Zasady udostępniania danych osobowych

Z dniem 7 marca 2011 roku weszła w życie nowelizacja przepisów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych[1]. Wspomniana nowela, dokonana ustawą z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw[2], uchyliła przepis art. 29 Uodo regulujący zasady udostępniania danych osobowych przez administratorów.

Dotychczas dane osobowe mogły zostać udostępnione w celu włączenia ich do zbioru danych osobowych lub do wykorzystania w innych celach. Ustawa bowiem określała dwie sytuacje, kiedy administrator danych mógł udostępnić innemu podmiotowi dane osobowe w celach innych niż włączenie do zbioru:

1. zgodnie z art. 29 ust. 1 Uodo – administrator danych był zobowiązany udostępnić dane osobowe podmiotom uprawnionym do ich otrzymania na podstawie przepisów prawa;
2. zgodnie z art. 29 ust. 2 Uodo – administrator danych mógł udostępnić innym podmiotom lub osobom dane osobowe, jeśli podmiot nieuprawniony do otrzymania danych osobowych na mocy przepisów prawa złożył pisemny i umotywowany wniosek, wiarygodnie uzasadnił potrzebę posiadania tych danych osobowych, a udostępnienie danych nie naruszy praw i wolności osób, których dane dotyczą. Przy czym złożenie takiego wniosku nie zobowiązywało administratora danych do udostępnienia danych osobowych, gdyż administrator musiał ocenić czy zostały spełnione pozostałe przesłanki udostępnienia.

Uodo nie zawierała przepisu szczególnego regulującego udostępnienie danych osobowych w celu włączenia do zbioru danych. Dlatego w doktrynie[3] przyjmowało się, że może ono nastąpić jeśli administrator danych spełnia przesłanki określone w art. 23 Uodo (lub w przypadku tzw. danych wrażliwych – w art. 27 Uodo) i nie dochodzi do zmiany celu przetwarzania danych osobowych albo też cel udostępnienia jest zgodny z celem zebrania danych osobowych. Zakaz zaś udostępniania danych osobowych w celu niezgodnym z tym, w którym zostały one zebrane, może zostać uchylony przez przepis szczególny.

W wyniku wejścia w życie nowych przepisów powstała luka prawna w zakresie zasad udostępniania danych osobowych. Określenie zasad udostępnienia na gruncie zmienionych przepisów jest o tyle istotne, że nowelizacja utrzymała w mocy art. 51 Uodo, który wprowadza sankcję karną za udostępnienie danych osobom nieupoważnionym przez podmiot administrujący zbiorem danych lub podmiot zobowiązany do ochrony tych danych.

Wskutek uchylenia regulacji ustawowej określającej podstawę udostępnienia danych osobowych niejasne jest, jakie czynności powinien podjąć podmiot, który zamierza udostępnić dane. Od 7 marca 2011 roku podstawą do żądania udostępnienia danych osobowych, składanego przez podmiot inny niż uprawniony do ich otrzymania na podstawie przepisów prawa[4], będzie art. 23 ust. 1 pkt 5 Uodo. Oznacza to, że udostępnienie danych na żądanie takiego podmiotu będzie mogło dojść do skutku, gdy będzie to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez podmiot udostępniający dane lub podmiot, któremu dane są przekazywane. Ważne jest jednak, żeby, pomimo uchylenia art. 29 Uodo, czynności składające się na udostępnienie danych nie naruszały praw i wolności osób, których udostępniane dane dotyczą. Dlatego też, niezależnie od zastosowanej podstawy udostępnienia, wobec braku wymagań przewidzianych w Uodo, zasadnym byłoby potwierdzenie faktu i warunków udostępnienia danych na piśmie, np. w formie umowy. Jednakże sporządzając taką umowę należy, w oparciu o art. 23 Uodo, ocenić przede wszystkim czy udostępnienie danych jest w ogóle dopuszczalne. Ponadto analizując podstawę udostępnienia danych osobowych, nie sposób odmówić dopuszczalności udostępnienia tych danych również na wniosek, skoro dotychczas było to możliwe.

Jednocześnie należy mieć na uwadze fakt, że zakres przetwarzanych danych osobowych powinien być adekwatny do celu przetwarzania. Również trzeba pamiętać o konieczności zastosowania środków technicznych i organizacyjnych zapewniających ochronę danych osobowych m.in. przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą, etc.

Dodatkowo należy brać pod uwagę przepisy szczególne dotyczące pewnych kategorii danych osobowych, w tym w szczególności danych z rejestru mieszkańców, rejestru zamieszkania cudzoziemców oraz rejestru PESEL[5].