Transgraniczne przetwarzanie danych

Pozbawiony barier Internet, postępująca globalizacja, szybki rozwój nowoczesnych technologii - to te zjawiska powodują, że dane osobowe bardzo często przetwarzane są w kontekście transgranicznym, przez co aktywność coraz większej liczby przedsiębiorców wykracza poza granice jednego państwa.

Punkt kompleksowej współpracy

Jednym z założeń unijnej reformy ochrony danych osobowych było wprowadzenie ułatwień dla tych podmiotów - przede wszystkim jednolitych przepisów oraz mechanizmu określanego mianem „punktu kompleksowej współpracy”. Istotą tego mechanizmu jest ustanowienie jednego, konkretnego organu ochrony danych, który w pierwszym rzędzie odpowiada za nadzór nad przetwarzaniem danych przez danego administratora danych; organu, który będzie także koordynował wszystkie postępowania, w które są zaangażowane organy nadzorcze innych krajów (tzw. organy, których sprawa dotyczy), zwłaszcza wówczas, gdy jeden z organów rozpatruje skargę na administratora z innego kraju członkowskiego.

Wskazanie wiodącego organu nadzorczego będzie konieczne, jeżeli przetwarzanie odbywa się w ramach działalności jednostek organizacyjnych danego przedsiębiorstwa w więcej niż jednym kraju (np. w przypadku operacji dokonywanych w międzynarodowych oddziałach danej spółki), bądź też dany rodzaj przetwarzaniaznacznie wpływa na obywateli w więcej niż jednym kraju członkowskim (np. gdy administrator z innego państwa nie ma w Polsce oddziału lub spółki zależnej,ale oferuje tu swoje usługi).

Króry organ administratora będzie organem wiodącym?

Organem wiodącym będzie organ nadzorczy głównej jednostki organizacyjnej danego administratora. W celu stwierdzenia, gdzie znajduje się główna jednostka organizacyjna, najpierw konieczne jest ustalenie, gdzie znajduje się centralna administracja administratora danych w UE, o ile taka istnieje.

Według podejścia przyjętego w unijnym rozporządzeniu o ochronie danych osobowych (RODO), centralna administracja w UE to miejsce, w którym zapadają decyzje co do celów i sposobów przetwarzania danych osobowych.

Warto więc dokładnie określić, gdzie podejmowane są decyzje co do celówi sposobów przetwarzania. Właściwa identyfikacja głównej jednostki organizacyjnej leży w interesie administratorów i podmiotów przetwarzających, ponieważ zapewnia jasność co do tego, z którym organem nadzorczym będą musieli mieć do czynienia, jeśli chodzi o różne obowiązki wynikające z ogólnego rozporządzenia, takie jak informowanie o danych kontaktowych inspektora ochrony danych, konsultacje z organem w ramach oceny skutków dla ochrony danych lub zgłoszenie naruszenia danych.

Administrator danych sam określa, gdzie znajduje się jego główna jednostka organizacyjna i w związku z tym, który organ nadzorczy jest jego organem wiodącym. Co jednak kiedy nie ma centralnej administracji w Unii? Wówczas w ustalaniu lokalizacji głównej jednostki organizacyjnej administratora pomocne będą poniższe czynniki:

• gdzie są ostatecznie zatwierdzane decyzje co do celów i sposobów przetwarzania;
• gdzie są podejmowane decyzje dotyczące działań biznesowych obejmujących przetwarzanie danych;
• kto ma uprawnienie do podejmowania decyzji w tym zakresie;
• gdzie znajduje się dyrektor, do którego należy całkowita odpowiedzialność zarządczaza przetwarzanie transgraniczne;
• gdzie jest zarejestrowany administrator lub podmiot przetwarzający jakoprzedsiębiorstwo

Więcej przydatnych informacji na ten temat można znaleźć w Wytycznych WP 244 Grupy Roboczej Art. 29.

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

Podstawa prawna:

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl