Nowy odbiorca danych.

Zarówno RODO jak i UODO nakłada na Administratorów Danych tzw. obowiązek informacyjny ( w UODO opisany jest w art. 24, a w RODO w art. 13). W dużym uproszczeniu aktualnie jest to obowiązek polegający na informowaniu podmiotu danych w przypadku zbierania danych osobowych od niego samego (jest jeszcze przypadek zbierania danych z innych źródeł) o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
3) prawie dostępu do treści swoich danych oraz ich poprawiania;
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.”

W tym wpisie przedstawię  tylko jedną różnicę wynikającą z RODO, a mianowicie definicję Odbiorcy Danych. Aktualnie spotykam sporo przypadków gdzie w ogóle Administrator Danych nie spełnia żadnego założenia obowiązku informacyjnego, a jeśli już o nim wie to bardzo często niepotrzebnie rozszerza wskazanego w punkcie ust. 2 art. 24 UODO odbiorce danych. Ostatnio spotkałem się z dokumentem, który został stworzony dla pewnej spółki X, który to informował pracowników tej spółki o tym, że dostęp do danych będą mieli pracownicy HR jak i zewnętrzna firma, w której trzymana jest baza danych kadrowych w formie kopi zapasowej.

Aktualna definicja wyklucza zarówno pracownika kadr i jak i zewnętrznego procesora z grona odbiorców danych- UODO art. 7 pkt 6:

6) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych (*KOMENTARZ- PRACOWNIK KADR),
c) przedstawiciela, o którym mowa w art. 31a,

d) podmiotu, o którym mowa w art. 31 (*KOMENTARZ- ZEWNĘTRZNA FIRMA IT),
e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w
związku z prowadzonym postępowaniem;”

RODO tą sytuacje zmieni wprowadzając nową definicje odbiory:

„art. 4 pkt 9) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane  osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;”

Natomiast sam obowiązek z art. 13 RODO wskazuje w ust.1 pkt e), że należy przekazać informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją.

Reasumując, omawiany na początku przypadek będzie miał częściowe zastosowanie. Trzeba będzie informować np. pracowników, że ich dane ujawniane są do np. zewnętrznych firm zajmujących się obsługą kadrowo-finansową jednak nie trzeba będzie informować o zewnętrznych podmiotach danych „trzymających” kopie zapasowe z danymi pracowników jeśli nie dochodzi do ich ujawnienia tym podmiotom (mimo że jest to przetwarzanie danych).

Z poważaniem,
Michał Geilke

 

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

nineteen + 7 =