Transgraniczne przetwarzanie

Art. 4 pkt 23 RODO

Transgraniczne przetwarzanie” oznacza:

a)przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo

b)przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

Zgodnie ze słownikiem języka polskiego transgraniczny[1] oznacza przekraczający granice państw albo istniejący ponad granicami tych państw.

Definicja określa dwie sytuacje, w których dochodzi do transgranicznego przetwarzania danych.

Sytuacja nr 1.

Administrator lub podmiot przetwarzający posiada więcej niż jedną jednostkę organizacyjną w więcej niż w jednym państwie członkowskim Unii Europejskiej.

Przykład:

Spółka ma jednostki organizacyjne w Polsce i w Niemczech i przetwarzanie danych osobowych odbywa się w ramach prowadzonych przez nie działalności gospodarczych.

Sytuacja nr 2.

Administrator lub podmiot przetwarzający posiada jedną jednostkę organizacyjną w jednym państwie członkowskim Unii Europejskiej, ale jego przetwarzanie danych osobowych znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

Za nim przejdziemy dalej musimy się zastanowić co to oznacza sformułowanie, że przetwarzanie danych osobowych „znacznie wpływa lub może znacznie wpłynąć”? Oba zwroty nie zostały zdefiniowane w RODO. Są pojęciami nieostrymi. Oznacza to, że każdorazowo należy analizować, czy mamy do czynienia z sytuacją nr 2.

Zgodnie ze słownikiem języka polskiego znaczny[2] oznacza dość duży, ważny, znaczący, wyróżniający się w czymś.

Zgodnie ze słownikiem języka polskiego termin wpływa[3] oznacza wywrzeć wpływ na kogoś lub na coś, przyczynić się w jakimś stopniu do czegoś.

Aby można było mówić o transgranicznym przetwarzaniu takie przetwarzanie danych osobowych musi lub może w wyróżniającym stopniu wywierać wpływ na osoby fizyczne, których dane osobowe dotyczą w więcej niż jednym państwie UE.

Co należy brać pod uwagę podczas ustalania znacznego wpływu?

Grupa Robocza Art. 29[4] podpowiada, że należy uwzględnić kontakt przetwarzania, rodzaj przetwarzanych danych osobowych, cel przetwarzania danych osobowych, a dodatkowo takie czynniki jak:

  • wyrządza lub może wyrządzić szkodę osobom fizycznym, naraża lub może je narazić na straty lub powoduje lub może spowodować stres u osób fizycznych;
  • wywiera lub może wywierać faktyczne skutki w postaci ograniczenia praw lub pozbawienia możliwości;
  • wpływa lub może wpływać na zdrowie, pomyślność lub spokój umysłu osób fizycznych;
  • wpływa lub może wpływać na status finansowy lub gospodarczy osób fizycznych lub ich sytuację;
  • naraża osoby fizyczne na dyskryminację lub niesprawiedliwe traktowanie;
  • obejmuje analizę szczególnych kategorii danych osobowych lub innych danych wrażliwych, w szczególności danych osobowych dzieci;
  • powoduje lub może spowodować znaczną zmianę zachowania osób fizycznych;
  • ma mało prawdopodobne, nieoczekiwane lub niepożądane konsekwencje dla osób fizycznych;
  • powoduje zakłopotanie lub ma inne negatywne skutki, w tym naruszenie dobrego imienia;
  • obejmuje przetwarzanie szerokiego zakresu danych osobowych.

 

Motyw 116 RODO

Transgraniczne przekazywanie danych osobowych poza Unią może spowodować wzrost ryzyka, że osoby fizyczne nie będą mogły wykonywać prawa do ochrony danych osobowych, w szczególności w celu ochrony przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych informacji. Jednocześnie organy nadzorcze mogą uznać, że nie są w stanie rozpatrzyć skargi lub przeprowadzić postępowania w sprawie działalności, która ma miejsce poza granicami ich państwa. Ich starania na rzecz współpracy w kontekście transgranicznym mogą także zostać zakłócone przez niewystarczające uprawnienia prewencyjne lub zaradcze, niespójne systemy prawne oraz przeszkody praktyczne, takie jak ograniczone środki. Należy więc upowszechniać ściślejszą współpracę między organami nadzorującymi ochronę danych, by pomóc im wymieniać informacje i prowadzić postępowania z ich międzynarodowymi odpowiednikami. Aby stworzyć mechanizmy współpracy międzynarodowej, ułatwiające i przewidujące wzajemną międzynarodową pomoc w egzekwowaniu ustawodawstwa z zakresu ochrony danych osobowych, Komisja i organy nadzorcze powinny w ramach działań związanych z wykonywaniem swoich uprawnień wymieniać się informacjami i współpracować z właściwymi organami państw trzecich na zasadzie wzajemności i zgodnie z niniejszym rozporządzeniem.

Jaki obszar terytorialny obejmuje transgraniczne przetwarzanie danych osobowych?

Według definicji, transgraniczne przetwarzanie danych osobowych zawsze odbywa się na terenie Unii Europejskiej. Transgraniczne przetwarzanie dotyczy działalności w więcej niż jednym państwie członkowskim Unii Europejskiej.

Czego nie dotyczy transgraniczne przetwarzanie danych osobowych?

Według definicji, transgraniczne przetwarzanie danych osobowych nie wiąże się z transferem danych osobowych poza Unię Europejską.

[1] Transgraniczny, słownik języka polskiego, https://sjp.pwn.pl/szukaj/transgraniczny.html, dostęp: 08.12.2020r.

[2] Znaczny, słownik języka polskiego, https://sjp.pwn.pl/szukaj/znaczny.html, dostęp: 08.12.2020 r.

[3] Wpływa, słownik języka polskiego, https://sjp.pwn.pl/szukaj/wp%C5%82ywa%C4%87.html, dostęp: 08.12.2020 r.

[4] Grupa Robocza art. 29, Wytyczne dotyczące ustalania wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego, przyjęte w dniu 13.12.2016r., zmienione 05.04.2017, WP 244 rew.01, https://www.uodo.gov.pl/pl/10/5, dostęp: 08.12.2020 r.

Źródła:

  1. Transgraniczny, słownik języka polskiego, https://sjp.pwn.pl/szukaj/transgraniczny.html, dostęp: 08.12.2020r.
  2. Znaczny, słownik języka polskiego, https://sjp.pwn.pl/szukaj/znaczny.html, dostęp: 08.12.2020 r.
  3. Wpływa, słownik języka polskiego, https://sjp.pwn.pl/szukaj/wp%C5%82ywa%C4%87.html, dostęp: 08.12.2020 r.
  4. Grupa Robocza art. 29, Wytyczne dotyczące ustalania wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego, przyjęte w dniu 13.12.2016r., zmienione 05.04.2017, WP 244 rew.01, https://www.uodo.gov.pl/pl/10/5, dostęp: 08.12.2020 r.
  5. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
  6. Litwiński, komentarz do art. 4 [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. Litwiński, Barta, Kawecki, Warszawa 2018, Legalis.
  7. P. Makowski, komentarz do art. 4 pkt 23 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, s. 306-308.

Wzór upoważnienia do przetwarzania danych osobowych

Wzór oświadczenia osoby upoważnionej do przetwarzania danych osobowych

Wzór odwołania upoważnienia do przetwarzania danych osobowych