W porównaniu do starej ustawy o ochronie danych osobowych art. 13 i 14 RODO przewidują wypełnienie w bardzo szeroki sposób obowiązku informacyjnego w stosunku do osób, których dane dotyczą. Kiedyś wystarczał jeden dłuższy akapit - dziś nie wystarcza cała strona A4. Jednym z elementów klauzuli informacyjnej są "informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;".
Kim są odbiorcy danych osobowych?
Wiele osób, które do tej pory zajmowało się ochroną danych ma z tym problem, ponieważ zakres definicji "odbiorców" uległ w porównaniu ze starą ustawą o ochronie danych osobowych sporej zmianie. Na przykład w starej ustawie odbiorcami nie były podmioty przetwarzające na podstawie umowy powierzenia. Dziś nimi są. Dodatkowo - zgodnie z definicjami z art. 4 RODO definicją "odbiorcy" zostaje objęta także sama osoba, której dotyczą dane oraz jej ewentualni pełnomocnicy. Wynika to z definicji "strony trzeciej" oraz definicji "odbiorcy", w której stwierdza się wprost, że nie ma znaczenia czy podmiot czy osoba jest "trzecią stroną". Tak naprawdę odbiorcą danych będzie każda osoba fizyczna lub prawna której ujawnia się dane, niezależnie czy są stroną trzecią. Z definicji "odbiorcy" tak naprawdę wyłączone są tylko organy publiczne, które mogą otrzymywać dane w ramach konkretnego postępowania. Wynika z tego wniosek, że te same organy publiczne, które zwracają się o dane "nie w ramach konkretnego postępowania" (zdarza się tak) są już odbiorcami danych. Ja np. spotkałem się z oczekiwaniem GIODO do przekazania pewnych informacji czy danych w związku z korespondencją, która nie byłą prowadzona w związku z konkretnym postępowaniem administracyjnym. Urząd zapytał tak po prostu.
Większość klauzul informacyjnych, które widziałem nie zawiera jednak wspomnianych wyżej informacji, które jednak (jak wykazuję) powinny znaleźć się (zgodnie z logiką) w tych klauzulach.
Jeśli chcecie samodzielnie dokonać rekonstrukcji zakresu definicji "odbiorcy", to zamieszam niżej dwie kluczowe definicje z art. 4 RODO:
9) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się
dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane
osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie
są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne
z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
10) „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której
dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub
podmiotu przetwarzającego – mogą przetwarzać dane osobowe;