Organ nadzorczy, którego sprawa dotyczy

Art. 4 pkt 22 RODO

„Organ nadzorczy, którego sprawa dotyczy” oznacza organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:

a)administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;

b)przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub

c)wniesiono do niego skargę.

Na temat definicji organu nadzorczego już pisałam. Zajrzyj tutaj.

Po co jednak unijny ustawodawca zdecydował się na zdefiniowanie pojęcia „organ nadzorczy, którego sprawa dotyczy”?

Zdefiniowanie organu nadzorczego, którego sprawa dotyczy jest związane z transgranicznym przetwarzaniem danych osobowych. Jest to powiązane z procedurą współpracy pomiędzy wiodącym organem nadzorczym, a innymi organami, których sprawa dotyczy. W przypadku transgranicznego przetwarzania danych należy w pierwszej kolejności wyznaczyć tzw. organ wiodący. Co ciekawe RODO nie definiuje pojęcia wiodący organ nadzorczy. Właściwość wiodącego organu nadzorczego została określona w art. 56 RODO.

Procedura współpracy między organami została wprowadzona w celu kompleksowego i wieloaspektowego rozpatrzenia sprawy. Zasady współpracy pomiędzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy określają art. 60 – 62 RODO.

Kiedy organ będzie mógł uczestniczyć w rozpoznawaniu sprawy o charakterze transgranicznym?

Po pierwsze, administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego lub

 Na temat jednostki organizacyjnej oraz głównej jednostki organizacyjnej pisałam tutaj.

Motyw 36 (fragment) RODO

Jeżeli sprawa dotyczy zarówno administratora, jak i podmiotu przetwarzającego, właściwym wiodącym organem nadzorczym powinien pozostać organ nadzorczy państwa członkowskiego, w którym administrator ma główną jednostkę organizacyjną, ale organ nadzorczy podmiotu przetwarzającego powinien być uznawany za organ nadzorczy, którego sprawa dotyczy, i powinien uczestniczyć w procedurze współpracy przewidzianej w niniejszym rozporządzeniu. Organy nadzorcze państwa członkowskiego lub państw członkowskich, w których podmiot przetwarzający ma co najmniej jedną jednostkę organizacyjną, nie powinny być w żadnym przypadku uznawane za organy nadzorcze, których sprawa dotyczy, jeżeli projekt decyzji dotyczy wyłącznie administratora. Jeżeli przetwarzania dokonuje grupa przedsiębiorstw, za jej główną jednostkę organizacyjną należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę, chyba że cel i sposoby przetwarzania określa inne przedsiębiorstwo.

Po drugie, przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub

Na temat wpływu lub znacznego wpływu pisałam tutaj

 

Po trzecie, wniesiono do niego skargę.

Motyw 124 RODO

Jeżeli przetwarzanie danych osobowych odbywa się w ramach działalności jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, a administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w więcej niż jednym państwie członkowskim lub jeżeli przetwarzanie, które odbywa się w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim, organem wiodącym powinien być organ nadzorczy głównej jednostki organizacyjnej administratora lub podmiotu przetwarzającego lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego. Powinien on współpracować z innymi organami, których sprawa dotyczy, z uwagi na to, że administrator lub podmiot przetwarzający mają jednostkę organizacyjną na terytorium ich państwa członkowskiego, że odnotowuje się znaczny wpływ na osoby, których dane dotyczą, mające miejsce zamieszkania na tym terytorium lub że wniesiono do tych organów skargę. Także w przypadkach, gdy skargę wniosła osoba, której dane dotyczą, niemająca miejsca zamieszkania w tym państwie członkowskim, organ nadzorczy, do którego wniesiono skargę, powinien być uznawany za organ nadzorczy, którego sprawa dotyczy. W ramach zadania, którym jest wydawanie wytycznych co do stosowania niniejszego rozporządzenia, Europejska Rada Ochrony Danych powinna mieć możliwość wydawania wytycznych w szczególności w sprawie kryteriów, które należy uwzględnić, by stwierdzić, czy dane przetwarzanie znacznie wpływa na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim, oraz w sprawie tego, czym jest mający znaczenie dla sprawy i uzasadniony sprzeciw.

Celem współpracy między wiodącym organem nadzorczym a organem nadzorczym, którego sprawa dotyczy jest zapewnienie, przy należytym poszanowaniu wzajemnych poglądów, aby sposób prowadzenia postępowania w sprawie i jej rozstrzygnięcie były satysfakcjonujące dla każdego z organów, przy jednoczesnym zapewnieniu prawa do skutecznego środka ochrony prawnej osobom, których dane dotyczą. Tym samym, organy nadzorcze powinny dołożyć starań w celu osiągnięcia wzajemnie akceptowalnego przebiegu działania. W przypadku braku konsensusu organu nadzorcze mogą sięgnąć po oficjalny mechanizm spójności.

Źródła:

  1. Grupa Robocza art. 29, Wytyczne dotyczące ustalania wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego, przyjęte w dniu 13.12.2016r., zmienione 05.04.2017, WP 244 rew.01, https://www.uodo.gov.pl/pl/10/5, dostęp: 08.12.2020 r.
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
  3. Litwiński, komentarz do art. 4 [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. Litwiński, Barta, Kawecki, Warszawa 2018, Legalis.
  4. komentarz do art. 4 pkt 22 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, Lex.

Wzór upoważnienia do przetwarzania danych osobowych

Wzór oświadczenia osoby upoważnionej do przetwarzania danych osobowych

Wzór odwołania upoważnienia do przetwarzania danych osobowych