CNIL – wytyczne w sprawie podmiotu przetwarzającego według przepisów Rozporządzenia 679/2016 o Ochronie Danych Osobowych (RODO)

Redakcja

6 lat ago

flagi francuskie na budynku rządowym CNIL

Krajowa Komisja ds. Informatyki oraz Wolności – CNIL (francuski organ ochrony danych osobowych)

WYTYCZNE W SPRAWIE PODMIOTU PRZETWARZAJĄCEGO WEDŁUG PRZEPISÓW ROZPORZĄDZENIA 679/2016 O OCHRONIE DANYCH OSOBOWYCH (RODO)Wersja wrzesień 2017 – tłumaczenie nieoficjalne

Czy są Państwo podmiotem przetwarzającym w rozumieniu ogólnego rozporządzenia o ochronie danych?
Czy podlegają Państwo europejskiemu rozporządzeniu w sprawie ochrony danych?
Jakie główne zmiany wprowadza rozporządzenie w odniesieniu do podmiotów przetwarzających?
Jakie obowiązki należy wziąć pod uwagę od 25 maja 2018 r.?
Od czego zacząć?
Jakie są moje obowiązki gdy dalej powierzę dane podmiotowi pod-przetwarzającemu?
Czy należy zmienić obowiązujące umowy z klientami?
Jaka jest moja rola w przypadku naruszenia ochrony danych?
Jaka jest moja rola w ramach oceny skutków dla ochrony danych?
Czy mogę skorzystać z mechanizmu kompleksowej współpracy?
Jakie są moje obowiązki jeżeli nie posiadam siedziby w UE?
Jakie jest ryzyko nieprzestrzegania przeze mnie moich obowiązków?
Przykład klauzul umownych dotyczących powierzenia przetwarzania

Czy są Państwo podmiotem przetwarzającym w rozumieniu ogólnego rozporządzenia o ochronie danych?

Są Państwo podmiotem przetwarzającym jeżeli przetwarzają dane osobowe w imieniu, zgodnie z instrukcjami oraz pod nadzorem administratora danych. Dla przypomnienia administrator danych to podmiot, który ustala cele i sposoby przetwarzania (artykuł 4 Rozporządzenia – definicje). Bardzo dużo różnych dostawców usług jest podmiotem przetwarzającym w sensie prawnym tego pojęcia. Czynności podmiotów przetwarzających mogą dotyczyć precyzyjnie określonych obszarów (przetwarzania w związku z wysyłaniem poczty) lub być bardziej ogólne oraz posiadać szerszy zakres (zarządzanie usługami w imieniu innej organizacji, takimi jak na przykład wypłata wynagrodzeń lub reprezentacja).

Rozporządzenie dotyczy w szczególności:

dostawców usług informatycznych (hosting, serwis), integratorów systemów, spółek zajmujących się bezpieczeństwem systemów, przedsiębiorstw zajmujących się cyfryzacją czy spółek doradztwa informatycznego (fr. SSII), którzy posiadają dostęp do danych;
agencji marketingowych lub PR, które przetwarzają dane osobowe w imieniu swoich klientów,
bardziej ogólnie, wszystkich organizacji, które oferują usługi skutkujące przetwarzaniem danych osobowych w imieniu innych podmiotów;
podmiotów publicznych oraz stowarzyszeń, które również mogą być zakwalifikowane do tej kategorii.Rozporządzenie nie dotyczy, o ile nie mają oni dostępu oraz nie przetwarzają danych osobowych, programistów czy wytwórców sprzętu (czytników kart, sprzętów biometrycznych, sprzętów medycznych).

Do zapamiętania:

Podmiot przetwarzający jest, ogólnie rzecz biorąc, administratorem danych przetwarzanych w swoim własnym imieniu, a nie dla swojego klienta na przykład zarządzanie własnymi pracownikami).
Jeżeli podmiot określa cele oraz środki przetwarzania nie może być zakwalifikowany jako podmiot przetwarzający: taki podmiot musi być uważany za administratora w odniesieniu do takich operacji przetwarzania (art. 28 10 rozporządzenia). Przykład zakwalifikowania jako podmiotu przetwarzającego lub administratora
Przedsiębiorstwo A oferuje usługę wysyłania ofert handlowych wykorzystując dane klientów przedsiębiorstw B oraz C.
Przedsiębiorstwo A jest podmiotem przetwarzającym przedsiębiorstw B i C jeżeli przetwarza dane klientów niezbędne do wysłania ofert w imieniu oraz zgodnie z instrukcjami przedsiębiorstw B i C.
Przedsiębiorstwa B oraz C są administratorami danych swoich klientów, co obejmuje wysyłanie ofert handlowych.
Natomiast przedsiębiorstwo A jest administratorem danych w odniesieniu do zarządzania pracownikami, których zatrudnia oraz zarządzania swoimi klientami, którymi są również przedsiębiorstwa B i C.
Sposób działania (narzędzie): w celu określenia czy są Państwo podmiotem przetwarzającym czy administratorem proszę skorzystać z Opinii 1/2010 Grupy Roboczej Art. 29 z dnia 16 lutego 2010 r., która zawiera zestaw wskazówek do wykorzystania w ramach analizy poszczególnych przypadków:
stopień szczegółowości wytycznych przekazywanych dostawcy przez klienta: jakim poziomem swobody dysponuje podmiot w ramach świadczenia swoich usług?
stopień kontroli działań dostawcy: jaki jest poziom „nadzoru” sprawowanego przez klienta nad podmiotem świadczącym usługę?
wartość dodana zapewniona przez dostawcę: czy dostawca dysponuje odpowiednią wiedzą w danym obszarze?
Stopień przejrzystości w przypadku zwrócenia się do dostawcy: czy tożsamość dostawcy usług jest znana podmiotom przetwarzającym, którzy korzystają z usług klienta?

Akty prawne:Artykuł 4 rozporządzenia w odniesieniu do definicji administratora danych oraz podmiotu przetwarzającego.Artykuł 28 punkt 10 rozporządzenia odnośnie pojęcia administratora danych.

Czy podlegają Państwo europejskiemu rozporządzeniu w sprawie ochrony danych?

Podlegają Państwo rozporządzeniu europejskiemu w odniesieniu do powierzenia przetwarzania danych, jeżeli:

posiadają Państwo siedzibę w Unii Europejskiej, lub;
nie posiadają Państwo siedziby w Unii Europejskiej, jeżeli:Państwa operacje przetwarzania są związane:o z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii;o monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii (art.3 rozporządzenia).

Akty prawne:Art. 3 rozporządzenia dotyczący terytorialnego zakresu stosowania.

Jakie główne zmiany wprowadza rozporządzenie w odniesieniu do podmiotów przetwarzających?

Obecnie:
Obowiązki ustanowione prawem informacyjnym oraz dotyczącym wolności są nałożone jedynie na administratora danych. W konsekwencji, w przypadku skorzystania z powierzenia przetwarzania:

umowa pomiędzy tym podmiotem, a administratorem danych musi określać obowiązki nałożone na podmiot przetwarzający dotyczące ochrony bezpieczeństwa oraz poufności danych oraz stanowić, że może on działać jedynie zgodnie z instrukcjami administratora danych;
ten podmiot przetwarzający musi przedstawić wystarczające gwarancje dotyczące zapewnienia wprowadzenia w życie środków bezpieczeństwa oraz poufności, określonych w art. 34 prawa informacyjnego oraz dotyczącego wolności;
wymogi te nie zwalniają administratora danych z obowiązku czuwania nad przestrzeganiem tych środków.

Od 25 maja 2018 r.:
Rozporządzenie ustanawia zasadę odpowiedzialności wszystkich podmiotów zaangażowanych w przetwarzanie danych osobowych, jeżeli dotyczy ono obywateli europejskich, niezależnie od tego czy podmioty te posiadają siedzibę w Unii czy nie.

Nakłada ono również szczególne obowiązki na podmioty przetwarzające, które muszą pomagać administratorom danych w ich ciągłym wysiłku zapewniania, że operacje przetwarzania pozostają w zgodności z prawem.
Akty prawne: Artykuł 28, 30 punkt 2 oraz 37 rozporządzenia odnośnie obowiązków podmiotu przetwarzającego.

Jakie obowiązki należy wziąć pod uwagę od 25 maja 2018 r.?

Jeżeli działając jako podmiot przetwarzający oferują Państwo usługi przetwarzania danych osobowych, muszą Państwo zaoferować swojemu klientowi: „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (artykuł 28 rozporządzenia)”. Powinni zatem Państwo pomagać oraz doradzać swojemu klientowi w odniesieniu do zapewniania przez niego zgodności z niektórymi obowiązkami ustanowionymi w rozporządzeniu (ocena wpływu, zgłaszanie naruszeń, bezpieczeństwo, niszczenie danych, wkład do audytów).

Bardziej szczegółowo, obejmuje to:

1. Obowiązek przejrzystości oraz identyfikowalności

Muszą Państwo:

zawrzeć ze swoim klientem umowę lub inny akt prawny precyzujący obowiązki każdej ze stron oraz zawierającą przepisy art. 28 rozporządzenia,
przechowywać w formie pisemnej instrukcje swojego klienta dotyczące przetwarzania jego danych w celu udowodnienia, że działają Państwo „zgodnie z udokumentowanymi instrukcjami otrzymanymi od administratora danych”,
poprosić swojego klienta o pisemne upoważnienie, jeżeli chcą Państwo dalej powierzyć przetwarzanie danych osobowych,
dostarczyć swojemu klientowi wszystkie informacje konieczne do wykazania przestrzegania Państwa obowiązków oraz aby umożliwić przeprowadzenie audytów (na przykład na podstawie wzorcowego dokumentu CNIL dotyczącego znaków jakości w dziedzinie audytu),
przechowywać rejestr, który obejmuje Państwa klientów oraz opisuje operacje przetwarzania, które wykonują Państwo w ich imieniu.

2. Uwzględnienie zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych
Muszą Państwo zaoferować swoim klientom odpowiednie gwarancje odnośnie tego, że przetwarzanie, którego dokonują Państwo w ich imieniu odpowiada wymogom rozporządzenia oraz chroni prawa osób, których dane dotyczą.

Oznacza to w szczególności, że:

w fazie projektowania: Państwa narzędzia, produkty, aplikacje czy usługi, które oferują Państwo swoim klientom obejmują zintegrowane rozwiązania pozwalające chronić dane w efektywny sposób, oraz w przypadku ustawień domyślnych, Państwa narzędzia, produkty, aplikacje czy usługi gwarantują, że przetwarzane są jedynie te dane, które są konieczne dla osiągnięcia celu przetwarzania w odniesieniu do ilości zebranych danych, zakresu ich przetwarzania, okresu przechowywania oraz ilości osób, które mają do nich dostęp.

Zasady te mogą na przykład obejmować:

przekazywanie klientowi urządzeń w konfiguracji zgodnej z zasadą ustawień domyślnych oraz minimalnego zbierania danych oraz nie ustanawianie technicznych wymogów podawania informacji w polach fakultatywnych,
zbieranie jedynie tych danych, które są absolutnie konieczne do osiągnięcia celów przetwarzania (zasada minimalizacji danych),
automatyczne oraz selektywne usuwanie danych z aktywnej bazy danych po upłynięciu pewnego okresu, lub
zarządzanie uprawnieniami oraz prawem dostępu (w systemach informatycznych) w odniesieniu do poszczególnych danych czy na wniosek osób, których dane dotyczą (na przykład za pośrednictwem sieci społecznościowych)

3. Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych

Państwa pracownicy, którzy przetwarzają dane Państwa klientów muszą podlegać obowiązkowi zachowania poufności.
Muszą Państwo poinformować swojego klienta o wszystkich przypadkach naruszenia bezpieczeństwa danych.
Muszą Państwo podjąć wszelkie środki w celu zagwarantowania poziomu bezpieczeństwa dostosowanego do ryzyka.
Po zakończeniu świadczenia usług oraz zgodnie z instrukcjami klienta muszą Państwo: usunąć wszystkie dane lub zwrócić je swojemu klientowi, zniszczyć istniejące kopie, chyba że istnieje obowiązek prawny ich przechowywania.

4. Obowiązek udzielania pomocy, ostrzegania oraz doradzania

Jeżeli Państwa zdaniem instrukcje Państwa klienta naruszają regulacje w obszarze ochrony danych muszą go Państwo natychmiast o tym poinformować.
Jeżeli osoba, której dane dotyczą pragnie skorzystać ze swoich praw (dostępu, poprawienia, usunięcia, przenośności, sprzeciwu, nie bycia poddanym decyzji zautomatyzowanej oraz profilowaniu) muszą Państwo, na wszystkie możliwe sposoby, pomóc swojemu klientowi w uczynieniu zadość temu wnioskowi.
W ramach informacji, które Państwo posiadają, muszą Państwo pomóc swojemu klientowi w zagwarantowaniu poszanowania obowiązków w obszarze bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych oraz oceny wpływu w odniesieniu do ochrony danych.

Od czego zacząć?

1. Proszę sprawdzić czy muszą Państwo wyznaczyć inspektora ochrony danych
Zadaniem inspektora ochrony danych jest kierowanie zapewnianiem zgodności z rozporządzeniem w podmiocie, który go wyznaczył.W odniesieniu do powierzenia przetwarzania, będą Państwo musieli wyznaczyć w 2018 r. inspektora ochrony danych, jeśli:

są Państwo organem lub podmiotem publicznym;
główna działalność, którą będą Państwo wykonywali, w imieniu swojego klienta, będzie wymagała regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
główna działalność, którą Państwo prowadzą w imieniu swojego klienta, będzie polegać na przetwarzaniu na dużą skalę tzw. danych „wrażliwych” oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.Również poza przypadkami w których jest to obowiązkowe, powołanie inspektora ochrony danych jest zalecane, ponieważ dysponuje on wiedzą ekspercką dotyczącą wdrożenia rozporządzenia oraz zarządzania zapewnianiem z nim zgodności.

Przykłady
Wytyczne przyjęte w dniu 5 kwietnia 2017 r. przez GR29 w sprawie inspektora ochrony danych przedstawiają dwa przykłady obowiązkowego wyznaczenia inspektora ochrony danych:

Przykład nr 1: małe rodzinne przedsiębiorstwo zajmujące się dystrybucją sprzętu AGD w jednym mieście korzysta z usług podmiotu przetwarzającego, którego główna działalność polega na dostarczaniu usług analityki sieciowej oraz pomocy w zakresie ukierunkowanej reklamy oraz marketingu. Działania firmy rodzinnej oraz jej klientów nie generują przetwarzania danych na „dużą skalę”, z uwagi na niewielką liczbę klientów oraz stosunkowo ograniczone działanie. Jednakże działanie podmiotu przetwarzającego, który posiada wielu klientów takich jak to niewielkie przedsiębiorstwo, stanowi przetwarzanie na dużą skalę, mając na uwadze wszystkich klientów naraz. Z tego względu podmiot przetwarzający musi wyznaczyć inspektora ochrony danych zgodnie z art. 37 ust. 1 litera b). Jednocześnie, ww. firma rodzinna nie musi sama wyznaczać inspektora ochrony danych.

Przykład nr 2: Średniej wielkości przedsiębiorstwo zajmujące się produkcją płytek brukowych powierza przetwarzanie danych medycyny pracy swoich pracowników zewnętrznemu podmiotowi przetwarzającemu, który obsługuje dużą liczbę podobnych klientów. Podmiot przetwarzający musi powołać inspektora ochrony danych zgodnie z art. 37 ust. 1 litera c), ponieważ przetwarzanie ma miejsce na dużą skalę. Jednakże wytwórca płytek niekoniecznie musi wyznaczyć inspektora ochrony danych.
Inspektor ochrony danych wyznaczony przez podmiot przetwarzający również nadzoruje działania wykonywane przez ten podmiot przetwarzający, gdy wykonuje on swoje zadania jako administrator (np. w odniesieniu do zasobów ludzkich, informatyki, logistyki).

Dalsze informacje

Strona dedykowana CNIL Akty prawne Art. 37 rozporządzenia w odniesieniu do obowiązkowego wyznaczenia inspektora ochrony danych przez podmiot przetwarzający.

2. Analiza oraz rewizja Państwa umów

Umowa ta musi określać:

przedmiot oraz okres świadczenia usług w imieniu Państwa klienta;
charakter oraz cele przetwarzania;
rodzaj danych osobowych, które przetwarzają Państwo w imieniu swojego klienta;
kategorie osób, których dane dotyczą;
obowiązki oraz prawa Państwa klienta jako administratora danych;
Państwa obowiązki oraz prawa jako podmiotu przetwarzającego określone w art. 28 rozporządzenia.
Przykład klauzul – niniejsze wytyczne proponują przykład klauzul dotyczących powierzenia przetwarzania oczekując na przyjęcie standardowych klauzul umownych w rozumieniu art. 28 punkt 8 rozporządzenia.

Te przykłady klauzul mogą być zawarte w Państwach umowach. Muszą być one doprecyzowane oraz zaadaptowane do poszczególnych operacji powierzenia przetwarzania. Należy zaznaczyć, że same w sobie, nie stanowią one umowy dotyczącej powierzenia przetwarzania. Akty prawne Motyw 81 oraz artykuł 28 rozporządzenia dotyczący obowiązków podmiotu przetwarzającego.

3. Opracowanie rejestru operacji przetwarzania
Jako podmiot przetwarzający, będą Państwo musieli prowadzić rejestr kategorii czynności przetwarzania, które wykonują Państwo w imieniu swoich klientów.

Rejestr ten musi być sporządzony na piśmie oraz zawierać:

nazwę oraz dane kontaktowe każdego klienta, w którego imieniu przetwarzają Państwo dane;
nazwę oraz dane kontaktowe każdego podmiotu, któremu dalej powierzyli Państwo przetwarzanie danych, jeżeli dotyczy;
imię oraz nazwisko i dane kontaktowe inspektora ochrony danych, jeżeli go powołano;
kategorie operacji przetwarzania danych wykonywanych w imieniu każdego z klientów;
operacje przekazywania danych poza Unię Europejską, które wykonują Państwo w imieniu swoich klientów, jeżeli dotyczy;
w zakresie w jakim to możliwe, ogólny opis technicznych oraz organizacyjnych środków bezpieczeństwa, które Państwo wdrożyli.

Uwaga! Są Państwo również administratorem danych w odniesieniu do swoich własnych danych (na przykład w związku z zarządzaniem pracownikami czy klientami).

Odtąd należy posiadać dwa rejestry: jeden w odniesieniu do danych, których są Państwo administratorem oraz drugi w odniesieniu do danych, które Państwo przetwarzają jako podmiot przetwarzający w imieniu Państwa klientów.

Wzory rejestrów Wzór rejestru został zaproponowany w ramach „etapu 2”, internetowego dokumentu 6 etapów przygotowania do rozporządzenia.

Akty prawne: Artykuł 30.2 rozporządzenia dotyczący prowadzenia rejestru przez podmiot przetwarzający, Artykuł 30.1 rozporządzenia dotyczący prowadzenia rejestru przez administratora danych.

Jakie są moje obowiązki gdy dalej powierzę dane podmiotowi pod-przetwarzającemu?

Jako podmiot przetwarzający nie mogą Państwo dalej powierzyć przetwarzania innemu podmiotowi przetwarzającego przed uprzednim otrzymaniem pisemnej zgody od swojego klienta. Zgoda taka, w zależności od wyboru stron, może przybrać formę:

szczegółową, to znaczy dotyczącą konkretnej operacji powierzenia przetwarzania lub
ogólną, muszą Państwo informować swojego klienta o wszystkich przewidywanych zmianach dotyczących dodania lub zastąpienia podmiotów przetwarzających, pozwalających państwa klientowi na wyrażenie sprzeciwu wobec tych zmian.

Podmiot przetwarzający, którego Państwo zatrudniają podlega takim samym obowiązkom jakie zawarto w Państwa umowie z administratorem danych. Należy w szczególności wykazać wystarczające gwarancje odnośnie wdrożenia odpowiednich środków technicznych oraz organizacyjnych, koniecznych aby przetwarzanie pozostawało w zgodności z rozporządzeniem.

Uwaga! Jeżeli zrekrutowany przez Państwa podmiot przetwarzający nie przestrzega swoich obowiązków, ponoszą Państwo pełną odpowiedzialność wobec administratora za wykonywanie przez podmiot przetwarzający swoich obowiązków.

Akty prawne: Art. 28 punkt 2 oraz 28 punkt 4 rozporządzenia dotyczący zatrudniania podmiotu przetwarzającego przez inny podmiot przetwarzający.

Czy należy zmienić obowiązujące umowy z klientami?

Tak, wszystkie realizowane umowy powierzenia przetwarzania powinny obejmować od 25 maja 2018 r. obowiązkowe klauzule przewidziane rozporządzeniem. W związku z powyższym, zaleca się aby wszystkie podmioty przetwarzające:

przewidziały tą ewolucję w stosowanych ramach prawnych poprzez włączanie tych klauz od chwili obecnej oraz odpowiednią modyfikację obecnie obowiązujących umów z klientami, mając jednak na uwadze, że zmiany muszą obowiązywać od 25 maja 2018 r.
przeprowadzać od tej daty sprawdzenia lub audyty, które pozwolą Państwu na zapewnienie poszanowania ich obowiązków dotyczących powierzenia przetwarzania oraz dokonania koniecznych zmian w umowach.

Przykłady klauzul Niniejsze wytyczne proponują przykład klauzul dotyczących powierzenia przetwarzania oczekując na przyjęcie standardowych klauzul umownych w rozumieniu art. 28 punkt 8 rozporządzenia.

Te przykłady klauzul mogą być zawarte w Państwa umowach. Muszą być one doprecyzowane oraz zaadaptowane do poszczególnych operacji powierzenia przetwarzania. Należy zaznaczyć, że same w sobie, nie stanowią one umowy dotyczącej powierzenia przetwarzania.

Jaka jest moja rola w przypadku naruszenia ochrony danych?

Naruszenie ochrony danych stanowi naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Muszą Państwo poinformować swojego klienta o wszelkich naruszeniach bezpieczeństwa danych osobowych bez zbędnej zwłoki po powzięciu o nim wiedzy. Na podstawie ww. zgłoszenia Państwa klient, jako administrator danych, powinien zgłosić takie naruszenie bezpieczeństwa ochrony danych odpowiedniemu organowi nadzorczemu zgodnie z art. 33 rozporządzenia oraz przekazać informacje o takim naruszeniu osobie, której dane dotyczą zgodnie z art. 34 rozporządzenia.

Z zastrzeżeniem konieczności uzyskania zgody Państwa klienta oraz pod warunkiem, że zostanie ona wyraźnie przewidziana w Państwa umowie z klientem, możliwym jest aby administrator wskazał, aby to Państwo w jego imieniu zgłosili naruszenie organowi oraz, o ile ma to zastosowanie, osobom, których dane dotyczą (zobacz: klauzule na końcu niniejszych wytycznych). Akty prawne: Art. 4 ustęp 12, 33 oraz 34 rozporządzenia europejskiego

Jaka jest moja rola w ramach oceny skutków dla ochrony danych?

Państwa klient, jako administrator danych musi przeprowadzać ocenę skutków dla ochrony danych zgodnie z art. 35 rozporządzenia. Jednakże przeprowadzenie takiej analizy nie zwalnia Państwa z odpowiedzialności.

Muszą Państwo wszakże pomóc swojemu klientowi w przeprowadzeniu tej analizy oraz dostarczyć mu wszystkich koniecznych informacji. Pomoc ta musi być przewidziana w umowie z Państwa klientem. Akty prawne Art. 28 ustęp 3 litera f) rozporządzenia europejskiego oraz Wytyczne GR29 dotyczące oceny skutków (strona 13)

Czy mogę skorzystać z mechanizmu kompleksowej współpracy?

Jeżeli posiadają Państwo siedzibę w większej liczbie państw UE, mogą Państwo korzystać z mechanizmu kompleksowej współpracy. Mechanizm ten pozwala organizacjom, które dokonują transgranicznych operacji przetwarzania danych (zlokalizowanych w kilku państwach członkowskich UE lub wpływających na osoby w kilku państwach członkowskich) na prowadzenie dialogu z jednym krajowym organem nadzorczym, który podejmuje decyzje mające zastosowanie do wszystkich państw członkowskich, których dotyczy to przetwarzanie. Organ ten jest nazywany organem wiodącym. Organem wiodącym w odniesieniu do Państwa będzie organ znajdujący się w kraju Państwa głównej siedziby, to znaczy w tym kraju UE gdzie znajduje się Państwa centrala. Jeżeli nie dysponują Państwo centralą na terytorium UE, w miejscu w którym odbywają się główne czynności przetwarzania w Unii.

Akty prawne: Art. 4 punkt 16, 56 oraz motyw 36 rozporządzenia oraz wytyczne GR29 w sprawie wyznaczenia organu wiodącego (strona 9).

Jakie są moje obowiązki jeżeli nie posiadam siedziby w UE?

Jeżeli nie posiadają Państwo siedziby na terytorium UE podlegają Państwo przepisom rozporządzenia jeżeli:

przetwarzają Państwo w imieniu swojego klienta dane osób znajdujących się na terytorium UE,
jeżeli oferują Państwo w imieniu swojego klienta, dobra lub usługi lub jeżeli monitorują Państwo zachowanie tych osób.W takiej sytuacji powinni Państwo wyznaczyć przedstawiciela w UE, który występowałby w kontaktach z osobami, których dane dotyczą oraz organami nadzorczym we wszystkich kwestiach związanych z przetwarzaniem.

Akty prawne: Artykuł 3 oraz 27 rozporządzenia

Jakie jest ryzyko nieprzestrzegania przeze mnie moich obowiązków?

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, może otrzymać pełne odszkodowanie za poniesioną szkodę od administratora danych lub podmiotu przetwarzającego.

Mogą być więc Państwo pociągnięci do odpowiedzialności za wyrządzoną szkodę oraz stać się przedmiotem wysokich sankcji administracyjnych mogących wynieść, w zależności od rodzaju naruszenia, aż do 10 lub 20 milionów euro albo, w przypadku przedsiębiorstw, do 2% albo 4% rocznego światowego obrotu, przy czym zastosowanie miałaby kwota wyższa. Ww. sankcje mogą mieć zastosowanie np. w następujących przypadkach:

jeżeli działają Państwo poza instrukcjami określonymi przez Państwa klienta lub wbrew nim;
jeżeli nie pomagają Państwo swojemu klientowi w wypełnianiu jego zobowiązań (w szczególności zgłoszeniu naruszeń ochrony danych lub przeprowadzania oceny wpływu na przetwarzanie);
jeżeli nie przekazują Państwu swojemu klientowi informacji pozwalających na wykazanie zapewnienia zgodności z obowiązkami lub pozwalających na przeprowadzenie audytu;
jeżeli nie informują Państwo swojego klienta, że jego instrukcje naruszają rozporządzenie;
jeżeli dokonują Państwo dalszego powierzenia danych bez zgody swojego klienta;
jeżeli skorzystają Państwo z usług podmiotu przetwarzającego, który nie zapewnia odpowiednich gwarancji;
jeżeli nie wyznaczą Państwo inspektora ochrony danych, gdy jest to wymagane;
jeżeli nie będą Państwo posiadać rejestru kategorii czynności przetwarzania wykonywanych w imieniu Państwa klienta.

Przepisy prawa : Artykuły 82 oraz 83 rozporządzenia