09 Paź

Udostępnianie i współadministrowanie danych według RODO

Najłatwiej wytłumaczyć czym jest udostępnienie danych, jeżeli określi się, że do udostępnienia  dochodzi, gdy nie następuje ono w drodze powierzenia. Podmiot, któremu dane są udostępniane staje się ich administratorem, czyli wykorzystuje je do własnych celów. Są dwa rodzaje udostępnienia: nielegalne, gdy dane są udostępniane osobie (podmiotowi) nieupoważnionej oraz legalne, gdy następuje na zasadach określonych w przepisach. Dotychczasowa ustawa o ochronie danych osobowych przewiduje udostępnienie danych, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 UODO). Prawnie usprawiedliwiony cel, czyli taki, który wynika z przepisów prawa lub na mocy UODO dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej lub marketing bezpośredni (nieelektroniczny) produktów własnych (art. 23 ust. 4). Dawniej ustawa wymagała, aby udostępnienie następowało na pisemny wniosek, jednakże rozwój technologii wymusił aktualizację tego zapisu. Istotne jest to, że to administrator danych, jako odpowiedzialny za legalność udostępnienia, podejmuje decyzję o formie wnioskowania oraz czy wniosek jest formalnie poprawny, czyli ma prawo wymagać wskazania przesłanki legalizującej.

Przykłady udostępniania danych

  • Organizator konkursu udostępnia dane fundatorowi w celu wysłania nagród
  • Udostępnienie danych policji
  • Uzyskanie danych z rejestru PESEL
  • Udostępnienie nagrania z monitoringu na wezwanie sądu

W praktyce udostępnianie danych wiąże się z wieloma problemami oraz wątpliwościami. Czy wystarczy wskazać przepis, czy trzeba konkretny artykuł ustawy? Czy można przekazywać dane elektronicznie, a jeżeli tak, jak tego dokonać, żeby było bezpiecznie? I przede wszystkim jak zabezpieczyć prawny interes administratora, gdy okaże się, że podmiot, któremu udostępniono dane, wykorzystuje je niezgodnie z ustawą i celem, który wskazał, aby mu dane udostępnić?

Jest jeszcze jeden praktyczny problem. Często administratorzy chcą lub muszą działać wspólnie na danych osobowych (np. w celu zapewnienia swoim klientom zintegrowanych usług), jednak nie wiedzą, jak skutecznie rozwiązać to prawnie, aby było to legalne i nie naruszało praw i wolności tych osób. Dotychczas stosowało się porozumienia dotyczące udostępniania danych, które wymagały zapewnienia pozyskania zgody osób, które dane dotyczą zgody na takie udostępnienie. Jest to skomplikowana procedura, z którą wielu administratorów sobie nie radzi (najczęściej pomija się prawa podmiotu danych i pozyskiwanie jego zgody).

Co zmienia RODO w zakresie udostępniania danych?

Po pierwsze RODO rozróżnia dwa rodzaje udostępnienia danych, czyli udostępnianie innemu administratorowi i współadministrowanie. Przekazywanie będzie miało miejsce wtedy, gdy jeden administrator udostępnia dane drugiemu i każdy z tych administratorów wykorzystuje te dane do własnych celów. Współadministrowanie to nowa czynność, do której może dochodzić na mocy RODO, która obecnie jest bardzo często stosowana, jednakże przez brak odpowiedniego narzędzia prawnego, zamiast współadministrowania sięga się po powierzenie i podpowiedzenie danych. Jest to o tyle kłopotliwe, że w praktyce często jest tak, że więcej niż jeden administrator decydują o celach i środkach przetwarzania danych, a dotychczasowe przepisy, zmuszają ich do podjęcia decyzji, kto jest głównym administratorem, a kto procesorem (pomimo, że formalnie też decyduje o celach i środkach przetwarzania danych). Więcej na temat powierzenia pisałam w ostatnim wpisie, warto przeczytać i porównać różnice pomiędzy powierzeniem, a udostępnieniem.

Jak działa współadministrowanie?

Zasady współadministrowania określa art. 26 RODO. Wynika z niego, że jeżeli więcej niż jeden administrator danych decyduje o celach i środkach przetwarzania, tzn. wspólnie o nich decydują, to są współadministratorami.

Przykłady współadministratorów:

  1. Grupa kapitałowa, w której funkcjonuje jedna baza CRM, z której korzystają wszystkie spółki.
  2. Spółki realizujące wspólnie projekt dla jednego klienta, którego istotną częścią jest przetwarzanie danych, np. tworzenie dla niego systemu informatycznego
  3. Współorganizatorzy konkursu/imprezy są współadministratorami

Współadministratorzy mają obowiązek dokonać formalnego podziału obowiązków oraz odpowiedzialności za ich realizację. Po pierwsze ze względu na ograniczenie ryzyka, że jeden z nich nie wypełni swoich obowiązków i będzie stwarzał ryzyko dla poufności danych, po drugie, aby ograniczyć własne ryzyko, związane z odpowiedzialnością za działania innego administratora. W przypadku braku uzgodnień, każdy administrator, nawet jeżeli nie przyczynił się do naruszenia bezpieczeństwa danych, może odpowiadać za działanie innego administratora, jak za własne. Wyjątek stanowi sytuacja, gdy zakres obowiązków określają przepisy prawa.

Zasady uzgodnień pomiędzy współadministratorami powinny być udostępniane osobom, których dane dotyczą. Podkreślenia wymaga także fakt, że ta osoba musi zostać poinformowana o wszystkich administratorach, którzy wspólnie decydują o celach i środkach dla przetwarzania jej danych.

Udostępnienie danych innemu administratorowi

  • RODO rozróżniana stępujące przypadki udostępnienia danych:
  • za wyraźną zgodą osoby, której dane dotyczą (np. zgoda na udostępnienie innym podmiotom w celach marketingowych)
  •  na podstawie przepisów prawa (np. udostępnienie danych policji, prokuraturze, sądom)
  • innemu administratorowi, jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (dochodzenie roszczeń, zapobieganie oszustwom, marketing bezpośredni).

 

Podkreślenia wymaga fakt, że zgodnie z art. 172 Prawa Telekomunikacyjnego na stosowanie elektronicznego marketingu bezpośredniego niezbędna jest zgoda. Czyli bez zgody można wysyłać/rozdawać ulotki lub rozmawiać bezpośrednio.

Jeżeli administrator planuje udostępniać dane osobowe swoich klientów innym administratorom, np. firmom ubezpieczeniowym, powinien pozyskać zgody na udostępnienie danych od klientów. Udostępnianie danych na podstawie „prawnie uzasadnionego interesu”, stoi w sprzeczności z przepisami o ochronie danych osobowych, które stawiają interes osoby, której dane dotyczą wyżej, niż administratora. Mówiąc krótko, takie działanie będzie naruszało przepisy RODO i może być narażone karą finansową dla administratora danych.

RODO nie określa sposobu pozyskania zgody na udostępnienie, tak samo jak nie ogranicza formy wniosku o udostępnienie, jednak powinno to być wykonywane w taki sposób, aby administrator danych był w stanie udowodnić (w szczególności w sądzie), że skutecznie pozyskał zgodę, czy udostępnił dane, zgodnie z przepisami. Dlatego powinno się stosować pozyskiwanie zgody w sposób, który „zostawia ślad”, np. nagranie wypowiedzi, zaznaczenie checkboxu, podpisanie zgody na formularzu.

Podobnie, jeżeli administrator udostępnia dane, to powinno to się odbywać albo na pisemny wniosek lub w przypadku udostępnienia systemu, który pozwala na pełną kontrolę kto, w jakim celu (przesłanka legalizująca), kiedy, jakie dane pozyskał z systemu. Niezapewnienie rozliczalności udostępnianych danych może być potraktowane jako udostępnienie danych osobom upoważnionym.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie