Zasady prowadzenia ewidencji udostępnienia danych Osobowych

Przepisy RODO nie nakładają wprost na administratora danych żadnych wymogów związanych z prowadzeniem ewidencji udostępniania danych osobowych. Mając jednak na uwadze zasadę rozliczalności (art. 5 ust. 2 RODO), prowadzenie takiej ewidencji pozwoli administratorowi danych na wykazanie, komu i na jakiej podstawie udostępniał dane osobowe, a także na weryfikację prawidłowości procesu udostępniania danych osobowych.

W ewidencji udostępnienia danych osobowych powinny, co do zasady, znaleźć się takie informacje jak:

  • data udostępnienia danych osobowych,
  • podmiot, któremu dane udostępniono (nazwa, adres),
  • nazwa zbioru, z którego udostępniono dane,
  • podstawa prawna udostępnienia danych,
  • zakres udostępnionych danych,
  • imię i nazwisko pracownika dokonującego udostępnienia.

W zależności od specyfiki i potrzeb konkretnego administratora danych zakres informacji wpisywanych w ewidencję udostępnienia można rozszerzyć.

Zasady udostępniania danych osobowych

Prowadzenie ewidencji udostępnienia danych osobowych ma charakter wtórny, w stosunku do procedury weryfikacji i oceny prawidłowości i zasadności, a także celowości wniosków o udostępnienie danych osobowych. Wpisanie informacji do ewidencji udostępnienia danych jest końcowym procesem ich udostępniania. W pierwszej kolejności administrator danych musi zweryfikować, kto i na jakiej podstawie prawnej żąda udostępnienia danych osobowych i czy w konkretnej sytuacji może dojść do takiego przekazania danych.

Administrator danych powinien zatem przede wszystkim zweryfikować podstawę prawną, na jakiej opiera się żądanie udostępnienia danych. Należy sprawdzić, czy podmiot, który wskazał podstawę prawną, mógł się na nią powołać w danym przypadku (weryfikacja podstawy prawnej pod kątem jej trafności) oraz czy ta podstawa jest aktualna (czy np. nie zmieniały się przepisy prawa).

Jeżeli administrator danych stwierdzi, że wskazana podstawa prawna jest nieprawidłowa, to może wezwać wnioskodawcę do poprawienia wniosku i podania prawidłowej podstawy prawnej. Warto zaznaczyć, że przepisy RODO nie narzucają żadnej formy i wymogów dotyczących sformułowania wniosku o udostępnienie danych osobowych, co oznacza, że wniosek może być złożony w dowolnej formie, musi jednak zawierać informację pozwalającą na zidentyfikowanie wnioskodawcy i jego uprawnień do uzyskania danych osobowych.

WAŻNE!

Należy pamiętać, że administrator danych nie może ich udostępnić, jeżeli nie ma ku temu podstawy prawnej. W tej sytuacji weryfikacja podstawy prawnej wskazanej przez osobę, która złożyła wniosek, jest obowiązkiem administratora danych.

Co więcej, taką weryfikację administrator danych musi przeprowadzić także wtedy, gdy wnioskodawca w ogóle nie wskaże podstawy prawnej swojego żądania, nie ma bowiem ta...

Dalsza część jest dostępna dla użytkowników z wykupionym planem