Czy administrator może udostępnić dane osobowe?

Uzasadniony interes administratora danych osobowych RODO nie może stanowić przesłanki do udostępniania danych osobowych osobie trzeciej, nawet jeśli w jej przekonaniu są ku temu podstawy prawne – wynika z orzeczenia Wojewódzkiego Sądu Administracyjnego w Warszawie.

Jedynym celem RODO jest zagwarantowanie osobie fizycznej odpowiedniej ochrony jej danych osobowych, a nie przyznawanie uprawnień informacyjnych innym podmiotom[1] - orzekł Wojewódzki Sąd Administracyjny w Warszawie rozpatrując skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych. Przyczyną skargi było nieudostępnienie danych osobowych podmiotowi prawa handlowego oskarżonego przez anonimową osobę o wytwarzanie szkodliwych kosmetyków oraz produktów leczniczych. Oskarżona spółka wystąpiła do sanepidu o udostępnienie danych osobowych osoby, która wniosła anonimowe zawiadomienie. Oczerniony producent uznał, że doszło do naruszenia jego dobrego imienia, wiarygodności i reputacji i wystąpił do sanepidu o udostępnienie danych osobowych oskarżyciela tj. imienia, nazwiska, adresu IP i adresu poczty elektronicznej. Sanepid nie udostępnił żądanych informacji,  a spółka złożyła skargę do Prezesa Urzędu Danych Osobowych (dalej: PUODO) domagając się nakazania udostępnienia danych.

PUODO wskazał, że nie istnieje podstawa prawna, która nadawałaby mu uprawnienie do nakazywania administratorom danych ujawnianie danych osobie trzeciej. Takiego uregulowania nie ma również w katalogu uprawnień organu nadzorczego. Polska ustawa o ochronie danych osobowych z 2018 roku takich uprawnień nie nadała, zatem nakazanie udostępnienia danych osobowych innej osobie, niż sam zainteresowany, jest niedopuszczalne.

WSA wskazał w swoim wyroku z 18 grudnia 2020 r., że uprawnienia do udostępnienie danych „nie sposób też wywieść z art. 6 ust. 1 pkt f RODO. Ten przepis stanowiłby dla skarżącego podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby skarżący był już w posiadaniu tych danych. Powyższa norma nie daje jednak skarżącemu uprawnienia do pozyskania takich danych osobowych bezpośrednio, czy też za pośrednictwem Prezesa UODO.

Z przepisów RODO nie wynikają żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona. W szczególności art. 15 RODO przyznaje prawo dostępu do danych osobowych wyłącznie tej osobie, której danych dotyczą.”

Z wyroku wynika jasna interpretacja, że RODO zabezpiecza dane osobowe i nie umożliwia przekazywania informacji o podmiotach danych przez administratorów danych bez wykazania podstawy prawnej do ich posiadania.

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w ustawieniach przeglądarki.

Rozumiem