Udostępnianie danych na wniosek - jak być w zgodzie z RODO?

Do administratorów danych wielokrotnie wpływają wnioski o przekazanie informacji lub dokumentów niejednokrotnie zawierających dane osobowe. Jak ma postąpić administrator? Czy zawsze powinien udostępnić żądane informacje lub dokumenty? Jak należy postępować, aby nie pogubić się w gąszczu przepisów i nie narazić na zarzut naruszenia przepisów rozporządzenia?

Czym jest udostępnienie danych?

Udostępnienie danych osobowych jest jedną z operacji przetwarzania zdefiniowanych w ramach art. 4 pkt. 2 RODO. Stanowi ono przekazanie danych osobowych poza organizację administratora. Na skutek udostępnienia danych osobowych, a więc przekazania określonych informacji do innego podmiotu, administrator nie ma kontroli nad przetwarzaniem tych danych, a więc nie decyduje o sposobie i celach przetwarzania przekazanych danych osobowych przez podmiot, który otrzymał wspomniane dane.

Kiedy udostępnianie danych jest dobrowolne, a kiedy obowiązkowe?

W ramach naszego cyklu artykułów dotyczących udostępniania danych wskazywaliśmy już, kiedy będziemy mieć do czynienia z obowiązkowym udostępnieniem danych. Teraz przyszedł czas na wyjaśnienie, czym jest dobrowolne lub inaczej – wnioskowe udostępnienie danych.

CZYTAJ WIĘCEJ:Kiedy administrator ma obowiązek udostępnić dane?

Gdy do administratora danych wpłynie wniosek o udostępnienie informacji, dokumentów lub wniosek o udostępnienie danych, w pierwszej kolejności należy dokładnie mu się przyjrzeć. Obowiązkiem administratora jest weryfikacja, czy złożony wniosek zawiera podstawę prawną, która będzie trafna w określonej sytuacji oraz czy jest ona aktualna. Należy również zbadać, czy na podstawie wniosku istnieje możliwość zweryfikowania wnioskodawcy oraz jego uprawnienia do otrzymania żądanych danych. Ponadto należy ocenić, czy wniosek nie zawiera innych błędów i – w razie potrzeby – czy nie zachodzi konieczność jego poprawy lub uzupełnienia przez wnioskodawcę.

Udostępnianie danych na żądanie osoby, której dane dotyczą

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Po pierwsze, wspominany powyżej wniosek o udostępnienie danych może być realizowany w ramach procedury uregulowanej w art. 15 ust. 1 RODO (dostępu do danych), jak i też art. 15 ust. 3 RODO (uzyskania kopii danych). Wnioskodawca, tj. osoba, której dane dotyczą powinien jasno określić, czy chce skorzystać z prawa dostępu do swoich danych osobowych, czy też z prawa do uzyskania kopii przetwarzanych danych osobowych. Powyższa procedura daje osobom, których dane dotyczą, prawo kontroli nad procesem przetwarzania ich danych osobowych.

Udostępnianie danych na żądanie innego zewnętrznego podmiotu

Kolejnym przykładem udostępnienia danych jest przekazanie określonych informacji do innego podmiotu. Aby administrator danych mógł przekazać informacje lub dokumenty zawierające dane osobowe do innego podmiotu musi mieć ku temu określone podstawy prawne. Podstawą do udostępnienia danych osobowych przez administratora danych może być zarówno umowa, jak też przepisy powszechnie obowiązującego prawa. w tym przypadku bowiem, z chwilą udostępnienia danych administrator danych nie sprawuje już kontroli nad udostępnionymi danymi osobowymi, a przejmuje ją podmiot, który dane otrzymał.

Przykład - art. 155 ust. 3 ustawy o gospodarce nieruchomościami
Właściwe organy, agencje, o których mowa w ust. 1 pkt 6a, spółdzielnie mieszkaniowe, sądy oraz urzędy skarbowe są obowiązane udostępniać rzeczoznawcom majątkowym rejestry i dokumenty, o których mowa w ust. 1, w tym umożliwiać sporządzanie kopii dokumentów w dowolnej formie.

Powołując się na wskazany przepis prawa, rzeczoznawca majątkowy może złożyć wniosek do właściwego organu celem udostępnienia mu rejestrów i dokumentów, niejednokrotnie zawierających dane osobowe.

Funkcja IOD - to się dobrze przekazuje

Wniosek bez podstawy prawnej – co zrobić?

Warto również wspomnieć o tym, że nie zawsze wniosek o udostępnienie danych, jaki wpływa do podmiotu administratora posiada wskazaną podstawę prawną. Co w takiej sytuacji powinien zrobić administrator? w pierwszej kolejności należy dokładnie przyjrzeć się wnioskowi. Jeśli brak wskazanej podstawy prawnej jest wynikiem błędu lub zapomnienia, zasadne będzie wezwanie wnioskodawcy do uzupełnienia lub poprawy wniosku. Jeśli jednak brak jest przepisu prawa, na który wnioskodawca mógłby się powołać, należy dokonać oceny uprawnienia wnioskodawcy do otrzymania danych osobowych. w tym przypadku rolą administratora jest rozważenie, czy istnieje interes faktyczny, uzasadniona przesłanka do tego, aby takie dane osobowe zostały wnioskodawcy udostępnione.

Jak być w zgodzie z RODO?

Aby nie pogubić się w gąszczu przepisów i nie narazić się na zarzut naruszenia przepisów RODO, administrator danych powinien przede wszystkim przestrzegać obowiązujących zasad, wynikających z przepisów RODO. Warto jest zatem zajrzeć do art. 5 RODO i zadbać o to, aby przy udostępnianiu danych osobowych zapewnić rozliczalność danych, wskazać właściwą podstawę prawną lub interes faktyczny określający cel oraz adekwatność tego celu, a także o to, aby dane osobowe zostały udostępnione przy zachowaniu zasady minimalizacji danych. Dobrą praktyką u każdego administratora danych będzie zatem stworzenie odpowiednich procedur regulujących postępowanie z wnioskami o udostępnienie danych.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".