Kto jest odbiorcą danych

W poniższym artykule przedstawimy definicję odbiory danych osobowych w rozumieniu art.4 pkt.9 przepisów dotyczących RODO

To istotne rozróżnienie, mające wpływ m.in. na poprawne dopełnianie obowiązku informacyjnego z art. 13 i 14 RODO, realizację praw osób, których dane dotyczą (w tym dostępu do danych na mocy art. 15 RODO), a także na prowadzenie rejestru czynności przetwarzania. Jeśli odbiorca, to tylko uprawniony zgodnie z definicją zawartą w art. 4 ust. 9 RODO, „Odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania”. Powyższa definicja odnosi się jedynie do odbiorców uprawnionych, czyli takich, którym ujawnia się, lub którym zostaną ujawnione dane osobowe zgodnie z RODO i innymi przepisami.

Osoba nieuprawniona nie jest odbiorcą

W przypadku wystąpienia naruszenia ochrony danych osobowych (incydentu) polegającego na ujawnieniu (udostępnieniu) danych osobowych osobie nieuprawnionej, takiej osoby nie należy uznawać za odbiorcę danych. Nie jest ona także stroną trzecią w rozumieniu art. 4 pkt 10 RODO.

Ważne argumenty

Za takim rozumieniem pojęcia „odbiorca” przemawia analiza przyjętych w RODO rozwiązań.

Dla przykładu, zgodnie z art. 19 RODO, administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe oraz informuje osobę, której dane dotyczą (na jej żądanie), o tych odbiorcach. Ponadto Prezes UODO ma prawo nakazać administratorowi poinformowanie odbiorców o usunięciu lub ograniczeniu przetwarzania danych (na mocy art. 58 ust. 2 lit. g RODO). Gdyby osobę nieuprawnioną uznać za odbiorcę danych, to w takich sytuacjach pozyskiwałaby ona kolejne informacje o osobie, której dane zdobyła na skutek naruszenia, np. o usunięciu lub sprostowaniu tych danych przez administratora. Takie podejście skutkowałoby również tym, że w rejestrze czynności przetwarzania jako kategorię odbiorców należałoby umieścić również podmioty nieuprawnione, a zatem przyjąć, iż z założenia będzie dochodzić do pozyskiwania danych przez podmioty nieuprawnione, co jest sprzeczne z celami przyświecającymi zarówno tworzeniu takiego rejestru, jak i ogólnie zasadami ochrony danych.

Uwaga! Powyższe rozważania zachowują swoją aktualność także w przypadku realizacji obowiązków informacyjnych określonych w art. 13, 14 i 15 RODO. Obowiązek administratora dotyczący podania informacji o odbiorcy danych odnosi się tylko do tego odbiorcy, który legalnie, a więc na podstawie właściwej przesłanki legalizującej i konkretnego celu przetwarzania, otrzymał lub otrzyma dane osobowe. Wobec powyższego stwierdzić należy, że definicja odbiorcy danych, biorąc pod uwagę wykładnię systemową i funkcjonalną, nie obejmuje podmiotu/ osoby fizycznej, któremu bezprawnie ujawniono dane.

Wobec tego administrator nie jest uprawniony do podawania danych takich osób podczas realizacji prawa dostępu do danych przysługującego osobie, której dane dotyczą, na mocy którego ma ona prawo do otrzymania m.in. informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione (art. 15 ust. 1 lit. c). Zakres informacji o naruszeniu Administrator nie powinien udostępniać danych osobowych osoby fizycznej, której w wyniku naruszenia ochrony danych osobowych (incydentu), bezprawnie ujawniono dane, także wówczas, gdy realizuje obowiązek zawiadamiania o naruszeniu osoby, której dane dotyczą.

Artykuł 34 RODO zobowiązuje administratora m.in. do przekazania osobie, której dane dotyczą, informacji o środkach zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych – w tym w stosownych przypadkach – środków mających na celu zminimalizowanie jego ewentualnych negatywnych skutków. To administrator ma pełną wiedzę o zdarzeniu oraz o działaniach, jakie może podjąć osoba, której dane dotyczą, w celu zminimalizowania negatywnych skutków naruszenia. Jednocześnie należy wskazać, że administrator ma znaczne możliwości, by wpłynąć na osobę, która na skutek incydentu weszła w posiadanie danych osobowych, choć nie jest do tego uprawniona. Może chociażby zażądać zwrotu nieprawidłowo zaadresowanej korespondencji czy poinformować ją, że dalsze przetwarzanie danych osobowych, do których przetwarzania nie jest uprawniona, może narazić ją na odpowiedzialność karną wynikającą z art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Artykuł 34 RODO nie zobowiązuje wprost administratora do podawania szczegółowych informacji o zdarzeniu, takich jak np. podatność w systemie informatycznym wykorzystana do uzyskania nieuprawnionego dostępu do danych osobowych czy dane osobowe „przypadkowego”, nieuprawnionego odbiorcy. Wręcz przeciwnie – opis ma być sformułowany prostym i jasnym językiem, w sposób zwięzły przedstawiający zaistniałe zdarzenie. Ponadto o konieczności udzielania takich informacji nie wspominają zarówno wytyczne Grupy Roboczej Art. 29, jak i wskazówki Prezesa UODO dotyczące naruszeń ochrony danych osobowych. Należy również zauważyć, że konieczność udostępnienia danych osoby fizycznej, której bezprawnie ujawniono dane, prowadziłaby do ograniczenia jej prawa do prywatności, a podstawą tego udostępnienia byłoby pierwotne, naruszające przepisy, zdarzenie zaistniałe u administratora.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!