Administrowanie danymi osobowymi wiąże się z koniecznością zapewnienia ochrony przed ich nieuprawnionym ujawnieniem lub dostępem do nich osób niepowołanych. Zdarzają się sytuacje, że do administratora wpływa prośba innego podmiotu o udostępnienie określonych danych osobowych. Jak powinien postąpić administrator w takim przypadku?
Czy można udostępniać dane osobowe innym podmiotom?
Generalnie, odpowiedź na to pytanie jest twierdząca – tak, można. Aby jednak było to możliwe, administrator powinien odpowiednio zweryfikować skierowane do niego żądanie. Udostępnienie danych osobowych innemu podmiotowi jest bowiem możliwe po spełnieniu odpowiednich przesłanek. Nie należy to do swobodnego uznania administratora.
Komu można udostępnić dane osobowe?
Administrator może mieć do czynienia z dwiema sytuacjami:
- o udostępnienie danych wnosi osoba, której te dane dotyczą, w ramach realizacji prawa dostępu do danych lub prawa do otrzymania kopii danych (art. 15 ust. 1 lub art. 15 ust. 3 RODO),
- o udostępnienie danych wnosi inny, zewnętrzny podmiot jako odrębny administrator.
Kiedy można udostępnić dane osobowe innemu podmiotowi?
W przypadku, gdy udostępnienia żąda osoba, której dane dotyczą w ramach realizacji swoich praw wynikających z RODO, administrator ma obowiązek udostępnienia danych osobowych.
Jeżeli udostępnienia żąda inny podmiot, administrator powinien zweryfikować zasadność żądania i w zależności od wyniku tej weryfikacji, podjąć decyzję w przedmiocie udostępnienia danych lub odmowy.
Przesłanki możliwości udostępnienia danych osobowych podmiotowi zewnętrznemu
Administrator powinien w pierwszej kolejności sprawdzić tożsamość wnioskodawcy. Okoliczność, że administrator ma obowiązek udostępnić dane osobie, której dane dotyczą nie zwalnia administratora z konieczności zbadania skierowanego do niego żądania – o dane może bowiem ubiegać się osoba, która podaje się za inną osobę. Dane osobowe mogą być udostępnione osobie, której dane dotyczą, po sprawdzeniu administratora, że osoba żądająca udostępnienia danych rzeczywiście jest osobą, za którą się podaje. Administrator powinien również ustalić, czy żądanie osoby, której dane dotyczą stanowi realizację prawa dostępu do danych, czy prawa do otrzymania kopii danych – aby odpowiednio zrealizować dane prawo.
Gdy udostępnienia danych osobowych żąda inny administrator, dane można udostępnić wyłącznie wówczas, jeżeli istnieje podstawa prawna do udostępnienia danych osobowych. W razie braku takiej podstawy prawnej udostępnienie może mieć miejsce, gdy administrator ma prawnie uzasadniony interes w otrzymaniu tych danych albo gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych.
Wniosek o udostępnienie danych osobowych
Dane osobowe mogą zostać udostępnione wyłącznie na wniosek – nie musi on jednak mieć określonej formy. Wnioskiem może być każde żądanie udostępnienia, złożone zarówno ustnie, mailowo jak i pisemnie. Administrator powinien jednak zadbać o możliwość wykazania, iż wniosek zawierał odpowiednie informacje, umożliwiające administratorowi jego rozpatrzenie i podjęcie decyzji w przedmiocie udostępnienia danych.
Wniosek co do zasady powinien zawierać następujące informacje:
- tożsamość wnioskodawcy,
- podstawę prawną udostępnienia danych osobowych,
- cel udostępnienia danych (w jakim celu zostaną one wykorzystane, do czego są potrzebne),
- interes w otrzymaniu danych przez wnioskodawcę,
- zakres danych osobowych, które mają być udostępnione.
Zasady ochrony danych przy ich udostępnianiu
W każdym przypadku udostępnienia danych administrator powinien mieć na uwadze podstawowe zasady ochrony danych, takie jak celowość, minimalizacja i proporcjonalność do celu oraz rozliczalność. Należy zadbać o to, by dane nie były udostępnione w większym zakresie niż jest to konieczne oraz o należyte udokumentowanie procesu rozpatrywania wniosku o udostępnienie i samego udostępnienia.