GDPR raz po raz daje nowe powody do sporów o prawidłowe wykonywanie ochrony danych. Na przykład nadal nie ma zgody co do tego, jak konkretnie określić odbiorców danych w oświadczeniu o ochronie prywatności.
Dowiedz się tutaj, jakie są opinie i jak najlepiej rozwiązać ten problem w swojej polityce prywatności.
Co GDPR mówi o nazywaniu odbiorców danych?
GDPR stanowi w art. 13 I lit. e oraz w art. 14 I lit. e, że osoba, której dane dotyczą, musi zostać poinformowana o "odbiorcach lub kategoriach odbiorców danych osobowych". Słowo "lub" sprawia tu problemy, gdyż sugeruje, że administrator danych może wybrać, czy jako odbiorców wskaże np. "podmiot przetwarzający na podstawie art. 28 GDPR" czy "firmę xy". W rzeczywistości jednak wśród ekspertów w dziedzinie ochrony danych nie ma zgody co do tego, czy administrator danych ma tu swobodę wyboru. Przede wszystkim wątpliwe jest, w jakim stopniu wymóg przejrzystości zmusza administratora do wskazania konkretnego odbiorcy.
Jak organy nadzorcze interpretują tu GDPR?
Nawet wśród organów nadzorujących ochronę danych nie ma zgody co do interpretacji tych przepisów.
Heski komisarz ds. ochrony danych i wolności informacji interpretuje te przepisy restrykcyjnie. Odbiorcy danych musieliby być wymienieni jak najdokładniej, zwłaszcza w sektorze zdrowia. Tym samym urząd opowiada się za przejrzystością i odrzuca swobodny wybór administratora danych przy wskazywaniu odbiorców.
Państwowy Komisarz Ochrony Danych w Dolnej Saksonii nie precyzuje interpretacji. Sprawia to wrażenie, że popiera się wolny wybór administratora danych. Takie samo wrażenie sprawia Konferencja Ochrony Danych (DSK), która w krótkim referacie powtarza jedynie brzmienie ustawy.
Jak jeszcze interpretowane są przepisy?
Była grupa robocza art. 29 również zajęła stanowisko. W opracowanej przez siebie wytycznej grupa ta opowiada się za jak największą przejrzystością, ale sprzeciwia się bezwarunkowemu obowiązkowi podawania konkretnych nazw. Zamiast tego grupa zaleca jedynie, aby informacje były formułowane "tak precyzyjnie, jak to możliwe".
Jak w praktyce należy określić odbiorców danych?
Jako administrator danych, najbezpieczniejszym sposobem jazdy jest przestrzeganie najsurowszego poglądu. W tym przypadku oznacza to zawsze konkretne nazwanie odbiorców danych. Informacje są wtedy tak przejrzyste, jak to tylko możliwe.
Jeżeli w danym przypadku podmiot odpowiedzialny określa tylko jedną kategorię odbiorców, zaleca się sformułowanie tej specyfikacji w sposób jak najbardziej szczegółowy.
Potrzebujesz pomocy w sformułowaniu polityki prywatności? Skontaktuj się z nami tutaj nasz zespół ekspertów. Z przyjemnością pomożemy!
Polski 
Deutsch 
English 
Español 
Français