Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Odbiorca i strona trzecia w rodo – próba uporządkowania pojęć

23-02-2018 Autor: Paweł Litwiński

Pojęcia „odbiorca” (w domyśle: odbiorca danych) i „strona trzecia”, choć zdefiniowane w rodo, w praktyce stosowania przepisów budzą istotne wątpliwości. Jest tak z kilku powodów.

 

Spróbujmy prześledzić znaczenie i funkcje nowych definicji. Po pierwsze, same definicje zawarte w art. 4 pkt 9 i 10 rodo zostały sformułowane w nie do końca przejrzysty sposób, co już na tym poziomie może budzić pewne trudności interpretacyjne. Po drugie, choć pojęcia te były znane wcześniej, na gruncie dyrektywy 95/46/WE i uodo, w rodo zmienił się ich zakres znaczeniowy. Po trzecie, nie do końca jasne wydają się praktyczne konsekwencje nowego ujęcia odbiorcy danych.

Odbiorca danych

Odbiorcą danych zgodnie z art. 4 pkt 9 rodo jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe. Za odbiorcę danych nie uznaje się jednak organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. Zwroty klucze, jakie pojawiają się w tej definicji, to „lub inny podmiot” oraz „ujawnia się dane osobowe”.

Z podmiotowego punktu widzenia odpowiedź na pytanie o to, kto może być odbiorcą danych, wydaje się prosta – potencjalnie może nim być każdy. Przesądza o tym właśnie sformułowanie „lub inny podmiot”, a więc otwarty katalog podmiotów, które mogą zostać uznane za odbiorców danych. Przykładowo jako odbiorców danych, niejako typowych, wskazano osoby fizyczne, osoby prawne i organy publiczne, ale już nie organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. Odbiorcą może też być np. fundacja czy stowarzyszenie.

Odpowiedzią na pytanie o to, jaka czynność powinna zostać uznana za prowadzącą do przyjęcia, że mamy do czynienia z odbiorcą danych, jest czynność ujawniania danych osobowych. Należy się zgodzić z poglądem, wyrażonym w literaturze, że ujawnieniem danych jest umożliwienie dostępu do danych niezależnie od tego, w jaki sposób to następuje. Wypada jednak podkreślić, że nie tylko umożliwienie dostępu powinno być uznane za ujawnienie danych, ale także faktyczne przekazanie danych osobowych. Stąd ujawnienie danych to nie tylko przekazanie nośnika z danymi (aktywne działanie podmiotu ujawniającego), ale także umożliwienie dostępu do bazy danych (zachowanie pasywne).

Za odbiorcę danych nie uznaje się organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania. Poza tym nie ma znaczenia, jakim tytułem prawnym dochodzi do ujawnienia danych osobowych, może to mieć miejsce w związku z przeniesieniem praw do bazy danych, udzieleniem licencji na korzystanie z bazy danych czy też na rzecz podmiotu przetwarzającego, w wykonaniu umowy zawartej z podmiotem przetwarzającym (umowy powierzenia przetwarzania danych osobowych). Stanowi to konsekwencję zakwalifikowania podmiotu przetwarzającego do kategorii odbiorców danych osobowych. Jest to chyba najistotniejsza zmiana w stosunku do stanu prawnego obowiązującego na gruncie przepisów uodo, gdzie pojęcie odbiorcy danych, zbliżone pod względem znaczeniowym do tego pojęcia na gruncie rodo, nie obejmowało jednak swoim zakresem podmiotów przetwarzających dane osobowe na zlecenie. Zakres podmiotowy pojęcia odbiorcy danych w przepisach rodo uległ znacznemu rozszerzeniu w stosunku do przepisów uodo.

Strona trzecia

Pojęcie strony trzeciej zostało w rodo zdefiniowane w sposób negatywny. Prawodawca unijny w art. 4 pkt 10 wskazał podmioty, które nie są stroną trzecią:

  • osoba, której dane dotyczą,
  • administrator,
  • podmiot przetwarzający,
  • osoby, które z upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe.

Jeżeli więc osoba fizyczna, prawna, organ publiczny, jednostka lub podmiot przetwarza dane osobowe, ponieważ jest osobą, której dane dotyczą, administratorem danych, podmiotem przetwarzającym lub osobą, która z upoważnienia administratora lub podmiotu przetwarzającego może przetwarzać dane osobowe, wówczas nie jest stroną trzecią. Wszelkie inne podmioty, jeżeli przetwarzają dane osobowe, wówczas przysługuje im status strony trzeciej.

W tym kontekście powstaje dosyć oczywiste pytanie, czy jesteśmy w stanie wskazać taki podmiot, który będzie uznany za stronę trzecią? Wydaje się to dosyć trudne, jako że tradycyjnie przyjmuje się, że dane osobowe mogą być przetwarzane albo przez administratora danych, albo przez podmiot przetwarzający dane osobowe na zlecenie tegoż administratora (bądź przez osoby fizyczne, działające w imieniu tych podmiotów).

[...]


Autor jest doktorem prawa, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.