Poznaj wytyczne Grupy Roboczej w sprawie ustalania wiodącego organu nadzorczego

Zgodnie z art. 4 ust. 23 ogólnego rozporządzenia o ochronie danych (dalej: rodo) z „transgranicznym przetwarzaniem danych" do transgranicznego przetwarzania danych dochodzi, gdy:

1) przetwarzanie odbywa się przez operującego w państwie członkowskim UE administratora lub podmiot przetwarzający o charakterze rozproszonym, tzn. takiego, który ma jednostki organizacyjne w więcej, niż jednym państwie członkowskim UE lub

2) przetwarzanie danych przez administratora lub podmiot przetwarzający w ramach pojedynczej jednostki organizacyjnej przynajmniej potencjalnie może znacznie wpłynąć (lub w istocie wpływa) na osoby, których przetwarzane dane dotyczą.

W drugiej sytuacji nie ma formalnego powiązania przetwarzania danych osobowych z danym terytorium, ale przetwarzanie to wywiera realny wpływ na wykonywanie przez podmioty danych ich prawa podstawowego, jakim jest prawo do prywatności, a w szczególności prawo do ochrony ich danych osobowych.

Rozporządzenie ogólne nie definiuje pojęcia „znacznego wpływu". W związku z tym w wytycznych Grupy Roboczej pojawia się wykładnia językowa tego pojęcia na gruncie języka angielskiego. Na szczęście dla czytelnika polskiego użyte konstrukcje pojęciowe są czytelne i utwierdzają w przekonaniu, że wystarczy, że zaistnieje znaczne (znaczące) prawdopodobieństwo wpływu na osoby, których dane dotyczą, by doszło do transgranicznego przetwarzania danych osobowych.

Wytyczne zawierają również wiele wskazówek, co brać pod uwagę, interpretując pojęcie „znaczny wpływ" w poszczególnych przypadkach – Grupa Robocza wskazuje takie czynniki:

a) kontekst przetwarzania;

b) rodzaj przetwarzanych danych;

c) cel przetwarzania;

d) potencjał wyrządzenia szkody (ang. damage), straty (ang. loss) lub krzywdy (ang. distress) osobom, których dane podlegają przetwarzaniu;

e) potencjał ograniczenia praw lub pozbawienia podmiotów danych możliwości;

f) potencjał wpływu na zdrowie, dobrobyt lub spokój ducha tych osób;

g) potencjał wpływu na stan finansowy lub ekonomiczny lub takie okoliczności;

h) przetwarzanie sprawia, że podmioty danych są zagrożone dyskryminacją lub niesprawiedliwym traktowaniem;

i) przetwarzanie obejmuje analizę szczególnych kategorii danych osobowych lub innych danych o charakterze wrażliwym (ang. other intrusive data, a zatem chodzi o wszystkie przypadki, w których przetwarzanie danych osobowych narusza prawo do prywatności) – w szczególności danych osobowych dzieci;

j) potencjał wywołania znaczącej zmiany zachowania podmiotów danych;

k) przetwarzanie ma nieprawdopodobne, nieprzewidziane lub niechciane konsekwencje dla osób fizycznych (ang. individuals);

l) przetwarzanie powoduje zażenowanie lub inne negatywne skutki, w tym dla reputacji;

m) obejmuje przetwarzanie szerokiego zakresu danych osobowych.

Wytyczne definiują „wiodący organ nadzorczy" jako organ odpowiedzialny za czynności transgranicznego przetwarzania danych w przypadku konieczności podjęcia czynności w związku z tym przetwarzaniem, w szczególności w przypadku wpływu doń odpowiedniej skargi. Do jego zadań należy również koordynowanie postępowań, w które zaangażowane są inne organy nadzorcze, których dana sprawa dotyczy.

Ustalenie „wiodącego organu nadzorczego" zostało powiązane z tym, czy w określonym państwie członkowskim UE istnieje ośrodek decyzyjny w ramach struktury administratora danych lub podmiotu przetwarzającego (w przypadku tego ostatniego w braku ośrodka decyzyjnego także z głównymi czynnościami przetwarzania danych), przy czym dla oceny właściwości ponownie znaczenie ma kryterium funcjonalne.

Ustalenie lokalizacji „głównej jednostki organizacyjnej" lub „pojedyńczej jednostki organiacyjnej" administratora czy podmiotu przetwarzającego w UE wyznacza właściwość wiodącego organu nadzorczego.

Zgodnie z wytycznymi, gdy administrator lub podmiot przetwarzający nie mają centralnej administracji w UE, organ nadzoru ustali ośrodek decyzyjny, odpowiadając na następujące pytania:

a) Gdzie są zatwierdzane cele i sposoby przetwarzania danych osobowych?

b) Gdzie są podejmowane decyzje, które dotyczą działań biznesowych obejmujących przetwarzanie danych?

c) Kto ma uprawnienia do efektywnego wdrażania decyzji?

d) Gdzie są zlokalizowani dyrektor lub dyrektorzy, którzy odpowiadają za procesy obejmujące przetwarzanie transgraniczne?

e) Gdzie jest zarejestrowane przedsiębiorstwo administratora lub podmiotu przetwarzającego?

Pytania te mają charakter jedynie przykładowy, a w konkretnym przypadku mogą mieć znaczenie również inne czynniki.

Wytyczne wskazują sposoby postępowania w bardziej skomplikowanych przypadkach, w których ustalenie „głównej jednostki organizacyjnej" albo wskazanie „miejsca podejmowania decyzji co do przetwarznia danych" jest szcególnie trudne.

Z jednej strony administrator czy podmiot przetwarzający mogą sami wyznaczyć spośród swoich jednostek główną jednostkę organizacyjną, a tym samym organ wiodący. Grupa Robocza Art. 29 podkreśliła jednak, że tak wskazana główna jednostka musi mieć „prawo do wdrażania decyzji co do czynności przetwarzania oraz do wzięcia odpowiedzialności za przetwarzanie, w tym posiadać wystarczające środki”. Samo wskazanie przez przedsiębiorcę głównej jednostki organizacyjnej, nie jest wiążące dla organu nadzorczego. Może on bowiem sam zbadać kwestię właściwości lub zwrócić się o jej wyznaczenie do Europejskiej Rady Ochrony Danych.

Wytyczne przewidują również, w przypadkach, w których przetwarzanie danych osobowych ma charakter lokalny bądź wykonywane jest przez przedsiębiorstwa niemające jednostki organizacyjnej w UE, przejście do mechanizmu nadzoru lokalnego.