Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 10 sierpnia 2024
W sierpniu „edukacyjny” odcinek newsletteru jest poświęcony dwóm trudnym pojęciom, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżone zostaną definicje „odbiorcy” i „strony trzeciej”.
Zgodnie z art. 4 pkt. 9 RODO „odbiorca” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania”.
Z powyższej definicji wynika, że odbiorcą jest podmiot, któremu administrator ujawnia dane osobowe. Krąg podmiotów, które mogą zostać zakwalifikowane jako odbiorcy danych jest otwarty. Według dr hab. M. Sakowskiej-Baryła „Uwzględniając treść definicji, należy uznać, że za odbiorców danych mogą być uważane: osoba, której dane dotyczą, inny administrator (również współadministrator), podmiot przetwarzający, strona trzecia, pod warunkiem że zostaną im ujawnione dane” (dr hab. M. Sakowska – Baryła [w:] „Ogólne rozporządzenie o ochronie danych osobowych. Komentarz”).
Zgodnie z definicją zawartą w art. 4 pkt. 9 RODO organy publiczne otrzymujące dane osobowe w ramach konkretnego postępowania nie są uznawane za odbiorców. W związku z tym do przykładowych organów publicznych, które nie są odbiorcami zaliczyć można m.in. policję, prokuraturę, sądy oraz Zakład Ubezpieczeń Społecznych. Należy pamiętać jednak, że podmioty te muszą otrzymywać dane osobowe w ramach konkretnego postępowania prowadzonego w oparciu o przepisy unijne lub krajowe.
Powyższe podkreśla również motyw (31) preambuły RODO, zgodnie z którym: „Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych”.
Dla zakwalifikowania danego podmiotu jako odbiorcy, kluczowe jest stwierdzenie, czy zostaną mu ujawnione dane osobowe. Przepisy RODO nie definiują czym jest ujawnienie, natomiast zaliczają je do czynności przetwarzania danych (o czym więcej informacji można znaleźć w newsletterze 2024 III). Zgodnie z definicją słownikową „ujawnienie” oznacza wyjawienie czegoś, uczynienie jawnym, wiadomym, uzewnętrznienie.
W praktyce administrator ujawniając dane, stwarza sytuację choćby potencjalnie umożliwiającą poznanie danych osobowych przez konkretne podmioty. W związku z tym ujawnieniem danych będzie przekazanie danych lub umożliwienie dostępu do danych. Prawodawca unijny nie skonkretyzował konkretnej formy, w jakiej ma dojść do ujawnienia danych osobowych.
Zgodnie z art. 4 pkt. 10 RODO „strona trzecia” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe”.
Dr. P. Fajgielski pojęcie „strony trzeciej” obrazuje w następujący sposób: „po jednej stronie występuje tu osoba, której dane dotyczą (podmiot danych), po drugiej stronie mamy do czynienia z podmiotami zaangażowanymi w procesy przetwarzania danych (administrator, podmiot przetwarzający i osoby przetwarzające dane z upoważnienia administratora lub podmiotu przetwarzającego), natomiast podmioty, które nie mieszczą się w ramach wskazanych powyżej dwóch grup, zaliczane są do tzw. strony trzeciej” P. Fajgielski [w:] „Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz”, wyd. II, Warszawa 2022).
Stroną trzecią jest więc podmiot niezaangażowany w realizację ustalonego przez administratora celu przetwarzania danych osobowych. Dlatego do pojęcia tego nie można zaliczyć osoby fizycznej związanej z administratorem lub podmiotem przetwarzającym, jeśli relacja ta obejmuje dowolne formy kierowania, władztwa czy nadzoru. Przykładowo, stroną trzecią nie będzie pracownik administratora lub podmiotu przetwarzającego.
Stroną trzecią jest natomiast zazwyczaj operator pocztowy, któremu dane osobowe są udostępniane w związku ze świadczeniem usług pocztowych (dostarczając przesyłkę realizuje on już własny cel przetwarzania danych). Innym przykładem strony trzeciej może być również dowolny podmiot, któremu dane osobowe zostaną udostępnione na wniosek (np. w ramach dostępu do informacji publicznej). Znamiona definicji wypełnia także podmiot, któremu przypadkowo ujawniono dane osobowe (np. w wyniku wysyłki dokumentu do niewłaściwego odbiorcy).