Spółka z USA bez jednostek organizacyjnych w UE – któremu organowi nadzorczemu zgłasza naruszenia

Zasadą jest, że organ nadzorczy jest właściwy w sprawach przetwarzania danych osobowych na terytorium swojego państwa członkowskiego. Wyjątkiem jest sytuacja, w której administratorzy danych prowadzą transgraniczne przetwarzanie danych w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Wówczas właściwym organem, który będzie kontrolował zgodność  przetwarzania danych z rozporządzeniem, będzie tzw. wiodący organ nadzorczy. Zadaniem wiodącego organu nadzorczego jest współpraca z innymi organami nadzorczymi, których sprawa dotyczy, oraz koordynowanie postępowań, w które zaangażowane są inne organy nadzorcze.

Ustalenie wiodącego organu nadzorczego jest możliwe tylko wówczas, gdy administrator prowadzi transgraniczne przetwarzanie danych osobowych w rozumieniu ogólnego rozporządzenia o ochronie danych. Przepis art. 4 ust. 23 RODO wskazuje, że jest nim przetwarzanie danych osobowych, które odbywa się w Unii Europejskiej w ramach działalności:

• jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w UE posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo
• pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

W przypadku spółki amerykańskiej, która nie posiada na terenie Unii Europejskiej żadnej jednostki organizacyjnej, a przetwarza dane osobowe osób przebywających w Unii i ma ustanowionych przedstawicieli administratorów danych, nie dochodzi do transgranicznego przetwarzania danych osobowych w rozumieniu art. 4 ust. 23 RODO. Z tego też względu spółka amerykańska nie będzie mogła skorzystać z instytucji wiodącego organu nadzorczego.

Jak wynika z wytycznych Grupy Roboczej Art. 29 z 13 grudnia 2016 r. (WP 244) administratorzy, którzy nie mają jednostki organizacyjnej w UE, muszą mieć do czynienia z lokalnymi organami nadzorczymi w każdym państwie członkowskim, w którym działają, za pośrednictwem swoich lokalnych przedstawicieli.