Administrator danych jest uprawniony do tego, aby ujawnić przetwarzane przez swój podmiot dane osobowe m.in. odbiorcom danych. Art. 4 pkt. 9 RODO wskazuje, że odbiorcą danych może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane, niezależnie od tego czy jest stroną trzecią. Do odbiorców danych zalicza się m.in. podmioty, którym dane osobowe powierzamy do przetwarzania. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub państwa członkowskiego nie są jednak uznawane za odbiorców danych.
Ujawnienie danych osobowych co do zasady może przybrać dwie formy: powierzenia danych do przetwarzania lub ich udostępnienia. Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wówczas, gdy administrator danych powierza do przetwarzania innemu zewnętrznemu podmiotowi dane osobowe w swoim imieniu.
Podmiot, który przetwarza powierzone mu dane osobowe realizuje zatem cele i sposoby przetwarzania administratora danych, a nie swoje własne. Z udostępnieniem danych osobowych do przetwarzania mamy do czynienia wówczas, gdy zewnętrzny podmiot po otrzymaniu od administratora danych osobowych będzie je przetwarzał do realizacji swoich własnych celów przetwarzania, a nie celów administratora. Zatem z chwilą udostępnienia danych zewnętrzny podmiot staje się niezależnym administratorem danych.
Kiedy udostępnienie danych jest dobrowolne, a kiedy obowiązkowe?
Istnieje możliwość dokonania podziału podjęcia udostępnienia danych na dwie formy: fakultatywną oraz obligatoryjną. Udostępnienie danych jest fakultatywne, a zatem dobrowolne, w sytuacji, w której administrator danych otrzyma wniosek o udostępnienie danych od innego zewnętrznego podmiotu, który będzie posiadał interes prawny lub faktyczny w ujawnieniu mu danych osób fizycznych.
Obligatoryjne udostępnienie danych będzie wynikało wprost z przepisów prawa, które nakazują ujawnienie danych, informacji przez każdego, kto tymi informacjami dysponuje. W tej sytuacji administrator danych ma obowiązek udostępnić dane osobowe, albowiem nakaz takiego zachowania wynika z powszechnie obowiązujących przepisów prawa.
W jakich jeszcze sytuacjach administrator danych ma obowiązek udostępnić dane osobowe? Odpowiedź na to pytanie zna Cezary Lutyński – nasz doradca ds. ochrony danych. Skontaktuj się z nim i zdobądź wiedzę, którą wykorzystasz w praktyce.
Udostępnianie danych na żądanie sądów
Pierwszym przykładem powszechnie obowiązującego przepisu prawa, nakładającego obowiązek udostępnienia danych osobowych jest art. 248 §1 Kodeksu postępowania cywilnego.
art. 248 Kodeksu postępowania cywilnego
§1 Każdy obowiązany jest przedstawić na zarządzenie sądu w oznaczonym terminie i miejscu dokument znajdujący się w jego posiadaniu i stanowiący dowód faktu istotnego dla rozstrzygnięcia sprawy, chyba że dokument zawiera informacje niejawne.
Przepis ten daje zatem sądom uprawnienie do tego, aby żądać od każdego - w tym również od administratorów danych - dokumentów, które mogą pomóc rozstrzygnąć określony spór sądowy, nawet jeśli dokumenty te zawierają dane osobowe osób fizycznych.
Udostępnianie danych na żądanie organów ścigania
Drugim przykładem nakładającym na administratorów danych obowiązek udostępnienia danych będzie art. 15 ust. 2 i 3 Kodeksu postępowania karnego. Przepisy te wskazują, że:
art. 15 Kodeksu postępowania karnego
§2. Wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania do udzielania pomocy organom prowadzącym postępowanie karne w terminie wyznaczonym przez te organy.
§3. Osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.
Organy ścigania, a zatem Prokuratura lub Policja, są również uprawnione do tego, aby żądać udostępnienia im danych osobowych na potrzeby prowadzenia konkretnego postępowania.
Udostępnianie danych urzędom skarbowym i innym podmiotom w oparciu o obowiązujące przepisy prawa
Kolejnym przykładem obligatoryjnego udostępnienia danych będzie żądanie skierowane ze strony np. Urzędu Skarbowego na podstawie przepisów ustawy ordynacji podatkowej.
art. 155
§1. Organ podatkowy może wezwać stronę lub inne osoby do złożenia wyjaśnień, zeznań, przedłożenia dokumentów lub dokonania określonej czynności osobiście, przez pełnomocnika lub na piśmie, w tym także w formie dokumentu elektronicznego, jeżeli jest to niezbędne dla wyjaśnienia stanu faktycznego lub rozstrzygnięcia sprawy.
Oznacza to, że w takim przypadku administrator danych ma również obowiązek udostępnienia wszelkich dokumentów, w tym również tych zawierających dane osobowe na potrzeby prowadzenia przez organy podatkowe postępowania.
Udostępnienie danych osobowych organom publicznym, takim jak sądy, prokuratura czy organy podatkowe będzie opierało się na powszechnie obowiązujących przepisach prawa. Tym samym należy uznać, że przekazanie informacji, dokumentów, które zawierają dane osobowe na żądanie organów publicznych będzie obowiązkowe i nie będzie naruszało przepisów z zakresu ochrony danych osobowych.