Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

+48 600 784 526

Udostępnianie danych osobowych – kiedy grozi naruszeniem RODO?

Udostępnianie danych osobowych to czynność, w której administrator danych przekazuje dane innej osobie fizycznej, osobie prawnej, organowi publicznemu, jednostce lub innemu podmiotowi – bez względu na to, czy podmiot ten przetwarza je we własnym imieniu, czy na zlecenie. Istotą udostępnienia jest umożliwienie dostępu do danych osobom trzecim, które wcześniej go nie miały. To odróżnia je od powierzenia przetwarzania danych, gdzie podmiot działa wyłącznie w imieniu administratora.

Czy każde udostępnienie danych wymaga zgody?

Nie zawsze – zgoda osoby, której dane dotyczą, to tylko jedna z możliwych podstaw prawnych udostępnienia danych. W wielu przypadkach administrator ma prawo udostępnić dane osobowe bez zgody, o ile istnieje inna legalna podstawa, na przykład:

  • obowiązek prawny (np. przekazanie danych ZUS, urzędowi skarbowemu lub sądowi),
  • realizacja umowy (np. przekazanie danych kurierowi w celu dostarczenia przesyłki),
  • uzasadniony interes administratora (np. w celu obrony przed roszczeniem),
  • ochrona żywotnych interesów osoby fizycznej (np. w nagłych przypadkach medycznych).

Zgoda będzie konieczna w sytuacjach, w których żadna z wymienionych podstaw nie znajduje zastosowania – szczególnie, gdy dane mają być przekazywane podmiotom trzecim w celach marketingowych, handlowych czy analitycznych.

Jakie warunki musi spełniać legalne udostępnienie danych?

Udostępnianie danych osobowych musi zawsze odbywać się w sposób przejrzysty i zgodny z zasadami RODO – przede wszystkim legalności, minimalizacji, integralności i poufności. Oznacza to, że:

  • dane mogą być przekazywane tylko wtedy, gdy jest to niezbędne i uzasadnione celem przetwarzania,
  • odbiorcy danych muszą być wskazani w klauzuli informacyjnej, albo przynajmniej określeni kategorii odbiorców,
  • osoba, której dane dotyczą, musi wiedzieć, że jej dane mogą zostać udostępnione – nawet jeśli nie jest wymagana zgoda, obowiązek informacyjny pozostaje aktualny,
  • administrator powinien zapewnić odpowiednie zabezpieczenia organizacyjne i techniczne, by przekazywanie danych nie skutkowało naruszeniem ich poufności lub integralności.

Czy każde udostępnienie danych musi być udokumentowane?

Tak – administrator danych osobowych musi być w stanie wykazać, że udostępnienie danych odbyło się zgodnie z przepisami. To oznacza obowiązek dokumentowania nie tylko podstawy prawnej, ale także tego, komu dane zostały przekazane, kiedy, na jakiej podstawie oraz w jakim zakresie. Może to być realizowane np. poprzez rejestr udostępnień, odpowiednie zapisy w systemach informatycznych, czy wewnętrzne procedury.

Co grozi za nieuprawnione udostępnienie danych?

Nieuprawnione udostępnienie danych osobowych, czyli przekazanie ich innemu podmiotowi bez podstawy prawnej, wiedzy lub zgody osoby, której dane dotyczą (jeśli wymagana), stanowi jedno z najpoważniejszych naruszeń RODO. Taki czyn jest nie tylko sprzeczny z zasadami legalności, przejrzystości i poufności przetwarzania, ale może również prowadzić do realnej szkody dla osoby fizycznej – czy to w postaci naruszenia jej prywatności, utraty kontroli nad danymi, czy ryzyka oszustwa.

Zgodnie z art. 83 RODO, organy nadzorcze mają uprawnienie do nakładania wysokich kar administracyjnych za naruszenia przepisów o ochronie danych. W przypadku nieuprawnionego udostępnienia danych kara może wynieść nawet:

  • do 20 milionów euro, lub
  • do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (jeśli jest to wyższa kwota).

Przykłady z praktyki Prezesa Urzędu Ochrony Danych Osobowych (UODO) pokazują, że tego rodzaju naruszenia nie są rzadkością – kary były nakładane m.in. za przesyłanie danych klientów niewłaściwym odbiorcom, udostępnienie danych bez umowy, czy brak odpowiednich procedur kontrolnych. Wysokość kary zależy m.in. od skali naruszenia, liczby osób poszkodowanych, charakteru danych (np. wrażliwe), okoliczności (np. umyślność), a także od reakcji administratora (czy sam zgłosił naruszenie, czy próbował je ukryć).

Oprócz sankcji administracyjnych, osoba, której dane zostały ujawnione w sposób nieuprawniony, ma prawo wystąpić z roszczeniem cywilnym o odszkodowanie – zarówno za szkodę majątkową (np. kradzież tożsamości, straty finansowe), jak i niemajątkową (np. naruszenie dóbr osobistych, poczucie zagrożenia, utrata zaufania). Przepisy RODO wyraźnie wskazują, że każda osoba, która poniosła szkodę w wyniku naruszenia przepisów, ma prawo do uzyskania pełnego i skutecznego zadośćuczynienia.

W określonych przypadkach nieuprawnione udostępnienie danych może również rodzić odpowiedzialność karną, np. na podstawie przepisów Kodeksu karnego (art. 267 i 266 §2 k.k.), jeśli dochodzi do bezprawnego ujawnienia informacji objętych tajemnicą zawodową, służbową lub inną prawnie chronioną. Odpowiedzialność może wtedy ponosić nie tylko administrator, ale też konkretna osoba fizyczna, która dopuściła się naruszenia.

Nie mniej istotne są konsekwencje wizerunkowe i biznesowe. Ujawnienie incydentu związanego z udostępnieniem danych osobowych – zwłaszcza, jeśli dotyczy klientów, kontrahentów lub pracowników – może skutkować utratą zaufania, rezygnacją ze współpracy, a w przypadku firm działających w branżach regulowanych (finanse, zdrowie, e-commerce) także utratą kontraktów lub certyfikacji. Media, opinia publiczna i konkurencja bardzo szybko reagują na wszelkie informacje o naruszeniach, szczególnie w dobie rosnącej świadomości społecznej w zakresie ochrony prywatności.

Jak odróżnić udostępnienie danych od powierzenia przetwarzania?

To jedno z kluczowych rozróżnień w praktyce ochrony danych osobowych, które ma istotne konsekwencje prawne i organizacyjne. Choć na pierwszy rzut oka oba pojęcia mogą wydawać się zbliżone – w końcu w obu przypadkach dochodzi do przekazania danych osobowych innemu podmiotowi – różni je przede wszystkim cel i charakter przetwarzania danych przez odbiorcę.

Powierzenie przetwarzania danych ma miejsce wtedy, gdy administrator przekazuje dane osobowe innemu podmiotowi, który przetwarza je wyłącznie w imieniu i na polecenie administratora, zgodnie z jego instrukcjami. Taki podmiot nazywany jest procesorem (np. biuro rachunkowe, firma IT, hostingodawca, zewnętrzny call center). W relacji powierzenia to administrator nadal decyduje o celach i sposobach przetwarzania, a procesor jedynie wykonuje określone działania w jego imieniu.

W przypadku powierzenia:

  • konieczne jest zawarcie umowy powierzenia przetwarzania danych, spełniającej wymagania art. 28 RODO,
  • administrator musi nadzorować działania procesora i mieć możliwość audytu,
  • procesor nie może przetwarzać danych do własnych celów, ani bez zgody administratora przekazywać ich innym podmiotom.

Z kolei udostępnienie danych osobowych następuje wtedy, gdy administrator przekazuje dane innemu podmiotowi, który samodzielnie określa cele i sposoby ich przetwarzania, czyli działa jako odrębny administrator danych. Przykładami mogą być: przekazanie danych bankowi w celu oceny zdolności kredytowej, udostępnienie danych firmie ubezpieczeniowej w ramach sprzedaży produktu łączonego, czy zgłoszenie danych do instytucji państwowej.

W przypadku udostępnienia:

  • nie zawiera się umowy powierzenia, ale może być potrzebna osobna zgoda osoby, której dane dotyczą, jeśli nie ma innej podstawy prawnej,
  • odbiorca staje się odrębnym administratorem danych i odpowiada za ich zgodne z prawem przetwarzanie,
  • administrator udostępniający dane musi spełnić obowiązki informacyjne wobec osoby fizycznej.

Jak odróżnić te sytuacje w praktyce?

Zadaj sobie pytanie: czy podmiot, któremu przekazuję dane, wykonuje zadanie w moim imieniu, czy też wykorzystuje dane do własnych celów? Jeśli to pierwsze – mamy do czynienia z powierzeniem. Jeśli to drugie – mówimy o udostępnieniu. Przykład: biuro rachunkowe, które prowadzi księgowość firmy, przetwarza dane na podstawie umowy powierzenia. Ale już operator płatności internetowych, który zbiera dane klientów do własnych analiz ryzyka i zgodności z przepisami finansowymi, działa jako niezależny administrator – czyli dane są mu udostępniane.

Rozróżnienie pomiędzy powierzeniem a udostępnieniem danych osobowych to coś znacznie więcej niż tylko formalność. To jeden z kluczowych elementów bezpiecznego i zgodnego z prawem przetwarzania danych. Błędna interpretacja ról podmiotów może prowadzić do poważnych naruszeń, narażając administratora na wysokie kary, odpowiedzialność cywilną, a także utratę zaufania ze strony klientów i partnerów. Dlatego każdorazowe przekazanie danych powinno być poprzedzone świadomą analizą celu i charakteru przetwarzania – to podstawowy krok do budowania zgodności z RODO.

Na co dzień wspieramy firmy i instytucje w prawidłowej klasyfikacji relacji przetwarzania danych, przygotowaniu odpowiednich umów, procedur oraz dokumentacji RODO. Pomagamy nie tylko w interpretacji przepisów, ale również w praktycznym wdrażaniu skutecznych rozwiązań, które realnie chronią organizację i jej klientów.

Zobacz również

Czy RODO dotyczy maili?

Czy RODO dotyczy maili?

Kserowanie dowodu osobistego – czy ktoś może skserować Twój dowód osobisty?

Kserowanie dowodu osobistego – czy ktoś może skserować Twój dowód osobisty?

Opinia EROD w sprawie AI: nowe wytyczne po polsku

Opinia EROD w sprawie AI: nowe wytyczne po polsku

Oszustwa na BLIK znów w natarciu. Jak działają i jak się chronić?

Oszustwa na BLIK znów w natarciu. Jak działają i jak się chronić?

Transfer danych osobowych poza EOG – jak zapewnić zgodność z przepisami?

Transfer danych osobowych poza EOG – jak zapewnić zgodność z przepisami?