Nowy odbiorca danych.

Zarówno RODO jak i UODO nakłada na Administratorów Danych tzw. obowiązek informacyjny ( w UODO opisany jest w art. 24, a w RODO w art. 13). W dużym uproszczeniu aktualnie jest to obowiązek polegający na informowaniu podmiotu danych w przypadku zbierania danych osobowych od niego samego (jest jeszcze przypadek zbierania danych z innych źródeł) o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
3) prawie dostępu do treści swoich danych oraz ich poprawiania;
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.”

W tym wpisie przedstawię  tylko jedną różnicę wynikającą z RODO, a mianowicie definicję Odbiorcy Danych. Aktualnie spotykam sporo przypadków gdzie w ogóle Administrator Danych nie spełnia żadnego założenia obowiązku informacyjnego, a jeśli już o nim wie to bardzo często niepotrzebnie rozszerza wskazanego w punkcie ust. 2 art. 24 UODO odbiorce danych. Ostatnio spotkałem się z dokumentem, który został stworzony dla pewnej spółki X, który to informował pracowników tej spółki o tym, że dostęp do danych będą mieli pracownicy HR jak i zewnętrzna firma, w której trzymana jest baza danych kadrowych w formie kopi zapasowej.

Aktualna definicja wyklucza zarówno pracownika kadr i jak i zewnętrznego procesora z grona odbiorców danych- UODO art. 7 pkt 6:

6) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych (*KOMENTARZ- PRACOWNIK KADR),
c) przedstawiciela, o którym mowa w art. 31a,

d) podmiotu, o którym mowa w art. 31 (*KOMENTARZ- ZEWNĘTRZNA FIRMA IT),
e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w
związku z prowadzonym postępowaniem;”

RODO tą sytuacje zmieni wprowadzając nową definicje odbiory:

„art. 4 pkt 9) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane  osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;”

Natomiast sam obowiązek z art. 13 RODO wskazuje w ust.1 pkt e), że należy przekazać informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją.

Reasumując, omawiany na początku przypadek będzie miał częściowe zastosowanie. Trzeba będzie informować np. pracowników, że ich dane ujawniane są do np. zewnętrznych firm zajmujących się obsługą kadrowo-finansową jednak nie trzeba będzie informować o zewnętrznych podmiotach danych „trzymających” kopie zapasowe z danymi pracowników jeśli nie dochodzi do ich ujawnienia tym podmiotom (mimo że jest to przetwarzanie danych).

Z poważaniem,
Michał Geilke

 

2 Comments

  1. Bartosz

    Szanowny Panie Michale,

    bardzo proszę o wyjaśnienie, czy następujący zapis klauzuli informacyjnej można uznać za zgodny z art. 13 ust. 1 lit. e)RODO?
    „Dostęp do danych będą miały osoby upoważnione do ich przetwarzania, które są pracownikami lub współpracownikami Spółki (córki) oraz pozostałych podmiotów Grupy Kapitałowej Spółki (matki)”.

    Moją wątpliwość budzi pojęcie „współpracownicy” (Spółki „córki” oraz pozostałych podmiotów z GK Spółki „matki”). Czy termin ten nie posiada przypadkiem zbyt szerokiego zakresu znaczeniowego, aby móc go utożsamiać z „kategorią” (odbiorców) wzmiankowaną w ww. przepisie RODO?

    Reply
    1. Michał Geilke (Post author)

      Dzień dobry,

      ciężko powiedzieć. Wszystko zależy od faktycznego przepływu danych. RODO posiada dwie formy przetwarzania- z nieujawnianiem danych oraz bez ujawniania danych. Na teraz osobiście wprowadzam taki zapis dla pracowników:

      „Dostęp do Twoich danych mają jedynie upoważnieni pracownicy/współpracownicy Spółki, w szczególności są to pracownicy Działu HR, Zarząd Spółki oraz Kierownik Działu w którym pracujesz. Dodatkowo może się zdarzyć, ze twoje dane będzie miała zewnętrzna firma ochroniarska lub podmiot związany z weryfikacją powodu absencji.”

      Pozdrawiam,

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

6 − six =