Grupa Robocza Art. 29 na swoim 108 posiedzeniu przyjęła wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego. Będzie to konieczne w sytuacji, gdy administrator lub podmiot przetwarzający prowadzą transgraniczne przetwarzanie danych osobowych. Sprawdź, co Grupa Robocza radzi w kwestii ustalania wiodącego organu nadzorczego.
Zgodnie z art. 4 ust. 23 ogólnego rozporządzenia o ochronie danych (dalej: rodo) z „transgranicznym przetwarzaniem danych" do transgranicznego przetwarzania danych dochodzi, gdy:
1) przetwarzanie odbywa się przez operującego w państwie członkowskim UE administratora lub podmiot przetwarzający o charakterze rozproszonym, tzn. takiego, który ma jednostki organizacyjne w więcej, niż jednym państwie członkowskim UE lub
2) przetwarzanie danych przez administratora lub podmiot przetwarzający w ramach pojedynczej jednostki organizacyjnej przynajmniej potencjalnie może znacznie wpłynąć (lub w istocie wpływa) na osoby, których przetwarzane dane dotyczą.
W drugiej sytuacji nie ma formalnego powiązania przetwarzania danych osobowych z danym terytorium, ale przetwarzanie to wywiera realny wpływ na wykonywanie przez podmioty danych ich prawa podstawowego, jakim jest prawo do prywatności, a w szczególności prawo do ochrony ich danych osobowych.
Rozporządzenie ogólne nie definiuje pojęcia „znacznego wpływu". W związku z tym w wytycznych Grupy Roboczej pojawia się wykładnia językowa tego pojęcia na gruncie języka angielskiego. Na szczęście dla czytelnika polskiego użyte konstrukcje pojęciowe są czytelne i utwierdzają w przekonaniu, że wystarczy, że zaistnieje znaczne (znaczące) prawdopodobieństwo wpływu na osoby, których dane dotyczą, by doszło do transgranicznego przetwarzania danych osobowych.
Wytyczne zawierają również wiele wskazówek, co brać pod uwagę, interpretując pojęcie „znaczny wpływ" w poszczególnych przypadkach – Grupa Robocza wskazuje takie czynniki:
a) kontekst przetwarzania;
b) rodzaj przetwarzanych danych;
c) cel przetwarzania;
d) potencjał wyrządzenia szkody (ang. damage), straty (ang. loss) lub krzywdy (ang. distress) osobom, których dane podlegają przetwarzaniu;
e) potencjał ograniczenia praw lub pozbawienia podmiotów danych możliwości;
f) potencjał wpływu na zdrowie, dobrobyt lub spokój ducha tych osób;
g) potencjał wpływu na stan finansowy lub ekonomiczny lub takie okoliczności;
h) przetwarzanie sprawia, że podmioty danych są zagrożone dyskryminacją lub niesprawiedliwym traktowaniem;
i) przetwarzanie obejmuje analizę szczególnych kategorii danych osobowych lub innych danych o charakterze wrażliwym (ang. other intrusive data, a zatem chodzi o wszystkie przypadki, w których przetwarzanie danych osobowych narusza prawo do prywatności) – w szczególności danych osobowych dzieci;
j) potencjał wywołania znaczącej zmiany zachowania podmiotów danych;
k) przetwarzanie ma nieprawdopodobne, nieprzewidziane lub niechciane konsekwencje dla osób fizycznych (ang. individuals);
l) przetwarzanie powoduje zażenowanie lub inne negatywne skutki, w tym dla reputacji;
m) obejmuje przetwarzanie szerokiego zakresu danych osobowych.
Wytyczne definiują „wiodący organ nadzorczy" jako organ odpowiedzialny za czynności transgranicznego przetwarzania danych w przypadku konieczności podjęcia czynności w związku z tym przetwarzaniem, w szczególności w przypadku wpływu doń odpowiedniej skargi. Do jego zadań należy również koordynowanie postępowań, w które zaangażowane są inne organy nadzorcze, których dana sprawa dotyczy.
Ustalenie „wiodącego organu nadzorczego" zostało powiązane z tym, czy w określonym państwie członkowskim UE istnieje ośrodek decyzyjny w ramach struktury administratora danych lub podmiotu przetwarzającego (w przypadku tego ostatniego w braku ośrodka decyzyjnego także z głównymi czynnościami przetwarzania danych), przy czym dla oceny właściwości ponownie znaczenie ma kryterium funcjonalne.
Ustalenie lokalizacji „głównej jednostki organizacyjnej" lub „pojedyńczej jednostki organiacyjnej" administratora czy podmiotu przetwarzającego w UE wyznacza właściwość wiodącego organu nadzorczego.
Zgodnie z art. 4 ust 16 rodo „główna jednostka organizacyjna" oznacza:
a) jeżeli chodzi o administratora, który ma jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organizacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;
b) jeżeli chodzi o podmiot przetwarzający, który ma jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarzającego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organizacyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia.
Zgodnie z wytycznymi, gdy administrator lub podmiot przetwarzający nie mają centralnej administracji w UE, organ nadzoru ustali ośrodek decyzyjny, odpowiadając na następujące pytania:
a) Gdzie są zatwierdzane cele i sposoby przetwarzania danych osobowych?
b) Gdzie są podejmowane decyzje, które dotyczą działań biznesowych obejmujących przetwarzanie danych?
c) Kto ma uprawnienia do efektywnego wdrażania decyzji?
d) Gdzie są zlokalizowani dyrektor lub dyrektorzy, którzy odpowiadają za procesy obejmujące przetwarzanie transgraniczne?
e) Gdzie jest zarejestrowane przedsiębiorstwo administratora lub podmiotu przetwarzającego?
Pytania te mają charakter jedynie przykładowy, a w konkretnym przypadku mogą mieć znaczenie również inne czynniki.
Wytyczne wskazują sposoby postępowania w bardziej skomplikowanych przypadkach, w których ustalenie „głównej jednostki organizacyjnej" albo wskazanie „miejsca podejmowania decyzji co do przetwarznia danych" jest szcególnie trudne.
Z jednej strony administrator czy podmiot przetwarzający mogą sami wyznaczyć spośród swoich jednostek główną jednostkę organizacyjną, a tym samym organ wiodący. Grupa Robocza Art. 29 podkreśliła jednak, że tak wskazana główna jednostka musi mieć „prawo do wdrażania decyzji co do czynności przetwarzania oraz do wzięcia odpowiedzialności za przetwarzanie, w tym posiadać wystarczające środki”. Samo wskazanie przez przedsiębiorcę głównej jednostki organizacyjnej, nie jest wiążące dla organu nadzorczego. Może on bowiem sam zbadać kwestię właściwości lub zwrócić się o jej wyznaczenie do Europejskiej Rady Ochrony Danych.
Zarówno administrator, jak i podmiot przetwarzający muszą być w stanie wykazać, że to właśnie w jednostce organizacyjnej, którą uznają za „główną", następuje skuteczne i rzeczywsite zarządzanie czy podejmowanie decyzji co do przetwarzania danych. Ciężar dowodu w przedmiocie prawidłowości wskazania głównej jednostki organizacyjnej obciąża zatem przedsiębiorców.
Wytyczne przewidują również, w przypadkach, w których przetwarzanie danych osobowych ma charakter lokalny bądź wykonywane jest przez przedsiębiorstwa niemające jednostki organizacyjnej w UE, przejście do mechanizmu nadzoru lokalnego.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl