Procedura udostępniania danych osobowych osobom i instytucjom na mocy obowiązującego prawa

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Podmioty uprawnione do otrzymania danych osobowych w celach innych niż włączenie do zbioru mogą uzyskać je wtedy, gdy:

  • złożą w tej sprawie umotywowany wniosek, chyba że przepis innej ustawy będzie stanowił inaczej (nie jest dozwolone udostępnianie danych w związku z prośbą lub zapytaniem złożonym telefonicznie albo pocztą elektroniczną, nawet wtedy, gdy we wniosku wskazano, do czego te dane będą służyć, a także pomimo odpowiedniego umotywowania go),
  • we wniosku podadzą informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskażą ich zakres i przeznaczenie.

Podmiotom tym udostępniane mogą być, o ile stanowią tak szczególne przepisy, wszelkie dane, w tym też sensytywne (wrażliwe). Natomiast podmioty, którym to uprawnienie nie przysługuje, nie mogą występować o udostępnianie danych wrażliwych, a jedynie o przekazanie danych zwykłych.
Jeżeli podane wyżej warunki zostaną spełnione, administrator danych obowiązany jest do udostępnienia danych objętych wnioskiem.
Odmowa przekazania danych osobowych może nastąpić wówczas, gdy ubiegający się o udostępnienie danych ze zbioru nie są podmiotami uprawnionymi do ich otrzymania na podstawie przepisów prawa. Może to także dotyczyć osób, których dane dotyczą, ze względu na potrzebę ochrony innych ważnych interesów. Odmowa będzie miała miejsce wtedy, gdy spowodowałaby:

  • zagrożenie dla obronności lub bezpieczeństwa państwa (zewnętrznego, związanego z suwerennością państwa oraz wewnętrznego),
  • zagrożenie dla życia i zdrowia ludzi (w tym także w kontekście klęsk żywiołowych i katastrof ekologicznych),
  • zagrożenie bezpieczeństwa i porządku publicznego (ściganie przestępstw, działania prewencyjne, postępowania sądowe),
  • zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa (zagrożenie to musi być konkretne, realne i poważne),
  • istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

Wyliczone powyżej przyczyny odmowy nie mogą być katalogiem powiększanym ani interpretowanym rozszerzająco. Mając na uwadze przyjęte uregulowania prawne dotyczące ochrony powyższych interesów, administrator danych osobowych podejmuje decyzję o tym, czy zachodzi dana przyczyna odmowy udzielenia danych osobowych.