W celu ustanowienia spójnego i zorganizowanego sposobu sprawowania nadzoru nad transgranicznym przetwarzaniem danych, zgodnie z postanowieniami Rozporządzenia ogólnego o ochronie danych (dalej “RODO”) jeden organ nadzorczy zostaje uznany za “wiodący organ nadzorczy”. Grupa Robocza art. 29 w swoich wytycznych z dnia 13 grudnia 2016 r. (WP 244, 16/EN, dostępne w języku angielskim tutaj, natomiast nieoficjalne tłumaczenie na język polski opublikowane na stronie GIODO dostępne jest tutaj) wyjaśnia kryteria, które powinny zostać wzięte pod uwagę przy ustalaniu wiodącego organu nadzorczego dla administratora lub podmiotu przetwarzającego.

 ****

Czym jest transgraniczne przetwarzanie danych osobowych?

Zagadnienie ustalenia wiodącego organu nadzorczego jest istotne tylko wówczas, gdy administrator lub podmiot przetwarzający prowadzą transgraniczne przetwarzanie danych osobowych, w przeciwieństwie do jedynie lokalnego przetwarzania danych.

Zgodnie z treścią art. 4 pkt 23 RODO “przetwarzanie transgraniczne” oznacza:

  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim” (np. spółka posiada jednostki organizacyjne we Francji i w Rumunii i przetwarzanie odbywa się w ramach działalności obu jednostek organizacyjnych); albo
  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim” (np. spółka jedynie prowadzi czynności przetwarzania w ramach działalności jednostki organizacyjnej we Francji, jednak przetwarzanie znacznie wpływa – lub może znacznie wpłynąć – na osoby, których dane dotyczą we Francji i Rumunii).

W celu stwierdzenia czy przetwarzanie może “znacznie wpłynąć” na osoby, których dane dotyczą w więcej niż jednym państwie członkowskim UE, podmioty dokonujące operacji przetwarzania danych powinny wziąć pod uwagę kontekst przetwarzania, rodzaj danych, cel przetwarzania oraz czynniki takie jak ustalenie czy przetwarzanie:

  • powoduje lub może spowodować szkodę, krzywdę lub zaniepokojenie;
  • ma lub może mieć rzeczywisty wpływ w zakresie ograniczenia praw lub pozbawienia możliwości;
  • wpływa lub może wpłynąć na zdrowie, dobrobyt lub spokój ducha;
  • wpływa lub może wpłynąć na status lub sytuację finansową lub ekonomiczną;
  • naraża na dyskryminację lub niesprawiedliwe traktowanie;
  • obejmuje analizę szczególnych kategorii danych osobowych lub innych danych wrażliwych, szczególnie danych osobowych dzieci;
  • powoduje lub może spowodować znaczącą zmianę zachowania;
  • ma nieprawdopodobne, nieprzewidywalne lub niechciane konsekwencje;
  • powoduje zażenowanie lub inne negatywne skutki, w tym narażenie reputacji; lub
  • obejmuje przetwarzanie szerokiego zakresu danych osobowych.

Fakt, że operacja przetwarzania danych może obejmować przetwarzanie nawet znacznej ilości danych osobowych osób, w licznych państwach członkowskich, niekoniecznie oznacza, że przetwarzanie ma lub może mieć znaczny wpływ. Przetwarzanie mające mały wpływ lub niemające żadnego wpływu nie stanowi przetwarzania transgranicznego na potrzeby drugiej części definicji “przetwarzania transgranicznego” (art. 4 pkt 23 lit. a) RODO), niezależnie od tego, na ile osób wpływa.

W jaki sposób ustalić, który organ nadzorczy powinien być wiodącym organem nadzorczym?

Zgodnie ze wskazówkami Grupy Roboczej art. 29 “wiodący organ nadzorczy” to organ, który jest w pierwszej kolejności odpowiedzialny za czynności transgranicznego przetwarzania danych, na przykład gdy osoba, której dane dotyczą, składa skargę na przetwarzanie jej danych osobowych. Ma on także koordynować postępowania, w które zaangażowane są inne organy nadzorcze, których sprawa dotyczy.

Ustalenie wiodącego organu nadzorczego zależy od ustalenia lokalizacji “głównej jednostki organizacyjnej” lub “pojedynczej jednostki administracyjnej” administratora w Unii Europejskiej.

Grupa Robocza wyjaśnia, iż podmioty powinny ustalać, który z podmiotów jest “główną jednostką organizacyjną”, a co za tym idzie, który z organów nadzorczych jest organem wiodącym zgodnie z poniższym:

  • Jeśli podmiot ma jedną jednostkę organizacyjną w UE, ta jednostka jest jego główną jednostką organizacyjną (przy założeniu, że podmiot jest zaangażowany w transgraniczne przetwarzanie danych osobowych);
  • Jeśli organizacja posiada jednostki organizacyjne w więcej niż jednym państwie członkowskim, główną jednostką organizacyjną jest miejsce, w którym znajduje się jego centralna administracja w UE; lub
  • Jeśli organizacja posiada jednostki organizacyjne w więcej niż jednym państwie członkowskim, główną jednostką organizacyjną jest miejsce, w którym znajduje się jego centralna administracja w UE, chyba że decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej administratora w Unii Europejskiej, w którym to przypadku za główną jednostkę organizacyjną należy uznać tą drugą jednostkę organizacyjną.

W celu ustalenia, gdzie znajduje się główna jednostka organizacyjna, najpierw konieczne jest ustalenie, gdzie znajduje się centralna administracja administratora danych w UE (o ile taka istnieje), która oznacza miejsce, gdzie zapadają decyzje co do celów i sposobów przetwarzania danych osobowych.

Zgodnie z wyjaśnieniami Grupy Roboczej w przypadkach, w których w centralnej administracji w UE podejmowane są decyzje dotyczące różnych czynności przetwarzania transgranicznego, właściwym będzie jeden wiodący organ nadzorczy dla różnych czynności przetwarzania danych prowadzonych przez przedsiębiorstwo międzynarodowe. Jak zauważa jednak Grupa Robocza mogą mieć miejsce przypadki, w których jednostka inna niż miejsce, w którym znajduje się centralna administracja podejmuje niezależne decyzje dotyczące celów i sposobów dotyczących danej czynności przetwarzania, co będzie prowadziło do konkluzji, że  właściwym będzie można więcej niż jeden organ wiodący. Będziemy wtedy mieli do czynienia z wiodącymi organami nadzorczymi dla różnych czynności przetwarzania.

Grupa Robocza art. 29 wskazuje na poniższe czynniki jako pomocne przy ustaleniu lokalizacji głównej jednostki organizacyjnej administratora, w przypadkach gdy nie jest to lokalizacja jego centralnej administracji w UE:

  • miejsce, w którym ostatecznie zatwierdzane są decyzje co do celów i sposobów przetwarzania;
  • miejsce, w którym podejmowane są decyzje dotyczące działań biznesowych obejmujących przetwarzanie danych;
  • ustalenie osoby, która ma uprawnienie do skutecznego wdrażania decyzji;
  • miejsce, w którym znajduje się Dyrektor (lub Dyrektorzy), do którego należy ostateczna odpowiedzialność zarządcza za przetwarzanie transgraniczne;
  • miejsce, w którym jest zarejestrowany administrator lub podmiot przetwarzający jako przedsiębiorstwo (jeżeli na jednym terytorium).

Należy zauważyć, że nie jest to lista wyczerpująca i także inne czynniki mogą być istotne, w zależności od konkretnego przypadku.

Hard cases – kiedy nie jest możliwe jednoznaczne wyznaczenie wiodącego organu nadzorczego?

Grupa Robocza zauważa, iż to administrator danych sam określa, gdzie znajduje się jego główna jednostka organizacyjna i w związku z tym, który organ nadzorczy jest jego organem wiodącym. Jednak później może to zostać zakwestionowane przez organ nadzorczy, którego sprawa dotyczy, a także w przypadku gdy organ nadzorczy ma powody by wątpić, czy jednostka organizacyjna ustalona przez administratora jest rzeczywiście główną jednostką organizacyjną, może on zażądać, aby administrator udzielił mu dodatkowych informacji.

Zgodnie z opinią Grupy Roboczej nieuniknione są sytuacje, kiedy jednoznaczne ustalenie, gdzie znajduje się główna jednostka organizacyjna czy miejsce, w którym podejmowane są decyzje dotyczące przetwarzania danych nie będzie łatwe.

Może to mieć miejsce, gdy prowadzone są czynności przetwarzania transgranicznego i administrator posiada jednostki organizacyjne w kilku państwach członkowskich, ale nie ma centralnej administracji w UE, a żadna z jednostek organizacyjnych w UE nie podejmuje decyzji co do przetwarzania (tj. decyzje są podejmowane poza UE). W takiej sytuacji Grupa Robocza rekomenduje wyznaczenie przez przedsiębiorstwo jednostki organizacyjnej, która będzie działać jako jego główna jednostka organizacyjna. Jak wskazuje Grupa Robocza, ta wyznaczona jednostka organizacyjna musi posiadać prawo do “wdrażania decyzji” co do czynności przetwarzania oraz do wzięcia odpowiedzialności za przetwarzanie, w tym posiadać “wystarczające środki”. Jak podkreślono w wytycznych, brak wyznaczenia jednostki organizacyjnej w ten sposób, spowoduje, iż nie będzie możliwe wyznaczenie organu wiodącego.

Rozporządzenie nie zezwala na tzw. “forum shopping”.  Zgodnie z opinią Grupy Roboczej, jeżeli w opinii przedsiębiorstwa jego główna jednostka organizacyjna mieści się w jednym z państw członkowskich, ale nie ma tam miejsca skuteczna i rzeczywista realizacja czynności zarządzania ani podejmowanie decyzji co do przetwarzania danych osobowych, właściwy organ nadzorczy (lub ostatecznie Europejska Rada Ochrony Danych) zadecyduje o tym, który organ nadzorczy jest organem wiodącym, stosując obiektywne kryteria i analizując dowody. Jak wskazuje Grupa Robocza ustalanie, gdzie znajduje się główna jednostka organizacyjna, może wymagać dochodzenia i współpracy ze strony organów ochrony danych. Obowiązek udowodnienia spoczywa na administratorach i podmiotach przetwarzających, w związku z czym rekomendowane jest, aby byli oni w stanie wykazać, gdzie rzeczywiście są podejmowane i wdrażane decyzje co do przetwarzania danych, w czym może okazać się pomocne rejestrowanie czynności przetwarzania.

Pozostałe kwestie związane z ustaleniem wiodącego organu nadzorczego

Organ nadzorczy, którego sprawa dotyczy

Zgodnie z treścią art. 4 pkt 22 RODO organem nadzorczym, którego sprawa dotyczy jest organ, którego dotyczy przetwarzanie danych osobowych, ponieważ:

  • administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;
  • przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
  • wniesiono do niego skargę”.

Pojęcie organu nadzorczego, którego sprawa dotyczy, ma zapewnić, aby model “organu wiodącego” nie pozbawił organów nadzorczych możliwości wypowiadania się w kwestii tego, jak rozpatrywana jest sprawa, gdy na przykład czynność przetwarzania danych ma znaczny wpływ na osoby mające miejsce zamieszkania poza jurysdykcją organu wiodącego.

Przedsiębiorstwa niemające jednostki organizacyjnej w UE

Jak wskazuje Grupa Robocza art. 29 mechanizm współpracy i spójności przewidziany w Rozporządzeniu dotyczy jedynie administratorów posiadających jednostkę organizacyjną lub jednostki organizacyjne w UE. Oznacza to w praktyce, że administratorzy niemający jednostki organizacyjnej w UE muszą mieć do czynienia z lokalnymi organami nadzorczymi w każdym państwie członkowskim, w którym działają, za pośrednictwem swoich lokalnych przedstawicieli.

Administrator a podmiot przetwarzający

Co więcej jak zauważa Grupa Robocza, zasady ustalania wiodącego organu nadzorczego są podobne dla administratorów danych oraz podmiotów przetwarzających. Jednak zgodnie z motywem 36 preambuły RODO, jeżeli sprawa dotyczy zarówno administratora, jak i podmiotu przetwarzającego, właściwym wiodącym organem nadzorczym powinien pozostać organ nadzorczy właściwy dla administratora, a organ nadzorczy podmiotu przetwarzającego powinien być uznawany za organ nadzorczy, którego sprawa dotyczy i powinien uczestniczyć w procedurze współpracy.

Jak celnie zauważa Grupa Robocza, właściwa identyfikacja głównej jednostki organizacyjnej leży w interesie administratorów i podmiotów przetwarzających, ponieważ zapewnia jasność co do tego, z którym organem nadzorczym te podmioty będą musiały mieć do czynienia, jeżeli chodzi o realizację obowiązków, wynikających z przepisów RODO. Choć wytyczne Grupy Roboczej nie rozwieją wszelkich wątpliwości, są one niezwykle cennym drogowskazem dla administratorów danych i podmiotów przetwarzających.

****

Wytyczne w języku angielskim dostępne są tutaj. Nieoficjalne tłumaczenie udostępnione przez GIODO dostępne jest tutaj.

Najczęściej zadawane pytania w języku angielskim dostępne są tutaj.

Zachęcamy także do zapoznania się z artykułami na temat wytycznych Grupy Roboczej art. 29 dotyczących inspektorów ochrony danych tutaj oraz prawa do przenoszenia danych tutaj.