Odbiorca danych osobowych w rozumieniu przepisów RODO

Zidentyfikowanie przepływów danych osobowych wewnątrz i na zewnątrz organizacji ma istotne znaczenie w kontekście zapewnienia zgodności z wymogami wynikającymi z przepisów o ochronie danych osobowych. Dostęp do danych osobowych w ramach struktury wewnętrznej administratora danych powinien odbywać się w oparciu o upoważnienia nadawane zgodnie z zasadą tzw. wiedzy koniecznej  (tj. dostęp do określonych danych osobowych powinien być ograniczony do tego, co jest niezbędne do prawidłowego wykonywania obowiązków służbowych przez pracowników/współpracowników).

W przypadku przekazywania danych osobowych do innych podmiotów (na zewnątrz organizacji) konieczne jest natomiast prawidłowe określenie statusu takich podmiotów oraz zapewnienie właściwych podstaw, które pozwolą na legalne przekazanie danych.

Podmioty, którym dane przekazywane są przy okazji świadczenia przez nie usług na rzecz administratora danych (np. w związku z obsługą kadrową, informatyczną, itp.) w typowych przypadkach działają jako podmioty przetwarzające dane osobowe na zlecenie. Podstawą przekazania danych w takim przypadku powinna być umowa powierzenia przetwarzania danych osobowych spełniająca wymogi określone w art. 28 ust. 3 RODO. Z kolei podmioty, którym dane przekazywane są dla ich własnych potrzeb, powinny być zasadniczo traktowane jako odrębni administratorzy danych osobowych.

Udostępnienie danych osobowych stanowi w takim przypadku jedną z operacji przetwarzania, dla której konieczne jest wykazanie właściwej podstawy prawnej (art. 6 ust. 1 RODO). W przypadku udostępniania tzw. danych „wrażliwych” konieczne jest dodatkowo spełnienia jednego z warunków określonych w art. 9 ust. 2 RODO.

Uznanie danego podmiotu za odbiorcę danych ma przy tym istotne znacznie w kontekście prawidłowej realizacji obowiązków informacyjnych (art. 13/14 RODO) oraz przy realizacji prawa dostępu do danych (art. 15 RODO).

Kwalifikowanie poszczególnych podmiotów jako odbiorców danych nadal niestety budzi niekiedy wątpliwości w praktyce. Administratorzy danych mają bowiem czasami wątpliwości, czy jako odbiorców danych powinni traktować wyłącznie podmioty, które przekazane dane wykorzystują dla własnych celów (inni administratorzy danych), czy także podmioty przetwarzające dane na zlecenie, o których mowa w art. 4 pkt 8 RODO oraz osoby działające z upoważnienia administratora danych. Zagadnienia tego nie powinno się bagatelizować, ponieważ prawidłowe kwalifikowanie odbiorców danych ma istotne znaczenie dla prawidłowej realizacji spoczywających na administratorze danych obowiązków określonych w przepisach RODO, w tym obowiązków informacyjnych.

Kim jest odbiorca danych osobowych?

Definicja odbiorcy danych osobowych znajduje się w art. 4 pkt 9 RODO. Zgodnie z tym przepisem „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

W świetle powyższej definicji przez odbiorcę danych należy rozumieć nie tylko innych administratorów danych, ale także podmioty przetwarzające, które działają na zlecenie administratora danych. Warto o tym pamiętać, ponieważ w poprzednim stanie prawnym (tj. przed rozpoczęciem stosowania RODO) podmioty przetwarzające dane nie były traktowane jako odbiorcy.

W przypadku odbiorców będących podmiotami przetwarzającymi dane na zlecenie administratora konieczne jest uprzednie zawarcie umowy powierzenia przetwarzania danych oraz upewnienie się, że taki podmiot zapewnia odpowiednie gwarancje wdrożenia środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

W odniesieniu do odbiorców danych będących osobnymi administratorami danych kluczowe jest natomiast ustalenie, czy istnieje odpowiednia podstawa prawna do udostępnienia danych osobowych. Udostępnienie danych innemu administratorowi musi odbywać się przy tym przy poszanowaniu podstawowych zasad przetwarzania danych określonych w art. 5 RODO, w tym w szczególności zasady minimalizacji danych oraz ograniczenia celu, a także przy zapewnieniu rozliczalności.

Odbiorca danych osobowych a osoba działająca z upoważnienia

Definicja odbiorcy znajdująca się w przepisach RODO nie wyklucza możliwości uznania za odbiorcę danych osoby upoważnionej przez administratora danych do przetwarzania danych osobowych. Dosyć powszechnie przyjmuje się jednak, że osoby działającej z upoważnienia administratora danych nie należy traktować jako odbiorcy danych, o którym mowa w art. 4 pkt 9 RODO. Takie podejście wydaje się zdroworozsądkowe, mając na uwadze zwłaszcza to, że osoba działająca z upoważnienia funkcjonuje w ramach struktury wewnętrznej danej organizacji (dane osobowe nie są więc de facto przekazywane „na zewnątrz”). Przyjęcie rozwiązania, zgodnie z którym  za odbiorcę danych należałoby traktować także osobę upoważnioną do przetwarzania danych osobowych, nie prowadzi bowiem do poprawy bezpieczeństwa danych osobowych.

Nie wydaje się także, aby w jakiś sposób służyło to ochronie praw osób fizycznych określonych w RODO. Z drugiej strony takie rozwiązanie znacząco utrudniałoby realizację obowiązków spoczywających na administratorze danych. O ile na etapie zbierania danych realizacja obowiązku informacyjnego byłaby możliwa poprzez przekazanie informacji o charakterze ogólnym (wskazanie kategorii odbiorców), o tyle w przypadku złożenia przez podmiot danych wniosku o dostęp do danych na podstawie art. 15 RODO trudno wyobrazić sobie w praktyce przekazywanie informacji o wszystkich osobach upoważnionych, które miały dostęp do danych osobowych.

Odbiorca danych osobowych a organy publiczne

Zgodnie z definicją odbiorcy danych znajdującą się w art. 4 pkt 9 RODO organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców. Przykładowo odbiorcą danych nie będą zatem właściwe organy ścigania (np. Policja, Prokuratora), jeśli otrzymują dane osobowe w związku postępowaniem prowadzonym na podstawie obowiązujących przepisów prawa (oczywiście ujawnienie takim podmiotom danych osobowych nadal wymaga wykazania właściwej podstawy prawnej). Należy przy tym pamiętać, że wyłączenie to dotyczy tylko sytuacji, w których organ publiczny otrzymuje  dane osobowe w ramach konkretnego postępowania.

W innych przypadkach organ publiczny, któremu udostępniane są dane osobowe bez związku z konkretnym postępowaniem, powinien być zatem traktowany jako odbiorca danych osobowych ( takim odbiorcą danych może być, chociażby Zakład Ubezpieczeń Społecznych, który w ramach obowiązków raportowych pracodawcy może otrzymywać dane pracowników bez związku z prowadzeniem konkretnego postępowania, tylko dla potrzeb zadań realizowanych przez ZUS (np. takich jak obliczanie i pobieranie składek na ubezpieczenie społeczne i zdrowotne).

Odbiorca danych osobowych w rozumieniu przepisów RODO

Informowanie o odbiorcach danych osobowych

Administrator danych obowiązany jest zapewnić transparentność przetwarzania danych osobowych. Obowiązek informowania o odbiorcach lub kategoriach odbiorców danych wynika z przepisów RODO. Informowanie podmiotów danych o odbiorach danych powinno być zasadniczo realizowane na etapie zbierania danych, zarówno w przypadku zbierania danych bezpośrednio od osoby fizycznej (art. 13 ust. 1 lit. e RODO), jak również w przypadku zbierania danych osobowych z innych źródeł (art. 14 ust. 1 lit. e RODO).

Niezależnie od obowiązków informacyjnych, które należy wykonać na etapie zbierania, trzeba także pamiętać o prawie dostępu do danych, które przysługuje każdemu podmiotowi danych  i powinno być realizowane na wniosek takiej osoby (art. 15 RODO). Jednym z elementów tego uprawnienia jest prawo do uzyskania informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych.

Osoba, której dane dotyczą w przypadku realizacji uprawnienia przewidzianego w art. 15 RODO, może przy tym oczekiwać wskazania konkretnych odbiorców danych (a nie tylko kategorii odbiorców), którym dane zostały ujawnione.

Ryzyka związane z ujawnieniem danych odbiorcom danych

Administrator danych przed przekazaniem danych osobowych odbiorcy danych musi upewnić się, że istnieją odpowiednie podstawy dla takiego przekazania. W przeciwnym razie może dojść do naruszenia przepisów RODO, co może skutkować m.in. nałożeniem administracyjnej kary pieniężnej przez Prezesa UODO. Szczególnie istotne pozostaje wnikliwe rozpatrywanie wniosków o udostępnienie danych osobowych, do których dostęp chcą uzyskać inne podmioty niż osoba, której dane dotyczą. W praktyce takie podmioty często uzasadniają swoje żądania zamiarem dochodzenia potencjalnych roszczeń wobec konkretnych osób fizycznych. Administrator danych przed udostępnieniem danych powinien jednak szczegółowo ocenić, czy takie żądanie w danym przypadku jest właściwe uzasadnione i czy znajduje oparcie w przepisach obowiązującego prawa.

Podsumowanie Odbiorca danych osobowych w rozumieniu RODO

Każda organizacja, która przetwarza dane osobowe, w związku z prowadzoną działalnością powinna mieć świadomość tego, jakim odbiorcom przekazuje dane osobowe oraz przestrzegać przy tym przepisów RODO, w tym w szczególności zapewnić właściwe podstawy dla takich działań. Należy przy tym odróżnić odbiorców danych będących osobnymi administratorami danych (udostępnianie danych) od odbiorców, którzy działają na zlecenie administratora danych (powierzenie przetwarzania danych).

Jeśli jesteś zainteresowany wsparciem prawnym w obszarze ochrony danych osobowych lub masz wątpliwości dotyczące dopuszczalności przekazywania danych odbiorcom danych, w tym przy określeniu podstaw takiego przekazywania, zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.