Procedura udostępniania danych osobowych

Procedura udostępniania danych osobowych

1) Zasady ogólne

1. Procedura określa zasady przekazywania danych osobowych na wniosek innego podmiotu.

2. Udostępnienie jest szczególnym rodzajem przekazania danych innemu podmiotowi w wyniku, którego staje się on odrębnym administratorem danych.

3. Podstawą udostępnienia danych może być:

* zgoda (udokumentowana) osoby, której danych dotyczą na udostępnienie jej danych;

* przepis prawa, który wymaga udostępnienia;

* prawnie uzasadnionego interesu wnioskodawcy;

* konieczność zrealizowania umowy, której stroną jest osoba, której dane dotyczą.

4. Zgoda osoby, której dane dotyczą może służyć udostępnieniu, np. udostępnieniu przez Specjalistę ds. Rekrutacji Firma "XYZ" oferującej benefity danych Kierownikowi Działu Sprzedaży, w celu umożliwienia zawarcia z nim umowy.

5. Udostępnienie w związku z obowiązkiem wynikającym z przepisów prawa, wymaga wskazania przez wnioskodawcę zarówno szczegółowego przepisu w randzie ustawy (tzn. ustawa oraz jej konkretne artykuły), a także celu i zakresu danych, które mają podlegać udostępnieniu. Najczęściej udostępnienie będzie następować na wniosek Urzędu Skarbowego, Zakładu Ubezpieczeń Społecznych, Policji, Prokuratury lub Sądu.

6. Prawnie uzasadniony interes wnioskodawcy, wskazany we wniosku o udostępnienie, wymaga wykazania, że ten interes jest faktyczny. Wnioskodawca musi także wykazać, że udostępnienie danych w tym celu jest niezbędne do jego zrealizowania, a także że jego interes przewyższa interesy osoby lub osób, których danych chce uzyskać.

7. Niektóre umowy wymagają udostępnienia danych osoby, z którą została zawarta, np. umowa konsumencka zawarta w związku z zakupem w sklepie internetowym wymaga udostępnienia danych operatorowi płatności Przelewy24, czy PayPal.

8. Przepisy o ochronie danych osobowych nie określają wzoru wniosku o udostępnienie, na potrzeby niniejszej procedury wprowadzono wewnętrzny wzór wniosku, który można udostępnić wnioskodawcy.

9. Wnioskodawca może przekazać żądanie, korzystając ze swojego wzoru wniosku, z zastrzeżeniem, że jego wniosek musi zawierać elementy umożliwiające dokonanie oceny zasadności wniosku.

10. Wymagane elementy wniosku o udostępnienie:

* dane podmiotu, który wnioskuje o uzyskanie danych;

* wskazanie podstawy udostępnienia;

* wskazanie osoby, której dane dotyczą;

* zakres danych, których ma dotyczyć udostępnienie;

* cel udostępnienia;

* podpis i dane osoby działającej w imieniu składającego wniosek.

11. W przypadku wniosku przekazywanego drogą elektroniczną, wnioskodawca może podpisać wniosek podpisem elektronicznym (kwalifikowanym lub profilem zaufanym).

2) Postępowanie w przypadku otrzymania wniosku o udostępnienie danych

1. O otrzymanym wniosku należy niezwłocznie poinformować Inspektora Danych Osobowych, który udzieli wsparcia w ocenie jego zasadności oraz realizacji.

2. W przypadku otrzymania żądania w formie ustnej, w treści wiadomości e-mail, poprzez komunikator internetowy, itp. należy poinformować wnioskodawcę o konieczności sformalizowania wniosku o udostępnienie danych, aby zawierał informacje wymagane zgodnie z punktem 1) ust. 10 Procedury oraz podpis wnioskodawcy i udostępnić wnioskodawcy przykładowy wzór wniosku o udostępnienie (załącznik nr 1 do Procedury).

3. W przypadku otrzymania wniosku we właściwej formie, należy dokonać weryfikacji elementów wniosku z punktem 1 ust. 10, w szczególności:

* Czy zostały precyzyjnie wskazane dane podmiotu, który wnioskuje o uzyskanie danych, tzn.

• nazwa firmy, adres siedziby, NIP, REGON; lub

• w przypadku osoby fizycznej Jan Kowalski, numer i seria dowodu osobistego ABC 123456 lub PESEL 12345678901?

* Czy została wskazana podstawa udostępnienia, tzn.

• przepis prawa w randze ustawy oraz konkretne artykuły tego przepisu; lub

• prawnie uzasadniony interes administratora z uzasadnieniem niezbędności udostępnienia danych?

* Czy zostały wskazane osoby, do których odnosi się wniosek, tzn.

• we wniosku określono wystarczająco precyzyjnie, czyje dane mają podlegać udostępnieniu?

* Czy został określony zakres danych, których ma dotyczyć udostępnienie?

* Czy został wskazany cel udostępnienia i jest on zgodny z podstawą prawną wskazaną we wniosku?

* Czy wniosek zawiera podpis i dane osoby działającej w imieniu składającego wniosek?

4. W przypadku stwierdzenia braków we wniosku, należy niezwłocznie skontaktować się z wnioskodawcą i poinformować go o konieczności uzupełnienia wniosku. Dopuszczalny jest kontakt telefoniczny lub z wykorzystaniem poczty elektronicznej, w celu przyśpieszenia procedury udostępnienia danych.

5. Jeżeli wnioskodawca nie udzieli odpowiedzi/dodatkowych wyjaśnień, należy pozostawić wniosek bez rozpatrzenia, a po upływie 30 dni przekazać decyzję o odmowie udostępnienia danych ze względu na błędy formalne we wniosku.

6. W przypadku stwierdzenia, że wskazany we wniosku prawnie uzasadniony interes wnioskodawcy nie jest rzeczywisty lub udostępnienie danych nie jest niezbędne do zrealizowania wskazanych celów, należy odmówić udostępnienia danych, wskazując na niewystarczające uzasadnienie prawnego interesu wnioskodawcy.

7. W przypadku powołania się na przepis prawa, należy dokonać weryfikacji podanego we wniosku przepisu prawa, tzn.

• Czy wskazany przepis prawa istnieje i jest obowiązujący?

• Czy przepis jest w randze ustawy?

• Czy treść przywołanego przepisu faktycznie uprawnia wnioskodawcę do żądania udostępnienia danych?

• Czy wskazany we wniosku cel przetwarzania jest spójny z celem wskazanym w przepisie?

8. Jeżeli wnioskodawca powołał się na przepis prawa, jednakże nie wskazał jego konkretnych artykułów, należy wezwać go do uszczegółowienia podstawy prawnej. Nie można udostępnić danych na podstawie przypuszczenia, że wskazany przepis faktycznie uprawnia wnioskodawcę do otrzymania danych.

9. Jeżeli wnioskodawca wskazał nieobowiązujący już przepis prawa lub przepis w randze rozporządzenia, należy wezwać go do wskazania właściwej podstawy prawnej.

10. Jeżeli wnioskodawca wskazał we wniosku cel udostępnienia niezgodny z celami, dla których dopuszcza możliwość udostępnienia danych wskazany przez niego przepis, należy poinformować wnioskodawcę o braku możliwości zrealizowania żądania udostępnienia ze względu na rozbieżność wskazanych celów i podstawy udostępnienia.

11. Jeżeli wskazany we wniosku przepis prawa nie uprawnia do udostępnienia danych, należy poinformować wnioskodawcę o braku możliwości zrealizowania żądania udostępnienia.

12. Jeżeli wskazany we wniosku zakres danych jest zbyt szeroki w odniesieniu do wskazanej przez wnioskodawcę podstawy prawnej, należy zwrócić się do wnioskodawcy o uzupełnienie podstawy prawnej lub zmianę zakresu żądanych danych. Do czasu udzielenia wyjaśnień, wniosek pozostaje bez rozpatrzenia. Po 14 dniach od wysłania dodatkowych pytań i braku uzyskania odpowiedzi, należy rozpatrzyć wniosek negatywnie.

13. W przypadku pozytywnej oceny wniosku, należy przekazać wniosek wraz z decyzją o udostępnieniu danych do Inspektora ochrony danych oraz Dyrektora IT, w celu zatwierdzenia udostępnienia.

14. Udostępnienie danych następuje w formie jakiej zażądał wnioskodawca, a w przypadku braku wskazania formy udostępnienia, jest realizowane w formie w jakiej został złożony wniosek.

15. Udostępnienie danych następuje z zastrzeżeniem konieczności zapewnienia ich poufności w czasie przekazania, tzn.

* w przypadku przekazywania drogą elektroniczną, należy dane zapisać w pliku zabezpieczonym hasłem "Hasło123", które zostanie przekazane wnioskodawcy oddzielną drogą mailową (nigdy w treści wiadomości zawierającej załącznik);

* w przypadku przekazywania drogą pocztową, należy zastosować dwie koperty, gdzie na wewnętrznej zostanie dodany dopisek "Dane osobowe - poufne". Przesyłka pocztowa musi być rejestrowana i wysłana za potwierdzeniem odbioru;

* osobistego odbioru, należy dokonać weryfikacji tożsamości wnioskodawcy poprzez okazanie dowodu osobistego. Przekazanie danych odbywa się za pokwitowaniem, gdzie wnioskodawca wskazuje swoje imię, nazwisko, datę odbioru i potwierdza podpisem odebranie danych.

16. Udostępnienie danych należy odnotować w wewnętrznym rejestrze udostępnień (załącznik nr 2 do Procedury).

17. Wniosek o udostępnienie wraz z decyzją o sposobie realizacji wniosku, w formie adnotacji dokonanej przez osobę odpowiedzialną za rozpatrzenie wniosku, należy przechowywać przez 3 lata po zrealizowaniu wniosku.

Załącznik nr 1 Wzór - wniosek o udostępnienie danych

Dane wnioskodawcy:

Nazwa firmy: Firma "ABC" Sp. z o.o.* .........................................................................

Adres: ul. Kwiatowa 1, 00-000 Warszawa*.............................................................................................................................................

PESEL/REGON: 12345678901/123456789*................................. Telefon: 123456789 ..................... i/lub Email: [email protected] .................................

Wnioskuję o udostępnienie danych osoby/osób:

Jan Kowalski..........................................................................................................................................................

W zakresie: imię, nazwisko, adres.......................................................................................................................................

W celu: weryfikacji danych klienta.............................................................................................................................................

Uzasadnienie wniosku (wskazanie podstawy prawnej udostępnienia):

Art. 6 ust 1 lit. f) RODO - prawnie uzasadniony interes administratora..........................................................................................................................................

Data i podpis wnioskodawcy 2023-10-27.........................................................................

Imię i nazwisko osoby działającej w imieniu wnioskodawcy: Anna Nowak........................................................

Klauzula informacyjna dla wnioskodawcy lub osób, działających w jego imieniu

Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia 2016/679 (RODO), informujemy, iż:

* Administratorem Pani/a danych osobowych jest Firma "XYZ" Sp. z o.o., ul. Przykładowa 1, 00-000 Warszawa.

* W sprawach dotyczących przetwarzania danych, w tym skorzystania z przysługujących na mocy przepisów RODO praw, może Pan/i skorzystać ze wskazanych danych kontaktowych lub skontaktować się z Inspektorem ochrony danych: [email protected] dane kontaktowe IOD.

* Pani/a dane osobowe będą przetwarzane w związku z realizowaniem otrzymanego wniosku, a także przetwarzać w celu obrony przed roszczeniami powstałymi w związku z realizacją wniosku, na podstawie naszego prawnie uzasadnionego interesu.

* Odbiorcami Pani/a danych osobowych będą podmioty upoważnione do tego na podstawie przepisów prawa, a także nasi podwykonawcy.

* Posiada Pan/i prawo żądania dostępu do swoich danych osobowych, a także ich sprostowania (poprawiania). Przysługuje Pani/u także prawo do żądania usunięcia lub ograniczenia przetwarzania, przenoszenia danych, a także sprzeciwu na przetwarzanie, przy czym przysługuje ono jedynie w sytuacji, jeżeli dalsze przetwarzanie nie jest niezbędne do wywiązania się przez Administratora z obowiązku prawnego i nie występują inne nadrzędne prawne podstawy przetwarzania.

* Ma Pan/i prawo wniesienia skargi na sposób przetwarzania przez administratora do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

* Podanie danych jest dobrowolne, ale niezbędne do zrealizowania wniosku.

* Pani/a dane mogą być udostępnione do USA/Google, tzn. w związku z korzystaniem z usług Google Workspace. Administrator informuje, że zastosowano standardowe klauzule umowne.

Wzór - odnotowywanie informacji o odbiorcach danych

1 Firma "ABC" Jan Kowalski 2023-10-27 Imię, nazwisko, adres 2023-10-27 Podpis Jana Kowalskiego 2023-10-27 Podpis Anny Nowak