Pytania o udostępnienie
Od kilku lat otrzymujemy na naszą platformę pytania dotyczące tego, czy w określonych sytuacjach administrator może udostępnić przetwarzane przez siebie dane osobowe. W większości przypadków pytania są podobne: „Otrzymaliśmy pismo od podmiotu X. Podmiot X prosi o udostępnienie danych osoby Y? Czy możemy takie dane udostępnić?” lub też „Czy administrator ma obowiązek udostępnić mi kopię moich danych z nagrania monitoringu lub rozmowy telefonicznej?”.
Przykłady:
- Pracuję w szkole. Otrzymaliśmy e-mail z żądaniem o dostęp do informacji publicznej. Jako administrator mamy podać imienną listę nauczycieli z wykazem przedmiotów, których uczą, oraz pensje brutto za miesiąc. Czy możemy takie dane udostępnić?
- Jestem członkiem spółdzielni mieszkaniowej. Spółdzielnia ta prowadzi rejestr członków, w którym znajdują się imię i nazwisko, dokładny adres oraz data urodzenia każdego członka spółdzielni. Spółdzielnia twierdzi, że jest to zgodne z jej statutem. Czy może te dane gromadzić zgodnie z prawem i udostępniać na żądanie innych członków spółdzielni?
- Czy istnieje możliwość uzyskania kopii nagrania rozmowy telefonicznej? Sklep przed połączeniem z konsultantem informuje o tym, że rozmowa jest nagrywana. Kopia takiego nagrania pomogłaby mi rozwiązać spór między mną a sklepem internetowym. Czy sklep może udostępnić mi nagranie?
Czym jest udostępnienie danych – przypomnienie
Musimy pamiętać, że udostępnienie danych jest jedną z operacji przetwarzania zdefiniowanych w ramach art. 4 pkt 2 RODO. Stanowi ono przekazanie danych osobowych poza organizację administratora. Na skutek udostępnienia danych osobowych, a więc przekazania określonych informacji do innego podmiotu, administrator nie ma kontroli nad ich przetwarzaniem. Nie decyduje zatem o sposobie i celach przetwarzania przekazanych danych osobowych przez podmiot, który te dane otrzymał.
Podział podstawowy – dobrowolne i obowiązkowe udostępnienie
Udostępnianie danych dzielimy w ramach podstawowego podziału na obowiązkowe i dobrowolne.
Obowiązkowe udostępnienie danych będzie wynikało wprost z przepisów prawa, które nakazują ujawnienie informacji przez każdego, kto tymi informacjami dysponuje. W tej sytuacji administrator danych ma obowiązek udostępnić dane osobowe, ponieważ nakaz takiego zachowania wynika z powszechnie obowiązujących przepisów prawa.
W ramach naszego cyklu artykułów wskazywaliśmy już na przykłady przepisów, które nakazują administratorom udostępnienie danych. Należą do nich art. 248 § 1 Kodeksu postępowania cywilnego (sądy), art. 15 Kodeksu postępowania karnego (organy ścigania) czy też art. 155 Ordynacji podatkowej (urząd skarbowy).
Udostępnianie danych na żądanie komornika
Często pojawiają się pytania dotyczące udostępniania danych na żądanie komornika.
Przykład: Jako pracodawca dostaliśmy pismo od komornika, aby podać wszystkie dane pracownika, tj. adres, numer konta bankowego, numer telefonu. Pracownik podpisał nam zgodę, że podaje dane tylko do spraw służbowych. Czy możemy te dane udostępnić komornikowi?
Komornicy sądowi stanowią organ egzekucyjny. Na podstawie art. 761 Kodeksu postępowania cywilnego są uprawnieni do żądania informacji i wyjaśnień. Przepis art. 761 § 2 wskazuje, że organ egzekucyjny może żądać informacji dotyczących stanu majątkowego dłużnika lub umożliwiających identyfikację składników jego majątku oraz danych adresowych jedynie w zakresie niezbędnym do zapewnienia prawidłowego toku postępowania.
Jest to zatem jeden z kolejnych przepisów prawa, który komornikowi daje określone uprawnienie, a administratorowi – w tym przypadku pracodawcy – nakazuje udostępnić dane pracownika, jeśli ten jest dłużnikiem, wobec którego prowadzi się postępowanie egzekucyjne.
Zatem gdy do administratora danych wpłynie wniosek o udostępnienie informacji, dokumentów lub danych, w pierwszej kolejności należy dokładnie mu się przyjrzeć. Obowiązkiem administratora jest weryfikacja, czy złożony wniosek zawiera podstawę prawną i/lub faktyczną, która będzie trafna w określonej sytuacji oraz aktualna. Następnie należy zweryfikować wnioskodawcę oraz jego uprawnienia do otrzymania żądanych danych.
Udostępnianie danych sprawców szkód
Pojawiają się również wątpliwości dotyczące ujawniania danych sprawców różnego rodzaju szkód.
Przykład: Jeśli osoba poszkodowana złoży do administratora wniosek o udostępnienie danych z monitoringu, np. w celu ustalenia sprawcy uszkodzenia pojazdu na parkingu, to czy administrator ma prawo udostępnić jej nagranie, jeśli nim dysponuje?
Co do zasady zarówno poszkodowany, jak i ubezpieczyciel są podmiotami, którym można udostępnić dane osobowe (wizerunek) z nagrania monitoringu w przypadku otrzymania stosownego wniosku oraz po pozytywnej weryfikacji danych.
Udostępnianie danych na żądanie osoby, której dane dotyczą
Coraz więcej osób ma świadomość uprawień, jakie im przysługują na mocy przepisów RODO, w szczególności prawa dostępu do swoich danych (art. 15 ust. 1 RODO) oraz prawa do uzyskania kopii danych osobowych przetwarzanych przez administratora (art. 15 ust. 3 RODO). Ale czy z punktu widzenia administratora istnieje obowiązek przekazania kopii danych w każdym przypadku – nawet wtedy, gdy żądanie jest absurdalne, np. „Wnoszę o udostępnienie mi kopii wszystkich moich e-maili, które wysyłałem ze służbowej skrzynki jako pracownik, oraz wszystkich dokumentów, które podpisałem w imieniu Państwa podmiotu jako pracodawcy”.
Aby pomóc w prawidłowym rozpatrzeniu takich żądań, warto odwołać się do stanowiska Prezesa UODO wyrażonego w decyzji z 22 marca 2019 r. (ZSZZS.440.660.2018, https://uodo.gov.pl/decyzje/ZSZZS.440.660.2018). Organ nadzorczy wskazał, że „udostępnienie kopii danych zawartych w dokumentach (np. w pismach urzędowych), zgodnie z art. 15 ust. 3 RODO, nie jest równoznaczne z obowiązkiem udostępnienia kopii dokumentów. Administrator nie ma bowiem obowiązku udostępniania osobie zainteresowanej nośnika, na którym przetwarzane są dane osobowe, oraz danych, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO i nie dotyczą wnioskującego. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku”.
Należy zatem pamiętać, że nie każdy wniosek zasługuje na uwzględnienie, a administrator danych – mimo że wniosek otrzymał – nie zawsze musi pozytywnie go rozpatrzyć. Pracodawca nie ma bowiem obowiązku udostępniać dokumentów, e-maili ani innych informacji, które stanowią na przykład tajemnicę przedsiębiorstwa.
Dostęp do informacji publicznej – ważny aspekt udostępniania danych
Każda informacja o sprawach publicznych stanowi informację publiczną. Do udostępnienia informacji publicznej są zobowiązane m.in. podmioty reprezentujące osoby lub jednostki organizacyjne, które wykonują zadania publiczne lub dysponują majątkiem publicznym, oraz osoby prawne, w których Skarb Państwa, jednostki samorządu terytorialnego lub samorządu gospodarczego albo zawodowego mają pozycję dominującą w rozumieniu przepisów o ochronie konkurencji i konsumentów.
Jak zatem rozpatrywać wnioski o udostępnienie danych, które są oparte na przepisach ustawy o dostępie do informacji publicznej?
Przepis art. 6 ustawy o dostępie do informacji publicznej określa, jakie informacje podlegają udostępnieniu w trybie tej ustawy. Z uwagi na zawarte tam sformułowanie „w szczególności” katalog ten jest otwarty, co oznacza, że również inne informacje niewymienione w tym przepisie mogą podlegać takiemu udostępnieniu. Niekiedy jednak samemu trudno jest dokonać prawidłowej interpretacji, czy żądana informacja stanowi informację publiczną, czy też nie.
Przykład: Pracuję w jednostce budżetowej. Został do nas złożony wniosek o informację publiczną w zakresie wskazania średniego miesięcznego wynagrodzenia brutto liczonego jako ekwiwalent za niewykorzystany urlop. Prośba dotyczy wskazania średniego wynagrodzenia kierownika jednostki, jego zastępcy i dyrektora biura. Czy mogę takie dane udostępnić, zwłaszcza w zakresie, w jakim dotyczą dyrektora biura?
Należy wskazać, że informacje o średnich wynagrodzeniach kierownika jednostki, jego zastępcy i dyrektora biura mogą być udostępniane w trybie art. 6 ustawy o dostępie do informacji publicznej. Osoby zajmujące kierownicze stanowiska w instytucjach publicznych, w tym w jednostkach budżetowych, często są traktowane jako funkcjonariusze publiczni, co wynika z ich wpływu na realizację zadań publicznych i podejmowanie decyzji o charakterze ogólnospołecznym. Zatem ich dane co do zasady powinny podlegać udostępnieniu.
Ograniczenia jawności – prywatność i tajemnica przedsiębiorstwa
A jak postąpić w sytuacji, gdy udostępnienie danych mogłoby prowadzić do ujawnienia prywatnych danych osoby lub tajemnicy przedsiębiorstwa?
Ustawodawca przewidział również ten problem. Uznał, że nawet w podmiotach objętych przepisami ustawy o dostępie do informacji publicznej mogą wystąpić przypadki, w których udostępnienie określonych informacji nie zawsze będzie możliwe. Przepis art. 5 ust. 2 ustawy o dostępie do informacji publicznej ogranicza prawo dostępu do informacji z uwagi na tzw. prywatność osoby fizycznej lub tajemnicę przedsiębiorstwa: „Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa”.
Zatem gdy otrzymamy wniosek o udostępnienie w trybie ustawy o dostępie do informacji publicznej, najpierw szczegółowo przeanalizujmy, czy żądana informacja mieści się w katalogu informacji stanowiących informację publiczną, a następnie oceńmy, czy jej ujawnienie nie podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorstwa.
Zagadnienie udostępniania danych osobowych, choć z pozoru nieskomplikowane, może sprawiać wiele problemów – zwłaszcza gdy nie mamy pewności, czy informacje wskazane we wniosku w ogóle powinny zostać udostępnione. Nie wszystkie pytania są proste i jednoznaczne, a część z nich może budzić poważne trudności interpretacyjne. W takich sytuacjach nasz zespół pozostaje do Państwa dyspozycji, służąc pomocą i wsparciem w rozstrzyganiu tych kwestii.