17 Maj

RODO: odbiorca danych, czyli kto?

Ogólne rozporządzenie o ochronie danych w kilku sytuacjach, wymaga wskazania odbiorców danych:

  1. Podczas wypełniania obowiązku informacyjnego (art. 13-15 RODO)
  2. W rejestrze czynności przetwarzania (art. 30 RODO)

Należy także powiadomić wszystkich odbiorców danych o żądaniu osoby, której dane dotyczą usunięcia, sprostowania lub ograniczenia przetwarzania. Poprawne zrealizowanie tych obowiązków wymaga ustalenia kto jest odbiorcą danych w rozumieniu RODO.

Definicja odbiorcy jest wskazana w art. 4 ust. 9 RODO:

„Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

W zakresie informacji przekazywanej osobie, której dane dotyczą, gdy pozyskujemy od niej jej dane osobowe ma zastosowanie artykuł 13, w zakresie odbiorcy ust. 1 e:

Osobie, której dane dotyczą przekazuje się informację: informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

Jednocześnie, jeżeli w momencie gromadzenia danych, administrator nie planuje przekazywać od razu danych osobowych do wszystkich odbiorców (może to zależeć od konkretnych czynników), to informację o udostępnieniu należy podać w momencie udostępnienia, a nie gromadzenia (np. udostępnienie firmie windykacyjnej):

Motyw 61 RODO: Jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane dotyczą, w momencie pierwszorazowego ujawnienia danych temu odbiorcy.

Zgodnie z motywem 31: Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania.

Na stronach GIODO zostały opublikowane Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO: Znaczenie pojęcia „odbiorcy danych” na gruncie RODO różni się od tego, jakie ma ono zgodnie z art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z art. 4 pkt 9 RODO, za odbiorcę uznaje się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, z wyjątkiem organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego.

Na potrzeby realizacji obowiązku określonego w art. 30 ust. 1 przyjąć należy, że podmiotami objętymi definicją odbiorcy będą podmioty przetwarzające, natomiast nie będą nimi inne podmioty działające z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej. Jak wskazano w komentarzu do art. 4 ust. 9 RODO. Ogólne rozporządzenie o ochronie danych. Komentarz Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), „Przyjęcie koncepcji, w której odbiorcą danych jest także osoba funkcjonująca w strukturze administratora, prowadzi do znacznego utrudnienia realizacji obowiązków przez administratora, a jednocześnie nie wzmacnia praw osób, których dane dotyczą. Zapewnienie podmiotowi danych wiedzy na temat przepływu danych w ramach struktury administratora mogłoby naruszać również zasadę proporcjonalności, ze względu na wrażliwość tego typu informacji, bez uzasadnienia w postaci podniesienia poziomu ochrony danych osobowych. Z tego względu opowiedzieć się należy za koncepcją uznania za odbiorcę podmiotu przetwarzającego, ale już nie innych podmiotów działających z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej. Taki pogląd prezentowany jest także w doktrynie niemieckiej.” (Chomiczewski Witold, Czerniawski Michał, Drobek Piotr, Góral Urszula, Kuba Magdalena, Lubasz Dominik, Makowski Paweł Witkowska-Nowakowska Katarzyna, Komentarz do art. 4, w: E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, LEX).

W związku w powyższymi informacjami, w mojej opinii w zakresie odbiorców, o których informację należy podać osobie, której dane dotyczą mieszczą się:

  • inni administratorzy danych, którzy otrzymają dane w związku z realizacją ich własnych celów (np. dane będą udostępniane partnerom biznesowym)
  • podmioty, którym dane zostały powierzone (taka jest bieżąca interpretacja przedstawiona powyżej)
  • organy publiczne z wyjątkiem organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego

W związku z powyższymi informacjami nie ma konieczności podawania informacji:

  • o organach publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego
  • o osobach upoważnionych, które przetwarzają dane na wyraźne polecenie/upoważnienie administratora danych

Jeżeli w momencie gromadzenia danych nie przekazujemy ich, np. do firmy windykacyjnej, to możemy poinformować, że dane mogą udostępnione takiej kategorii podmiotów lub przekazać taką informację dopiero w momencie udostępnienia.

Zwracam także uwagę, że administrator danych może wskazać konkretnych odbiorców (np. z nazwy) lub kategorię odbiorców (np. “podmioty, którym powierzono dane w celu zapewnienia bezpieczeństwa świadczonych usług).


miniAutorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Kalendarz szkoleń z ochrony danych osobowych