Miesięcznik informatyków i menedżerów IT sektora publicznego

Tomasz Cygan

Przekazywanie danych pomiędzy jednostkami

Przekazywanie danych osobowych pomiędzy jednostkami organizacyjnymi gminy oraz spółkami komunalnymi wymaga prawidłowego określenia podstaw prawnych. Chodzi o zalegalizowanie przetwarzania danych przez podmioty o różnym charakterze prawnym.

Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: rodo) dają nam wybór pomiędzy udostępnieniem danych, ich współadministrowaniem lub powierzeniem ich przetwarzania. Rola administratora przypada zawsze temu, kto decyduje o celach i sposobach przetwarzania danych osobowych. W przypadku „administracji publicznej cel przetwarzania danych będzie mniej lub bardziej ogólnie wyznaczony przepisami prawa, a określony ich administrator będzie jedynie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego”1. Przymiot administratora zawsze przysługuje temu, kto posiada autonomię w zakresie określania celów i sposobów przetwarzania danych. Administrator może określone operacje na danych oraz ich kontekst ustanowić, znieść lub zmienić – „fundamentalne znaczenie powinno mieć skuteczne zidentyfikowanie sprawowania kontroli nad przetwarzaniem”2.

W orzecznictwie odróżnia się rolę administratora danych (decyduje o celach i sposobach przetwarzania danych) od administrującego danymi (który zarządza danymi, ale nie decyduje o celach i sposobach ich przetwarzania)3. Pod rządami rodo aktualne pozostaje postanowienie SN z 11 grudnia 2000 r. (II KKN 438/00), zgodnie z którym „administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy [obecnie art. 4 pkt 8 rodo – przyp. autora]), natomiast administrującym – także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54 [już nie obowiązują – przyp. autora]) lub danymi (art. 52 [nie obowiązuje]) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy [obecnie art. 28 rodo]”. Możliwą sytuacją jest takie przetwarzanie danych osobowych przez administratora, który udostępni dane osobowe innemu podmiotowi, przy czym z jednej strony nie straci statusu administratora, a z drugiej strony podmiot, który je otrzyma (jednostka organizacyjna lub spółka komunalna), samodzielnie decydując o celach i sposobach przetwarzania danych osobowych, stanie się ich administratorem.

Udostępnianie to przetwarzanie

Przetwarzanie danych osobowych obejmuje każdą operację na danych osobowych, niezależnie czy ma ona charakter zautomatyzowany, czy niezautomatyzowany (art. 4 pkt 2 rodo). Dotyczy to takich czynności, jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Z treści art. 4 pkt 2 rodo wprost wynika, że udostępnianie danych jest jedną z form przetwarzania danych osobowych. W związku z tym w każdej sytuacji, gdy przepisy prawa posługują się pojęciem „przetwarzanie”, nie wyłączając z jego zakresu żadnej z określonych w definicji form przetwarzania, „przetwarzanie” należy rozumieć zgodnie ze wskazaniami art. 4 pkt 2 rodo. Oznacza to przede wszystkim, że podstawa prawna przetwarzania danych osobowych stanowi także podstawę prawną udostępniania takich danych. Warto również zauważyć, że rodo ani żadne inne przepisy dotyczące danych osobowych nie zawierają odmiennego sposobu rozumienia pojęcia „udostępnianie danych”. Jedyna dodatkowa wskazówka dotycząca „udostępniania danych” została zawarta w motywie 31 rodo, który wskazuje, że:

Żądanie ujawnienia danych osobowych, z którym występują takie [prowadzące postępowanie – przyp. autora] organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych.

Wspólne administrowanie danymi

W art. 26 rodo wprowadziło do polskiego porządku prawnego konstrukcję współadministrowania. Aby z niej skorzystać, konieczne jest wspólne określenie celów i sposobów przetwarzania danych osobowych. Wszystkie podmioty biorące udział w przetwarzaniu danych muszą mieć wpływ na określenie celów i sposobów przetwarzania danych osobowych. Analizując konstrukcję współadministrowania danymi, należy przede wszystkim mieć na względzie, „czy de facto więcej niż jeden podmiot decyduje o celach i sposobach przetwarzania. (…) Należy wyraźnie podkreślić, że warunkiem sine qua non współadministrowania jest podejmowanie decyzji w zakresie celów i sposobów przetwarzania, a nie sam udział więcej niż jednego podmiotu w procesie przetwarzania”4. Innymi słowy, „uwzględniając literalną wykładnię przepisu art. 26 ust. 1 rodo, wspólną decyzją powinny być objęte zarówno cele przetwarzania danych, jak i sposoby ich przetwarzania”5.

Wspólna decyzja musi obejmować jednocześnie cele i sposoby. W związku z tym „możliwe jest również wykorzystywanie danych zawartych w tych samych zbiorach przez podmioty, które realizują inne cele i samodzielnie decydują o przetwarzaniu danych – podmioty takie nie będą uznawane za współadministratorów, a jedynie za odrębnych administratorów. Z taka sytuacją możemy mieć do czynienia np., gdy przepisy prawa uprawniają różne kategorie podmiotów do przetwarzania danych w jednej bazie danych, a podmioty te nie dokonują uzgodnień miedzy sobą, gdyż cele i sposoby przetwarzania zostały określone w przepisach”6. Co także istotne, liczba współadministratorów jest nieograniczona. Przepis wymaga jedynie, by było ich co najmniej dwóch, co stanowi logiczną konsekwencję konstrukcji wspólnego ustalania celów i sposobów przetwarzania.

[...]

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej