GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Wyznaczenie przedstawiciela przez podmiot z siedzibą poza UE

Autor: r. pr. Tomasz Osiej, r. pr. Karol Kozieł
Udostępnij publikację:
Wyznaczenie przedstawiciela przez podmiot z siedzibą poza UE

Podmiot spoza UE, bez siedziby w państwie członkowskim aktywnie prowadzi działalność na terenie Unii. Czy jest coś, o czym musi pamiętać?

RODO przewidziało na tę okoliczność specjalną instytucję – przedstawiciela w Unii Europejskiej.

Obowiązek wyznaczenia przedstawiciela w Unii Europejskiej przez administratora danych lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii, wynika wprost z artykuł 27 RODO. Uwarunkowany jest on spełnieni przesłanek określonych art. 3 ust. 2 RODO – takich jak:

  1. oferowanie towarów lub usług osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
  2.  monitorowanie ich zachowania, o ile do zachowania tego dochodzi w Unii.

Wystarczające będzie spełnienie co najmniej jednej z ww. przesłanek celem objęcia terytorialnym zakresem rozporządzenia, a tym samym obowiązkiem wyznaczenia przedstawiciela na terenie Unii Europejskiej.

Wyjątki od obowiązku

Wyjątki od obowiązku wyznaczenia przedstawiciela w Unii określa art. 27 ust. 2 RODO, stanowiąc że nie musimy wyznaczać przedstawiciela gdy:

  1. przetwarzanie, ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych; lub
  2. mamy do czynienia z organem lub podmiotem publicznym.

Siedziba przedstawiciela

Nie można dowolnie wybrać kraju, w którym zlokalizowana będzie siedzibę przedstawiciela – musi to być jedno z tych państw, w których przetwarzane są dane. Wymóg ten wynika z głównego założenia przyświecającego wyznaczeniu przedstawiciela tj. zapewnienie „właściwej obsługi” zainteresowanych. W przypadku przyjęcia całkowitej dowolności wyboru kraju, moglibyśmy mieć do czynienia z praktyką niweczącą to założenie – wyznaczania przedstawiciela nie w miejscu optymalnym z punktu widzenia podmiotów danych (dostępność) a np. w kraju z najbardziej liberalnym podejściem organu nadzorczego.

Obowiązki informacyjne

Z uwagi na ułatwienie podmiotowi danych kontaktu z przedstawicielem – jeśli został on wyznaczony – rozporządzenie wprowadza wprost obowiązek poinformowania o tożsamości i jego danych kontaktowych. Wymogi te zostały określone w szczególności w:

  1. 13 ust. 1 pkt. a RODO – obowiązek przekazania informacji co do tożsamości i danych kontaktowych przedstawiciela w przypadku zbierania danych od osoby, której dane dotyczą,
  2. 14 ust. 1 pkt. a RODO – obowiązek przekazania informacji co do tożsamości i danych kontaktowych przedstawiciela w przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą.

Podmiotowość przedstawiciela

Jak wskazano wprost w art. 4 pkt. 17 RODO przedstawiciel może być osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii Europejskiej. Elementem konstytutywnym wyznaczenia przedstawiciela jest forma pisemna, co wprost wynika z motywu 80 RODO. Można zastanawiać się jakie byłyby możliwe skutki prawne ewentualnego uchybienia tej  formie wyznaczenia przedstawiciela np. poprzez  ustne porozumienie. Skłaniamy się ku stanowisku, że tego rodzaju powołanie byłoby nieskuteczne pod kątem wywołania wprost skutków, z którymi przepisy rozporządzenia wiążą wyznaczenie przedstawiciela (chociażby związanych z jego odpowiedzialnością) i tego rodzaju podmiot należałoby raczej traktować raczej jako pełnomocnika administratora lub podmiotu przetwarzającego, który mógłby ponosić odpowiedzialność względem tych podmiotów i te podmioty z kolei ponosiłyby odpowiedzialność za jego działania lub zaniechania, tak jak ma to miejsce w przypadku pełnomocnika.

Teoria vs. praktyka, czyli ile kosztuje brak przedstawiciela

Sprawdźmy, czy zdarzyło się organom nadzoru nałożyć karę wyłącznie za brak wyznaczenia przedstawiciela, a jeśli tak to w jakich okolicznościach. Pozwoli to nam spojrzeć na ten obowiązek oczami tych, którzy kontrolują i egzekwują stosowanie przepisów. I tak z  tytułu naruszenia art. 27 RODO nałożono jak dotąd 4 kary, przy czym w jednym przypadku art. 27 był jedyną podstawą jej nałożenia.

13 lipca 2022 r. grecki organ nałożył na spółkę Clearview AI, Inc karę w wysokości 20 000 000 Euro, zarzucając między innymi brak wyznaczenia przedstawiciela o którym mowa w art. 27 RODO. Spółka sprzedawała usługi identyfikacji osobistej, w tym oprogramowanie do rozpoznawania twarzy, organom ścigania w USA. W bazie danych Clearview, znajdowały się również dane obywateli Grecji. Organ nadzorczy uznał, że spółka wykorzystuje swoje oprogramowanie do monitorowania obywateli Grecji, nawet jeśli nie oferuje usług w Grecji czy UE.

Gigant technologiczny ukarany 20 milionami euro kary

 

W przywołanej decyzji organ zwraca uwagę na bardzo ważne aspekty związane z instytucją przedstawiciela:

  1. wyznaczenie w formie pisemnej,
  2. cel jego powołania
  3. i jasną komunikację do podmiotów danych.

Przedstawiciel powinien także ułatwiać komunikację między podmiotami, a reprezentowanym administratorem w celu zapewnienia skutecznego egzekwowania praw. Organ nadzorczy  powinien mieć możliwość komunikowania się z przedstawicielem we wszelkich sprawach związanych z obowiązkami w zakresie zgodności administratora mającego siedzibę poza UE.

Odpowiedzialność

Zgodnie z art. 27 ust. 5 wyznaczenie przedstawiciela przez administratora lub podmiot nie uniemożliwia wszczęcia postępowania przeciwko samemu administratorowi lub podmiotowi przetwarzającemu. Brak  ustanowienia przedstawiciela w przypadku, gdy jego wyznaczenie jest obligatoryjne zagrożony jest stosownie do art. 83 ust. 4 lit. a RODO administracyjną karą pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Wnioski

Warto zwrócić uwagę, że jednym z głównych powodów podejmowania działań przez organy nadzorcze zazwyczaj nie jest wyłącznie sam fakt braku formalnego wyznaczenia przedstawiciela na terenie Unii, a raczej wynikające z tego konsekwencje przejawiające się m.in. w utrudnionym kontakcie i braku możliwości realizacji  praw podmiotów danych. Co więcej wydaje się, że nie samo wyznaczenie przedstawiciela jest kluczowe, a raczej  zaprojektowanie całego systemu  obejmującego m.in. wybór odpowiedniej osoby (podmiotu) zapewniającego realizację praw, czy kontakt z organami nadzorczymi nie tylko w kraju gdzie przedstawiciel został wyznaczony, ale również w krajach gdzie na terenie Unii działalność jest rzeczywiście prowadzona. W przepisach rozporządzenia brakuje wskazówek jakie kryteria powinien spełniać przedstawiciel, ale wydaje się, że rekomendacje dot. kompetencji, które stoją u podstaw wyboru inspektorów ochrony danych mogą być dobrym punktem odniesienia.

r.pr. Tomasz Osiej

r.pr. Karol Kozieł

 

Więcej na ten temat można przeczytać w artykule autorów:

Wyznaczenie przedstawiciela przez podmiot niemający siedziby w UE w magazynie ABI Expert numer Październik – Grudzień 2022.

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies