Często otrzymujemy pytanie od klientów dotyczące udostępnienia danych osobowych „Czy można udostępnić dane?”. Pytania te równie często zaczynają się od słów „Do tej pory udostępnialiśmy dane ale teraz jest RODO i nie wiemy”.
W związku z tym spróbuje przedstawić kilka najważniejszych zasad, którymi powinny się kierować jednostki udostępniające dane. Jednak zanim przedstawię zasady, wrócę do samego początku, czyli do tego czym jest udostępnienie danych.
Udostępnianie danych jest jednym
z elementów przetwarzania danych. Mówiąc wprost udostępnianie to przetwarzanie danych osobowych. Zapis taki został zawarty w art. 4 pkt 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych – dalej RODO) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W związku z tym, mając na uwadze powyższą definicję, odpowiedź na pytanie, czy mogę udostępnić dane jest bardzo prosta – możesz, kiedy masz przesłanki przetwarzania danych osobowych.
Natomiast przesłanki przetwarzania danych osobowych znajdują się w art. 6, 9 i 10 RODO. Gdy mowa o danych „zwykłych” należy odnieść się do przetwarzanie przetwarzania (udostępnienia) danych z art. 6 ust. 1 RODO i są nimi:
- zgoda osoby, której dane dotyczą – osoba wyraża zgodę na udostępnienie danych;
- umowa lub dane niezbędne przed zawarciem umowy – w związku z realizacją umowy będzie wymagane udostępnienie danych;
- przepis prawa – szczegółowy przepis prawa zezwala, nakazuje udostępnienia danych;
- żywotne interesy osoby – dane osoby są udostępniane w związku z żywotnym interesem osoby;
- zadanie realizowane w interesie publicznym – dane osoby są udostępniane w związku
z interesem publicznym; - prawnie uzasadniony interes administratora – administrator wykaże prawnie uzasadniony interes by udostępnić dane.
Natomiast w przypadku udostępnienia szczególnej kategorii danych, przesłanki do tego udostępnienia znajdują się w art. 9 ust. 2 RODO i są nimi m.in.:
- zgoda osoby;
- udostępnienie jest niezbędne do wypełnienia szczególnych praw w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem;
- udostępnienie jest niezbędne ze względów związanych z ważnym interesem publicznym,
na podstawie prawa; - udostępnienie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy.
W przypadku udostępnienia danych dotyczących wyroków skazujących i czynów zabronionych przesłankami przetwarzania danych będą przesłanki
z art. 6 ust. 1, czyli przesłanki udostępnienia danych „zwykłych”.
Gdy już wiemy, kiedy udostępniać dane warto przejść do zasad, którymi należy kierować się przy ich udostępnianiu:
1. Posiadaj wniosek o udostępnienie danych.
Zawsze posiadaj dowód na to, że jakaś jednostka chce od Ciebie dane osobowe.
Mogą pojawić się sytuacje, gdy należy udostępnić dane ad hoc (są to sytuacje nieciepiące zwłoki), wtedy należy sporządzić notatkę służbową, która będzie zawiera informacje o udostępnieniu.
2. Sprawdź podstawę udostępnienia.
Zawsze sprawdź, czy we wniosku jest podstawa prawna i czy jest ona prawidłowa. Bardzo częstą praktyką jest przesyłanie wniosków o udostępnienie danych bez podstawy prawnej. Tak jak już wcześniej zostało przedstawione, by móc udostępnić dane musi zostać przedstawiona przesłanka przetwarzania. Jeżeli przesłanką przetwarzania jest przepis prawa, we wniosku musi także być powołanie na szczegółowy przepis prawa. Takim szczegółowym przepisem prawa może być:
- Art. 15 § 2 Kodeksu Postępowania Karnego – Wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania
do udzielania pomocy organom prowadzącym postępowanie karne w terminie wyznaczonym przez te organy; - Art. 105 ust. 1 Ustawy o pomocy społecznej – Jednostki sektora finansów publicznych, w tym sądy, Policja, Zakład Ubezpieczeń Społecznych, Kasa Rolniczego Ubezpieczenia Społecznego
i organy administracji publicznej, a także kuratorzy sądowi, pracodawcy, podmioty wykonujące działalność leczniczą, przedszkola, szkoły, placówki, poradnie i ośrodki, o których mowa w art. 2 pkt 1-8 ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U. z 2018 r. poz. 996, 1000 i 1290), szkoły wyższe, organizacje pozarządowe, o których mowa w art. 3 ust. 2 ustawy z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie oraz podmioty wymienione w art. 3 ust. 3 tej ustawy są obowiązani niezwłocznie, nie później jednak niż w terminie 7 dni od dnia otrzymania wniosku kierownika ośrodka pomocy społecznej lub pracownika socjalnego udostępnić informacje, które mają znaczenie dla rozstrzygnięcia
o przyznaniu lub wysokości świadczeń z pomocy społecznej, dla ustalenia wysokości odpłatności za świadczenia z pomocy społecznej lub
dla weryfikacji uprawnień do świadczeń z pomocy społecznej, wysokości tych świadczeń
lub odpłatności za te świadczenia.
W przypadku braku podstawy lub przywołanie niewłaściwej podstawy należy skierować pismo
z prośbą o uzupełnienie wniosku.
3. Przygotuj tylko niezbędne dane.
Udostępniając dane sprawdź, czy podmiot ma prawo do wszystkich danych, o które prosi. Zakres danych powinien być zgody z przepisem, który podmiot przywołuje w celu udostępnienia danych. Udostępnij tylko te dane, do których podmiot ma prawo i tylko te, o które prosi.
4. Zabezpiecz udostępniane dane.
Udostępniając dane musisz pamiętać o ich odpowiednim zabezpieczeniu. Należy zminimalizować możliwość dostępu do danych osobom nieuprawnionym.
Dane udostępniane w formie elektronicznej powinny być zaszyfrowane a hasło dostępu powinno być przekazywane za pomocą innych środków. Dane udostępniane w formie papierowej powinny być przesyłane za potwierdzeniem odbioru lub dostarczone bezpośrednio do podmiotu wnioskującego. Sposób udostępnienia
i zabezpieczenia zawsze zależy od zakresu udostępnianych danych.
5. Prowadź ewidencję.
Odnotuj udostępnienie danych. Bardzo dobrą praktyką jest prowadzenie ewidencji udostępnionych danych. Taka ewidencja powinna zawierać
w szczególności:
- Dane osoby, której dane były udostępniane;
- Dane podmiotu wnioskującego;
- Podstawę udostępnienia;
- Datę udostępnienia;
- Zakres udostępnienia.
Taka ewidencja może okazać się przydatna przy spełnieniu praw przysługujących osobom, których dane są przetwarzane.
Wracają do przytoczonego na początku pytania „Czy można udostępnić dane?”, odpowiedź nasuwa się sama. Postępując zgodnie z powyższymi zasadami, przejście ich krok po kroku, zapewni właściwe podjęcie decyzji. Podstawowym pytaniem, które powinno paść, jest tutaj pytanie o podstawę udostępnienia danych i od tego powinno się zacząć.
Autor: Krzysztof Juszczak, Ekspert Ochrony Danych Osobowych
i Bezpieczeństwa Informacji w CompNet Sp. z o.o.