Nie wiesz, komu pracodawca może ujawnić Twoje dane osobowe ani kiedy ma do tego prawo. Z tego artykułu dowiesz się, w jakich sytuacjach pracodawca może udostępnić dane pracownika organom publicznym i podmiotom prywatnym oraz jakie dokumenty musi mieć, zanim to zrobi. Poznasz też praktyczne zasady postępowania z wnioskami o udostępnienie danych, aby uniknąć naruszeń RODO i problemów prawnych.
Co rozumie się przez udostępnienie danych osobowych pracownika?
Przez udostępnienie danych osobowych pracownika rozumiemy każde przekazanie informacji o pracowniku poza strukturę pracodawcy, czyli do innego administratora danych, niezależnie od formy technicznej. Może to być wysłanie kopii dokumentów, udostępnienie pliku z danymi, ujawnienie treści akt osobowych w odpowiedzi na wniosek sądu czy urzędu. Ważne jest odróżnienie wewnętrznego przetwarzania danych w ramach organizacji (np. wyświetlenie danych w systemie kadrowym) od udostępnienia, w którym odbiorca zaczyna przetwarzać dane we własnym imieniu i na własne cele.
Do udostępnienia dochodzi na przykład, gdy pracodawca odpowiada na zapytanie urzędu skarbowego i przesyła listę wynagrodzeń pracowników za dany rok. Będzie nim również przekazanie danych kadrowo‑płacowych do zewnętrznej firmy obsługującej listy płac jako samodzielnego administratora, a także wystawienie zaświadczenia o zatrudnieniu i dochodach dla banku, który ocenia zdolność kredytową pracownika. W każdym z tych przypadków podmiot otrzymujący dane decyduje już samodzielnie o ich dalszym wykorzystaniu w granicach prawa.
Udostępnienie danych może przybrać różne formy, między innymi:
- przekazanie papierowych dokumentów lub ich kopii,
- wysłanie danych e‑mailem lub poprzez bezpieczną skrzynkę podawczą,
- udostępnienie pliku CSV, raportu z systemu HR lub interfejsu API.
Na jakich podstawach prawnych pracodawca może udostępnić dane pracownika?
Pracodawca jako administrator danych osobowych pracowników musi oprzeć każde udostępnienie danych na konkretnej podstawie prawnej z RODO, przede wszystkim z art. 6 RODO, a w przypadku danych szczególnych kategorii – z art. 9 RODO. Jednocześnie ogromne znaczenie mają przepisy krajowe, takie jak Kodeks pracy, Ordynacja podatkowa czy ustawa o systemie ubezpieczeń społecznych, które nakładają na pracodawcę obowiązki przekazywania danych do ZUS, urzędów skarbowych czy sądów. Brak podstawy prawnej oznacza, że udostępnienie jest bezprawne, nawet jeżeli odbywa się „na prośbę” organu lub samego pracownika.
| Podstawa prawna (RODO / przepisy krajowe) | Typ sytuacji / udostępnienia (krótki przykład) |
| RODO art. 6(1)(a) – zgoda osoby, której dane dotyczą | Pracownik zgadza się na przekazanie danych kontaktowych i wizerunku partnerowi benefitowemu oferującemu prywatną opiekę medyczną |
| RODO art. 6(1)(b) – wykonanie umowy | Udostępnienie danych pracownika hotelowi lub przewoźnikowi w związku z delegacją służbową wynikającą z umowy o pracę |
| RODO art. 6(1)(c) – obowiązek prawny ciążący na administratorze | Przekazanie dokumentów płacowych do urzędu skarbowego na podstawie Ordynacji podatkowej lub danych o ubezpieczeniu do ZUS na podstawie ustawy o systemie ubezpieczeń społecznych |
| RODO art. 6(1)(d) – ochrona żywotnych interesów | Przekazanie szpitalowi podstawowych danych pracownika po wypadku przy pracy, gdy nie jest on w stanie udzielić informacji samodzielnie |
| RODO art. 6(1)(e) – wykonanie zadania realizowanego w interesie publicznym / w ramach władzy publicznej | Udostępnienie danych pracownika przez urząd gminy jako pracodawcę na żądanie sądu administracyjnego na podstawie Kodeksu postępowania cywilnego lub administracyjnego |
| RODO art. 6(1)(f) – prawnie uzasadniony interes administratora lub strony trzeciej | Przekazanie danych nieuczciwego pracownika kancelarii prawnej lub firmie windykacyjnej w celu dochodzenia roszczeń cywilnych |
| Kodeks pracy art. 22(1) i n. | Udostępnianie danych wynikających z akt osobowych przy kontrolach PIP, ZUS czy sądów pracy |
| Ordynacja podatkowa art. 155 | Przekazanie dokumentów i list płac na żądanie organu podatkowego w toku postępowania |
| Ustawa o systemie ubezpieczeń społecznych | Przekazywanie imienia, nazwiska, numeru PESEL i danych o wynagrodzeniu do Zakładu Ubezpieczeń Społecznych |
Przy każdej z powyższych podstaw pracodawca musi stosować zasadę minimalizacji danych, wynikającą z RODO art. 5(1)(c): udostępnia tyle informacji, ile jest konieczne do wskazanego celu, nie przekazuje całych akt osobowych „na wszelki wypadek” oraz nie wykorzystuje przekazania danych do innych celów niż wynika to z podstawy prawnej.
Jakie przesłanki z art. 6 RODO stosuje się do udostępniania danych?
W codziennej praktyce kadrowej i HR najczęściej wykorzystuje się przesłanki: obowiązek prawny, wykonanie umowy oraz prawnie uzasadniony interes, a zgoda pracownika dotyczy głównie działań dodatkowych i dobrowolnych, takich jak marketing czy programy benefitowe. Każde udostępnienie powinno być jasno przypisane do jednej z przesłanek z RODO art. 6(1)(a–f).
| Przesłanka RODO | Zastosowanie w praktyce pracodawcy |
| art. 6(1)(a) – zgoda | Uzyskanie zgody pracownika na publikację jego wizerunku na stronie internetowej firmy lub profilu pracodawcy w mediach społecznościowych oraz na przekazanie danych do partnerów benefitowych spoza grupy kapitałowej |
| art. 6(1)(b) – wykonanie umowy | Przekazanie danych pracownika do banku obsługującego wypłatę wynagrodzeń lub do hotelu oraz przewoźnika w związku z podróżą służbową wynikającą z umowy o pracę |
| art. 6(1)(c) – obowiązek prawny | Udostępnienie danych do ZUS, urzędu skarbowego, sądu pracy lub prokuratury, gdy wynika to wprost z ustawy, np. Ordynacji podatkowej albo ustawy o systemie ubezpieczeń społecznych |
| art. 6(1)(d) – żywotne interesy | Przekazanie danych medycznych lub kontaktowych służbom ratunkowym po ciężkim wypadku przy pracy, gdy pracownik nie jest w stanie wyrazić zgody |
| art. 6(1)(e) – interes publiczny / władza publiczna | Udostępnienie danych pracowników samorządowych lub urzędników na żądanie uprawnionych organów, np. sądu lub Naczelnego Sądu Administracyjnego, w toku postępowań dotyczących wykonywania zadań publicznych |
| art. 6(1)(f) – prawnie uzasadniony interes | Przekazywanie danych pracownika kancelarii prawnej lub biegłemu sądowemu w celu obrony przed roszczeniami albo ich dochodzenia oraz udostępnienie podstawowych danych kontaktowych kontrahentom w ramach relacji biznesowych |
Gdy pracodawca powołuje się na prawnie uzasadniony interes (RODO art. 6(1)(f)), powinien posiadać udokumentowaną analizę LIA (lub POI), która pokaże, że interes pracodawcy lub strony trzeciej przeważa nad ryzykiem naruszenia praw i wolności pracownika.
Taka analiza powinna wykazać, że cel udostępnienia jest realny, konieczny, proporcjonalny oraz możliwy do osiągnięcia mniej ingerującymi metodami, a ponadto pracownik nie jest zaskakiwany nietypowym przepływem swoich danych.
Jakie sytuacje wymagają zgody pracownika?
Zgoda pracownika jest potrzebna wtedy, gdy udostępnienie danych nie wynika z przepisów prawa, nie jest konieczne do wykonania umowy o pracę i ma charakter całkowicie dobrowolny z punktu widzenia stosunku pracy. Chodzi o sytuacje, w których odmowa zgody nie może rodzić dla pracownika negatywnych konsekwencji kadrowych czy płacowych.
Do typowych przypadków, w których pracodawca powinien posłużyć się zgodą, należą między innymi:
- publikacja wizerunku pracownika na stronie internetowej, w mediach społecznościowych lub materiałach reklamowych pracodawcy,
- przekazywanie danych pracownika partnerom marketingowym, organizatorom konkursów lub programów lojalnościowych,
- zgłoszenie pracownika do dobrowolnych benefitów zewnętrznych (np. karty sportowe, prywatne pakiety medyczne, programy rabatowe), gdy dane przekazywane są poza grupę pracodawcy.
Zgoda pracownika musi być dobrowolna, konkretna, świadoma i możliwa do wycofania w każdym momencie (RODO art. 4 pkt 11, art. 7), a pracodawca powinien móc wykazać jej udzielenie, np. poprzez przechowywanie formularza zgody w dokumentacji kadrowej.
Jak obowiązek prawny uprawnia do udostępnienia danych?
W wielu sytuacjach to ustawa wprost nakazuje pracodawcy ujawnienie danych pracownika określonemu organowi, co stanowi podstawę z RODO art. 6(1)(c). Dotyczy to między innymi przekazywania danych do Zakładu Ubezpieczeń Społecznych na podstawie ustawy o systemie ubezpieczeń społecznych, do urzędu skarbowego na podstawie Ordynacji podatkowej, a także do sądu pracy lub sądów powszechnych na podstawie Kodeksu postępowania cywilnego czy karnego. W takich przypadkach pracodawca nie potrzebuje zgody pracownika i wręcz nie może odmówić, jeśli żądanie opiera się na jasnym przepisie.
Przed udostępnieniem danych na podstawie obowiązku prawnego pracodawca powinien zażądać od wnioskodawcy pisemnego żądania z podaniem podstawy prawnej, zakresu danych i celu, np. postanowienia sądu, wezwania urzędu skarbowego czy pisma z ZUS wraz z upoważnieniem urzędnika. Następnie musi ograniczyć przekazywany zakres wyłącznie do danych wynikających z tego obowiązku i nie dodawać informacji, o które organ nie wnosił.
Jakie podmioty mogą żądać udostępnienia danych pracownika?
W praktyce o dane osobowe pracownika występują głównie organy publiczne, takie jak sądy, Policja, Prokuratura czy inne organy ścigania, a także organy podatkowe i ubezpieczeniowe, w tym Urząd Skarbowy oraz Zakład Ubezpieczeń Społecznych. Oprócz tego z wnioskami mogą zgłaszać się podmioty prywatne – banki udzielające kredytów, kontrahenci, byli pracodawcy, obecni i byli partnerzy biznesowi, a nawet osoby fizyczne, które powołują się na swój interes prawny. Nie każdemu z nich pracodawca może jednak legalnie udzielić odpowiedzi.
| Rodzaj podmiotu | Typ żądanych danych i zwykle wymagane dokumenty / forma żądania |
| Sąd powszechny lub administracyjny | Akta osobowe, potwierdzenia zatrudnienia, listy płac, ewidencja czasu pracy; zazwyczaj na podstawie postanowienia sądu lub zarządzenia o przedstawieniu dokumentów (np. Kodeks postępowania cywilnego art. 248 §1) |
| Policja, Prokuratura | Dane identyfikacyjne, adresowe, informacje o zatrudnieniu i wynagrodzeniu w związku z postępowaniem karnym; żądanie w formie pisma powołującego się na Kodeks postępowania karnego art. 15 §2–3 |
| Urząd Skarbowy | Listy płac, umowy, dokumenty potwierdzające wypłaty, dane identyfikacyjne pracowników; wezwanie pisemne na podstawie Ordynacji podatkowej, np. art. 155 |
| Zakład Ubezpieczeń Społecznych | Dane niezbędne do rozliczenia składek i świadczeń (imię, nazwisko, PESEL, okresy zatrudnienia, wynagrodzenia); żądanie pisemne lub w ramach kontroli na podstawie ustawy o systemie ubezpieczeń społecznych |
| Inne organy administracji publicznej | Kopie dokumentów, zaświadczenia o zatrudnieniu, informacje o wynagrodzeniach w związku z realizacją zadań ustawowych; żądanie w formie pisma lub wezwania z powołaniem właściwej ustawy |
| Banki i instytucje finansowe | Zaświadczenia o zatrudnieniu i dochodach na potrzeby kredytu; zwykle na podstawie pisemnej zgody pracownika lub na jego wniosek |
| Kontrahenci, klienci biznesowi | Podstawowe dane identyfikacyjne i kontaktowe pracowników obsługujących danego klienta; w oparciu o prawnie uzasadniony interes lub zapisy umowy |
| Były pracodawca, przyszły pracodawca, inne podmioty prywatne | Referencje, potwierdzenia zatrudnienia, informacje o stażu pracy; zazwyczaj wymagają zgody pracownika lub wyraźnej podstawy ustawowej |
Przed ujawnieniem danych jakiegokolwiek pracownika pracodawca musi zweryfikować zarówno tożsamość podmiotu wnioskującego, jak i powołaną podstawę prawną, aby uniknąć sytuacji podszywania się (spoofing) lub prób wyłudzenia danych.
Jakie uprawnienia mają sądy, policja i prokuratura?
Sądy, Policja i Prokuratura należą do najczęściej występujących o dane pracownika organów publicznych. W toku postępowań cywilnych, karnych lub administracyjnych mogą one żądać przedstawienia dokumentów zawierających dane osobowe pracowników, jeżeli ma to znaczenie dla rozstrzygnięcia sprawy. Przykładowo sąd może powołać się na Kodeks postępowania cywilnego art. 248 §1, a Policja i Prokuratura na Kodeks postępowania karnego art. 15 §2–3, domagając się dokumentów kadrowych, adresów czy informacji o wynagrodzeniu.
Uprawnienia tych organów nie są jednak nieograniczone. Zakres żądanych danych musi pozostawać w bezpośrednim związku z toczącym się postępowaniem, a gdy żądanie nie spełnia wymogów formalnych albo nie wskazuje podstawy prawnej, pracodawca ma prawo odmówić i poprosić o przedstawienie odpowiedniego postanowienia lub wezwania. W sytuacjach, gdy treść żądania jest zbyt szeroka, warto ograniczyć przekazanie danych do minimum koniecznego dla celu postępowania.
Nie wysyłaj danych pracownika wyłącznie na podstawie „prośby mejlowej” z ogólnego adresu sądu, policji czy prokuratury – żądaj skanu lub oryginału pisma z podpisem i podstawą prawną, a następnie zweryfikuj adres zwrotny i numer sprawy w oficjalnym kontakcie z organem.
Jakie uprawnienia mają organy podatkowe i ZUS?
Organy podatkowe oraz Zakład Ubezpieczeń Społecznych dysponują szerokimi kompetencjami do żądania od pracodawcy informacji o pracownikach w związku z kontrolą podatkową lub ubezpieczeniową. Podstawą są tutaj przede wszystkim Ordynacja podatkowa (np. art. 155) oraz ustawa o systemie ubezpieczeń społecznych, które zobowiązują pracodawcę do przedstawienia dokumentów i danych niezbędnych do prawidłowego ustalenia zobowiązań podatkowych i składkowych.
W praktyce urząd skarbowy lub ZUS żądają najczęściej dostępu do list płac, imiennych raportów ZUS, umów o pracę i umów cywilnoprawnych, danych identyfikacyjnych pracowników (imię, nazwisko, PESEL, adres), podstaw wymiaru składek oraz informacji o świadczeniach. Forma żądania to zazwyczaj pisemne wezwanie, zawiadomienie o wszczęciu kontroli lub protokół kontroli, w którym wskazany jest zakres danych, termin i sposób ich przekazania.
Przed udostępnieniem danych do organów podatkowych lub ZUS pracodawca powinien posiadać następujące dokumenty:
- wezwanie lub zawiadomienie o kontroli z powołaniem właściwych przepisów,
- upoważnienie do przeprowadzenia kontroli wydane dla konkretnych inspektorów,
- szczegółowe określenie zakresu i okresu, którego mają dotyczyć udostępniane dokumenty.
Jakie sytuacje uprawniają podmiot prywatny do żądania danych?
Podmioty prywatne – banki, kontrahenci, kancelarie prawne czy przyszli pracodawcy – mają zdecydowanie węższe uprawnienia do żądania danych pracownika niż organy publiczne. Mogą domagać się ujawnienia danych zasadniczo w trzech sytuacjach: gdy dysponują wyraźną zgodą pracownika, gdy łączy je z pracodawcą umowa przewidująca takie przekazanie, lub gdy wykazany zostanie prawnie uzasadniony interes w rozumieniu RODO art. 6(1)(f), poparty odpowiednią analizą. W każdym wypadku konieczne jest wykazanie, że zakres żądanych danych jest niezbędny do określonego celu.
Do typowych przykładów należą sytuacje, gdy:
- bank prosi pracodawcę o potwierdzenie zatrudnienia i wysokości wynagrodzenia pracownika na potrzeby oceny zdolności kredytowej – co zazwyczaj wymaga zgody pracownika,
- kontrahent domaga się danych identyfikacyjnych osoby odpowiedzialnej za realizację umowy, aby móc wystawić fakturę lub podpisać protokół odbioru,
- przyszły pracodawca zwraca się o referencje dotyczące byłego pracownika – zwykle po okazaniu zgody tej osoby lub w oparciu o jasno określoną podstawę umowną.
W relacjach z podmiotami prywatnymi pracodawca powinien maksymalnie ograniczać zakres udostępnianych danych oraz żądać przedstawienia dokumentów potwierdzających uprawnienie do ich otrzymania, w tym zgody pracownika, jeśli jest wymagana.
Jak powinien postępować pracodawca wobec wniosku o udostępnienie danych?
Każdy wniosek o udostępnienie danych osobowych pracownika powinien uruchamiać po stronie pracodawcy ten sam schemat działania oparty na weryfikacji uprawnień wnioskodawcy, sprawdzeniu podstawy prawnej oraz zasadzie minimalizacji i rozliczalności (RODO art. 5). Chodzi o to, aby móc wykazać przed Urzędem Ochrony Danych Osobowych, że każda decyzja o udostępnieniu była przemyślana i udokumentowana.
Bezpieczne postępowanie z takim wnioskiem można ująć w kilku krokach:
- Zweryfikować tożsamość i uprawnienia wnioskodawcy, w razie potrzeby prosząc o dodatkowe dokumenty.
- Zażądać pisemnego wskazania podstawy prawnej – postanowienia, wezwania, umowy, zgody pracownika lub innego tytułu prawnego.
- Ograniczyć zakres przekazywanych danych do niezbędnego minimum odpowiadającego celowi, którego dotyczy wniosek.
- Udokumentować całą procedurę, w tym sam wniosek, odpowiedź oraz zakres danych – np. w rejestrze żądań o udostępnienie danych.
- W przypadkach wątpliwych skonsultować się z Inspektorem Ochrony Danych (IOD) lub działem prawnym, zwłaszcza przy powoływaniu się na prawnie uzasadniony interes.
- Jeżeli brak jest jasnej podstawy prawnej – odmówić udostępnienia danych w formie pisemnej z uzasadnieniem.
Odpowiedź na wniosek powinna być udzielona w rozsądnym terminie, w sposób zapewniający poufność i możliwość odtworzenia przebiegu sprawy, np. poprzez wysyłkę szyfrowanego pliku na wskazany adres, z jednoczesnym zachowaniem kopii przekazanych materiałów w dokumentacji administratora.
Ekspert: Zawsze wymagaj od organu występującego z żądaniem pisemnej podstawy prawnej (postanowienie, wezwanie), sprawdź dokładnie zakres – udostępniaj tylko niezbędne pola danych i zachowaj ślad czynności (kopie pism, notatki służbowe, e‑mail z potwierdzeniem).
Ekspert: W przypadku próśb prywatnych (bank, klient) nie polegaj na telefonicznym potwierdzeniu – żądaj zgody pracownika lub umowy obligującej pracodawcę do ujawnienia danych; przy wątpliwościach zabezpiecz odpowiedź odmowną na piśmie i skonsultuj z prawnikiem.
Jakie dane można udostępniać a jakie wymagają szczególnej ochrony?
| Kategoria danych | Przykłady | Uwagi / ograniczenia |
| Dane podstawowe | Imię, nazwisko, stanowisko, służbowy adres e‑mail, numer telefonu, NIP, numer PESEL w ściśle uzasadnionych przypadkach | Zwykle możliwe do udostępnienia w ograniczonym zakresie, gdy wymaga tego umowa, obowiązek prawny lub prawnie uzasadniony interes; zakres powinien być zawsze proporcjonalny do celu |
| Dane wrażliwe (szczególne kategorie danych) | Dane o zdrowiu (orzeczenia lekarskie, zaświadczenia L4), przynależność do związków zawodowych, poglądy religijne lub światopoglądowe, dane biometryczne (odciski palców, skan siatkówki) | Wymagają szczególnej podstawy z RODO art. 9(2); co do zasady nie powinny być udostępniane podmiotom prywatnym, a ich przekazanie organom publicznym musi wynikać wprost z ustawy; nie wolno pobierać danych biometrycznych do ewidencji czasu pracy |
| Dane dotyczące wyroków skazujących i naruszeń prawa | Informacje o karalności, środkach karnych, zakazach wykonywania zawodu, mandatach w określonych zawodach | Objęte dodatkowymi ograniczeniami prawnymi; przetwarzanie możliwe jedynie w sytuacjach przewidzianych prawem, bez swobodnego udostępniania osobom trzecim |
| Dane finansowe pracownika | Wysokość wynagrodzenia, premie, potrącenia, numer rachunku bankowego | Udostępniane tylko w ściśle określonych przypadkach, np. urzędom skarbowym, ZUS, komornikom lub na wniosek banku za zgodą pracownika; z punktu widzenia prywatności są bardzo wrażliwe |
W każdym przypadku, w którym cel udostępnienia może być osiągnięty bez ujawniania pełnych danych osobowych, warto zastosować anonimizację lub pseudonimizację, usuwając m.in. imię, nazwisko, PESEL czy adres i pozostawiając jedynie niezbędne informacje.
Jakie są ryzyka i konsekwencje nieprawidłowego udostępnienia danych?
Nieprawidłowe udostępnienie danych osobowych pracownika może prowadzić do poważnych konsekwencji dla pracodawcy. W grę wchodzą sankcje administracyjne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie RODO art. 83, w tym kary finansowe sięgające nawet 20 mln euro lub 4% rocznego obrotu. Możliwa jest także odpowiedzialność cywilna wobec pracownika, który dochodzi odszkodowania za naruszenie prawa do prywatności i dobrego imienia, a w niektórych sytuacjach – odpowiedzialność karna za bezprawne ujawnienie danych. Do tego dochodzi utrata reputacji i zaufania kontrahentów oraz pogorszenie klimatu zaufania wśród pracowników.
Jeżeli dojdzie do naruszenia poufności, integralności lub dostępności danych w wyniku błędnego udostępnienia, pracodawca może być zobowiązany do zgłoszenia naruszenia do organu nadzorczego (RODO art. 33), a w określonych przypadkach także do poinformowania osoby, której dane dotyczą (RODO art. 34). Oprócz potencjalnych kar należy liczyć się z kosztami pośrednimi: audytami bezpieczeństwa, wdrożeniem środków naprawczych, dodatkowymi szkoleniami pracowników czy działaniami związanymi z ograniczeniem skutków naruszenia.
Po wykryciu błędnego udostępnienia danych natychmiast wstrzymaj dalsze przekazywanie informacji, skonsultuj się z prawnikiem lub Inspektorem Ochrony Danych i szczegółowo udokumentuj wszystkie podjęte działania naprawcze – to często zmniejsza skalę odpowiedzialności przed organem nadzorczym.
Co warto zapamietać?:
- Udostępnienie danych pracownika to każde przekazanie ich poza strukturę pracodawcy do innego administratora; jest legalne wyłącznie przy istnieniu konkretnej podstawy prawnej (art. 6 lub 9 RODO + przepisy krajowe), z zachowaniem zasady minimalizacji danych.
- Najczęstsze podstawy: obowiązek prawny (ZUS, US, sądy, organy ścigania), wykonanie umowy (delegacje, obsługa płac, bank wypłacający pensje), prawnie uzasadniony interes (dochodzenie roszczeń, obsługa relacji z kontrahentami); zgoda pracownika dotyczy głównie działań dobrowolnych (marketing, wizerunek, benefity zewnętrzne).
- Organy publiczne (sądy, Policja, Prokuratura, US, ZUS) mogą żądać szerokiego zakresu danych, ale zawsze w granicach ustawy i w formie pisemnej; podmioty prywatne (banki, kontrahenci, przyszli pracodawcy) mogą otrzymać tylko niezbędne minimum, zwykle na podstawie zgody pracownika, umowy lub dobrze udokumentowanego interesu prawnego.
- Procedura dla każdego wniosku: weryfikacja tożsamości i uprawnień wnioskodawcy, żądanie pisemnej podstawy prawnej, ograniczenie zakresu danych do niezbędnego minimum, pełna dokumentacja decyzji (rejestr żądań), konsultacja z IOD/prawnikiem przy wątpliwościach oraz odmowa, gdy brak jest jasnej podstawy.
- Szczególnej ochrony wymagają dane wrażliwe (zdrowie, związki zawodowe, biometryka), dane o karalności i dane finansowe; ich błędne ujawnienie grozi wysokimi karami administracyjnymi (art. 83 RODO), odpowiedzialnością cywilną i karną, obowiązkiem zgłoszenia naruszenia (art. 33–34 RODO) oraz poważnymi stratami wizerunkowymi.
