Zasady tworzenia procedur udostępniania danych

Spis treści:

1. Prowadzenie postępowania
2. Mapowanie procesów przetwarzania

W sytuacji, w której pracodawca jako administrator danych ma do czynienia z innymi osobami dysponującymi indywidualnymi ustawowymi uprawnieniami do przetwarzania danych, ustalenie tego, kto tutaj jest administratorem i ponosi odpowiedzialność za prawidłowe przetwarzanie danych, jest niezwykle istotne, ale bywa też skomplikowane.

Dane osobowe mogą być udostępniane na żądanie, ale tylko w przypadkach, w których istnieje ku temu podstawa prawna. W takich sytuacjach ważne jest stworzenie odpowiednich procedur udostępniania takich danych, aby nie być zaskoczonym bądź nieprzygotowanym do przyjęcia wniosku w tej sprawie.

W działalności każdego z administratorów prędzej czy później pojawi się jakiś wniosek, w którym sformułowane zostanie żądanie udostępnienia informacji stanowiących choćby częściowo dane osobowe. Jednym z przykładów są wnioski dotyczące udostępnienia nie tylko imienia i nazwiska konkretnej osoby, ale powiązania z nimi informacji o:

• wykształceniu;
• tytule lub stopniu naukowym;
• miejscu i formie prowadzonej działalności;
• ewentualnych postępowaniach dyscyplinarnych;
• otrzymanych wynagrodzeniach, szczególnie w kontekście realizacji prawa dostępu do informacji publicznej (zob. wyrok NSA z 14 stycznia 2026 r., III OSK 1652/25).

Ci administratorzy, którzy spotykają się z tego typu wnioskami, częściej będą zapewne odpowiednio przygotowani do ich rozpatrzenia. Inni poczują się zaskoczeni i ad hoc będą starać się rozwiązać zaistniały problem. Bez względu na stopień przygotowania administratora można stwierdzić, że postępowanie, które będzie umożliwiało prawidłowe rozpatrzenie wniosku, wykazuje znaczące podobieństwa. Oczywiście samo żądanie może różnić się zakresem, a udostępnienie charakterem danych, które mogą być udostępniane, terminami bądź formą przekazania informacji. Niezależnie od tych pojawiających się odmienności podstawowe elementy postępowań prowadzonych przez administratora należy uznać za tożsame.

Prowadzenie postępowania

Przedstawiony schemat procedury (zob. ramka: „Procedura…”) wydaje się dość uniwersalny bez względu na to, czy konieczne będzie rozpatrzenie wniosku, który „zaskoczy” administratora, czy też podejmie on działania uprzedzające i odpowiednio wcześniej wdroży szczegółową procedurę rozpatrywania wniosków określonego typu (np. pochodzących od: policji, prokuratury, organów skarbowych, osób, których dane dotyczą). Nie ma przy tym znaczenia, czy administrator będzie przynależał do szeroko ujętej sfery publicznej czy prywatnej. Oczywiście sfera publiczna, choćby ze względu na dość powszechną zasadę legalizmu, wykazuje zdecydowanie większą determinację w działaniach przygotowawczych prowadzących do formalizowania wszelkich procesów.

Przyjmując założenie szybkiej identyfikacji wniosku (co nie zawsze jest w praktyce możliwe, ponieważ mogą one trafiać w nieoczywiste miejsce, np. na rzadko używane adresy e-mailowe, być adresowane imiennie), dopuszczalne wydaje się nieprzygotowywanie części procedur szczegółowych przy jednoczesnym ścisłym przestrzeganiu procedury ogólnej obsługi wniosków. Takie rozwiązanie będzie się wiązało z podwyższonym ryzykiem (które administrator zdecyduje się zaakceptować), jednak eliminacja różnego rodzaju błędów, gdyż będą się one zapewne pojawiać, może się powieść w przypadku dysponowania przez administratora dobrze wykwalifikowanymi pracownikami, w tym sprawną obsługą prawną.

Fundamentalne znaczenie ma wstępne rozpoznanie wniosku, które powinno się wiązać z koniecznością przeprowadzenia analizy prawnej uprawnień i obowiązków związanych z wnioskiem. Na tym etapie konieczne też będzie dokonanie kwalifikacji prawnej procedury postępowania, a tym samym ustalenie terminów wiążących administratora. Biorąc jednak pod uwagę skomplikowanie niektórych uwarunkowań prawnych i faktycznych, zdecydowanie lepszym rozwiązaniem (dobrze współgrającym z zasadami określonymi w art. 25 rodo i ograniczającym ryzyko) jest przygotowanie (na kanwie przedstawionego modelu) wielu procedur szczegółowych. Ich zakres wyznaczy administrator na podstawie przypadków, z którymi miał styczność w swojej dotychczasowej praktyce. Powinny się one pojawić również w sytuacji związania go prawnym obowiązkiem ich ustanowienia.

Procedura udostępniania

1. Identyfikacja wniosku, żądania
Poza przypadkami, które nie pozostawiają wątpliwości, że są żądaniami udostępnienia danych, istnieje duża grupa takich, w których do udostępnienia danych będzie dochodziło niejako „przy okazji” realizacji wniosku. Należy zatem przygotować pracowników do sygnalizowania tego typu sytuacji, ponieważ będą one zmieniały zakres działań koniecznych do udostępnienia informacji (np. w ramach wnioskowego udostępniania informacji publicznej). Na tym etapie niezbędne jest zidentyfikowanie wszystkich kanałów wejścia lub wpływu wniosków (nawet tych, które nie są preferowane przez administratora) i wprowadzenie ich stałego monitorowania po to, by jak najszybciej wychwycić fakt pojawienia się potencjalnego wniosku.

2. Analiza podstawy prawnej żądania
Sprawdzamy, jaka podstawa prawna została wskazana. Jest to, co do zasady, konieczny element wniosków pochodzących od instytucji – wskazanie błędnego lub nieobowiązującego przepisu skutkuje koniecznością żądania uzupełnienia wniosku. Konieczna jest też ścisła identyfikacja wnioskodawcy i zbadanie, czy posiada on uprawnienie do żądania informacji czy też powoływany przepis uprawnia go tylko do ich przetwarzania. Niezbędna jest tu również weryfikacja formalna innych elementów wniosku (zwłaszcza dołączonych doń pełnomocnictw, ewentualnie zgód lub ich kopii – jeśli ich dołączenie stanowi warunek umożliwiający udostępnienie). Badamy, czy istnieje obowiązek udostępnienia danych po stronie administratora i czy w przypadku jego braku istnieje możliwość udostępnienia określonych we wniosku danych na bazie samego rodo. W ramach tego etapu (zwłaszcza przy braku procedur szczegółowych) widzimy możliwość konsultowania podejmowanych działań z IOD, nie może on jednak rozstrzygać kwestii, które ze swej istoty przynależą do sfery decyzyjnej administratora.

3. Weryfikacja zakresu żądania
Jednoznacznie określamy, kogo dotyczy żądanie, jaki zakres danych ma zostać udostępniony, czy istnieją wątpliwości wynikające z użytych pojęć nieostrych, niedookreślonych itp. W zależności od przynależności do sfery publicznej lub prywatnej administrator ma różny stopień swobody działania w tym obszarze, musi jednak bezwzględnie przestrzegać zasad określonych w rodo, choćby po to, by ograniczyć ryzyko nadmiarowości przetwarzania i ujawnienia danych osoby innej niż ta, o którą chodzi wnioskodawcy (lub ta, której dane muszą zostać ujawnione samodzielnie przez administratora, np. w ramach przygotowania informacji publicznej).

4. Zbadanie zasobu informacji
Po przeprowadzeniu wskazanej identyfikacji podmiotu danych następuje zbadanie posiadanego przez administratora zasobu informacyjnego (w zależności od rodzaju wniosku badamy też, czy dane są aktualne i poprawne).

5. Przygotowanie danych (informacji) do udostępnienia
To etap materialnego przygotowania odpowiedzi. Następuje selekcja posiadanych danych pod kątem ich zgodności podmiotowej i przedmiotowej z uwzględnieniem istniejących ograniczeń możliwości udostępnienia. Na tym etapie należy przede wszystkim pamiętać o występujących w konkretnym przypadku wiążących administratora terminach.

6. Sprawdzenie warunków
technicznych udostępnienia Konieczne jest zbadanie wymagań prawnych, a w razie ich braku sprawdzenie możliwości technicznych i uzgodnienie wymogów pozwalających administratorowi uznać, że udostępniane dane są właściwie zabezpieczone w świetle wymogów rodo.

7. Faktyczne udostępnienie danych
Etap końcowy procedury (ma najczęściej wymiar materialno-techniczny). Z punktu widzenia administratora warto jednak przyjąć, by tam, gdzie to możliwe lub wymagane prawem, formalizować zarówno fakt wysyłki informacji, jak i ich odbioru przez uprawniony podmiot.

Mapowanie procesów przetwarzania

Warto dodać, że na etapie mapowania procesów przetwarzania każdy administrator musi ustalić, czy po jego stronie istnieją obowiązki udostępnienia danych (bez otrzymania wniosku) w ramach różnego rodzaju zawiadomień, raportów, ogłoszeń, udzielania informacji (np. w BIP, rejestrze umów) lub choćby sprawozdań. W takich sytuacjach przedstawiony model także wydaje się aktualny. Oczywiście należy założyć, że w miejscu analizy żądania pojawi się analiza obowiązku, z którego wynika konieczność udostępnienia danych.

Przechodząc do analizy wyodrębnionych przez nas siedmiu etapów procesu udostępnienia (zob. ramka: „Procedura…”) , należy zaznaczyć, że sama konkretna, zindywidualizowana na potrzeby określonego administratora procedura udostępnienia może mieć ich więcej. Będzie to wynikało z głębszego podzielenia czynności realizowanych w ramach wyróżnionych etapów. Mogą też one nosić inne nazwy, lepiej oddające charakter czynności realizowanych w ramach działań podejmowanych przez administratorów.

Prawidłowe przeprowadzenie procedury udostępnienia informacji (nawet tak ogólnie zarysowanej) jest zadaniem dość skomplikowanym, zatem uprzednie jej wdrożenie, obejmujące również szkolenie osób odpowiedzialnych za jej realizację, wymaga wzmożonej uwagi administratora i to nie tylko w kontekście należytego wykazania, iż wywiązał się z nałożonych na niego standardowych obowiązków. W przypadku wdrażania procedury ogólnej szczególnie ważne jest jasne określenie ról osób odpowiedzialnych za jej realizację (i przypisanie ich konkretnym osobom przy uwzględnieniu zasad ciągłości działania) i ustalenie realnych terminów realizacji poszczególnych etapów (zwłaszcza wstępnych), które powinny umożliwiać uwzględnienie wyniku prawnej kwalifikacji wniosku i zachowanie ew. terminów ustawowych realizacji wniosku.

Autor

Mariusz Jabłoński

Autor jest profesorem zwyczajnym doktorem habilitowanym nauk prawnych; kierownikiem Katedry Prawa Konstytucyjnego na WPAiE UWr i Podyplomowego
Studium Ochrony Danych Osobowych, radcą prawnym, prelegentem.

Krzysztof Wygoda

Autor jest doktorem nauk prawnych i adiunktem na WPAiE UWr, wspólnikiem w Leximum RWW sp. z o.o. sp.k., prelegentem.