Kim jest odbiorca danych osobowych?

Tworząc dokumentację zgodną z RODO, należy stworzyć m.in. klauzulę informacyjną, w której wpisuje się odbiorcę danych osobowych np. klienta. Odbiorcę danych osobowych należy również wpisać w rejestrze czynności przetwarzania. Przyznam szczerze, że podczas tworzenia klauzul informacyjnych dla klientów, sporo czasu spędzam nad określeniem odbiorców danych osobowych i odpowiedzią na pytanie kim jest odbiorca danych osobowych?

Kim jest odbiorca danych osobowych?

Odpowiedź na to pytanie wcale nie jest taka prosta, jakby miało się nam wydawać.

Zgodnie z art. 4 ust. 9 RODO odbiorca:

oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

W klauzuli informacyjnej przekazywanej osobie, której dane dotyczą, należy podać informację o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją.

Przykładowo, jeżeli współpracujecie z księgową lub informatykiem, powinniście mieć podpisaną z nimi umowę o powierzenie przetwarzania danych osobowych. Osobie, której dane dotyczą należy podać informację o tych osobach, ponieważ przekazujecie im dane np. pacjentów lub klientów.

Czy muszę podawać dane wszystkim organom publicznym?

Zastanawiając się nad tym kim jest odbiorca danych osobowych, często wpisujemy różne organy publiczne. Organem publicznym są m.in. organy podatkowe lub celne.

Jeżeli przekazujecie dane osobowe organom publicznym, które mogą otrzymywać dane osobowe w ramach postępowania na podstawie prawa Unii lub prawa Państwa Członkowskiego, nie należy traktować tych organów jako odbiorców danych w rozumieniu RODO.

Nie musicie ich wpisywać do klauzul informacyjnych. Jest to zbędna informacja, a klauzula niepotrzebnie rozrasta się do aktów na kilka stron.

Czy odbiorcą danych osobowych jest pracownik lub osoba upoważniona?

W małych gabinetach lekarskich lub pielęgniarskich nie zatrudnia się dużej liczny pracowników, jednak w większych placówkach ich liczna jest już zdecydowanie większa.

Wyobrażacie sobie, żeby w klauzuli informacyjnej wpisywać każdego pracownika lub kategorię pracowników, którzy mają dostęp lub będą mieć dostęp do danych osobowych? Ja nie, a bardzo często widzę takie klauzule.

Przykładowo dzisiaj. Czekam na rehabilitację, czytam wywieszoną klauzulę informacyjną, a w niej informacja, że moje dane będą przekazywane pracownikom administratora danych.

Według mnie jest to zbędna informacja. Przyjmuje się, że nie trzeba podawać w klauzuli informacji, iż dane osobowe będą przekazywane pracownikom lub osobom upoważnionym przez Administratora.

Podobne stanowisko zajmuje również GIODO (PUODO) – odsyłam do strony https://giodo.gov.pl/pl/1520281/10449. Znajdują się tam wskazówki i wyjaśnienia dotyczące obowiązku prowadzenia rejestru czynności przetwarzania (art. 30 RODO), w którym napisano, że

podmiotami objętymi definicją odbiorcy będą podmioty przetwarzające, natomiast nie będą nimi inne podmioty działające z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej.

Podsumowanie.

  1. Zgodnie z art. 13 i 30 RODO należy podać odbiorcę danych osobowych.
  2. Odbiorcą danych osobowych będą podmioty, którym przekazujemy dane osobowe klientów lub pacjentów.
  3. Odbiorcą danych osobowych będzie podmiot, z którym podpisaliśmy umowę powierzenia przetwarzania danych osobowych.
  4. Odbiorcą danych osobowych nie będzie podmiot działający z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej (np. pracownik).
  5. Odbiorcą nie będą również organy publiczne, które prowadzą postępowania na podstawie prawa Unii lub Państwa Członkowskiego.

 

Gdybyście mieli problem z określeniem odbiorcy danych, zapraszam do kontaktu. Pomogę Wam w sposób prawidłowy określić odbiorcę 🙂

 

Polecam Wam również mój ostatni wpis na temat obowiązku wyznaczenia Inspektora Ochrony Danych w gabinecie lekarskim.