Otrzymałeś wniosek o udostępnienie danych? Sprawdź, czy jest podstawa prawna, by to zrobić

Autor: Włodzimierz Dola
Data: 25-02-2020 r.

Do każdego administratora danych mogą zwrócić się pewne podmioty z wnioskiem o udostępnienie danych osobowych. Mogą to być policja, sądy, banki czy firmy windykacyjne. Przede wszystkim musisz potwierdzić, że osoba, która się do Ciebie zgłasza ma prawo pozyskać dane. W przeciwnym razie możesz udostępnić dane osobie nieupoważnionej, za co grozi odpowiedzialność karna.

Każdy administrator danych osobowych prędzej czy później otrzyma wniosek o udostępnienie danych osobowych. Może mieć on bardziej lub mniej formalny charakter i dotyczyć:

  • obecnych albo byłych pracowników,
  • współpracowników,
  • klientów czy
  • innych osób, których dane przetwarza.

Z takim wnioskiem najczęściej zwracają się takie podmioty, jak:

  • policja,
  • prokuratura,
  • oddziały Zakładu Ubezpieczeń Społecznych,
  • komornicy,
  • urzędy skarbowe,
  • ośrodki pomocy społecznej,
  • firmy windykacyjne,
  • banki,
  • osoby lub firmy chcące dochodzić swoich roszczeń.

Przekazanie danych – udostępnienie lub powierzenie

Ustawa o ochronie danych osobowych przewiduje dwa przypadki przekazania danych osobowych. Będzie to udostępnienie albo powierzenie przetwarzania danych osobowych. Jeśli zatem spotkaliśmy się z sytuacją, gdy jeden administrator danych osobowych przekazuje dane osobowe innemu podmiotowi, to zgodnie z ustawą o ochronie danych osobowych należy to zakwalifikować jako ich udostępnienie albo powierzenie przetwarzania danych osobowych. Podstawowa cecha, która różni te sposoby przekazania danych, to rola podmiotu, który dane osobowe otrzymuje. W przypadku udostępnienia danych osobowych ich odbiorca uzyskuje status administratora danych osobowych, podczas gdy przy powierzeniu przetwarzania pełni on funkcję wyłącznie podmiotu przetwarzającego dane na zlecenie, czyli procesora.

Udostępnienie danych – na jakiej podstawie prawnej

Udostępnianie danych osobowych jest jednym z procesów wymienionych w art. 7 pkt 2 ustawy o ochronie danych osobowych. Artykuł ten zawiera definicję procesu, jakim jest przetwarzanie danych osobowych. Skoro zatem ich udostępnianie jest jednym z procesów przetwarzania danych osobowych, to w odniesieniu do legalizacji procesu przetwarzania danych osobowych (jakim jest ich udostępnianie) należy opierać się na przesłankach określonych w przepisach, a dokładniej:

  • art. 23 (w odniesieniu do danych zwykłych),
  • art. 27 (w odniesieniu do danych wrażliwych) ustawy o ochronie danych osobowych.

Istotne jest również, że art. 7 pkt 6 ustawy o ochronie danych osobowych definiuje pojęcie odbiorcy danych, jako każdego, komu dane osobowe są udostępniane, z wyłączeniem pewnych kategorii podmiotów które zostały wskazane w ustawie, m.in. takich jak:

  • osoby, których dane osobowe dotyczą,
  • osoby upoważnione do przetwarzania danych osobowych,
  • podmiot, któremu powierzono dane osobowe do przetwarzania, a także
  • organy państwowe lub organy samorządu terytorialnego, którym dane osobowe są udostępniane w związku z prowadzonym postępowaniem.

Co grozi za udostępnienie danych osobom nieupoważnionym

Otrzymanie przez administratora danych wniosku o udostępnienie danych osobowych często budzi przerażenie i rodzi pytanie, czy udostępnić wnioskowane dane osobowe, czy nie. Jeśli przekazujemy dane osobowe przez telefon, musimy potwierdzić, że osoba telefonująca ma upoważnienie do ich pozyskania. Co będzie, jeśli nie udostępnimy podmiotowi składającemu wniosek danych osobowych, mimo że wniosek został prawidłowo zgłoszony? Co się stanie, jeśli wnioskujący nie ma podstawy do tego, aby takie dane osobowe przetwarzać, a my uwzględnimy jego wniosek i mu je udostępnimy?

Ustawa o ochronie danych osobowych (art. 24 i art. 25) reguluje kwestie tzw. obowiązków informacyjnych. Wśród informacji, jakie administrator danych zobowiązany jest przekazać osobom, których dane osobowe dotyczą, są informacje o potencjalnych odbiorcach danych osobowych lub kategoriach tych odbiorców.

W tym miejscu szczególną uwagę należy zwrócić na art. 51 ustawy o ochronie danych osobowych, który przewiduje odpowiedzialność karną za udostępnienie lub umożliwienie dostępu do danych osobom nieupoważnionym. Odpowiedzialność karną mogą ponieść osoby administrujące zbiorem danych osobowych i osoby zobowiązane do ich ochrony – a zatem i pracownicy, którzy w imieniu administratora danych osobowych będą decydować o udostępnieniu danych osobowych.

Przepis ten przewiduje karę:

  • grzywny,
  • ograniczenia wolności lub
  • pozbawienia wolności do dwóch lat,

a w przypadku działania nieumyślnego kary:

  • grzywny,
  • ograniczenia wolności lub
  • pozbawienia wolności do roku.

Jeśli nie udostępnimy danych osobowych, mimo że podmiot jest do tego uprawniony, przepisy ustawy o ochronie danych osobowych nie przewidują żadnej odpowiedzialności karnej.

Znane są przypadki podszywania się pod funkcjonariuszy policji w celu wyłudzenia danych osobowych. Zalecam, aby potwierdzić tożsamość policjanta, który wnosi o udostępnienie danych poprzez weryfikację jego tożsamości na najbliższym komisariacie. Można też poprosić go, aby złożył wniosek o udostępnienie danych za pomocą oficjalnego pisma czy e-maila wysłanego z komisariatu policji. Podobną procedurę można zastosować w odniesieniu do komorników, oddziałów ZUS, urzędów skarbowych, ośrodków pomocy społecznej. Podstawą wniosku o udostępnienie danych osobowych w tych przypadkach są przepisy prawa. Z praktyki wiem, że wnioskodawcy często wykraczają poza zakres ustawowego upoważnienia do pozyskania danych osobowych. W związku z tym warto skonfrontować wniosek z przepisem, na który wnioskodawca się powołuje.

Należy jednak pamiętać, że wnioskujący o udostępnienie danych o sprawie może poinformować Generalnego Inspektora Ochrony Danych Osobowych, który na podstawie art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych może nakazać ich udostępnienie. Administrator danych powinien pamiętać, że decyzja taka może zapaść po przeprowadzeniu przez Generalnego Inspektora Ochrony Danych Osobowych kontroli, w toku której mogą ujrzeć światło dzienne uchybienia w procesie przetwarzania danych osobowych.

Sprawdź, komu udostępniasz dane osobowe

Co należy zrobić w sytuacji, gdy do siedziby naszej organizacji dzwoni lub stawia się osobiście funkcjonariusz policji, żądając udostępnienia informacji dotyczących naszych pracowników w związku z prowadzonym postępowaniem? W pierwszej chwili każdy z nas z pewnością myśli, że bezwarunkowo należy udostępnić dane, wszak jest to organ administracji rządowej. Jednakże trzeba uważać, żeby nie udostępnić danych osobie nieupoważnionej. Udostępniając dane osobowe, powinniśmy mieć pewność, że wnioskodawca jest rzeczywiście osobą, za którą się podaje.

Potwierdź tożsamość rozmówcy

Częstą sytuacją jest potwierdzanie telefonicznie pracownikowi banku informacji z zaświadczenia o zarobkach. Generalny Inspektor Ochrony Danych Osobowych dopuszcza taki sposób działania. Jednak osoba udzielająca informacji musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji. Można to zrobić poprzez połączenie się przez centralę banku i połączenie z numerem wewnętrznym przyporządkowanym do danego pracownika banku.

Gdy wnioskodawca chce uzyskać dane, by dochodzić swoich roszczeń

Z wnioskiem o udostępnienie danych adresowych pracowników mogą się zwrócić osoby fizyczne lub ich pełnomocnicy, a także firmy windykacyjne, w związku z dochodzeniem swoich roszczeń – np. w postępowaniu cywilnym. Takie przetwarzanie danych osobowych mieści się w ramach art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Naczelny Sąd Administracyjny w wyroku z 21 sierpnia 2013 r. stwierdził, że możliwe jest udostępnienie danych tzw. hejterów, czyli osób, które naruszają dobra osobiste w Internecie.

Zgodnie z art. 23 ust. 1 pkt 5 uodo przetwarzanie jest dopuszczalne, jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych. Za taki prawnie usprawiedliwiony cel uznaje się dochodzenie roszczeń w postępowaniu cywilnym. Przesłanka udostępnienia danych osobowych może dotyczyć już toczącego się postępowania sądowego, w którym sąd wezwał stronę procesową do uzupełnienia braków postępowania. Nie można żądać udostępniania danych osobowych „na zapas”. O tym, że dane pracownika mogą być przekazywane np. firmom windykacyjnym, osobom upoważnionym czy podmiotom dochodzącym swoich praw można poinformować go przy podpisywaniu umowy o pracę

Jakich informacji musisz udzielić osobom, których dane udostępniłeś

Osoby, których dane dotyczą, należy poinformować o odbiorcach lub potencjalnych odbiorcach (art. 24 i 25 ustawy o ochronie danych osobowych). Trzeba dopełnić obowiązku informacyjnego w momencie ich zbierania lub utrwalania. Jeżeli zatem przy podpisywaniu z pracownikiem umowy o pracę poinformujemy go o możliwości udostępniania jego danych:

  • podmiotom upoważnionym do tego na podstawie przepisów prawa,
  • firmom windykacyjnym,
  • osobom dochodzącym swoich roszczeń,

to nie musimy każdorazowo informować go tym, że jego dane są udostępniane.

Każdy przypadek wniosku o udostępnienie danych osobowych należy traktować indywidualnie. Pamiętać przy tym należy o odpowiedzialności karnej za udostępnienie danych osobowych osobom nieupoważnionym i o obowiązku udostępnienia danych we wskazanych ustawowo przypadkach. Mniejsze znaczenie przy tym ma forma wniosku. Ważne jest to, abyśmy udostępniając dane, mieli pewność co do tożsamości odbiorcy danych i robili to w zgodzie z zasadami przetwarzania danych, zwłaszcza z zasadą celowości i adekwatności.

Włodzimierz Dola

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 41110 )
Array ( [docId] => 41110 )