Udostępnienie danych osobowych – podstawa prawna
Jedną z czynności przetwarzania danych osobowych jest udostępnienie danych osobowych, co wynika z definicji „przetwarzania” z art. 4 pkt. 2 Rozporządzenia RODO:
„Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Mimo, iż Rozporządzanie RODO nie definiuje wprost pojęcia „udostępnienie danych osobowych”, możemy przyjąć, iż chodzi o udostępnienie danych poza organizację. Udostępnienie danych osobowych na gruncie Rozporządzania RODO może odbywać się m.in. na podstawie art. 6 i 9 Rozporządzania RODO.
Udostępnienie a powierzenie przetwarzania danych osobowych
W praktyce wiele problemów sprawa odróżnienie udostępnienia danych osobowych od powierzenia przetwarzania danych osobowych. Powierzenie przetwarzania danych osobowych uregulowane została w art. 28 Rozporządzania RODO ( link do artykułu).
Jednym z kryteriów, które można przyjąć do odróżnieni udostępnienia danych osobowych od powierzenia przetwarzania danych osobowych jest funkcja, jaką pełnią w określonym procesie przetwarzania. I tak:
- udostępnienie danych osobowych zachodzi między niezależnymi administratorami danych osobowych
- powierzenia przetwarzania danych osobowych zachodzi pomiędzy administratorem danych osobowych a podmiotem przetwarzającym (procesorem).
Zgodnie z definicją z art. 4 pkt. 7 administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W takim razie kim jest podmiot przetwarzający? Jak stanowi art. 4 pkt. 8 podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Na uwagę zasługuje także definicja zaprezentowana przez Grupę Roboczą Art. 29, która w świetle Rozporządzanie RODO może być nadal stosowana. Mianowicie, istnienie podmiotu przetwarzającego zależy od decyzji podjętej przez administratora danych, który może podjąć decyzję o przetwarzaniu danych w swojej organizacji lub o przekazaniu organizacji zewnętrznej całości bądź części działań związanych z przetwarzaniem.
W związku z tym podmiot może być przetwarzającym, jeżeli spełnia dwa podstawowe warunki:
- po pierwsze, jest odrębną osobą prawną w stosunku do administratora danych,
- po drugie, przetwarza dane osobowe w jego imieniu.
Działania związane z przetwarzaniem mogą się ograniczać do bardzo szczególnego zadania lub kontekstu lub mogą wiązać się z pewnym stopniem swobody uznania w odniesieniu do możliwie najlepszego sposobu działania w interesie administratora danych, umożliwiając przetwarzającemu dokonanie wyboru najbardziej odpowiednich środków technicznych i organizacyjnych1.
Udostępnienie danych osobowych
Jeżeli nie dochodzi do powierzenia przetwarzania danych osobowych, a w procesie przetwarzania danych mamy do czynienia z niezależnym administratorami danych, to mówimy o udostępnieniu danych.
Przykładem udostępnienia danych osobowych przez pracodawcę będzie przekazanie danych osobowych członków rodziny pracownika celem zgłoszenia ich Zakładzie Ubezpieczeń Społecznych, w dobie obecnej sytuacji przekazanie informacji o pracowniku do Głównego Inspektora Sanitarnego czy np. udostępnić organom ścigania nagranie z kamer monitoringu wizyjnego. W praktyce będzie to oznaczać konieczność ścisłej weryfikacji podmiotów, które wnoszą o udostępnianie danych osobowych. Ich powierzenie osobom trzecim musi określać podstawa prawna, która daje możliwość występowania o przekazanie odpowiednich informacji w związku z zaistnieniem konkretnych okoliczności. Owe sytuacje także muszą być określone przez przepisy stanowiące podstawę działania podmiotów – osób trzecich. Każdy przypadek udostępnienia powinien również być ewidencjonowany w sposób niebudzący zastrzeżeń.
Udostępnianie danych osobowych osobom trzecim
Udostępnienie danych osobowych osobom trzecim jest dopuszczalne na gruncie przepisów Rozporządzania RODO, przy czym należy zachować wszelkie procedury, aby udostępnienie danych osobowych osobom trzecim było zgodne z przepisami. M.in. należy sprawdzić podstawę prawną do udostępnienia danych osobowych, zweryfikować osobę trzecią, której udostępniane są dane osobowe, ale także prowadzić rejestr udostępnień.
Przykłady udostępnienia danych osobowych
Udostępnienie danych osobowych odbywa się m.in. poprzez realizację prawa dostępu do danych osobowych w tym do otrzymania kopii – art. 15 Rozporządzania RODO:
„Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich.” (art. 15 ust. 1 Rozporządzania RODO)
1 GRUPA ROBOCZA DS. OCHRONY DANYCH POWOŁANA NA MOCY ART. 29 Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” przyjęta w dniu 16 lutego 2010 r.