Udostępnienie danych osobowych- ewentualne problemy

BySylwia Ostrowska
udostępnienie danychKlasyfikacja udostępniania danych osobowych

Zgodnie z art. 4 pkt 2 Ogólnego rozporządzenia o ochronie danych (RODO), przetwarzanie to każda operacja na danych osobowych, w tym rozpowszechnienie lub innego rodzaju udostępnianie. O ile czynności takie jak zbieranie, usuwanie czy przechowywanie danych osobowych nie budzą większych wątpliwości, o tyle udostępnianie jest operacją dość problematyczną. Istota tego procesu przetwarzania opiera się na przekazywaniu danych osobie lub podmiotowi, który co do zasady tych dostępów do takich danych nie ma. Podejmowanie takich działań zazwyczaj powoduje uzasadnione obawy u administratora danych osobowych, gdyż jednym z jego obowiązków na gruncie art. 5 RODO jest uniemożliwienie dostępu do danych osobom nieuprawnionym. Jak w takim razie stwierdzić, czy podmiot chcący udostępnienia mu danych osobowych ma podstawy do żądania takiego dostępu. By móc wykazać, że zostało to dokonane zgodnie z prawem?

Podstawa prawna udostępnienia danych osobowych

Zgodnie z art. 6 RODO, dane osobowe mogą być przetwarzane wyłącznie w oparciu o jedną z sześciu podstaw prawnych wymienionych w tym przepisie. Oznacza to, że udostępnienie danych również wymaga zastosowania jednej z tych podstaw prawnych, wskazanych w tym artykule i nie jest traktowane inaczej niż inne czynności przetwarzania. W praktyce jednak wątpliwości budzi stosowanie art. 6 ust. 1 lit. c) lub f) jako podstaw prawnych udostępniania danych, jednakże z różnych powodów.

Udostępnienie danych na podstawie art. 6 ust. 1 lit. c) RODO

Art. 6 ust. 1 lit. c) RODO, czyli realizacja obowiązku prawnego ciążącego na Administratorze, oznacza w tym przypadku, że podmiot żądający danych osobowych jest bezpośrednio uprawniony do dostępu do nich. Administrator jest wtedy prawnie zobowiązany do udostępnienia danych osobowych, tak jak np. w sytuacji, w której Policja żąda danych osobowych powołując się na art. 15 ustawy Kodeks postępowania karnego. Przepis ten nakłada w praktyce na każdy podmiot lub osobę fizyczną obowiązek udzielenia Policji wszelkich informacji i pomocy niezbędnych dla prowadzonego przez nią postępowania. Niewątpliwie w tym zakresie mieści się również przekazywanie danych osobowych. O ile w przytoczonym przypadku sytuacja jest klarowna, o tyle niekiedy przepisy krajowe są znacznie trudniejsze do interpretacji. Przykładem jest przepis często przytaczany przez zakłady ubezpieczeń wnioskujące o udostępnienie im danych do m. in. spółdzielni mieszkaniowych. Jest to art. 42 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, który stanowi: „prokuratura, Policja oraz inne organy i instytucje, na wniosek zakładu ubezpieczeń, w zakresie zadań przez ten zakład ubezpieczeń wykonywanych i w celu ich wykonania, w związku z wypadkiem lub zdarzeniem losowym będącym podstawą ustalania odpowiedzialności, udzielają informacji o stanie sprawy oraz udostępniają zebrane materiały, jeżeli są one niezbędne do ustalenia okoliczności tych wypadków i zdarzeń losowych oraz wysokości odszkodowania lub świadczenia”. Powstaje tutaj bardzo zasadnicze pytanie – czym są inne organy i instytucje? O ile słowo „organy” można bez większych wątpliwości interpretować jako organy administracji rządowej lub samorządowej, o tyle zdefiniowanie „instytucji” może być kłopotliwe. Według PWN termin ten może oznaczać zarówno „zakład o charakterze publicznym zajmujący się określonym zakresem spraw”, do których zaliczyć spółdzielnię mieszkaniową nie sposób, jak również „organizacja działająca na podstawie norm prawnych lub obyczajowych dotyczących organizacji jakiejś dziedziny życia”, za którą już można taki podmiot uznać. Dlatego też, zakłady ubezpieczeń tak chętnie powołują się na przytoczony przepis. Są one przekonane o jego adekwatności niezależnie od adresata ich wniosku. Biorąc pod uwagę niejasny zakres podmiotowy art. 42 ust. 1 wspomnianej ustawy, nie jest to bynajmniej zaskakujące. Jednakże, administrator danych w tej sytuacji jest w kropce. Ryzykuje albo naruszenie przepisów o ochronie danych osobowych udostępniając dane bezpodstawnie, albo naruszenie przepisów ustawy o działalności ubezpieczeniowej i reasekuracyjnej. Innymi słowy, administrator w tym przypadku jest w sytuacji bez jednego, właściwego rozwiązania, a taka niepewność prawna jest niewątpliwie szkodliwa.

Udostępnienie danych na podstawie art. 6 ust. 1 lit. f) RODO

Niejednokrotnie podmioty żądające udostępnienia danych osobowych powołują się nie na przepisy szczegółowe. Lecz na własny interes realizowany za pomocą tych danych. Jak wskazuje art. 6 ust. 1 lit. f) RODO, realizacja prawnie uzasadnionego interesu administratora lub strony trzeciej jest podstawą prawną do przetwarzania danych osobowych, a więc również udostępniania danych. Specyficzne jest tutaj jednak to, że prawnie uzasadniony interes ma wnioskodawca, a nie podmiot udostępniający dane. Oznacza to, że administrator nie ma obowiązku udostępniać danych osobowych na tej podstawie. Gdyż żaden przepis go do tego nie zobowiązuje. Ponadto, z racji faktu, iż realizowany jest interes innego podmiotu, to  trudno jest skutecznie przeprowadzić test równowagi. Wykazując nadrzędność tego interesu nad potencjalnym naruszeniem praw i wolności osoby, której dane są udostępniane. Taki stan rzeczy może skłaniać administratorów bardziej w kierunku każdorazowego odmawiania udostępnienia danych na podstawie art. 6 ust. 1 lit. f) RODO, gdyż taka decyzja jest łatwiejsza do obronienia na gruncie ewentualnego postępowania prowadzonego przez organ nadzorczy. Oczywiście, należy mieć na uwadze, iż podejście w doktrynie jest w tej kwestii niejednolite. Brak obowiązku udostępnienia danych na podstawie art. 6 ust. 1 lit. f) RODO nie budzi większych wątpliwości. Jednakże, w niektórych postępowaniach czy orzecznictwie stawiano tezę, iż odmawianie udostępnienia danych przy dobrze uzasadnionym wniosku opierającym się na tym przepisie jest bezzasadne. Dlatego też, ponownie mamy do czynienia z sytuacją, w której występuje istotna niepewność prawna. Działa ona na szkodę zarówno osób, których dane dotyczą, jak również samych administratorów.

Potencjalne rozwiązanie problemu

Przedstawiony problem można rozwiązać na kilka sposobów. Jednakże najskuteczniejszym byłoby doprecyzowanie przepisów. Mogłoby to mieć dwojaki charakter:

  • Precyzyjne dookreślanie w przepisach szczegółowych kwestii pozyskiwania i udostępniania danych, aby uniknąć trudności interpretacyjnych przedstawionych na przykładzie ustawy o działalności ubezpieczeniowej i reasekuracyjnej.
  • Wyodrębnienie na gruncie przepisów unijnych lub polskiej ustawy o ochronie danych osobowych czynności udostępnienia danych celem doprecyzowania warunków, jakie należy spełnić, by dokonywać tej czynności bez wątpliwości prawnych (przy czym wariant modyfikacji przepisów krajowych zdaje się być znacznie bardziej realny).

Niestety, szanse na takie zmiany, zwłaszcza w najbliższym czasie, są niewielkie. Dlatego też, warto sięgnąć po pomoc specjalistów, którzy będą mogli skutecznie wesprzeć przy rozpatrywaniu wniosków o udostępnienie danych. Te i wiele innych usług w zakresie ochrony danych osobowych świadczy InspektorzyODO sp. z o.o. Szczegóły dotyczące oferty można znaleźć na Ochrona danych osobowych – Inspektorzy ODO.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *