Organ nadzorczy

Art. 4 pkt 21 RODO

„Organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 [RODO].


Kim jest organ nadzorczy?

To niezależny organ publiczny ustanowiony przez państwo członkowskie na warunkach określonych przepisami RODO.

Każde państwo członkowskie UE ma obowiązek ustanowić niezależny organ nadzorczy.

Organy nadzorcze są organami publicznymi, które są powoływane zgodnie z przepisami krajowymi. W Polsce jest to ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.  

Czy organ nadzorczy może być podmiotem prywatnym?

Nie. Organ nadzorczy musi być podmiotem publicznym. Jest ściśle powiązane z władczymi uprawnieniami organu publicznego, w szczególności z możliwością wydawania władczych rozstrzygnięć (decyzji administracyjnych), w tym nakładania sankcji, np. kar pieniężnych.

Motyw 117 RODO

Zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, uprawnionych do wypełniania zadań i wykonywania uprawnień w sposób całkowicie niezależny. Aby uwzględnić swoją strukturę konstytucyjną, organizacyjną i administracyjną, państwa członkowskie powinny mieć możliwość utworzenia więcej niż jednego organu nadzorczego.


Niezależność organu nadzorczego

Organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień musi działać w pełni niezależny, co ma zapewnić nieuleganie wpływom czy naciskom podmiotów trzecich.

Motyw 123 RODO

Organy nadzorcze powinny monitorować stosowanie przepisów […] [RODO] oraz przyczyniać się do jego spójnego stosowania w całej Unii, aby chronić osoby fizyczne w związku z przetwarzaniem ich danych osobowych oraz ułatwiać swobodny przepływ danych osobowych na rynku wewnętrznym. W tym celu organy nadzorcze powinny współpracować ze sobą oraz z Komisją bez konieczności zawierania przez państwa członkowskie umów o wzajemnej pomocy lub współpracy.


Kto jest organem nadzorczym w Polsce?

W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Obecnie funkcję PUODO pełni Pan Jan Nowak. Urząd Ochrony Danych Osobowych (UODO) znajduje się w Warszawie (00-193) przy ul. Stawki 2. Strona internetowa dostępna jest pod adresem: https://uodo.gov.pl/.

Zadania organu nadzorczego (art. 57 RODO)

  • monitoruje i egzekwuje stosowanie RODO
  • upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk, w szczególności zadanie to powinno być skierowane do dzieci
  • doradza, zgodnie z prawem państwa członkowskiego, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem
  • upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy RODO
  • udziela osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących im na mocy RODO, a w stosownym przypadku współpracuje w tym celu z organami nadzorczymi innych państw członkowskich
  • rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym
  • współpracuje z innymi organami nadzorczymi, w tym dzieli się informacjami oraz świadczy wzajemną pomoc, w celu zapewnienia spójnego stosowania i egzekwowania RODO
  • prowadzi postępowania w sprawie stosowania RODO, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego
  • monitoruje zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności monitoruje rozwój technologii informacyjno-komunikacyjnych i praktyk handlowych
  • przyjmuje standardowe klauzule umowne
  • ustanawia i prowadzi wykaz związany z wymogiem dokonania oceny skutków dla ochrony danych
  • udziela zaleceń dotyczących operacji przetwarzania
  • zachęca do sporządzania kodeksów postępowania, a także wydaje opinie na ich temat oraz zatwierdza te kodeksy, w których znajdują się odpowiednie zabezpieczenia,
  • zachęca do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń z tej dziedziny, a także zatwierdza kryteria certyfikacji
  • dokonuje okresowego przeglądu udzielonych certyfikacji;
  • opracowuje i publikuje wymogi akredytacji podmiotu monitorującego kodeksy postępowania oraz podmiotu certyfikującego
  • akredytuje podmiot monitorujący kodeksy postępowania oraz podmiot certyfikujący
  • wydaje zezwolenia na klauzule umowne i przepisy, o których mowa w art. 46 ust. 3 RODO
  • zatwierdza wiążące reguły korporacyjne
  • bierze udział w pracach Europejskiej Rady Ochrony Danych
  • prowadzi wewnętrzny rejestr naruszeń RODO i działań podjętych zgodnie z art. 58 ust. 2 RODO
  • wypełnia inne zadania związane z ochroną danych osobowych
 

Uprawnienia organu nadzorczego (art. 58 RODO)

W zakresie prowadzonych postępowań, organ nadzorczy jest uprawniony do:

  • nakazania administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań
  • prowadzenia postępowań w formie audytów ochrony danych
  • dokonywania przeglądu udzielonych certyfikacji
  • zawiadamiania administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia RODO
  • uzyskiwania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań
  • uzyskiwania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.
 

Uprawnienia naprawcze:

  • wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania
  • udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania
  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO
  • nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania
  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  • cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane
  • zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy
  • nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
 

Uprawnienia w zakresie zezwoleń i uprawnienia doradcze:

  • udzielanie porad administratorowi zgodnie z procedurą uprzednich konsultacji
  • wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla parlamentu narodowego, rządu państwa członkowskiego lub – zgodnie z prawem państwa członkowskiego – innych instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych
  • zezwalanie na przetwarzanie zgodnie z art. 36 ust. 5 RODO, jeżeli prawo państwa członkowskiego wymaga takiego uprzedniego zezwolenia
  • opiniowanie i zatwierdzanie projektów kodeksów postępowania
  • akredytowanie podmiotów certyfikujących
  • udzielanie certyfikacji i zatwierdzanie kryteriów certyfikacji
  • przyjmowanie standardowych klauzul ochrony danych
  • zezwalanie na klauzule umowne
  • zezwalanie na uzgodnienia administracyjne
  • zatwierdzanie wiążących reguł korporacyjnych
 

Źródła: 

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Figielski, Komentarz do art. 4, 51, 57, 58 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
  3. Komentarz do art. 4, 51, 57, 58  [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex