W kolejnych artykułach pod wspólną nazwą RODOwskaz znajdziecie Państwo najważniejsze informacje wyjaśniające zapisy ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Kolejne artykuły ukazujące się w tym cyklu będą omawiały zagadnienia poruszone w Rozdziale II art. 6 RODO i dotyczące zgodności przetwarzania z prawem.
Rozdział II (RODO)
Artykuł 6 Zgodność przetwarzania z prawem
- Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.
W RODO nie została wyraźnie (odrębnie) uregulowana kwestia dopuszczalności udostępniania danych osobowych – a więc jedno z kluczowych zagadnień w procesie przetwarzania danych.
Niezamieszczenie w rozporządzeniu odrębnych reguł udostępniania danych nie oznacza niedopuszczalności udostępniania danych, a skutkuje koniecznością stosowania do udostępniania danych osobowych ogólnych podstaw dopuszczalności przetwarzania danych (uregulowanych w komentowanym artykule) albo szczególnych podstaw dopuszczalności przetwarzania danych, o których mowa w art. 9 i 10 rozporządzenia).
Podstawą udostępnienia może więc być zgoda osoby, której dane dotyczą; konieczność wykonania umowy; konieczność wypełnienia obowiązku prawnego ciążącego na administratorze; konieczność ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby; konieczność wykonania zadania realizowanego w interesie publicznym albo w ramach sprawowania władzy publicznej, a także realizacja praw nie uzasadnionego interesu administratora lub strony trzeciej, natomiast w przypadku szczególnych kategorii danych mogą to być pozostałe podstawy wskazane w art. 9 i 10 RODO.
Pojęcie udostępniania może być różnie rozumiane, zarówno w aspekcie przedmiotowym, jak i podmiotowym.
Udostępnianie w aspekcie przedmiotowym wiąże się z dostępnością danych, a więc odnosi się do sytuacji, w której dane stają się dostępne dla określonej osoby. Udostępnianie może być realizowane w różny sposób, m.in. przez przekazanie danych na określonym nośniku (udostępnienie wydruku z danymi), przesłanie danych w postaci elektronicznej (np. przesłanie pliku z danymi pocztą elektroniczną) lub umożliwienie zapoznania się z danymi poprzez system teleinformatyczny (np. udostępnienie danych na stronie internetowej).
W aspekcie podmiotowym chodzi o to, jaki jest status podmiotu, któremu zostaje stworzona możliwość uzyskania dostępu do danych. Pojęcie udostępniania w aspekcie podmiotowym może być rozumiane w dwojakim znaczeniu:
- szerokim – chodzi tu o umożliwienie dostępu do danych wszystkim podmiotom, niezależnie od ich statusu oraz
- wąskim, które obejmuje jedynie udostępnianie danych na zewnątrz struktury organizacyjnej administratora i procesora
Do ujęcia szerokiego nawiązuje definicja udostępniania danych, zawarta w art. 4 pkt 9 rozporządzenia, natomiast ujęcie wąskie odnosi się do pojęcia strony trzeciej, które zostało zdefiniowane w art. 4 pkt 10 rozporządzenia.
Zgodnie z wskazanymi powyżej przepisami „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią, przy czym organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem, nie są jednak uznawane za odbiorców. Pojęcie „strona trzecia” oznacza natomiast osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.
Podstawą przetwarzania danych w „stosunkach wewnętrznych” (tzn. wewnątrz struktury organizacyjnej administratora lub podmiotu przetwarzającego) oraz w relacjach między administratorem a procesorem jest przepis art. 29 rozporządzenia nakazujący, aby podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzały dane wyłącznie na polecenie administratora, chyba że wymaga tego prawo. Jest to równocześnie podstawa uprawniająca do udostępnienia (ujawnienia) danych przez administratora podmiotowi przetwarzającemu, jak też do ujawnienia danych przez administratora lub procesora osobom działającym w ramach ich struktur organizacyjnych (osobom działającym z ich upoważnienia).
Kwestie związane z powierzeniem przetwarzania danych (a w jego ramach także z „ujawnieniem” danych podmiotowi, który ma przetwarzać te dane na zlecenie administratora) są przedmiotem regulacji w art. 28 rozporządzenia.
Odmiennie prawodawca reguluje również zagadnienia dotyczące udostępniania danych osobom, których te dane dotyczą. Podmiot danych może korzystać z uprawnień informacyjnych, przyznanych mu na mocy art. 12–15 rozporządzenia.
