Dane osobowe a transgraniczność - RODO 2018

Pozbawiony barier Internet, postępująca globalizacja, szybki rozwój nowoczesnych technologii - to te zjawiska powodują, że dane osobowe bardzo często przetwarzane są w kontekście transgranicznym, przez co aktywność coraz większej liczby przedsiębiorców wykracza poza granice jednego państwa. Jednym z założeń unijnej reformy ochrony danych osobowych było wprowadzenie ułatwień dla tych podmiotów - przede wszystkim jednolitych przepisów oraz mechanizmu określanego mianem „punktu kompleksowej współpracy”.

Istotą tego mechanizmu jest ustanowienie jednego, konkretnego organu ochrony danych, który w pierwszym rzędzie odpowiada za nadzór nad przetwarzaniem danych przez danego administratora danych. Organu, który będzie także koordynował wszystkie postępowania, w które są zaangażowane organy nadzorcze innych krajów (tzw. organy, których sprawa dotyczy), zwłaszcza wówczas, kiedy jeden z organów rozpatruje skargę na administratora z innego kraju członkowskiego.

Wskazanie wiodącego organu nadzorczego będzie konieczne, jeśli przetwarzanie odbywa się w ramach działalności jednostek organizacyjnych danego przedsiębiorstwa w więcej niż jednym kraju (np. w przypadku operacji dokonywanych w międzynarodowych oddziałach danej spółki) lub też dany rodzaj przetwarzania znacznie wpływa na obywateli w więcej niż jednym kraju członkowskim (np. kiedy administrator z innego państwa nie ma w Polsce oddziału lub spółki zależnej, ale oferuje tu swoje usługi).

Zobacz: Rozwój i promocja

Organem wiodącym będzie organ nadzorczy głównej jednostki organizacyjnej danego administratora. W celu stwierdzenia, gdzie znajduje się główna jednostka organizacyjna, najpierw konieczne jest ustalenie, gdzie znajduje się centralna administracja administratora danych w UE, o ile taka istnieje. Według podejścia przyjętego w rozporządzeniu, centralna administracja w UE to miejsce, w którym zapadają decyzje co do celów i sposobów przetwarzania danych osobowych.

Pamiętaj więc, aby dokładnie określić, gdzie podejmowane są decyzje co do celów i sposobów przetwarzania. Właściwa identyfikacja głównej jednostki organizacyjnej leży w interesie administratorów i podmiotów przetwarzających, ponieważ zapewnia jasność co do tego, z którym organem nadzorczym będą musieli mieć do czynienia, jeżeli chodzi o różne obowiązki wynikające z ogólnego rozporządzenia, takie jak informowanie o danych kontaktowych inspektora ochrony danych, konsultacje z organem w ramach oceny skutków dla ochrony danych lub zgłoszenie naruszenia danych.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Administrator danych sam określa, gdzie znajduje się jego główna jednostka organizacyjna i w związku z tym, który organ nadzorczy jest jego organem wiodącym. Co jednak kiedy nie ma centralnej administracji w Unii? Wtedy w ustalaniu lokalizacji głównej jednostki organizacyjnej administratora pomocne będą poniższe czynniki:

- gdzie są ostatecznie zatwierdzane decyzje co do celów i sposobów przetwarzania?

- gdzie są podejmowane decyzje dotyczące działań biznesowych obejmujących przetwarzanie danych?

- kto ma uprawnienie do podejmowania decyzji w tym zakresie?

- gdzie znajduje się dyrektor, do którego należy całkowita odpowiedzialność zarządcza za przetwarzanie transgraniczne?

- gdzie jest zarejestrowany administrator lub podmiot przetwarzający jako przedsiębiorstwo?