GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Ustalenie wiodącego organu nadzorczego – opinia Grupy Roboczej art. 29

Wraz z rozpoczęciem stosowania nowego rozporządzenia o ochronie danych osobowych (dalej: GDPR) w unijnym porządku prawnym zostanie uregulowana kwestia transgranicznego przetwarzania danych osobowych. GDPR w sposób dokładny określa kryteria, kiedy mamy do czynienia z tego rodzaju przetwarzaniem. Wraz z tym pojęciem pojawiła się instytucja wiodącego organu nadzorczego – organu, który będzie odpowiedzialny za nadzór i koordynację w kwestiach ochrony danych w podmiotach transgranicznych przetwarzających dane.

Problemy praktyczne z tym związane może powodować kwestia wyznaczania wiodącego organu nadzorczego na tle poszczególnych przypadków. Oczekiwaniom tym wyszła naprzeciw Grupa Robocza art. 29, wydając wytyczne dotyczące wyznaczania wiodącego organu nadzorczego właściwego dla administratora i podmiotu przetwarzającego (Wytyczne WP 244 z 13 grudnia 2016 r.).

Kiedy odbywa się transgraniczne przetwarzanie danych osobowych?

Samo transgraniczne przetwarzanie danych zachodzi w dwóch przypadkach, które GDPR opisuje w art. 4 ust. 23. Mamy z nim do czynienia, gdy „przetwarzanie odbywa się w ramach działalności jednostek, prowadzonej w więcej, niż jednym Państwie Członkowskim administratora lub podmiotu przetwarzającego”. Drugi przypadek transgranicznego przetwarzania danych to „działalność polegająca na przetwarzaniu danych przez pojedynczą jednostkę organizacyjną, która znacznie wpływa, bądź może znacznie wpłynąć na osoby, których dane dotyczą w więcej niż jednym Państwie Członkowskim”. Uwagę zwraca tutaj niedookreśloność pojęć „znacznie wpływa” i „może znacznie wpłynąć”.

Grupa Robocza w swoich wytycznych wskazała, że przy określaniu „znacznego wpływu” nie wystarcza tylko słownikowy opis tego terminu. Mamy z nim do czynienia przede wszystkim wtedy, gdy:

Jak widać, sam fakt dużej ilości przetwarzanych danych, nie powoduje automatycznie, iż mamy do czynienia ze „znacznym wpływem”. Grupa Robocza przy formułowaniu powyższych wskazówek wzięła pod uwagę również kontekst, cel i rezultat przetwarzania danych. Oprócz tego, w dokumencie wskazano, że przez pojęcie „może wpłynąć” należy rozumieć wysokie prawdopodobieństwo wystąpienia negatywnych konsekwencji – sytuacje, kiedy prawdopodobieństwo jest mniejsze lub nie istnieje nie są ujęte?? w tym terminie.

Czym jest wiodący organ nadzorczy i na jakich zasadach podmioty mają go wyznaczyć?

Główną rolą wiodącego organu nadzorczego jest koordynacja i nadzór nad  przetwarzaniem danych przez administratora w jego jednostkach zlokalizowanych często na terenach innych państw. To dzięki jego wyznaczeniu i działaniom osoba, której dane dotyczą będzie mogła zwrócić się np. ze skargą na przetwarzanie jej danych oraz zostanie zapewniona spójna koordynacja działań czuwających nad bezpieczeństwem danych w podmiocie.

Artykuł 56 GDPR jasno określa, iż sposób wyznaczenia organu wiodącego powinien opierać się albo na siedzibie głównej jednostki organizacyjnej administratora danych (w przypadku istnienia kilku jednostek) albo na lokalizacji pojedynczej jednostki w przypadku braku rozproszenia organizacyjnego. To właśnie wedle siedziby „głównej jednostki” co do zasady wyznaczany będzie wiodący organ nadzorczy.

Jako główną jednostkę organizacyjną w przypadku administratorów danych, GDPR określa miejsce, gdzie znajduje się centralna administracja na terenie UE lub w przypadku jej braku, inne miejsce, gdzie zapadają decyzje co do celu i sposobów przetwarzania danych i ich egzekwowania??. Podobnie wygląda zasada w przypadku podmiotów przetwarzających – z tą jednak różnicą, że gdy nie można określić siedziby centralnej administracji, wówczas głównym wskaźnikiem będzie siedziba jednostki, w której odbywają się główne czynności przetwarzania danych (artykuł 4 ust. 16 GDPR). Warto pamiętać, iż motyw 36 GDPR wskazuje, że kiedy sprawa dotyczy administratora i podmiotu przetwarzającego organem wiodącym będzie organ nadzorczy właściwy dla administratora – organ nadzoru dla podmiotu przetwarzającego staje się „organem, którego sprawa dotyczy” – funkcją, która zostanie opisana w późniejszej części artykułu.

W celu wyznaczenia głównej jednostki, podmioty w praktyce będą musiały się zmierzyć z pojęciem centralnej administracji podmiotu na terenie UE. Wytyczne Grupy Roboczej konkretyzują, że jest to miejsce, gdzie zapadają najważniejsze decyzje co do celu i zasad przetwarzania danych osobowych. Wskazówka ta ułatwi podmiotom proces wyznaczania organu wiodącego.

Co w przypadku istnienia kilku ośrodków decyzyjnych w podmiocie?

Może zdarzyć się sytuacja, kiedy w obrębie podmiotu kompetencje decyzyjne będą rozdzielone pomiędzy jednostki znajdujące się w różnych państwach. Wówczas to po stronie samego administratora/podmiotu przetwarzającego leży obowiązek określenia, w której jednostce podejmowane są główne decyzje co do celu i zasad przetwarzania – wskazanie jej umożliwi współpracę z odpowiednim organem nadzorczym, w tym wypełnianie nowych obowiązków z GDPR. Administrator/podmiot przetwarzający obowiązkowo musi wskazać taką jednostkę, albowiem zasadą jest pojedynczość??? wiodącego organu nadzorczego.

Wyznaczenie głównej jednostki w przypadku grupy przedsiębiorstw           

W przypadku, gdy administratorem/podmiotem przetwarzającym jest grupa przedsiębiorstw, główną jednostką będzie co do zasady jednostka administracyjna o charakterze kontrolnym i dominującym (motyw 36 GDPR ), nadrzędna w stosunku  do pozostałych wchodzących w skład grupy. To właśnie jej siedziba będzie determinowała, który z krajowych organów nadzorczych stanie się organem wiodącym. Sytuacja jest jeszcze bardziej ułatwiona w przypadku przedsiębiorstw o ściśle zarysowanej hierarchii i stopniu scentralizowania, gdzie automatycznie jednostka o największych uprawnieniach stanie się „główną jednostką” w rozumieniu GDPR.

Siedziba głównej jednostki w przypadku braku centralnej administracji w UE          

Wytyczne Grupy Roboczej skonkretyzowały również kwestię, gdy nie można wyznaczyć centralnej administracji w obrębie podmiotu. Wówczas „jednostką główną” powinna zostać jednostka, w której odbywa się skuteczna i faktyczna realizacja działań z zakresu zarządzania oraz zapadają najważniejsze decyzje co do przetwarzania danych. Wspomniany już wcześniej motyw 36 GDPR wskazuje ponadto, iż status ten jest niezależny od samego faktu przetwarzania, czy posiadania odpowiedniej technologii służącej do przetwarzania danych.

Co więcej, w przypadku braku centralnej administracji podmioty powinny wziąć pod uwagę przy wskazywaniu jednostki głównej przede wszystkim te ze swoich jednostek, które podejmują decyzję co do działań biznesowych związanych z przetwarzaniem, wdrażają decyzje, oraz te, w których są osoby odpowiedzialne za przetwarzanie transgraniczne.

Wytyczne zawierają w sobie również rozwiązania w przypadku, gdy nie można wskazać centralnej administracji podmiotu ani jednostki, w której decyduje się o celach i zasadach przetwarzania. Dokument sugeruje, że to po stronie podmiotu pojawi się obowiązek wyznaczenia jednostki, w której będą podejmowane decyzje odnośnie przetwarzania oraz skupiają się uprawnienia zarządcze w kontekście funkcjonowania podmiotu.

Administrator wyznacza i udowadnia, organy nadzorcze zweryfikują

Warto zaznaczyć, że samo wyznaczanie jednostki głównej przez administratora może podlegać jednak pewnym ograniczeniom i weryfikacji. W przypadku, gdy procesy zarządzania oraz podejmowania decyzji zachodzą w innej jednostce niż ta, którą wyznaczył podmiot, to właściwy organ nadzorczy zweryfikuje to i sam wyznaczy jednostkę główną. Należy dodać, iż uprawnienie to może być współdzielone z nowo utworzoną Europejską Radą Ochrony Danych. Wytyczne wskazują, iż mogą pojawić się sytuacje, gdzie decyzja organu co do wyznaczenia jednostki głównej będzie musiała być poprzedzona właściwym dochodzeniem. Przeprowadzą je wówczas właściwe organy nadzorcze i pomocniczo GDPR w ramach współpracy.

Podmiot (administrator danych) podczas dochodzenia będzie musiał udowodnić, iż w wyznaczonej jednostce zachodzą procesy decyzyjne i zarządcze o najwyższym stopniu ważności w ramach organizacji. Nie będzie możliwa sytuacja, że przyznanie statusu jednostki głównej oprze się na samych oświadczeniach podmiotu. To organy ochrony danych w ramach współpracy zweryfikują i zdecydują, czy wyznaczenie było prawidłowe w świetle stanu faktycznego.

Nie tylko organ wiodący weźmie udział w kontroli nad przetwarzaniem           

Przepisy GDPR nie skupiają się w tylko na organie wiodącym w kontekście transgranicznego przetwarzania. Pojawia się również instytucja „organu nadzorczego, którego sprawa dotyczy” (art. 4 ust. 22 GDPR). Proces przetwarzania danych dotyczy go wg przepisu w trzech sytuacjach:

  1. administrator/podmiot przetwarzający mają jednostkę na terenie państwa funkcjonowania tego organu;
  2. przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby mające miejsce zamieszkania w kraju funkcjonowania organu;
  3. do organu została wniesiona skarga.

Sam organ, którego sprawa dotyczy posiada kompetencje stosunkowo pomocnicze w stosunku do organu wiodącego. Ma on prawo wypowiadania się w sytuacjach, kiedy przetwarzanie ma znaczny wpływ na osoby zamieszkujące państwo jego siedziby. Jednak artykuł 56 GDPR wyposaża go ponadto w kompetencje do prowadzenia spraw. Są to sytuacje, kiedy organ wiodący odstąpił na rzecz zgłaszającego z rozpoznania sprawy, a także, gdy sprawa dotyczy wyłącznie jednostki organizacyjnej na terenie państwa siedziby organu.

GDPR  zobowiązuje organy nadzorcze do współpracy i wzajemnej pomocy

Należy dodać, że artykuły 60 i 61 GDPR ustanawiają tzw. mechanizmy współpracy i wzajemnej pomocy pomiędzy organem wiodącym, a organami, których sprawa dotyczy. Współpraca polega na wzajemnym przekazywaniu informacji, przeprowadzaniu postępowań wyjaśniających, opiniowania projektów decyzji (zakreślonego terminami), wdrażaniu odpowiednich środków przeciwko administratorom danych oraz przeprowadzaniu wzajemnych konsultacji.

Sytuacje wyłączające działalności organu wiodącego           

Mechanizm współpracy nie ma zastosowania w przypadkach przetwarzania lokalnego oraz sytuacji, kiedy administrator danych nie ma siedziby na terenie Unii Europejskiej. W obu przypadkach  kontakt odbywa się jedynie z krajowym organem ochrony danych. Przy przetwarzaniu lokalnym inne organy nadzorcze respektują prawo krajowego organu do autonomicznego wykonywania kompetencji. Podmioty nieposiadające siedziby na terenie UE kontaktują się z kolei z lokalnym organem nadzorczym za pomocą ustanowionego przedstawiciela.

Istnieje potrzeba dalszej, bardziej precyzyjnej interpretacji przepisów

Generalny Inspektor Ochrony Danych Osobowych przeprowadzając zakończone 15 lutego br. konsultacje do wytycznych poznał opinie pochodzące przede wszystkich ze środowisk biznesowych. Uwagi skoncentrowały się przede wszystkim na definicji „grupy przedsiębiorstw” oraz „przedsiębiorstwa” z GDPR  w porównaniu do „przedsiębiorstwa” zdefiniowanego przez TFUE. Zwrócono uwagę na potrzebę doprecyzowania, w jaki sposób wyznaczać organ wiodący w przypadku grup kapitałowych – w przypadkach, gdy tylko spółka–matka jest administratorem, jak i gdy administratorami są oddzielnie wszystkie spółki. Istnieje dodatkowo potrzeba doprecyzowania pojęcia „głównych czynności przetwarzania”, pojawiającego się przy ustalaniu organu wiodącego dla podmiotów przetwarzających. Istotną uwagą, która pojawiła się w toku konsultacji jest kwestia, jakie prawo i procedura będzie stosowana przy ocenianiu przetwarzania przez organ wiodący. Do tej konieczności regulacji należy dodać jeszcze sprecyzowanie, w jakim języku ma się to odbywać.

Wszelkie uwagi zgłoszone do wytycznych zostały przesłane do Grupy Roboczej. Nie jest wykluczone, iż wytyczne zostaną poddane dalszym modyfikacjom w przyszłości w celu sprecyzowania przepisów i ich wykładni.

Źródła: