Możliwość udostępnienia danych byłego administratora jednostki organizacyjnej

Uzyskanie danych byłego administratora

Dane osobowe byłego administratora stanowią informacje identyfikujące osobę fizyczną i podlegają ochronie na podstawie RODO. Udostępnienie takich danych wymaga spełnienia co najmniej jednej z przesłanek określonych w art. 6 RODO. W tym przypadku potencjalnymi podstawami prawnymi mogłyby być:

• obowiązek prawny ciążący na administratorze (art. 6 ust. 1 lit. c RODO) – w sytuacji, gdy udostępnienie danych byłoby wymagane przez przepisy prawa, np. na podstawie wezwania sądu lub organu publicznego. Warto zauważyć, że udostępnienie danych na żądanie prywatnego podmiotu, jakim jest były pracownik, nie spełnia przesłanek tego przepisu, chyba że istnieje wyraźny obowiązek wynikający z przepisów szczególnych, np. na podstawie decyzji administracyjnej lub przepisu szczegółowego przewidującego konieczność przekazania danych w określonych przypadkach. Dodatkowo administrator powinien ocenić, czy nie istnieją inne podstawy prawne umożliwiające przetwarzanie tych danych, np. w kontekście przepisów o odpowiedzialności cywilnej i dochodzenia roszczeń.
• uzasadniony interes (art. 6 ust. 1 lit. f RODO) – wymaga wykazania, że interes wnioskodawcy (byłego pracownika) w uzyskaniu danych jest nadrzędny wobec praw i wolności osoby, której dane dotyczą.

W tej sytuacji należałoby przeprowadzić test równowagi, uwzględniając to:

• czy były administrator pełnił funkcję publiczną i czy jego dane mogłyby podlegać większej transparentności, co mogłoby uzasadniać dostęp do nich przez osoby trzecie,
• czy były pracownik ma inne dostępne środki uzyskania tych informacji (np. postępowanie sądowe, wniosek do odpowiednich organów administracyjnych, zapytanie do instytucji zatrudniającej byłego administratora),
• czy ujawnienie danych nie naruszyłoby praw osoby, której dane dotyczą, np. jej prywatności, bezpieczeństwa lub ochrony dóbr osobistych, a także – czy nie naraziłoby administratora na potencjalne roszczenia odszkodowawcze,
• czy były administrator nie wyraził wcześniej sprzeciwu wobec przetwarzania jego danych w tego rodzaju kontekście, co mogłoby dodatkowo skomplikować ocenę zgodności udostępnienia danych z przepisami RODO,
• czy ujawnienie danych byłego administratora mogłoby prowadzić do dalszego ich przetwarzania w sposób niezgodny z zasadą minimalizacji i ograniczenia celu wynikającą z RODO.

Należy zauważyć, że ochrona danych osobowych byłego administratora nie jest absolutna i podlega ocenie w kontekście obowiązujących przepisów RODO. Jednak w analizowanym stanie faktycznym nie ma jednoznacznych przesłanek, które uprawniałyby obecnego administratora do samodzielnego udostępnienia tych danych. Wynika to z zasady legalizmu w przetwarzaniu danych osobowych oraz braku wystarczającej podstawy prawnej wynikającej z RODO lub przepisów krajowych. W związku z tym najlepszym rozwiązaniem byłoby wskazanie byłemu pracownikowi drogi sądowej jako właściwego trybu uzyskania tych informacji.

Postępowanie cywilne zapewnia możliwość uzyskania danych w sposób zgodny z prawem, z zachowaniem zasady proporcjonalności oraz ochrony interesów wszystkich stron. Alternatywnie administrator mógłby zwrócić się do byłego administratora z prośbą o zgodę na udostępnienie jego danych, jednak takie działanie nie jest obligatoryjne i może rodzić dodatkowe ryzyka, w tym potencjalne naruszenie prywatności byłego administratora oraz jego prawa do ochrony danych osobowych. W takiej sytuacji, o czym pisałam, należałoby również uwzględnić możliwość wyrażenia sprzeciwu przez byłego administratora oraz ewentualne skutki wynikające z dalszego przetwarzania jego danych w ramach ewentualnych roszczeń cywilnych.

Odpowiedź administratora na prośbę byłego pracownika

Odpowiedź administratora powinna zostać udzielona na piśmie (możliwe również w formie mailowej) w terminie jednego miesiąca od otrzymania wniosku (zgodnie z art. 12 ust. 3 RODO). Administrator powinien upewnić się, że wniosek jest odpowiednio zweryfikowany pod kątem jego zasadności oraz że wnioskodawca faktycznie posiada uzasadniony interes w uzyskaniu żądanych informacji. Jeśli administrator uzna, że brak jest podstaw do udostępnienia danych, powinien poinformować wnioskodawcę, że:

• nie może udostępnić żądanych danych osobowych bez odpowiedniej podstawy prawnej (zgodnie z art. 6 ust. 1 RODO);
• wnioskodawca może zwrócić się do sądu o zobowiązanie administratora do udostępnienia danych w ramach postępowania cywilnego;
• w przypadku potrzeby uzyskania dalszych informacji może skorzystać z pomocy prawnika.

Administrator powinien również rozważyć, czy odpowiedź powinna zawierać dodatkowe informacje o możliwościach uzyskania danych w zgodzie z przepisami prawa, np. przez postępowanie mediacyjne lub wezwanie do ugody przed sądem. Kluczowe jest, aby odpowiedź była precyzyjna, oparta na obowiązujących regulacjach i jednoznacznie wskazywała stanowisko administratora, bez interpretacyjnych niejasności.

Konsekwencje udostępnienia i odmowy udostępnienia danych osobowych

Udostępnienie danych osobowych bez podstawy prawnej może skutkować:

• naruszeniem przepisów RODO, co może prowadzić do nałożenia administracyjnych kar finansowych przez Prezesa Urzędu Ochrony Danych Osobowych (UODO);
• roszczeniami odszkodowawczymi osoby, której dane dotyczą. Osoba poszkodowana może domagać się od administratora naprawienia szkody majątkowej i niemajątkowej (krzywdy) wynikającej z naruszenia przepisów o ochronie danych osobowych.
• odpowiedzialnością karną, w szczególności na podstawie art. 107 ustawy o ochronie danych osobowych z 2018 r., który przewiduje sankcje dla osoby przetwarzającej dane bez podstawy prawnej;
• utratą reputacji administratora, co może negatywnie wpłynąć na jego wizerunek, zwłaszcza jeśli sprawa zostanie nagłośniona przez media lub trafi do opinii publicznej;
• wszczęciem postępowania przez organy nadzoru, które mogą zobowiązać administratora do podjęcia działań naprawczych, takich jak wprowadzenie dodatkowych środków zabezpieczeń lub zmiana procedur przetwarzania danych.

Z kolei odmowa udostępnienia danych może skutkować:

• zarzutem utrudniania dochodzenia roszczeń cywilnych, jednak w takim przypadku administrator może powołać się na ochronę danych osobowych oraz brak wyraźnej podstawy prawnej do udostępnienia informacji;
• możliwością wniesienia skargi do Prezesa UODO przez wnioskodawcę, co może skutkować koniecznością przeprowadzenia kontroli przez organ nadzorczy;
• potencjalnymi kosztami postępowań sądowych, jeśli były pracownik zdecyduje się dochodzić swoich praw na drodze sądowej i zażąda ujawnienia danych w trybie postępowania cywilnego;
• Administrator danych nie ma podstawy prawnej do samodzielnego ujawnienia danych byłego administratora. Najbezpieczniejszym działaniem jest odmowa udostępnienia informacji i skierowanie wnioskodawcy na drogę sądową. Takie podejście zapewnia zgodność z RODO oraz minimalizuje ryzyka prawne.

Przykładowa odpowiedź:

„W odpowiedzi na Pana wniosek z dnia [data] dotyczący udostępnienia danych osobowych byłego administratora danych informujemy, że zgodnie z art. 6 ust. 1 RODO udostępnienie danych osobowych może nastąpić wyłącznie w oparciu o odpowiednią podstawę prawną. W przedstawionej sytuacji nie posiadamy podstawy do samodzielnego ujawnienia żądanych informacji. Jeżeli uważa Pan, że uzyskanie tych danych jest konieczne do dochodzenia roszczeń, może Pan rozważyć zwrócenie się do sądu z odpowiednim wnioskiem”.

Źródła:

1. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych - Dz.U. 2018 poz. 1000