Opracowanie

RODO – Odbiorca danych

Trzecią kategorią podmiotów, które unijny ustawodawca postanowił wprost zdefiniować, są odbiorcy danych osobowych.

Jak wskazano w art. 4 pkt 9, odbiorca to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Jak widać, jest to definicja szeroka, która obejmuje swoim zakresem, podobnie jak administrator i podmiot przetwarzający, szereg podmiotów niezależnie od ich formy prawnej.

Nie ma znaczenia, na jakiej podstawie prawnej ujawniono dane osobowe. Dlatego typowymi odbiorcami danych są inni administratorzy, osoby, których dane dotyczą i podmioty przetwarzające. Są nimi zdecydowanie również osoby trzecie, co wprost wynika z ustawowej definicji.

Podkreśla się, że „ujawnienie danych” umieszczone w omawianej definicji ma szersze znaczenie niż zakres przedmiotowy stosowania RODO. W praktyce zdarzyć się może bowiem, że ujawnienie danych osobowych innemu podmiotowi nie sprawi, że ten ostatni będzie je przetwarzał. Może się jedynie z nimi zapoznać i nigdy więcej nie mieć z nimi nic wspólnego. Wtedy będzie odbiorcą, ale nie podmiotem przetwarzającym lub administratorem, do których zastosowanie znajdują obowiązki wskazane w RODO.

W art. 4 pkt 9 wskazano także wyjątek od uznania podmiotu za odbiorcę danych osobowych. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców. Przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

Uzupełnieniem powyższego stanowiska unijnego prawodawcy jest motyw 31 preambuły, według którego organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania.

Choć definicja odbiorcy danych osobowych nie wydaje się specjalnie skomplikowana, w praktyce może rodzić ogromne problemy interpretacyjne. Zachęcam do zapoznania się ze znakomitym opracowaniem tego zagadnienia autorstwa Katarzyny Witkowskiej-Nowakowskiej, które jest częścią komentarza pod redakcją Edyty Bielak-Jomaa i Dominika Lubasza[1].

Zachęcam do dyskusji i podsyłania propozycji na kolejne opracowania związane z RODO!

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

2 thoughts on “RODO – Odbiorca danych

  1. Czyli NFZ jest odbiorcą, którego trzeba wskazać w szpitalnej klauzuli informacyjnej (cel: udzielenie świadczenia zdrowotnego), czy nie?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.