Organ nadzorczy

Art. 4 pkt 21 RODO
„Organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 [RODO].

Kim jest organ nadzorczy?

To niezależny organ publiczny ustanowiony przez państwo członkowskie na warunkach określonych przepisami RODO.

Każde państwo członkowskie UE ma obowiązek ustanowić niezależny organ nadzorczy.

Organy nadzorcze są organami publicznymi, które są powoływane zgodnie z przepisami krajowymi. W Polsce jest to ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

Czy organ nadzorczy może być podmiotem prywatnym?

Nie. Organ nadzorczy musi być podmiotem publicznym. Jest ściśle powiązane z władczymi uprawnieniami organu publicznego, w szczególności z możliwością wydawania władczych rozstrzygnięć (decyzji administracyjnych), w tym nakładania sankcji, np. kar pieniężnych.

Motyw 117 RODO
Zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, uprawnionych do wypełniania zadań i wykonywania uprawnień w sposób całkowicie niezależny. Aby uwzględnić swoją strukturę konstytucyjną, organizacyjną i administracyjną, państwa członkowskie powinny mieć możliwość utworzenia więcej niż jednego organu nadzorczego.

Niezależność organu nadzorczego

Organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień musi działać w pełni niezależny, co ma zapewnić nieuleganie wpływom czy naciskom podmiotów trzecich.

Motyw 123 RODO
Organy nadzorcze powinny monitorować stosowanie przepisów […] [RODO] oraz przyczyniać się do jego spójnego stosowania w całej Unii, aby chronić osoby fizyczne w związku z przetwarzaniem ich danych osobowych oraz ułatwiać swobodny przepływ danych osobowych na rynku wewnętrznym. W tym celu organy nadzorcze powinny współpracować ze sobą oraz z Komisją bez konieczności zawierania przez państwa członkowskie umów o wzajemnej pomocy lub współpracy.

Kto jest organem nadzorczym w Polsce?

W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Obecnie funkcję PUODO pełni Pan Jan Nowak. Urząd Ochrony Danych Osobowych (UODO) znajduje się w Warszawie (00-193) przy ul. Stawki 2. Strona internetowa dostępna jest pod adresem: https://uodo.gov.pl/.

Zadania organu nadzorczego (art. 57 RODO)

monitoruje i egzekwuje stosowanie RODO
upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk, w szczególności zadanie to powinno być skierowane do dzieci
doradza, zgodnie z prawem państwa członkowskiego, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem
upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy RODO
udziela osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących im na mocy RODO, a w stosownym przypadku współpracuje w tym celu z organami nadzorczymi innych państw członkowskich
rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym
współpracuje z innymi organami nadzorczymi, w tym dzieli się informacjami oraz świadczy wzajemną pomoc, w celu zapewnienia spójnego stosowania i egzekwowania RODO
prowadzi postępowania w sprawie stosowania RODO, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego
monitoruje zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności monitoruje rozwój technologii informacyjno-komunikacyjnych i praktyk handlowych
przyjmuje standardowe klauzule umowne
ustanawia i prowadzi wykaz związany z wymogiem dokonania oceny skutków dla ochrony danych
udziela zaleceń dotyczących operacji przetwarzania
zachęca do sporządzania kodeksów postępowania, a także wydaje opinie na ich temat oraz zatwierdza te kodeksy, w których znajdują się odpowiednie zabezpieczenia,
zachęca do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń z tej dziedziny, a także zatwierdza kryteria certyfikacji
dokonuje okresowego przeglądu udzielonych certyfikacji;
opracowuje i publikuje wymogi akredytacji podmiotu monitorującego kodeksy postępowania oraz podmiotu certyfikującego
akredytuje podmiot monitorujący kodeksy postępowania oraz podmiot certyfikujący
wydaje zezwolenia na klauzule umowne i przepisy, o których mowa w art. 46 ust. 3 RODO
zatwierdza wiążące reguły korporacyjne
bierze udział w pracach Europejskiej Rady Ochrony Danych
prowadzi wewnętrzny rejestr naruszeń RODO i działań podjętych zgodnie z art. 58 ust. 2 RODO
wypełnia inne zadania związane z ochroną danych osobowych

Uprawnienia organu nadzorczego (art. 58 RODO)

W zakresie prowadzonych postępowań, organ nadzorczy jest uprawniony do:

nakazania administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań
prowadzenia postępowań w formie audytów ochrony danych
dokonywania przeglądu udzielonych certyfikacji
zawiadamiania administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia RODO
uzyskiwania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań
uzyskiwania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

Uprawnienia naprawcze:

wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania
udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania
nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO
nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu
nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych
wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania
nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane
zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy
nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Uprawnienia w zakresie zezwoleń i uprawnienia doradcze:

udzielanie porad administratorowi zgodnie z procedurą uprzednich konsultacji
wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla parlamentu narodowego, rządu państwa członkowskiego lub – zgodnie z prawem państwa członkowskiego – innych instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych
zezwalanie na przetwarzanie zgodnie z art. 36 ust. 5 RODO, jeżeli prawo państwa członkowskiego wymaga takiego uprzedniego zezwolenia
opiniowanie i zatwierdzanie projektów kodeksów postępowania
akredytowanie podmiotów certyfikujących
udzielanie certyfikacji i zatwierdzanie kryteriów certyfikacji
przyjmowanie standardowych klauzul ochrony danych
zezwalanie na klauzule umowne
zezwalanie na uzgodnienia administracyjne
zatwierdzanie wiążących reguł korporacyjnych

Źródła:

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
Figielski, Komentarz do art. 4, 51, 57, 58 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
Komentarz do art. 4, 51, 57, 58 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-analytics	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Analityczne”.
cookielawinfo-checkbox-necessary	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
mailerlite:webform:shown		Plik cookie używany przez formularz zapisu na newsletter do określenia, czy formularz zapisu na newsletter został już wyświetlonwy użytkownikowi odwiedzającemu stronę.
viewed_cookie_policy	1 rok	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent w celu przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie (żadne dane osobowe nie są zapisywane ani przechwowane).

Cookie	Czas przechowywania	Opis
_ga	2 lata	Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_ga_BKFR6CLJT3	2 lata	Plik cookie wykorzystywany przez usługę Google Analytics.
_gat_gtag_UA_199300153_1	1 minuta	Wykorzystywany przez usługę Google Analytics do rozróżniania użytkowników.
_gid	1 dzień	Instalowany przez Google Analytics plik cookie _gid przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej. Niektóre gromadzone dane obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo.