty te zawierają dane osobowe osób fizycznych.

Udostępnianie danych na żądanie organów ścigania

Drugim przykładem nakładającym na administratorów danych obowiązek udostępnienia danych będzie art. 15 ust. 2 i 3 Kodeksu postępowania karnego. Przepisy te wskazują, że:

art. 15 Kodeksu postępowania karnego
§2. Wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania do udzielania pomocy organom prowadzącym postępowanie karne w terminie wyznaczonym przez te organy.

§3. Osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.

Organy ścigania, a zatem Prokuratura lub Policja, są również uprawnione do tego, aby żądać udostępnienia im danych osobowych na potrzeby prowadzenia konkretnego postępowania.

Nowy w temacie RODO? Poznaj podstawy!

Udostępnianie danych urzędom skarbowym i innym podmiotom w oparciu o obowiązujące przepisy prawa

Kolejnym przykładem obligatoryjnego udostępnienia danych będzie żądanie skierowane ze strony np. Urzędu Skarbowego na podstawie przepisów ustawy ordynacji podatkowej.

art. 155
§1. Organ podatkowy może wezwać stronę lub inne osoby do złożenia wyjaśnień, zeznań, przedłożenia dokumentów lub dokonania określonej czynności osobiście, przez pełnomocnika lub na piśmie, w tym także w formie dokumentu elektronicznego, jeżeli jest to niezbędne dla wyjaśnienia stanu faktycznego lub rozstrzygnięcia sprawy.

Oznacza to, że w takim przypadku administrator danych ma również obowiązek udostępnienia wszelkich dokumentów, w tym również tych zawierających dane osobowe na potrzeby prowadzenia przez organy podatkowe postępowania.

Udostępnienie danych osobowych organom publicznym, takim jak sądy, prokuratura czy organy podatkowe będzie opierało się na powszechnie obowiązujących przepisach prawa. Tym samym należy uznać, że przekazanie informacji, dokumentów, które zawierają dane osobowe na żądanie organów publicznych będzie obowiązkowe i nie będzie naruszało przepisów z zakresu ochrony danych osobowych.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".