Czy wiesz, kiedy można udostępnić dane osobowe?

Dane osobowe wymagają szczególnie uważnego przetwarzania, co wynika zarówno z prawa krajowego, jak i obowiązującego od 25 maja 2018 roku rozporządzenia Parlamentu Europejskiego o ochronie danych osobowych, czyli RODO. Udostępnienie danych osobowych jest jednym z etapów ich przetwarzania, dlatego każdorazowo wymaga podstawy prawnej. Brak stosownego uzasadnienia lub omyłkowe udostępnienie danych osobowych może rodzić poważne konsekwencje dla ich administratora. Zatem kiedy można udostępnić dane osobowe?

W Rozporządzeniu o Ochronie Danych Osobowych możesz znaleźć definicję tego pojęcia. Art. 4 pkt 2 RODO wskazuje, że jest to przekazanie danych osobowych poza organizację podmiotu, który jest odpowiedzialny za ich administrowanie i ochronę. Oznacza to, że każde przekazanie bazy zawierającej dane osobowe lub jej części do podmiotu niebędącego ich administratorem jest udostępnianiem danych osobowych. Niezależnie od ilości udostępnionych danych za każdym razem obowiązują przepisy zapewniające bezpieczeństwo danych osobowych.

Konstytucja Rzeczypospolitej Polskiej z 1997 roku wskazuje, że udostępnianie danych osobowych osobom trzecim może odbywać się tylko na podstawie ustawy. Wskazuje na to art. 51 pkt 1. Zasady udostępniania danych osobowych jeszcze precyzyjniej określa RODO. W art. 6 pkt 1 prawodawca wskazuje na konieczne przesłanki do udostępnienia danych osobowych. Są to m.in.: wyrażona zgoda osoby, której te dane dotyczą, ale też uzasadnienie przetwarzania danych do wykonania przedmiotu umowy lub wypełnienia obowiązku prawnego przez administratora danych osobowych.

W potocznym rozumieniu powierzanie i przetwarzanie danych osobowych mogą być rozumiane tak samo. Pamiętaj jednak, że między tymi dwoma określeniami zachodzi istotna różnica. Udostępnianie danych osobowych to przekazanie całości lub części bazy danych poza organizację administratora danych osobowych. Przy tym administrator udostępnia te dane do celów realizowanych przez podmiot, który te dane przyjmuje. Wówczas staje się on również administratorem danych osobowych.

Inaczej sytuacja wygląda w przypadku powierzenia danych osobowych. Podmiot przyjmujący również przetwarza dane osobowe, ale do celów określonych przez podmiot, który mu te dane powierzył. Oznacza to, że powierzenie danych osobowych nie ustanawia nowego administratora danych osobowych, a jedynie wskazuje na podmiot, który przetwarza je w celu określonym przez administratora danych osobowych. Powierzenie danych osobowych ma więc jasno sprecyzowany cel, a podmiot, któremu powierzono dane osobowe, nie może przetwarzać ich w inny sposób niż określony przez administratora danych.

Przepisy związane z ochroną danych osobowych w zdecydowany sposób określają naruszenia w zakresie przetwarzania danych osobowych. Dlatego też warto wyjaśnić, kiedy można udostępnić dane osobowe. Zgodnie z obowiązującą treścią Konstytucji z 1997 roku udostępnianie danych osobowych może odbywać się jedynie na mocy ustawy. Oznacza to, że możesz udostępnić dane osobowe jedynie wtedy, gdy istnieje stosowna ustawa, która umożliwia ci takie działanie. Aby udostępnianie danych osobowych osobom trzecim było zgodne z RODO, należy również zadbać o uzyskanie zgody osoby lub grupy osób, do których przynależą przetwarzane dane osobowe.

Sprawdź też: Narodowy Spis Powszechny – jak bezpiecznie przekazać swoje dane?

Aby uzyskać dane osobowe, w pierwszej kolejności upewnij się, że masz do tego prawo. Podstawa prawna powinna wynikać wprost z ustawy, dlatego już na początku wnioskowania o dane osobowe zapewnij, że Twoja prośba jest zasadna. Następnie ustal, kto jest administratorem danych osobowych, których potrzebujesz. Od podmiotu, który przetwarza dane osobowe, zależeć będzie, czy udostępnienie danych osobowych będzie odpłatne czy też bezpłatne. Administrator danych osobowych powinien również przedstawić ci wniosek o udostępnienie danych osobowych. Po wskazaniu podstawy prawnej, wypełnieniu stosownego wniosku oraz ewentualnemu uiszczeniu opłaty administrator przekaże ci dane osobowe, których potrzebujesz.

Dane osobowe przetwarzane są w wielu sytuacjach przez instytucje publiczne takie jak sądy, policja czy prokuratura. Niektóre z nich mogą żądać udostępnienia danych osobowych w trybie pilnym, co wynika z obowiązującego prawa krajowego. Przykładem może być art. 248 § 1 Kodeksu postępowania cywilnego, który wskazuje podstawę prawną udostępnienia danych osobowych sądowi w celu przeprowadzenia postępowania dowodowego i rozstrzygnięcia sprawy. Również prokuratura i policja są uprawnione do żądania udostępnienia danych osobowych. Wynika to z art. 15 ust. 2 i 3 Kodeksu postępowania karnego. Z kolei ustawa Ordynacja podatkowa w art. 155 § 1 uprawnia urząd skarbowy do wnioskowania o udostępnienie danych osobowych, jeżeli wymaga tego ustalenie stanu faktycznego lub rozstrzygnięcie sprawy.

Coraz częściej zdarza się, że dane osobowe są udostępnione w sposób niezgodny z obowiązującym prawem. Przyczyną takiej sytuacji może być utrata dowodu osobistego. Wówczas przypadkowa osoba zyskuje dostęp do twoich danych osobowych, co może doprowadzić do ich kradzieży. Udostępnienie danych osobowych wbrew prawu może być również efektem działania cyberprzestępcy, jak i błędu ludzkiego. Technologia umożliwia nie tylko sprawne przetwarzanie danych osobowych, ale także zwiększa ryzyko ich wycieku, a co z tym związane przekazania ich do osób niepowołanych. Przykładem takiego działania jest spoofing, czyli podszywanie się pod zaufane instytucje takie jak bank czy operator telefonii komórkowej. Oszuści, wykorzystując chwilę nieuwagi, mogą doprowadzić do sytuacji, gdy omyłkowo udostępnisz im swoje dane osobowe.

Zobacz również: Spoofing – jak się bronić?

Rozporządzenie o Ochronie Danych Osobowych zmieniło zarówno wysokość, jak i sytuacje, w których mogą być nałożone kary finansowe za udostępnienie danych osobowych. Warto więc wiedzieć, w jakich sytuacjach przetwarzanie danych osobowych może mieć nieprzyjemne skutki prawne. Podstawowa różnica wprowadzona wraz z RODO polega na tym, że kary finansowe mogą być nakładane bezpośrednio po wykryciu zdarzenia. W art. 83 określony został zakres naruszeń, za które administrator danych osobowych może otrzymać karę finansową. Wysokość grzywny zależy od skali naruszenia oraz tego, czy w ocenie organu nadzorującego było ono celowe, czy też wynikało z zaniedbań.

W RODO wyszczególnione są dwa stopnie kar za naruszenie danych osobowych. Pierwszy z nich dotyczy m.in. przetwarzania danych osobowych osób nieletnich bez zgody opiekunów prawnych, zaniechania zgłoszenia naruszeń do organu nadzorującego czy też braku wyznaczenia inspektora danych osobowych. Drugi próg to m.in.: nieprzestrzeganie podstawowych zasad przetwarzania danych osobowych, uniemożliwienie wycofania zgody na przetwarzanie ich, ale również przetwarzanie danych osobowych wrażliwych takich jak rasa, wyznanie czy poglądy polityczne. Górny próg kary w pierwszym progu wynosi 10 milionów euro, natomiast w drugim 20 milionów euro.

Mimo obowiązywania szczegółowych regulacji prawnych twoje dane osobowe wciąż są narażone na bezprawne przetwarzanie. Chroń PESEL pomaga w namierzaniu wycieków danych osobowych, dzięki czemu masz możliwość zareagować niemal od razu po próbie ich użycia. Dzięki temu możesz odpowiednio szybko zareagować i ograniczyć przykre konsekwencje oszustwa. W zamian zyskujesz spokój, że Twoje dane nie pozostają u osób, które nie są powołane do ich używania.

Niniejszy materiał ma charakter wyłącznie marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).