Udostępnianie danych osobowych to temat, który często budzi ożywione dyskusje wśród przedstawicieli zarówno podmiotów sektora publicznego, jak i prywatnego. Pojawiają się problemy czy, a o ile tak komu i kiedy administrator może udostępniać takie dane.
Udostępnienie danych – czyli co?
W pierwszej kolejności trzeba jednak odpowiedzieć na pytanie, czym jest udostępnienie danych osobowych. Udostępnienie danych osobowych stanowi jeden z przejawów ich przetwarzania, co wynika wprost z definicji przetwarzania przyjętej w art. 4 pkt 2 RODO.
Dla potrzeb niniejszego artykułu przyjmiemy, iż udostępnienie to czynność polegająca na zamierzonym przekazaniu danych osobowych przez ich administratora na rzecz innego podmiotu, który rozpoczyna samodzielne przetwarzanie danych osobowych, jako administrator lub strona trzecia. Z udostępnieniem danych osobowych w relacji administrator – administrator mamy przede wszystkim do czynienia wówczas, gdy przepisy prawa wymagają od nas udostępniania określonych informacji organom publicznym, np. gdy udostępniamy dokumentację zawierającą dane osobowe kontrolującym nas przedstawicielom Zakładu Ubezpieczeń Społecznych. Z kolei relacja administrator – strona trzecia występuje np. wówczas, gdy administrator udostępnia dane osobowe jednej osoby, innej osobie fizycznej, która będzie wykorzystywała te dane w ramach działalności o czysto osobistym lub domowym charakterze. Taka osoba fizyczna nie będzie wówczas administratorem tych danych na gruncie RODO. Proponowana tutaj definicja udostępnienia danych zakłada, iż w momencie urzeczywistnienia się tej czynności – czyli gdy administrator dokona już udostępnienia danych, w praktyce nie ma on kontroli nad tym, jak podmiot, któremu dane udostępniono będzie te dane przetwarzał. Odpowiedzialność za przetwarzanie danych przez taki podmiot pozostaje więc po jego stronie.
Kiedy udostępniać dane i komu
Mając już podstawę – czyli wiedząc, czym jest udostępnienie danych, warto odpowiedzieć na pytanie, kiedy możemy te dane udostępniać i komu. W tym zakresie warto zwrócić uwagę, iż tak naprawdę przedsiębiorcy, ale też organy publiczne, na co dzień dokonują czynności udostępnienia danych osobowych. W sektorze publicznym dochodzi do udostępnienia danych osobowych, np. w ramach realizowania prawa do informacji, które uregulowane jest w ustawie o dostępie do informacji publicznej. A w sektorze prywatnym pracodawcy udostępniają dane osobowe pracowników przez zgłoszenie ich do Zakładu Ubezpieczeń Społecznych. Oba te przypadki dotyczą sytuacji, w których udostępnienie danych osobowych nie tylko jest dopuszczalne, ale wręcz jest niezbędne do wykonania obowiązku prawnego nałożonego przez przepis prawa. Występuje też jednak szereg sytuacji, w których udostępnienie danych przez administratora nie jest jego obowiązkiem prawnym. Taka sytuacja będzie miała miejsce, np. w sytuacji pozyskania zgody na udostępnienie danych osobowych naszego klienta na rzecz innych podmiotów. Taka zgoda uprawnia nas do przetwarzania danych osobowych, poprzez ich udostępnianie, ale nie zobowiązuje nas do dokonania tej czynności. Trzeba też wskazać w tym miejscu, iż nie da się stworzyć zamkniętego katalogu podmiotów, którym administratorzy mogą udostępniać dane osobowe – chociażby dlatego, iż źródłem udostępnienia nie musi być przepis prawa, ale może to być m.in. oświadczenie woli osoby, której dane dotyczą, a która może wyrazić zgodę na udostępnienie jej danych dowolnemu podmiotowi – w ramach swojej autonomii informacyjnej.
Podstawy prawne dla udostępnienia danych
Należy zatem pochylić się nad zagadnieniem tego – na jakiej podstawie może dochodzić do udostępnienia danych osobowych. Mając na uwadze, iż udostępnienie danych osobowych stanowi przejaw przetwarzania tych danych, dokonanie tej czynności może być w teorii oparte na dowolnej przesłance wynikającej z art. 6 ust. 1 albo art. 9 ust. 2 RODO. Niezależnie jednak od tego, na jakiej przesłance przetwarzania oprze się administrator danych dokonując ich udostępnienia, musi on pamiętać o konieczności przestrzegania w tym zakresie zasad przetwarzania, o których mowa w art. 5 RODO. Spośród tych zasad na szczególną uwagę w tym miejscu zasługuje:
- zasada zgodności z prawem, która wymaga od administratora przetwarzania danych osobowych w sposób zgodny z całokształtem przepisów prawa, w tym
z przepisami RODO, - zasada rzetelności, z którą wiąże się m.in. obowiązek uszanowania przez administratora przy przetwarzaniu danych osobowych interesów osoby, której dane dotyczą i niewykorzystywanie tych danych przeciwko tej osobie, np. przy podejmowaniu działań, których nie mogła się spodziewać ( M. Jagielski, Prawo do ochrony danych osobowych. Standard europejski, Warszawa 2010, s. 78-79, P. Fajgielski, Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2022, s. 155-156),
- zasada minimalizacji danych, która zakłada, iż dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
- zasada ograniczonego celu, która zobowiązuje administratora do tego, aby dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie były przetwarzane dalej w sposób niezgodny z tymi celami,
- zasada integralności i poufności, nakazująca administratorowi, aby przetwarzanie danych odbywało się przy zapewnieniu im odpowiedniego bezpieczeństwa, w tym ochrony przed niezgodnym z prawem lub niedozwolonym przetwarzaniem (w tym udostępnianiem!).
Wracając jednak do przesłanek udostępnienia danych osobowych, należy poczynić uwagę, iż omówione zostaną te, które dotyczą udostępnienia danych osobowych zwykłych, ponieważ to one są najczęściej przedmiotem udostępniania. Spośród tych przesłanek trzy zasługują zdaniem autora na szczególne wyróżnienie – są to: zgoda osoby, której dane dotyczą, niezbędność udostępnienia dla realizacji obowiązku prawnego oraz niezbędność udostępnienia danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej.
Zgoda
Pierwszą z przywołanych przesłanek jest zgoda. Tak jak w przypadku każdej innej operacji przetwarzania danych, tak samo przy udostępnieniu do zgody należy podchodzić z ostrożnością i pozyskiwać ją jedynie wówczas, gdy nie mamy innej podstawy do udostępnienia danych osobowych. Wynika to przede wszystkim z szeregu wymogów, które wiążą się z udzieleniem zgody – zapewnieniem, aby była ona dobrowolna, konkretna, jednoznaczna i świadoma. Niespełnienie chociażby jednego z tych wymagań – które mają charakter oceny, prowadzi do tego, iż udzielona zgoda nie spełnia warunków zgody na gruncie RODO i nie stanowi podstawy do przetwarzania danych. Po drugie, pozyskując zgodę musimy być w stanie to wykazać, tzn. wykazać, iż taka zgoda została pozyskana i iż była ona udzielona w ww. sposób. Po trzecie, osoba, która wyraziła zgodę może ją w dowolnym momencie wycofać i musimy ją o tym poinformować, przy pozyskaniu zgody. Wycofanie natomiast powoduje, iż wygasa nam przesłanka przetwarzania danych. To z kolei rodzi problem praktyczny – wdrożenia odpowiedniego systemu pozyskiwania zgód, ich rejestrowania oraz odnotowywania faktu wycofania zgody.
Jeżeli jednak zdecydujemy się na to, aby udostępniać dane osobowe w oparciu o zgodę, to należy pamiętać, iż powinna być ona udzielona administratorowi. Ponadto, osoba, która wyraża zgodę na udostępnienie, powinna być świadoma, komu takie dane będą udostępnione, czyli kto w praktyce będzie ich odbiorcą. Zgoda powinna też określać wyraźnie cel, w którym administrator będzie dokonywał udostępnienia danych. Należy oczywiście pamiętać o wskazanych wyżej atrybutach zgody, co wyklucza m.in. ujęcie zgody jako jednego z postanowień umowy, wobec którego osoba, której dane dotyczą nie może zrobić nic innego niż je zaakceptować. Z uwagi na charakter udostępnienia danych – które powoduje, iż dane będą przetwarzane przez inny podmiot, niż ten, któremu osoba, której dane dotyczą sama powierza swoje dane, a także mając na uwadze motyw 43 RODO, zasadne jest przyjęcie, iż administrator chcąc udostępniać dane osobowe, powinien pozyskać na to odrębną zgodę, tzn. choćby o ile przetwarzanie danych osobowych przez pierwotnego administratora jest oparte na zgodzie, to poza taką zgodą powinien on uzyskać odrębną zgodę na udostępnianie danych.
Oczywiście, o czym byłą już wyżej mowa, administrator, który pozyskuje zgody na udostępnienie danych osobowych musi informować osoby, które ich udzielają o prawie do wycofania zgody w dowolnym momencie i o tym, iż nie będzie to miało wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem zgody. Jednocześnie jednak, o ile dojdzie do wycofania zgody, to administrator nie może już dokonać udostępnienia danych.
Wykonanie obowiązku prawnego
Drugą ze wskazanych przesłanek jest udostępnienie danych w wykonaniu obowiązku prawnego nałożonego na administratora. Przesłanka ta co do zasady nie budzi wątpliwości. Przepisy prawa mogą bowiem nakładać na administratora obowiązek udostępnienia określonych informacji, w tym dokumentów zawierających dane osobowe, czy choćby samych danych osobowych (niezależnie od nośnika). Warto jednak zwrócić uwagę, iż o ile o udostępnienie danych osobowych zwraca się do administratora organ publiczny, to co do zasady, powinien on wprost wskazać przepis prawa, który uprawnia go do żądania określonego rodzaju dokumentów i który tym samym zobowiązuje administratora do ich udostępnienia. Często spotykaną i jednocześnie błędną praktyka wśród podmiotów publicznych jest kierowanie przez nie wniosków, w których wskazują podstawę prawną uprawniającą je do przetwarzania danych. Fakt, iż podmiot publiczny jest uprawniony do przetwarzania określonych danych nie oznacza, iż administrator, od którego taki podmiot żąda udostępnienia informacji jest uprawniony do ich udostępnienia. Przepisem prawa, który pozwala na udostępnienie danych przez administratora jest np. art. 15 § 3 Kodeksu postępowania karnego, który zakłada, iż m.in. osoby prawne, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne. Przykładem innego przepisu, który stanowi podstawę do udostępnienia danych osobowych w ramach realizacji obowiązku prawnego jest art. art. 88 ust. 3 u.s.u.s., który nakazuje udostępnienie wszelkich dokumentów w trakcie kontroli realizowanej przez Zakład Ubezpieczeń Społecznych. Trzeba jednak ponownie podkreślić, iż te przepisy kierują obowiązki wprost do administratora. Tylko taki przepis może być podstawą ujawnienia danych z powołaniem się na art. 6 ust. 1 lit. c RODO.
Prawnie uzasadniony interes
Ostatnią ze wskazanych przesłanek jest prawnie uzasadniony interes administratora lub strony trzeciej. Stroną trzecią jest zgodnie z art. 4 pkt. 10 RODO: „osoba fizyczna, osoba prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający, czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe”.
W praktyce taką stroną trzecią może być np. najemca lokalu, którego właściciel jest członkiem spółdzielni, gdy najemca ten zwraca się do spółdzielni o udostępnienie określonych informacji o takim lokalu i właścicielu dla potrzeb złożenia wniosku o przyznanie dodatku mieszkaniowego (por. decyzja Prezesa UODO z 11.04.2019 r. znak: ZSPU.440.840.2018).
Omawiana przesłanka pomimo niewątpliwej pojemności, która wynika z wykorzystania przez prawodawcę klauzuli generalnej „prawnie uzasadnionego interesu” nie może być postrzegana jako wytrych dla swobodnego udostępniania danych osobowych przez administratora. Sytuacji takiej zapobiega też fakt, iż skorzystanie z tej przesłanki wymaga przeprowadzenia testu równowagi, czyli ustalenia:
- czy występuje prawnie uzasadniony interes po stronie administratora lub strony trzeciej w udostępnieniu danych osobowych – przyjmuje się przy tym, iż prawnie uzasadniony interes to taki, który jest zgodny z prawem, chociażby nie wynikał wprost z normy prawnej,
- czy dla realizacji prawnie uzasadnionego interesu faktycznie niezbędne jest udostępnienie określonych danych osobowych – o ile ustalimy, iż realizacja prawnie uzasadnionego interesu wymaga przetwarzania danych, to niezbędne jest też ustalenie jaki zakres danych jest niezbędny (zgodnie z zasadą minimalizacji danych),
- czy w sprawie nie występują interesy lub prawa i wolności osoby, której dane dotyczą, a o ile występują, to czy nie mają one nadrzędnego charakteru wobec prawnie uzasadnionego interesu, o którym mowa w punkcie 1. Dokonując tej ostatniej oceny, należy uwzględnić, m.in. jakiego rodzaju dane osobowe miałyby ulegać udostępnieniu, jakie jest ryzyko, iż udostępnienie tych danych godzić będzie w prywatność osoby, której dane dotyczą, jaka jest relacja łącząca administratora lub stronę trzecią z osoba, której dane dotyczą (por. W. Chomiczewski, D. Lubasz, A. Maciaszczyk, A. Szkurłat, w: Ochrona danych osobowych. Poradnik praktyczny, red. D. Lubasz, A. Szkurłat, Warszawa 2023, s. 85 i nast.).
Dopiero zweryfikowanie ww. elementów i ustalenie, iż prawnie uzasadniony interes administratora lub strony trzeciej istnieje, a do jego realizacji niezbędne jest udostępnienie określonych danych, zaś interesy, prawa lub wolności osoby, której dane dotyczą nie mają nadrzędnego charakteru, administrator może udostępnić dane osobowe.
Test równowagi
Co istotne, obowiązek przeprowadzenia ww. testu równowagi ciąży na administratorze. O ile w przypadku realizacji własnego prawnie uzasadnionego interesu, przeprowadzenie takiego testu zasadniczo nie powinno nastręczać trudności, to sprawa komplikuje się, o ile to strona trzecia żąda udostępnienia danych powołując się na ww. przesłankę. W takim przypadku, zdaniem autora artykułu, strona trzecia powinna wykazać swój prawnie uzasadniony interes i niezbędność uzyskania żądanych danych dla jego realizacji. Tylko w takim przypadku administrator może dokonać rzetelnej oceny otrzymanego żądania udostępnienia danych. Jednocześnie trzeba pamiętać, iż udostępnienie danych osobowych w oparciu o przesłankę prawnie uzasadnionego interesu jest możliwością, nie zaś obowiązkiem administratora. Zarówno w orzecznictwie, jak też w doktrynie, wskazuje się, iż z art. 6 ust. 1 lit. f RODO nie można wyprowadzić obowiązku administratora danych do udostępnienia danych osobowych. Przepis ten stanowi jedynie podstawę do udostępniania danych, ale nie podstawę do żądania ich udostępnienia (por. wyrok Trybunału Sprawiedliwości z 4.05.2017 r. C-13/16, P. Litwiński, P. Barta, M. Kawecki, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis/el. 2021, art. 6, nb 17).
Podsumowanie
Podsumowując rozważania poczynione w artykule, należy przyjąć, iż udostępnienie danych osobowych jako jedna z operacji przetwarzania jest dopuszczalne, a co więcej jest stosowane przez wielu administratorów na co dzień. Dokonując udostępnienia danych osobowych administrator może oprzeć się na dowolnej z przesłanek wynikających z art. 6 ust. 1 lub art. 9 ust. 2 RODO, o ile faktycznie zachodzą okoliczności objęte tymi przesłankami.
Szczególną ostrożność, należy jednak zachować przy udostępnieniu danych na podstawie zgody, realizacji obowiązku prawnego lub prawnie uzasadnionego interesu – szczególnie strony trzeciej.
Na koniec trzeba też wskazać, iż udostępnienie danych osobowych z naruszeniem przesłanek legalizujących przetwarzanie, skutkować będzie naruszeniem ochrony danych osobowych. Na skutek takiego działania dochodzi bowiem do utraty poufności danych. Administratorzy powinni zatem wprowadzić odpowiednie procedury, które będą rozstrzygać, kto w organizacji odpowiedzialny jest za proces udostępniania danych i w jaki sposób ma to się odbywać.