Spółka z USA bez jednostek organizacyjnych w UE – któremu organowi nadzorczemu zgłasza naruszenia
Spółka amerykańska, która nie ma jednostek organizacyjnych w Unii Europejskiej, a przetwarza dane obywateli UE, nie będzie mogła skorzystać z instytucji wiodącego organu nadzorczego. W związku z tym będzie musiała zgłaszać naruszenia ochrony danych osobowych właściwym krajowym organom nadzorczym, po przeanalizowaniu, na jakim terytorium doszło do naruszenia, lub obywateli którego państwa dane zostały naruszone.
Zasadą jest, że organ nadzorczy jest właściwy w sprawach przetwarzania danych osobowych na terytorium swojego państwa członkowskiego. Wyjątkiem jest sytuacja, w której administratorzy danych prowadzą transgraniczne przetwarzanie danych w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Wówczas właściwym organem, który będzie kontrolował zgodność przetwarzania danych z rozporządzeniem, będzie tzw. wiodący organ nadzorczy. Zadaniem wiodącego organu nadzorczego jest współpraca z innymi organami nadzorczymi, których sprawa dotyczy, oraz koordynowanie postępowań, w które zaangażowane są inne organy nadzorcze.
Ustalenie wiodącego organu nadzorczego jest możliwe tylko wówczas, gdy administrator prowadzi transgraniczne przetwarzanie danych osobowych w rozumieniu ogólnego rozporządzenia o ochronie danych. Przepis art. 4 ust. 23 RODO wskazuje, że jest nim przetwarzanie danych osobowych, które odbywa się w Unii Europejskiej w ramach działalności:
- jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w UE posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo
- pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
W przypadku spółki amerykańskiej, która nie posiada na terenie Unii Europejskiej żadnej jednostki organizacyjnej, a przetwarza dane osobowe osób przebywających w Unii i ma ustanowionych przedstawicieli administratorów danych, nie dochodzi do transgranicznego przetwarzania danych osobowych w rozumieniu art. 4 ust. 23 RODO. Z tego też względu spółka amerykańska nie będzie mogła skorzystać z instytucji wiodącego organu nadzorczego.
Jak wynika z wytycznych Grupy Roboczej Art. 29 z 13 grudnia 2016 r. (WP 244) administratorzy, którzy nie mają jednostki organizacyjnej w UE, muszą mieć do czynienia z lokalnymi organami nadzorczymi w każdym państwie członkowskim, w którym działają, za pośrednictwem swoich lokalnych przedstawicieli.
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Czy spółdzielnia mieszkaniowa udostępnia dane osobowe do założenia księgi wieczystej dla lokalu
- Skargę na naruszenie RODO rozpatruje wyłącznie Prezes UODO
- Dostęp do służbowego e-maila po zwolnieniu pracownika z pracy
- Dowóz dzieci do szkoły – czy konieczna umowa podpowierzenia przetwarzania
- Udostępnienie danych osobowych odbiorców na żądanie spółki energetycznej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
