Kiedy muszę podawać w klauzuli odbiorców danych z nazwy?

Zapewnienie przejrzystości w klauzuli informacyjnej jest bardzo trudne. Z jednej strony przepisy RODO wymagają, aby każda informacja była przekazywana prostym i jasnym językiem, z drugiej te same przepisy wymagają przekazania tak wielu informacji, że na sam widok klauzuli informacyjnej, większości osób „odechciewa się” ją czytać.

Mam poza tym wrażenie, że jest tendencja robienia coraz bardziej rozbudowanych klauzul, gdzie wszystko dzieli się na bloki i powtarza po 3 razy. Ostatnio konsultowałam wzór klauzuli dla kandydatów do pracy, który miał 5 (pięć!) stron. Połowę treści nazwałabym „laniem wody”, żeby zrobić wrażenie, że zabezpiecza się dobrze dane osobowe. Ciekawie robi się także, gdy w klauzulach pojawiają się informacje o odbiorcach danych. Okazuje się, że mimo wielu lat obowiązywania RODO, w dalszym ciągu jest problem z definicją odbiorcy (np. jako odbiorców danych, wielu administratorów wskazuje swoich pracowników oraz inne upoważnione do przetwarzania osoby), a także ze sposobem wskazania tych odbiorców w klauzuli.

Zgodnie z art. 13/14 ust. 1 lit. e RODO w klauzuli wskazuje się „informację o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”. Odbiorcami będą wszystkie podmioty przetwarzające, współadministratorzy, a także administratorzy (z wyłączeniem podmiotów publicznym, którym udostępnia się dane w celu wykonywania przez nie zadań).

Mimo tego wyjątku, katalog odbiorców jest zazwyczaj bardzo obszerny i zawiera w szczególności:

operatorów pocztowych i kurierów
banki
firmy ubezpieczeniowe
firmy windykacyjne
kancelarie prawne
firmy informatyczne zapewniające wsparcie informatyczne
firmy niszczące dokumenty
firmy utrzymujące systemy informatyczne, w których przetwarzane są dane
biura rachunkowe
firmy audytorskie
spółki z danej grupy kapitałowej
agencje ochrony

Warto w tym miejscu wskazać, że dla każdej z wymienionych kategorii odbiorców, często można wskazać kilka lub kilkanaście podmiotów. Gdy dane są przetwarzane w celach marketingowych, to „zaufanych partnerów” może być ponad setka. Powstaje zatem pytanie, czy w takim wypadku wymienienie kategorii odbiorców jest wystarczające? Przepisy RODO nie dają wytycznych w tym zakresie, ale nakładają na administratora obowiązek rzetelnego poinformowania o sposobach przetwarzania danych. Zgodnie z Wytycznymi EROD (WP260), administrator wskazuje z nazwy tych odbiorców, którzy mają istotne znaczenie w procesie przetwarzania danych. Oznacza to, że z nazwy wskazuje się tych odbiorców, o których osoba, której dane dotyczą powinna wiedzieć (czyli są to informacje, których otrzymania może oczekiwać). Jedynie mniej istotnych odbiorców nie wskazuje się z nazwy.

Przykładowo: dla pracownika ma znaczenie, że jego dane będą udostępniane pozostałym spółkom z grupy kapitałowej, w celu prowadzenia wspólnej strategii HR. Jednak nie ma dużego znaczenia, z jakich firm kurierskich korzysta pracodawca, aby wysłać do niego list (chociaż tu też można dyskutować).

Podobnie nie będzie miało większego znaczenia do jakiego banku zostaną udostępnione jego dane, aby wykonać przelew z wynagrodzeniem (ważne, aby przelew był na czas ;-)), jednak istotne będzie to, do jakiej firmy udostępnia się dane pracowników w celu zakupu dla nich biletów lotniczych, czy rezerwacji noclegów, w związku z delegacjami.

A co z ponad setką „zaufanych partnerów”? Nie da się ukryć, że tak duża skala udostępnienia może budzić obawy i stanowić przesłankę do zwiększenia istotności tych odbiorców. Wymienienie ich z nazwy w klauzuli, wcale nie wpłynie na zwiększenie jej przejrzystości. Może zatem w takim wypadku warto zastosować odnośnik do strony, gdzie w czytelny sposób będą wymienieni wszyscy partnerzy? Uważam, że warstwowe przekazanie tak obszernej informacji jest lepsze, niż zmuszanie użytkownika do przewijania „niekończącego się” tekstu klauzuli informacyjnej.

A i jeszcze uwaga na koniec: wskazywanie kategorii odbiorców jest poprawne i w ten sposób zapewne będziesz to robić najczęściej. Nie ograniczaj się do ogólników typu „odbiorcami będą pozostałe spółki z naszej grupy”. Określ kategorię odbiorców szczegółowo „odbiorcami Twoich danych będą spółki z naszej grupy kapitałowej nazwa grupy kapitałowej w związku z prowadzeniem wspólnej strategii HR.” Jeśli tych spółek jest kilka, wymień je (można od razu w tym miejscu lub jako odnośnik, który przekieruje na sam dół strony). Jeśli jest ich dużo, zrób odnośnik do strony grupy kapitałowej, gdzie są pełne informacje.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie