STAN PRAWNY NA 9 KWIETNIA 2024
W toku swojej pracy policjanci żądają udostępniania danych od przeróżnych instytucji, danych niezbędnych w toczących się postępowaniach, w tym danych osobowych. Takie żądanie skierowane do dyrektora poradni wywołuje niepokój, bowiem od czasu wejścia w życie RODO w maju 2016 r. wiedza na temat konieczności ochrony danych osobowych przed nieuprawnionym dostępem stała się powszechna. W efekcie każde żądanie udostępnienia informacji obejmujących dane osobowe skutkuje koniecznością analizy, czy dane te mogą być udostępnione, czy też nie jest to dopuszczalne.
RODO przewiduje jedynie dwie możliwości przekazania danych osobowych, czyli udostępnienie oraz powierzenie przetwarzania. Instytucja powierzenia przetwarzania jest uregulowana w art. 28 RODO i nie może zostać zastosowana w przypadku kontaktów z policją. Przede wszystkim na podstawie ust. 3 tej regulacji przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Powierzenie przetwarzania i udostępnianie danych
Artykuł 28 ust. 3 RODO stanowi, że powierzenie przetwarzania następuje na podstawie umowy, która powinna określać:
- przedmiot i czas trwania przetwarzania – czyli jakie czynności i przez jaki okres czasu będą wykonywane w ramach umowy, z których jednocześnie wynika obowiązek przetwarzania danych,
- charakter i cel przetwarzania,
- rodzaj danych osobowych oraz kategorie osób których dane dotyczą,
- obowiązki i prawa administratora.
Na podstawie umowy zawierającej te elementy powierza się przetwarzanie podmiotowi przetwarzającemu. Zgodnie z kolei z definicją zawartą w art. 4 pkt 8 RODO przez podmiot przetwarzający rozumiemy osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Warto podkreślić, że podmiot przetwarzający przetwarza dane osobowe w imieniu administratora danych. Z tego właśnie powodu nie można instytucji powierzenia przetwarzania wykorzystać w kontaktach z policją żądającą danych osobowych, bowiem policjanci stawaliby się podmiotami przetwarzającymi, czyli przetwarzaliby udostępnione dane w imieniu administratora, czyli poradni. Co więcej, przetwarzanie danych osobowych przez podmiot przetwarzający może nastąpić tylko na udokumentowane polecenie administratora. Trudno zatem wyobrazić sobie sytuację, w której placówka wydawałaby policji polecenie, co ta ma uczynić z danymi osobowymi.
Pozostaje zatem udostępnienie danych. To z kolei jest możliwe wyłącznie wówczas, jeżeli istnieją poza RODO regulacje, które dają policji prawo żądania danych osobowych, a konsekwencji ich przetwarzania. Co istotne, jeżeli policja wejdzie w posiadanie danych osobowych właśnie poprzez taką szczególną podstawę prawną, to staje się administratorem pozyskanych danych i przetwarza je bez dalszych zgód, w tym zgód samych właścicieli danych osobowych.
