Przejdź do treści
Strona główna » Strefa wiedzy » Kiedy i komu można udostępnić dane osobowe

Kiedy i komu można udostępnić dane osobowe

Udostępnianie danych osobowych to temat, który niezmiennie generuje wiele pytań, szczególnie ze strony podmiotów leczniczych i urzędów. Nie znaczy to, że przedsiębiorcy tego problemu nie mają. Być może po prostu nie pytają tak często… 😉

Artykuł, poza ogólnym rysem, podzieliłem na trzy części. W każdej z nich postaram się przybliżyć najistotniejsze informacje o udostępnieniu z przykładami dla lekarzy, przedsiębiorców i urzędników.

Kiedy można udostępnić dane? Komu można udostępnić dane? W jakim zakresie i na jakiej podstawie?

Zapraszam dalej.

Czym tak naprawdę jest udostępnianie danych osobowych?

Zauważyłem, że udostępnienie jest często traktowane jako czynność w pewien sposób nadzwyczajna. Myślę, że to podejście wynika z faktu przekazywania danych poza organizację. Każda czynność, która opuszcza obszar działalności wydaje się nieść za sobą większe ryzyko. I w sumie nie będę się z tym nawet kłócił.

Udostępnianie danych osobowych jednak czymś nadzwyczajnym nie jest. To jedna z form przetwarzania. Znajduje to nawet odzwierciedlenie w definicji wyrażonej w przepisie art. 4 pkt 2) RODO:

,,przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

Udostępnianie danych osobowych jest więc jedną z form przetwarzania danych osobowych.

Udostępnienie czy powierzenie przetwarzania danych osobowych?

Do najczęstszych wątpliwości należy ustalenie, czy w danym przypadku dochodzi do udostępnienia, czy może powierzenia przetwarzania danych osobowych. Odpowiedź na to pytanie można znaleźć stosunkowo łatwo, identyfikując rolę jaką pełni ten, komu dane przekazujemy. Możesz też przeczytać mój artykuł na ten temat. 😉

Jeżeli jest on odrębnym administratorem danych, czyli samodzielnie ustala sposoby i cele przetwarzania, to mamy do czynienia z udostępnieniem danych.

Jeżeli natomiast będzie wykorzystywał przekazane dane realizując nasze cele, najprawdopodobniej będzie to powierzenie przetwarzania. W takim wypadku w grę wchodzi zawarcie umowy powierzenia przetwarzania danych osobowych.

Podstawa udostępnienia danych osobowych

Wiesz już, że udostępnienie to jedna z form przetwarzania danych osobowych. Oznacza to, że podstawą do udostępnienia będzie któraś z przesłanek dopuszczalności przetwarzania danych określonych w RODO. Aby ją ustalić, musisz sięgnąć do przepisu art. 6 ust. 1 RODO w odniesieniu do danych zwykłych i do przepisu art. 9 ust. 2 RODO dla szczególnych kategorii danych osobowych.

W zależności od sytuacji, podstawa udostępnienia może być również gdzieś indziej. Przykładem tego są przepisy prawa lub umowa. Pamiętaj, że podstawy rozpatrujemy łącznie. Za chwilę przejdę do konkretnych przykładów, w których wyjaśnię jak to działa, a przynajmniej działać powinno.

Jak zapewnić rozliczalność przy udostępnianiu?

Tak samo jak w przypadku powierzenia przetwarzania danych osobowych, warto fakt udostępnienia danych udokumentować. Może to oczywiście nastąpić w formie elektronicznej. Mam na myśli przede wszystkim zachowanie wniosku o udostępnienie lub uregulowanie zasad udostępniania w umowie.

Przede wszystkim jednak pamiętaj, aby zadbać o bezpieczeństwo danych w trakcie ich przekazania. Jeżeli dochodzi do niego drogą elektroniczną, zaszyfruj plik, w którym znajdują się dane. Hasło do pliku przekaż innym kanałem, np. SMS, gdy wysyłasz plik mailem.

Wysłanie hasła na ten sam adres mailowy jest podobne do zamknięcia drzwi do domu i zostawienia klucza w drzwiach. Może i drzwi są zamknięte, ale czy dostęp do domu jest zabezpieczony? Cytując klasyka: „Nie wiem, choć się domyślam…”.

Ponieważ udostępnienie należy do przetwarzania danych, należy zrealizować obowiązek informacyjny, czyli przekazać osobie, której dane dotyczą informacje o przetwarzaniu. W kwestii udostępniania danych warto wskazać, komu te dane są udostępniane. Informacja ta pozwoli na kontrolowanie, co się dzieje z danymi osobie, której one dotyczą.

Udostępnianie danych osobowych w ochronie zdrowia

To dość wrażliwy temat… szczególnie ze względu na wrażliwy charakter danych dotyczących zdrowia. Przypomnę w tym miejscu, że należą one do szczególnych kategorii danych, których przetwarzanie jest co do zasady zabronione. Placówki medyczne oczywiście są do tego uprawnione. Nie zmienia to jednak faktu, że dane te powinny być chronione w sposób szczególny, również ze względu na tajemnicę zawodową lekarza.

Udostępnianie dokumentacji medycznej

Udostępnianie dokumentacji medycznej zostało uregulowane w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, a konkretnie w przepisie art. 26 tej ustawy. Przede wszystkim, dokumentacja medyczna jest udostępniana pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta. W dalszej części uregulowane zostały inne przypadki, od udostępnienia dokumentacji medycznej po śmierci pacjenta do udostępniania jej różnego rodzaju instytucjom.

To co istotne dla tego artykułu to okoliczność, że udostępnienie takie odbywa się właśnie na podstawie tych przepisów. Oznacza to, że udostępnienie stanowi obowiązek prawny administratora, czyli jest oparte na przepisie art. 6 ust. 1 lit. c) RODO.

W tym miejscu pozwolę sobie też na ciekawostkę. RODO spowodowało zmianę w kwestii udostępniania dokumentacji medycznej. W przypadku udostępniania jej pacjentowi za pierwszym razem nie można naliczyć z tego tytułu opłaty. Można ją naliczyć dopiero przy kolejnych udostępnieniach, przy czym uwaga – jeżeli kolejne udostępnienie dotyczy zakresu danych, który nie był wcześniej przekazany, to opłata wciąż nie przysługuje za tę część.

Jeżeli interesuje Cię ten temat, zapraszam tutaj. 😉

Udostępnianie danych między placówkami medycznymi

System ochrony zdrowia jest bardzo złożony i polega na przepływie informacji. Konieczne dla prawidłowego leczenia jest korzystanie z innych placówek specjalistycznych, np. laboratoriów. Również w takich przypadkach dane pacjenta są udostępniane na podstawie obowiązku prawnego.

W takich przypadkach nie zawiera się umów powierzenia, ponieważ każdy z podmiotów uczestniczących w wymianie danych działa we własnych celach, do których należą czynności wykonywane w ramach prowadzonej działalności medycznej.

Udostępnianie informacji o stanie zdrowia pacjenta

Kolejnym przykładem udostępnienia jest przekazanie informacji o stanie zdrowia pacjenta. Tak jak w poprzednich przypadkach jest ono uregulowane i opiera się na przepisach prawa. Może ono dotyczyć zarówno sytuacji, gdy pacjent wskazuje osobę upoważnioną do tego typu informacji, jak i w przypadku, gdy pacjent jest nieprzytomny. W takiej sytuacji, dostęp do informacji może uzyskać bliska mu osoba.

Udostępnianie danych osobowych w działalności gospodarczej

Opisane w tej części przykłady znajdą zastosowanie wszędzie tam, gdzie mamy do czynienia z pracownikami i zawieraniem umów. Jako odrębny temat postanowiłem potraktować udostępnianie wszelkiego rodzaju baz danych, do którego to zapewne jeszcze kiedyś wrócę. Tymczasem lecę z dalszymi przykładami.

Udostępnianie danych osobowych pracownika w umowach

Najczęściej chyba pojawiające się pytanie i budzące szczególnie na początku stosowania RODO zamęt umieszczanie w umowach danych pracownika do kontaktu. Bywało (i nadal bywa), że zawierane są z tej okazji umowy powierzenia przetwarzania danych osobowych pracowników. Jest to jednak błąd.

Dane pracownika przekazywane w celu umożliwienia skontaktowania się z nim jako przedstawicielem firmy, czy też realizacji umowy, są udostępniane na podstawie prawnie uzasadnionego interesu administratora, czyli na podstawie przepisu art. 6 ust. 1 lit. f) RODO. Nie wymaga to zgody pracownika. Pamiętaj, że chodzi o dane służbowe – przekazanie prywatnego numeru telefonu to już inna sprawa.

Udostępnianie danych osobowych na potrzeby medycyny pracy

Również w tym przypadku popularną praktyką było (i niestety nadal jest) zawieranie umów powierzenia między pracodawcą a podmiotem leczniczym.

Zdementuję ją więc. Przekazanie danych pracownika na potrzeby medycyny pracy powierzenia nie wymaga. Placówka medyczna jest w tej relacji odrębnym administratorem, działającym na podstawie przepisów prawa medycznego. Oznacza to, że dane podlegają udostępnieniu.

Udostępnianie danych osobowych w ramach grup kapitałowych

W przypadku podmiotów o bardziej złożonej strukturze, możliwe jest udostępnianie danych w ramach grupy kapitałowej. Takie udostępnianie odbywa się przede wszystkim na podstawie prawnie uzasadnionego interesu administratora, czego przykładem może być administracyjne wykorzystanie danych.

Udostępnianie danych osobowych pracowników instytucjom

Prowadzenie przedsiębiorstwa wiąże się z zatrudnianiem pracowników. To zaś wymaga dokonywania szeregu rozliczeń, w ramach których niezbędne jest udostępnianie danych osobowych innym instytucjom, np. Zakładowi Ubezpieczeń Społecznych.

Jest to wymagane przepisami prawa, a instytucje są odrębnymi administratorami. Ponownie więc mamy do czynienia z udostępnianiem danych osobowych.

Udostępnianie danych osobowych w administracji publicznej

Udostępnianie danych osobowych w administracji publicznej to temat rzeka. W tym artykule ograniczę się do kilku przykładów. Na wstępie nadmienię jednak, że ogromna część opiera się na podstawie przepisów prawa. Zastanawiając się nad możliwością udostępnienia, sprawdź najpierw przepisy regulujące dany tryb. Prawdopodobnie znajdziesz przepis, który bardziej lub mniej wprost do takiego udostępnienia Cię uprawnia. Jeżeli takiego przepisu nie znajdziesz, polecam pozostałe przesłanki zgodności wskazane w RODO lub skontaktowanie się z wyznaczonym inspektorem ochrony danych.

Udostępnianie danych osobowych z ewidencji ludności

Udostępnianie danych osobowych z ewidencji ludności zasługuje na osobny artykuł, który na pewno pojawi się jeszcze na moim blogu. Dlatego dzisiaj skrótowo. Podstawą do udostępnienia danych jest przepis art. 46 ustawy o ewidencji ludności.

Przepis ten reguluje przesłanki umożliwiające udostępnienie danych z rejestrów. W części przypadków odbywa się ono na podstawie obowiązku prawnego, w innych wymagane jest wykazanie interesu prawnego lub faktycznego.

Ponieważ miało być skrótowo, ograniczę się do następującego podsumowania: jeżeli będą spełnione przesłanki z art. 46 ustawy o ewidencji ludności, to i podstawa z RODO się znajdzie. I na tym na razie postawię kropkę.

Udostępnianie danych osobowych Policji

Współpraca z Policją i innymi organami oraz instytucjami to codzienność administracji publicznej. Również w tym przypadku przekazywanie danych jest co do zasady uprawnione. Polecam jednak zwrócić uwagę na wniosek o udostępnienie danych. Standardem jest niestety brak wskazania podstawy prawnej udostępnienia, a zdarzają się też braki formalne, np. w odniesieniu do wnioskodawcy podpisującego wniosek. Pamiętaj, że zawsze możesz zwrócić się o doprecyzowanie tej podstawy lub usunięcie innych braków.

Udostępnianie danych osobowych w trybie dostępu do informacji publicznej

Dostęp do informacji publicznej to obszar, który przynajmniej w mojej ocenie wymaga modyfikacji. Poruszając się jednak w obecnym stanie prawnym, możliwe jest udostępnianie danych osobowych, które taką informację stanowią, ale… są wyjątki.

Zostały określone w przepisie art. 5 ust. 2 ustawy o dostępie do informacji publicznej i dotyczą ograniczenia ze względu na prywatność osoby fizycznej.

Istotnym elementem tego ograniczenia jest fakt, że osoba taka może z niego zrezygnować. Nie dotyczy też ono informacji o osobach pełniących funkcje publiczne, pozostające w związku z pełnieniem tej funkcji.

Częstym problemem jest w tych przypadkach ustalenie zakresu danych, który można ujawnić. Tu najlepszym narzędziem jest stara, dobra zasada minimalizacji danych osobowych. Dajemy tyle, ile jest niezbędne, a resztę anonimizujemy.

Bonus: udostępnianie z monitoringu wizyjnego

Każdy, kto prowadzi monitoring wizyjny, może spotkać się z wnioskiem o udostępnienie tego nagrania. Powody mogą być różne. Zarysowane auto, pobicia, kradzieże, wypadki. W takich sytuacjach Policja ma prawo uzyskać dostęp do nagrań. Mogą one stanowić dowód w sprawie, również na etapie sądowym.

Uzyskanie nagrania przez osobę trzecią może odbyć się na podstawie jej prawnie uzasadnionego interesu, który taka osoba musi wykazać. Niezależnie od tego, rozważ możliwość zabezpieczenia fragmentu nagrania, który może być dowodem w sprawie. Zadbaj też o prawidłową informację o monitoringu, w tym wskazaniu okresu przechowywania nagrań.

Czas już kończyć…

Dość długi wyszedł ten artykuł. Mam nadzieję, że nie znużyłem Cię zbyt mocno i udało Ci się dotrzeć do jego końca, a przede wszystkim, że odpowiedział na Twoje pytania.

Jeżeli jednak tak się nie stało, albo pojawiły się nowe, zachęcam Cię do ich zadania. Postaram się na nie odpowiedzieć. 🙂

1 komentarz do “Kiedy i komu można udostępnić dane osobowe”

  1. Pingback: Udostępnienie a powierzenie przetwarzania danych osobowych - Zdrowe Dane

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *