Czy organy administracji publicznej, takie jak Policja, Zakład Ubezpieczeń Społecznych czy urzędy miejskie, można klasyfikować jako zaufanych odbiorców?
ODPOWIEDŹ
W poradniku najnowszym UODO, definiując zaufanego obiorcę, szczególny nacisk kładzie się na dwa następujące aspekty:
- pozostawanie z odbiorcą w stałych stosunkach (np. w bliskiej współpracy biznesowej lub wspólnej strukturze organizacyjnej);
- znajomość istotnych szczegółów dotyczących odbiorcy (np. procedury bezpieczeństwa i historia dotychczasowej, pozytywnej współpracy w podobnych sytuacjach).
Jeśli więc w realiach konkretnego naruszenia tych elementów zabraknie, nie ma podstaw by automatycznie takie organy uznawać za zaufanego odbiorcę. Poradnik wprost stanowi, że każdy przypadek wymaga indywidualnej analizy i żadnego podmiotu nie można z góry uznać za „zaufanego odbiorcę”. Podobny wniosek płynie także z jednej z niedawnych decyzji PUODO (DKN.5131.1.2024) dotyczącej banku jako podmiotu zaufania publicznego będącego jednocześnie nieuprawnionym, przypadkowym odbiorcą danych osobowych. W decyzji tej kategorycznie stwierdzono, że: „aby uznać, że w określonej sytuacji mamy do czynienia z nieuprawnionym udostępnieniem danych osobowych na rzecz podmiotu zaufanego muszą wystąpić takie okoliczności, w których administrator danych będzie miał stałe relacje z odbiorcą i może znać jego procedury, historię i inne istotne szczegóły, dzięki którym odbiorca może być uznany za "zaufanego".
Ze zgromadzonego materiału dowodowego wynika, że z pakietem dokumentów zapoznali się pracownicy innego banku, nie wynika natomiast, aby administrator i podmiot trzeci posiadali zawarte porozumienia, bądź opracowane procedury na daną okoliczność, co byłoby kluczowe, aby faktycznie zminimalizować ryzyko wystąpienia konsekwencji związanych z naruszeniem ochrony danych osobowych i móc przyjąć, że nieuprawniony odbiorca jest odbiorcą zaufanym.”, „Przyjęcie przeciwnego stanowiska, (…) prowadziłoby w konsekwencji do akceptacji pewnego rodzaju automatyzmu – bowiem w każdym przypadku, w którym nieuprawnionym odbiorcą byłby podmiot działający w ramach prawa, należałoby uznawać go za odbiorcę zaufanego. Takie podejście mogłoby jednak prowadzić do nieuzasadnionego odstępowania od realizacji obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych w sytuacji wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności. Z tego powodu, jak należy uznać, EROD w powołanych wyżej wytycznych nie przyjęła, że okoliczność działania nieuprawnionego odbiorcy w ramach prawa kwalifikuje go jako odbiorcę zaufanego, tylko wymaga pozostawania z takim odbiorcą w stałej relacji, dzięki czemu administrator zapewni sobie znajomość obowiązujących u tego odbiorcy procedur, historii i innych istotnych szczegółów go dotyczących.”