Administratorów danych osobowych obowiązują nowe zasady ich udostępniania. W marcu uchylony został art. 29 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej „ustawą”).

Jak obecnie należy udostępniać dane, by nie łamać prawa? Do tej pory ustawodawca przewidywał udostępnienie danych osobowych, będące jedną z operacji wykonywanych na danych osobowych w ramach ich przetwarzania – art. 7 pkt 2 ustawy, osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa (np. policji). Dane mogły także trafić do instytucji, które w sposób wiarygodny uzasadniły potrzebę ich posiadania, z jednoczesnym poszanowaniem praw i wolności osób, których dane dotyczyły. Dotychczasowe przepisy wyraźnie wskazywały ponadto, że udostępnione co do zasady na pisemny wniosek dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

Nowe zasady

Po wejściu w życie nowych przepisów powstała luka prawna w zakresie określenia zasad i podstaw udostępniania danych osobowych. Ich precyzyjne określenie stało się o tyle ważne, że utrzymano w mocy art. 51 ustawy. Przepis ten przewiduje sankcję karną za udostępnienie danych osobom nieupoważnionym przez podmiot administrujący zbiorem danych osobowych lub podmiot zobowiązany do ich ochrony, a zatem także przez administratora. Chcąc zatem ocenić, czy udostępnienie danych osobowych jest w świetle nowych przepisów dopuszczalne, należy sięgnąć do art. 23 ustawy. Zgodnie z tym przepisem podmiot udostępniający dane osobowe będzie mógł to uczynić m.in.:

● na podstawie zgody osoby, której dane dotyczą;

● w celu realizacji umowy, której stroną jest osoba, której dane dotyczą, lub

● dla wypełnienia prawnie usprawiedliwionych celów przez siebie realizowanych np. marketing bezpośredni własnych produktów lub usług.

Udostępnienie danych osobowych w oparciu o art. 23 ust. 1 pkt 5 ustawy będzie mogło nastąpić, jeśli będzie ono niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez podmiot udostępniający dane albo podmiot, który ma je otrzymać. Dodatkowo trzeba zaznaczyć, że udostępnienie danych na podstawie cytowanego przepisu nie może naruszać praw i wolności osób, których udostępniane dane dotyczą.

Umowa lub wniosek

W związku z tym, że uchylono przepis wskazujący podstawę udostępnienia danych osobowych, trudno określić, jakie czynności powinien podjąć podmiot, który zamierza dokonać takiej operacji.

Wobec braku wymagań ustawowych w tym zakresie zasadne wydaje się udostępnienie danych przede wszystkim na podstawie umowy lub wniosku. Sporządzając takie dokumenty, należy jednak na początku ocenić, czy udostępnienie jest w ogóle dopuszczalne – pomocny w tym zakresie będzie wskazany powyżej art. 23 ustawy.

Odnosząc się do podstawowych elementów składowych takiej umowy lub wniosku, wskazać należy, że umowa w przedmiocie udostępnienia danych osobowych lub wniosek o ich udostępnienie powinny zawierać co najmniej określenie: danych, które podlegają udostępnieniu (np. poprzez wskazanie zbioru, w którym są zgromadzone), celu (przeznaczenia) takiej operacji oraz sposobu udostępnienia (przekazania) danych pomiędzy stronami umowy (wniosku).