Jak udostępniać dane osobowe zgodnie z RODO?
Do wielu podmiotów regularnie spływają wnioski o udostępnienie szeregu informacji, nierzadko zawierających dane osobowe. Padają zapytania m.in. o udostępnienie listy płac, nagrań z monitoringu, listy uczniów, nazwisk dłużników, adresów zamieszkania obywateli, a także żądania udostępnienia konkretnych informacji osobom prowadzącym kontrolę, czy sprawującym nadzór nad konkretnym administratorem czy podmiotem przetwarzającym. Kiedy można takie dane udostępnić? Jak robić to zgodnie z RODO?
Zasady udostępniania danych
Udostępnienie danych osobowych jest przetwarzaniem, które nie zostało zdefiniowane jednoznacznie w przepisach RODO. Jest to więc zarówno powierzenie danych osobowych na gruncie art. 28 RODO, jak i chociażby udostępnienie nagrania z monitoringu wizyjnego w związku z prowadzonym przez policję postępowaniem. Szukając regulacji odnoszących się do zasad udostępnienia danych należy zajrzeć do art. 5 RODO, w którym wypunktowano zasady przetwarzania danych. Należy pamiętać, aby udostępniając dane osobowe robić to tak, by zapewnić rozliczalność danych, wskazać właściwą podstawę prawną udostępnienia, jego cel i adekwatność tego celu, a także zadbać o to, aby udostępnić możliwie najmniejszą ilość potrzebnych danych (tzw. minimalizacja udostępnienia danych). Dobrą praktyką jest więc stworzenie u administratora procedur opisujących postępowanie z wnioskami o udostępnienie danych oraz wskazujących zakres odpowiedzialności poszczególnych osób za określone zadania.
Ocena wniosków o udostępnienie danych
Gdy wniosek o udostępnienie danych wpłynie do administratora, należy dokładnie mu się przyjrzeć. Wnioskodawca powinien wskazać na jakiej podstawie żąda udostępnienia danych, zaś administrator powinien zweryfikować tę podstawę – co do jej aktualności i trafności. Administrator może wezwać takiego wnioskodawcę do poprawienia błędów we wniosku, jeśli zachodzi taka potrzeba. Przepisy o ochronie danych osobowych nie narzucają formy składanego wniosku o udostępnienie. Ważne jednak, aby możliwe było zidentyfikowanie osoby wnioskodawcy i jego uprawnienia do otrzymania danych.
Udostępnianie danych na wniosek policji
Częstym zjawiskiem jest udostępnianie danych osobowych policji w trakcie prowadzonych postępowań. Co do zasady wniosek o udostępnienie danych powinien mieć formę papierową lub elektroniczną, uwierzytelnioną podpisem kwalifikowanym lub ePUAP organu, jednak w praktyce policja często żąda udostępnienia danych na miejscu w siedzibie administratora i od ręki. Ważne, aby w takim przypadku decyzję o udostępnieniu podejmował odpowiednio upoważniony pracownik lub sam administrator. Dobrą praktyką jest tworzenie protokołu udostępnienia, w którym znajdą się takie informacje, jak m.in.: data udostępnienia, organ wnioskujący, zakres udostępnianych danych, dane policjanta, któremu udostępniamy dane, podstawa prawna udostępnienia, podpisy obu stron.
Chcesz poznać więcej dobrych praktyk w zakresie udostępniania danych osobowych różnym podmiotom?
Zaloguj się do programu i przeczytaj nowy komentarz praktyczny w LEX Ochrona Danych Osobowych.
Autorką tekstu jest Sylwia Czub-Kiełczewska - ekspert do spraw ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl). Przez ponad 6 lat była związana zawodowo z Instytutem Książki, w którym koordynowała procesy bezpieczeństwa danych. Przeprowadziła kilkaset szkoleń ze stosowania przepisów o ochronie danych osobowych. Od 2014 roku prowadzi stałą kolumnę o ochronie danych osobowych w branżowym czasopiśmie "Bibliotekarz". Obecnie wspiera swoją wiedzą i doświadczeniem procesy ochrony informacji w spółkach kapitałowych, agencjach reklamowych, jednostkach samorządowych. Świadczy także usługi zewnętrznego Inspektora Ochrony Danych.
Zainteresował Cię ten tekst, a nie masz dostępu do LEX Ochrona Danych Osobowych? Sprawdź naszą ofertę »
Zobacz także
Powierzenie, udostępnienie a może upoważnienie – jak przekazywać dane osobowe?
Polecam,
Alicja Plichta
redaktor naczelna działu Biznes
product manager Ochrona Danych Osobowych