Jednym z wielu wyzwań, z którym mierzą się pracodawcy, zapewniając pełną zgodność organizacji z przepisami ogólnego rozporządzenie o ochronie danych osobowych (RODO), jest konieczność udostępniania danych osobowych pracowników do organów publicznych tj. Policja, Prokuratura, Sąd, Urzędy. Przy dużej organizacji zatrudniającej po kilkadziesiąt, a nawet kilkaset pracowników takie sytuacje występują dość regularnie. Czy pracodawca może udostępnić dane? W jaki sposób powinien zabezpieczyć się przed ewentualnymi oszustami? Czy powinien poinformować o tym pracownika? Na te wszystkie pytania odpowiadamy poniżej.
Pracodawca jako administrator danych osobowych powinien przetwarzać je (jak również i udostępniać) zgodnie ze wszystkimi zasadami RODO zawartymi w art. 5. W pierwszej kolejności musi to zrobić zgodnie z zasadą legalności – powinien zadbać o to, aby udostępnienie danych było rzeczywiście niezbędne i konieczne do realizacji swoich ustawowych czynności przez organy publiczne. Niezbędna jest też pewność, że dane osobowe zostają udostępnione rzeczywiście konkretnemu podmiotowi publicznemu. Należy bezwzględnie unikać sytuacji udostępnienia tych danych telefonicznie.
Często zdarzają przypadki, gdy osoba podszywającą się np. za ZUS, Policję, próbuje w sposób nielegalny pozyskać czyjeś dane osobowe. Może to być próba oszustwa, wyłudzenia danych osobowych. załatwienia wewnętrznych rodzinnych spraw lub inne nieuprawnione działania. Takich sytuacji jako administrator danych osobowych koniecznie trzeba unikać. Udostępniając dane osobowe, pracodawca musi być przekonany co do tożsamości strony, której zamierza przekazać informacje o swoim pracowniku. Każda telefoniczna lub osobista prośba o udostępnienie danych powinna zakończyć się sugestią o przesłanie oficjalnego pisma z prośbą o udostępnienie danych.
Oficjalne pismo o udostępnienie danych osobowych powinno również zostać zweryfikowane przez administratora pod kątem jego wiarygodności. Jeżeli pismo nadane zostało z właściwego organu powinno zawierać m.in.: pieczątkę organu, podstawę prawną żądania udostępnienia danych osobowych, zakres żądanych danych osobowych, podpis właściwego przedstawiciela organu. Tak skonstruowane pismo pozwala przyjąć, że administrator udostępni dane osobowe właściwemu organowi, który posiada podstawę prawną do udostępnienia i przetwarzania danych osobowych konkretnego pracownika.
Najczęściej stosowane podstawy prawne żądania udostępnienia danych osobowych wskazywane są przez organy ścigania tj. Policja, Prokuratora oraz właściwe sądy powszechne. Pierwszym przykładem przepisów prawa wskazujące obowiązek udostępnienia danych osobowych jest kodeks postępowania cywilnego:
art. 248 Kodeksu postępowania cywilnego:
§1 Każdy obowiązany jest przedstawić na zarządzenie sądu w oznaczonym terminie i miejscu dokument znajdujący się w jego posiadaniu i stanowiący dowód faktu istotnego dla rozstrzygnięcia sprawy, chyba że dokument zawiera informacje niejawne.
Przepis ten umożliwia sądom żądania od administratorów danych dokumentów zawierających m.in. dane osobowe, które mogą być istotne przy rozstrzygnięciu danego sporu sądowego.
Drugim przykładem takich przepisów jest art. 15 ust. 2 i 3 kodeksu postępowania karnego, na który mogą powoływać się m.in. Prokuratura lub Policja przy różnego rodzaju śledztwach i dochodzeniach oraz prowadzonych postępowaniach:
art. 15 Kodeksu postępowania karnego:
§2. Wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania do udzielania pomocy organom prowadzącym postępowanie karne w terminie wyznaczonym przez te organy.
§3. Osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.
Kolejnym przykładem podstawy prawnej udostępnienia danych będzie żądanie skierowane ze strony Urzędu Skarbowego na podstawie przepisów ustawy ordynacji podatkowej. żądania od wskazanego organu podatkowego zdarzają się regularnie:
art. 155 ustawy ordynacji podatkowej:
§1. Organ podatkowy może wezwać stronę lub inne osoby do złożenia wyjaśnień, zeznań, przedłożenia dokumentów lub dokonania określonej czynności osobiście, przez pełnomocnika lub na piśmie, w tym także w formie dokumentu elektronicznego, jeżeli jest to niezbędne dla wyjaśnienia stanu faktycznego lub rozstrzygnięcia sprawy.
Na podstawie wskazanego przepisu, administrator ma obowiązek udostępnienia wszelkich dokumentów, w tym również zawierających dane osobowe na potrzeby postępowania podatkowego.
Udostępnienie dokumentów, które zawierają dane osobowe na żądanie organów publicznych będzie więc obowiązkowe i nie będzie naruszało przepisów RODO. Niezbędne jest jednak udowodnienie za pomocą oficjalnego wniosku przez organ publiczny, że udostępnienie danych odbywa się w granicach i zakresie wskazanych przez przepisy prawa i nie będzie naruszało przepisów z zakresu ochrony danych osobowych.
Jeżeli tego typu wniosków u danego pracodawcy jest naprawdę sporo, dla wykazania zasady rozliczalności, rekomendowanym jest stworzenie tzw. rejestru wniosków organów publicznych. Rejestr powinien być systematycznie uzupełniany o każdy kolejny wniosek zakończony udostępnieniem danych osobowych. Rejestr powinien zawierać datę, rodzaj wniosku, podstawę prawną żądania, organ wnioskujący oraz treść samego wniosku. Prowadzenie rejestru pozwoli wykazać administratorowi pełną transparentność i legalność w zakresie udostępnienia danych swoich pracowników do organów publicznych. Jednocześnie usystematyzuje i ujednolici sam proces przekazywania takich informacji. W przypadku, gdy natura i rodzaj prowadzonej działalności powoduje, że wnioski o udostępnienie danych osobowych przez organy są bardzo regularne, rekomendowanym rozwiązaniem jest stworzenie oddzielnej procedury obsługi wniosków organów publicznych.
Ostatnią kwestię, na którą należy zwrócić uwagę jest ewentualny obowiązek poinformowania pracowników o udostępnieniu ich danych osobowych. Co do zasady, zgodnie z wymogami art. 13 RODO administrator informuje podmiot o odbiorcach jego danych osobowych. Jednocześnie zgodnie z art. 4 pkt 9 RODO: „Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.” Oznacza to, że pracodawca nie musi informować pracowników o udostępnieniu jego danych osobowych do organów publicznych, ponieważ organy publiczne na gruncie RODO nie są uznawane za odbiorców danych. Dla zachowania pełnej transparentności, część administratorów informuje o tym w swoich klauzulach informacyjnych i jak najbardziej jest to dobra praktyka, ale nie obowiązek prawny.