Udostępnianie danych na wniosek - jak być w zgodzie z RODO?

Czym jest udostępnienie danych?

Udostępnienie danych osobowych jest jedną z operacji przetwarzania zdefiniowanych w ramach art. 4 pkt. 2 RODO. Stanowi ono przekazanie danych osobowych poza organizację administratora. Na skutek udostępnienia danych osobowych, a więc przekazania określonych informacji do innego podmiotu, administrator nie ma kontroli nad przetwarzaniem tych danych, a więc nie decyduje o sposobie i celach przetwarzania przekazanych danych osobowych przez podmiot, który otrzymał wspomniane dane.

Kiedy udostępnianie danych jest dobrowolne, a kiedy obowiązkowe?

W ramach naszego cyklu artykułów dotyczących udostępniania danych wskazywaliśmy już, kiedy będziemy mieć do czynienia z obowiązkowym udostępnieniem danych. Teraz przyszedł czas na wyjaśnienie, czym jest dobrowolne lub inaczej – wnioskowe udostępnienie danych.

Gdy do administratora danych wpłynie wniosek o udostępnienie informacji, dokumentów lub wniosek o udostępnienie danych, w pierwszej kolejności należy dokładnie mu się przyjrzeć. Obowiązkiem administratora jest weryfikacja, czy złożony wniosek zawiera podstawę prawną, która będzie trafna w określonej sytuacji oraz czy jest ona aktualna. Należy również zbadać, czy na podstawie wniosku istnieje możliwość zweryfikowania wnioskodawcy oraz jego uprawnienia do otrzymania żądanych danych. Ponadto należy ocenić, czy wniosek nie zawiera innych błędów i – w razie potrzeby – czy nie zachodzi konieczność jego poprawy lub uzupełnienia przez wnioskodawcę.

Udostępnianie danych na żądanie osoby, której dane dotyczą

Po pierwsze, wspominany powyżej wniosek o udostępnienie danych może być realizowany w ramach procedury uregulowanej w art. 15 ust. 1 RODO (dostępu do danych), jak i też art. 15 ust. 3 RODO (uzyskania kopii danych). Wnioskodawca, tj. osoba, której dane dotyczą powinien jasno określić, czy chce skorzystać z prawa dostępu do swoich danych osobowych, czy też z prawa do uzyskania kopii przetwarzanych danych osobowych. Powyższa procedura daje osobom, których dane dotyczą, prawo kontroli nad procesem przetwarzania ich danych osobowych.

Udostępnianie danych na żądanie innego zewnętrznego podmiotu

Kolejnym przykładem udostępnienia danych jest przekazanie określonych informacji do innego podmiotu. Aby administrator danych mógł przekazać informacje lub dokumenty zawierające dane osobowe do innego podmiotu musi mieć ku temu określone podstawy prawne. Podstawą do udostępnienia danych osobowych przez administratora danych może być zarówno umowa, jak też przepisy powszechnie obowiązującego prawa. w tym przypadku bowiem, z chwilą udostępnienia danych administrator danych nie sprawuje już kontroli nad udostępnionymi danymi osobowymi, a przejmuje ją podmiot, który dane otrzymał.

Przykład - art. 155 ust. 3 ustawy o gospodarce nieruchomościami
Właściwe organy, agencje, o których mowa w ust. 1 pkt 6a, spółdzielnie mieszkaniowe, sądy oraz urzędy skarbowe są obowiązane udostępniać rzeczoznawcom majątkowym rejestry i dokumenty, o których mowa w ust. 1, w tym umożliwiać sporządzanie kopii dokumentów w dowolnej formie.

Powołując się na wskazany przepis prawa, rzeczoznawca majątkowy może złożyć wniosek do właściwego organu celem udostępnienia mu rejestrów i dokumentów, niejednokrotnie zawierających dane osobowe.

Wniosek bez podstawy prawnej – co zrobić?

Warto również wspomnieć o tym, że nie zawsze wniosek o udostępnienie danych, jaki wpływa do podmiotu administratora posiada wskazaną podstawę prawną. Co w takiej sytuacji powinien zrobić administrator? w pierwszej kolejności należy dokładnie przyjrzeć się wnioskowi. Jeśli brak wskazanej podstawy prawnej jest wynikiem błędu lub zapomnienia, zasadne będzie wezwanie wnioskodawcy do uzupełnienia lub poprawy wniosku. Jeśli jednak brak jest przepisu prawa, na który wnioskodawca mógłby się powołać, należy dokonać oceny uprawnienia wnioskodawcy do otrzymania danych osobowych. w tym przypadku rolą administratora jest rozważenie, czy istnieje interes faktyczny, uzasadniona przesłanka do tego, aby takie dane osobowe zostały wnioskodawcy udostępnione.

Jak być w zgodzie z RODO?

Aby nie pogubić się w gąszczu przepisów i nie narazić się na zarzut naruszenia przepisów RODO, administrator danych powinien przede wszystkim przestrzegać obowiązujących zasad, wynikających z przepisów RODO. Warto jest zatem zajrzeć do art. 5 RODO i zadbać o to, aby przy udostępnianiu danych osobowych zapewnić rozliczalność danych, wskazać właściwą podstawę prawną lub interes faktyczny określający cel oraz adekwatność tego celu, a także o to, aby dane osobowe zostały udostępnione przy zachowaniu zasady minimalizacji danych. Dobrą praktyką u każdego administratora danych będzie zatem stworzenie odpowiednich procedur regulujących postępowanie z wnioskami o udostępnienie danych.

Potrzebujesz wsparcia w tworzeniu procedur tego typu? Umów się na spotkanie z Cezarym Lutyńskim – naszym doradcą ds. ochrony danych. Uzyskasz pomoc, której potrzebujesz