Przedstawiciel administratora danych osobowych

Ostatnio wspominałam o tym, że RODO może mieć zastosowanie do polskich (i nie tylko polskich) twórców internetowych, którzy kierują swoje towary i usługi osobom mieszkającym na terenie Unii Europejskiej bez względu na to czy towary lub usługi mają one charakter odpłatny czy nieodpłatny, a także w sytuacji, gdy twórca spoza UE (a dokładniej spoza Europejskiego Obszaru Gospodarczego) dokonuje czynności przetwarzania danych osobowych osób, których dane osobowe przetwarza (np. swoich klientów, subskrybentów, obserwatorów, użytkowników) polegających na monitorowaniu ich zachowania. Jeżeli nie jesteś pewien czy ten temat Ciebie dotyczy wskakuj do wpisu – Terytorialny zasięg stosowania RODO.

            Dziś spróbuję przybliżyć Wam zagadnienie przedstawiciela administratora danych osobowych.

Jeżeli administrator niemający jednostki organizacyjnej w Unii Europejskich podlega przepisom RODO, czyli zobowiązany jest do stosowania i przestrzegania przepisów RODO, to co do zasady ma on obowiązek wyznaczenia swojego przedstawiciela w Unii Europejskiej (art. 27 ust. 1 RODO).

Wyjątki!

Zgodnie z art. 27 ust. 2 RODO, administrator, o którym mowa powyżej nie musi wyznaczać swojego przedstawiciela, w dwóch przypadkach:

  • po pierwsze, gdy przetwarzanie danych osobowych:
    •  ma charakter sporadyczny,
    • nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO,
    • jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych.

Wskazane powyżej przesłanki muszą wystąpić łącznie.

  • po drugie, w sytuacji, gdy administrator jest organem lub podmiotem publicznym.

Nas interesuje ten pierwszy wyjątek. Jeżeli jesteś podmiotem z sektora prywatnego to musisz przeanalizować czy w Twoim przypadku ma zastosowanie wyłączenie albo inaczej czy nie musisz wyznaczać swojego przedstawiciela.

Po pierwsze, należy zastanowić się czy dokonywane przez Ciebie przetwarzanie danych osobowych ma charakter sporadyczny. Wykorzystane przez ustawodawcę sformułowanie „sporadyczny charakter” nie posiada swojej legalnej definicji, więc może budzić wątpliwości w praktyce. Zgodnie ze słownikiem języka polskiego sporadyczny to inaczej incydentalny, nieczęsty, odosobniony, pojedynczy, epizodyczny, rzadki czy wyjątkowy. Przeciwieństwem słowa sporadyczny są słowa takie jak: ciągły, cykliczny, częsty, notoryczny, powtarzający się, stały, systematyczny, często spotykany, regularny.

Każdy administrator powinien przeanalizować termin „sporadyczny charakter” pod kątem swojego stanu faktycznego, czyli przetwarzania danych osobowych, którego on dokonuje.

Po drugie, musisz przeanalizować jakie dane osobowe przetwarzasz i na jaką skalę dokonujesz ich przetwarzania. Czy dane osobowe, które przetwarzasz mieszczą się, w szczególnej kategorii danych osobowych (art. 9 ust. 1 RODO), a może dokonujesz przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 10 ust. 1 RODO).

Do szczególnej kategorii danych osobowych (tzw. dane wrażliwe) zaliczono: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.

Podobnie jak w przypadku sporadycznego charakteru, przepisy RODO nie definiują pojęcia „dużej skali”. Niemniej jednak dokonując oceny czy do przetwarzania dochodzi na dużą skalę należy wziąć pod uwagę cztery czynniki:

  • liczbę osób, których dane osobowe dotyczą
  • zakres przetwarzanych danych osobowych
  • okres przez jaki dane osobowe są przetwarzane
  • zakres geograficznego przetwarzania danych osobowych.

Pewną podpowiedzią w zakresie rozumienia pojęcia terminu dużej skali jest brzmienie motywu 90 RODO, który odnosi się co prawda do konieczności dokonywania oceny skutków dla ochrony danych, niemniej jednak wskazuje, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Jako przykłady przetwarzania na dużą skalę Grupa Robocza Art. 29 Ds. Ochrony Danych podaje przetwarzanie danych osobowych:

  • pacjentów przez szpital w ramach prowadzonej działalności,
  • śledzenie za pośrednictwem „kart miejskich” podróży osób korzystających ze środków komunikacji miejskiej,
  • geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fas food do celów statystycznych,
  • klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
  • do celów reklamy behawioralnej przez wyszukiwarki,
  • dotyczących ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych.

Po trzecie, jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Pamiętaj, że chodzi o ryzyko rozumiane jako wszelkiego rodzaju zagrożenie interesu osoby, której dane osobowe przetwarzasz, a nie ryzyko rozumiane jako zagrożenie Twojego interesu jako administratora.

Pamiętaj, że wskazane powyżej przesłanki muszą wystąpić łącznie, czyli jedynie w sytuacji, gdy przetwarzasz dane osobowe w sposób sporadyczny, nie przetwarzasz na dużą skalę szczególnej kategorii danych osobowych albo dotyczących wyroków skazujących i czynów zabronionych i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało to (Twoje przetwarzanie) ryzyko naruszenia praw lub wolności osób fizycznych, to nie musisz wyznaczać swojego przedstawiciela.

Wyznaczenie przedstawiciela musi być udokumentowane i należy dokonać tego na piśmie. Stanowi o tym wprost art. 27 ust. 1 RODO. Musisz wyznaczyć swojego przedstawiciela w sposób wyraźny za pomocą pisemnego upoważnienia do podejmowania działań w Twoim imieniu w odniesieniu do Twoich obowiązków jako administratora wynikających z RODO.

Motyw 80 RODO (fragment)

Administrator lub podmiot przetwarzający powinien wyznaczyć przedstawiciela w wyraźny sposób za pomocą pisemnego upoważnienia do podejmowania działań w jego imieniu w odniesieniu do obowiązków administratora lub podmiotu przetwarzającego wynikających z niniejszego rozporządzenia.

Twoim przedstawicielem może być osoba fizyczna lub osoba prawna. Ważne by osoba ta miała miejsce zamieszkania lub siedzibę w państwie Unii Europejskiej, w którym przebywają osoby, których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane (art. 27 ust. 3 RODO w zw. art. 4 pkt 17 RODO).

Choć można spotkać stanowisko, że można ustanowić przedstawiciela w każdym państwie UE, to w mojej ocenie ideą wyznaczenia przedstawiciela administratora jest możliwość realizacji uprawnień osób, których dane osobowe przetwarzasz (na temat ich uprawnień zob. art. 15-22 RODO). Jeżeli wyznaczyć swojego przedstawiciela w Niemczech, a oferujesz swoje towary lub usługi albo też monitorujesz zachowania osób przebywających w Polsce, to realizacja roszczeń wynikających z RODO przez Polaka nie władającego językiem niemieckim może być utrudniona.

Uwaga! Nie ma obowiązku zgłaszania swojego przedstawiciela do organu nadzorczego, ale musisz poinformować osoby, której dane osobowe przetwarzasz, że wyznaczyłeś swojego przedstawiciela podając jego tożsamość i dane kontaktowe swojego przedstawiciela (art. 13 ust. 1 lit. a i art. 14 ust. 1 lit. a RODO). W ten sposób spełniasz jeden z kilku elementów obowiązku informacyjnego.

Na temat obowiązku informacyjnego z art. 13 ust. 1 RODO możesz poczytać w moim e-bookuObowiązek informacyjny z art. 13 RODO w 13 krokach”, który moi subskrybenci newslettera otrzymują bezpłatnie.

Jeżeli zastanawiasz się, jakie zadania będzie realizował przedstawiciel, w Twoim imieniu, to musisz wiedzieć, że głównym celem przedstawiciela jest ułatwienie komunikacji pomiędzy Tobą a osobami, których dane osobowe przetwarzasz lub organem nadzorczym. Chodzi o to, by podmioty, o których mowa w zdaniu poprzedzającym, mogły zwracać się do Twojego przedstawiciela we wszystkich sprawach związanych z przetwarzaniem danych osobowych. Przedstawiciel powinien wykonywać swoje zadania zgodnie z udzielonym przez Ciebie upoważnieniem, w tym współpracować z organem nadzorczym w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania przepisów RODO.

Motyw 80 RODO (fragment)

Przedstawiciel powinien wykonywać swoje zadania zgodnie z upoważnieniem otrzymanym od administratora lub podmiotu przetwarzającego, w tym współpracować z właściwymi organami nadzorczymi w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania niniejszego rozporządzenia. W razie jego nieprzestrzegania przez administratora lub podmiot przetwarzający wyznaczony przedstawiciel powinien zostać poddany działaniom egzekucyjnym.

Przedstawiciel działa w Twoim imieniu i może być adresatem ewentualnych działań organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO) (art. 27 ust. 4 RODO). Nie oznacza to jednak, że od momentu wyznaczenia przez Ciebie przedstawiciela, PUODO czy osoby, które dane osobowe przetwarzasz powinny kierować wszelkie swoje działania do niego. Nie! Podmioty, o których mowa wcześniej, mogą występować do Ciebie bezpośrednio lub do Twojego przedstawiciela.

Motyw 80 RODO (fragment)

Przedstawiciel powinien działać w imieniu administratora lub podmiotu przetwarzającego i może być adresatem ewentualnych działań organu nadzorczego.

Musisz także wiedzieć, że wyznaczenie przedstawiciela nie wpływa na Twoje obowiązki czy odpowiedzialność prawną jako administratora danych osobowych – wynikająca z przepisów RODO (art. 27 ust. 5 RODO).

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.)
  2. Komentarz do art. 27 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer Polska, Warszawa 2018, Lex
  3. N. Stojanowska, Rejestr czynności przetwarzania, Nowa Currenda 3/2018
  4. K. Witkowska-Nowakowska, komentarz do art. 27 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex
  5. Grupa Robocza Art. 27 Ds. Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), WP 243 rew.01, przyjęte w dniu 13 grudnia 2016 r. Ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r. https://uodo.gov.pl/data/filemanager_pl/15.pdf, 11.04.2020 r.