Każdy administrator danych osobowych, który realizuje prawa osób fizycznych przewidziane w RODO – takie jak sprostowanie, usunięcie czy ograniczenie przetwarzania – musi pamiętać, że na nim ciąży także obowiązek informacyjny wobec odbiorców danych. W praktyce oznacza to, że jeśli administrator poprawił dane klienta, usunął je lub ograniczył ich przetwarzanie, musi powiadomić o tym wszystkich, którym wcześniej te dane ujawnił. Ma to zapobiec sytuacji, w której u administratora dane są już poprawne lub nieaktywne, ale u kontrahentów, podwykonawców czy instytucji wciąż funkcjonuje ich nieaktualna wersja.
Kiedy powiadomienie jest obowiązkowe, a kiedy nie?
Zasada jest prosta: administrator powinien poinformować odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania. Jednak RODO przewiduje wyjątki – obowiązek ten nie jest absolutny. Administrator może odstąpić od powiadomienia, gdy:
- 📄 powiadomienie nie jest możliwe – np. z przyczyn technicznych, gdy nie ma dostępu do aktualnych danych kontaktowych odbiorcy;
- 📄 powiadomienie wiązałoby się z niewspółmiernym wysiłkiem – to ocena subiektywna, dokonywana przez administratora. Chodzi tu np. o sytuację, gdy dane były ujawnione setkom podmiotów w wyniku dawnego procesu sprzedażowego i odnalezienie wszystkich odbiorców wymagałoby nieproporcjonalnych nakładów pracy i kosztów.
⚠️ Ważne: jeżeli osoba, której dane dotyczą, zwróci się do administratora z żądaniem wskazania, komu dane zostały ujawnione – administrator musi jej taką informację udzielić.
Kim są „odbiorcy danych” w rozumieniu RODO?
Zgodnie z art. 4 pkt 9 RODO, „odbiorca” to:
„osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”.
Jednocześnie ustawodawca wyłącza z tej definicji organy publiczne, które otrzymują dane w ramach konkretnego postępowania zgodnie z prawem – np. sądy, prokuraturę czy organy podatkowe.
Do grona odbiorców należą jednak nie tylko kontrahenci, ale również:
- procesorzy (podmioty przetwarzające dane w imieniu administratora, np. firma księgowa, dostawca chmury),
- inni podwykonawcy procesora, o których mowa w art. 28 ust. 2 i 4 RODO (np. dalsi usługodawcy IT).
To oznacza, że administrator, który np. zlecił obsługę mailingową firmie zewnętrznej, a ta korzysta z własnego podwykonawcy, będzie zobowiązany powiadomić o sprostowaniu lub usunięciu danych także ten dalszy podmiot.
Praktyczne przykłady
Przykład 1 – aktualizacja danych klienta
Firma „TechNova” prowadzi sklep internetowy. Klient zauważył, że w systemie zapisano jego błędny adres e-mail. Administrator poprawił dane, ale ponieważ ten e-mail był już przekazany firmie kurierskiej obsługującej wysyłki oraz operatorowi płatności, przedsiębiorca musi poinformować także tych odbiorców o dokonanym sprostowaniu. W przeciwnym razie mogłoby dojść do sytuacji, w której np. kurier wciąż kontaktuje się pod starym adresem.
Przykład 2 – usunięcie danych po wycofaniu zgody
Pani Katarzyna wycofała zgodę na przetwarzanie jej danych w celach marketingowych w firmie „MediCare”. Administrator usunął dane ze swojego systemu CRM, ale musi także powiadomić o tym agencję reklamową, która wcześniej otrzymała bazę klientów do wysyłki newsletterów. Gdyby tego nie zrobił, agencja nadal mogłaby wysyłać do pani Katarzyny materiały promocyjne, co naraziłoby firmę na zarzut naruszenia RODO.
Przykład 3 – ograniczenie przetwarzania
Pracownik zgłosił zastrzeżenia co do poprawności niektórych danych kadrowych. Do czasu wyjaśnienia sprawy administrator ograniczył ich przetwarzanie. O tym fakcie musi poinformować także biuro rachunkowe obsługujące firmę, aby uniknąć sytuacji, w której zewnętrzny księgowy będzie korzystał z danych, które powinny być „zamrożone”.
Podsumowanie
- Administrator ma obowiązek powiadomić wszystkich odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania.
- Obowiązek ten nie jest absolutny – można z niego zrezygnować, gdy powiadomienie jest niemożliwe lub wiązałoby się z niewspółmiernym wysiłkiem.
- Na żądanie osoby, której dane dotyczą, administrator musi podać listę odbiorców, którym dane zostały ujawnione.
- Odbiorcami są zarówno kontrahenci, procesorzy, jak i dalsi podwykonawcy.
- Pamiętaj, że zaniedbanie obowiązku powiadomienia może prowadzić do naruszeń RODO i odpowiedzialności finansowej administratora.
Podstawa prawna
- art. 16, art. 17 ust. 1, art. 18, art. 19, art. 28 ust. 2 i 4, art. 4 pkt 9 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).
Tematy porad zawartych w poradniku
- obowiązki administratora danych RODO
- sprostowanie i usunięcie danych osobowych
- informowanie odbiorców danych RODO
- prawa osób, których dane dotyczą
Przydatne linki do stron urzędowych: