Kontynuując wątek wyroków wydanych pod koniec ubiegłego roku przez TSUE i dotyczących danych osobowych, warto odnotować wyrok w sprawie Smaranda Bara vs. Președintele Casei Naționale de Asigurări de Sănătate (C-201/14).

W wyroku tym TSUE wypowiada się co do tego, czy urząd X może udostępnić dane osobowe urzędowi Y w każdej sytuacji. Konkluzja jest jasna – udostępnienie jest możliwe tylko pod ściśle określonymi warunkami.

Smaranda Bara wraz z innymi obywatelami Rumunii prowadzili własną działalność gospodarczą, z której uzyskiwali określone dochody. Wszystkie dane przekazywali rumuńskim organom podatkowym. Nie przekazywali ich jednak … krajowej kasie ubezpieczeń społecznych. Organy podatkowe samodzielnie udostępniły organom ubezpieczeniowym szereg danych, w tym np. dane o uzyskiwanych dochodach przez p. Barę i innych. Rumuńska krajowa kasa ubezpieczeń w bardzo szybkim tempie, uzbrojona we wszystkie potrzebne informacje, których do tej pory nie miała, wystosowała wezwania do swoich obywateli, żądając wypłaty zaległych składek. P. Bara wraz z innymi podatnikami zakwestionowali podstawę udostępnienia danych dotyczących ich dochodów. TSUE udzielając odpowiedzi na pytania prejudycjalne zadane przez sąd rumuński, przyznał im rację.

Na czym oparł się Trybunał? Stwierdził, że urzędy mogą przekazywać sobie dane osobowe tylko wówczas, gdy mają ku temu podstawę ustawową, która określa, na jakich zasadach miałoby się to odbywać. Prawo rumuńskie umożliwiało co prawda udostępnienie danych miedzy urzędami, lecz jedynie w zakresie danych identyfikacyjnych (imię, nazwisko, adres), nie zaś w zakresie uzyskiwanych dochodów.

Co więcej, podczas przekazywania danych każdy organ powinien spełnić obowiązek informacyjny, czyli m.in. poinformować osoby, których dane dotyczą, że ich dane zostaną przekazane innemu organowi administracji publicznej w celu ich przetworzenia, chyba że przepisy krajowe wyłączają taki obowiązek.

Jak przekłada się to na polski grunt? Art. 25 ust. 2 pkt 5 ustawy o ochronie danych osobowych zwalnia z obowiązku informacyjnego organy państwowe oraz podmioty niepubliczne wykonujące zadania publiczne. Zwolnienie tłumaczy się koniecznością zapewnienia „efektywnego funkcjonowania administracji publicznej”. Co istotne, obowiązek informacyjny jest wyłączony tylko podczas tzw. „wtórnego” gromadzenia danych, czyli np. podczas przekazywania ich sobie na linii urząd-urząd. Inaczej byłoby podczas pozyskiwania danych przez organy podczas prowadzenia np. postępowania administracyjnego. Obowiązek ten nie jest wówczas wyłączony, na co GIODO zwracał uwagę np. w stosunku do Kas Chorych w sprawozdaniu z 2001 r. Niezależnie od istnienienia obowiązku informacyjnego, czy jego braku, każde udostępnienie danych podczas „wtórnego” przetwarzania powinno mieć jednak oparcie w przepisach prawa. Istotne jest więc, w jakim celu, zakresie zostanie dokonane i czy zawsze takie działania będą legalne.

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. Polityka prywatności