Administrator musi na żądanie wskazać, komu konkretnie przekazał dane osobowe. Podanie samej kategorii odbiorców nie wystarczy – uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej.
Aby korzystać z praw gwarantowanych przez RODO, wpierw trzeba wiedzieć, kto przetwarza nasze dane osobowe. Dlatego też przepisy kładą duży nacisk na obowiązki informacyjne administratorów. Zgodnie z art. 15. ust. 1 lit. c RODO osoba, której dane dotyczą, jest uprawniona do uzyskania informacji na temat „odbiorców lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych”. Wielu administratorów uznaje, że przepis pozwala im zdecydować, którą opcję wybierają. Oczywiście dużo łatwiej jest wskazać samą, często bardzo ogólnie zdefiniowaną, kategorię odbiorców, dlatego na tym poprzestają. Jak wynika z opinii rzecznika generalnego TSUE, przepisy nakazują przekazywanie precyzyjniejszych informacji.
Sprawa dotyczy austriackiej poczty (Österreichische Post), do której jeden z klientów skierował żądanie ujawnienia wszystkich odbiorców jego danych osobowych. Poczta potwierdziła, że wykorzystuje dane osobowe w ramach jednej ze swych dodatkowych działalności, czyli wydawania książek telefonicznych, oraz przekazuje dalej klientom biznesowym w celach marketingowych. Nie wskazała jednak komu konkretnie. Zamiast tego odesłała do swej strony internetowej, na której ogólnie wskazano kategorie odbiorców danych. Nie usatysfakcjonowało to klienta, który przed sądem domagał się ujawnienia mu szczegółowych informacji na temat odbiorców. Sąd początkowo oddalił pozew, uznając, że art. 15 ust. 1 lit. c przewiduje alternatywę, która dopuszcza wskazanie samej kategorii odbiorców danych. Wyższa instancja postanowiła jednak wystąpić z wnioskiem prejudycjalnym do TSUE.
Pozostało
79%
treści
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Reklama