W majowym „edukacyjnym” odcinku newsletteru kontynuujemy serię poświęconą pojęciom zdefiniowanym przez prawodawcę unijnego w art. 4 RODO. Tym razem przybliżone zostaną definicje „transgranicznego przetwarzania danych” oraz „organu nadzorczego, którego sprawa dotyczy”.
DEFINICJA „TRANSGRANICZNEGO PRZETWARZANIA DANYCH”
Z uwagi na postępującą globalizację coraz częściej te same procesy przetwarzania danych realizowane są w więcej niż jednym państwie. W związku z tym prawodawca unijny uregulował w art. 4 pkt. 23 RODO pojęcie „transgranicznego przetwarzania danych”, które oznacza:
„a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;”
Przykładem pierwszego z wymienionym wyżej przypadków jest sytuacja, kiedy dany podmiot posiada jednostki organizacyjne w dwóch państwach członkowskich Unii Europejskiej (np. we Włoszech i Francji). Wówczas przetwarzanie danych odbywa się w więcej niż jednym państwie członkowskim.
Drugi przypadek występuje, kiedy przetwarzanie danych co prawda odbywa się w jednym państwie członkowskim, natomiast czynność ta znacznie wpływa lub może wpłynąć na osoby w więcej niż jednym państwie członkowskim. Jak podaje dr hab. M. Sakowska – Baryła „Przykładem takiej sytuacji może być oferowanie przez administratora z państwa członkowskiego swoich usług w Polsce, gdzie nie ma on oddziału ani spółki zależnej. Chociaż określenie wpływu jako >>znacznego<< nie jest oczywiste, przyjęte założenie wymusza przypisanie wagi do określonych operacji na podstawie kontekstu i celu przetwarzania oraz rodzaju danych, przy jednoczesnym wyłączeniu kwalifikowania do pojęcia transgraniczności przetwarzania każdej operacji” (M. Sakowska – Baryła [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz). Z takim przypadkiem przetwarzania mamy do czynienia podczas świadczenia usług drogą elektroniczną obywatelom wielu państw członkowskich UE np. przez Microsoft.
DEFINICJA „ORGANU NADZORCZEGO, KTÓREGO SPRAWA DOTYCZY”
Zwłaszcza w sytuacji transgranicznego przetwarzania danych osobowych kluczowe jest ustalenie organu nadzorczego odpowiedzialnego za czynności przetwarzania, czyli „organu nadzorczego, którego sprawa dotyczy”. Zgodnie z art. 4 pkt. 22 RODO pojęcie to oznacza „organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:
a) administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;
b) przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
c) wniesiono do niego skargę”.
Z powyższej definicji wynika, że konkretny organ nadzorczy będzie mógł zająć się sprawą w trzech wskazanych przypadkach. Pierwszy dotyczy sytuacji, kiedy na terytorium państwa członkowskiego administrator lub podmiot przetwarzający posiada jednostkę organizacyjną, zarówno tą główną (o której mowa w Komunikacie IOD-y) lub inną. Poprzez pojęcie to, zgodnie z motywem (22) RODO, rozumieć należy „(…) skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym”. To oznacza, że jeśli spółka ma oddziały w kilku państwach to wszystkie organy nadzorcze w tych państwach są tymi, których sprawa dotyczy. Jednak na potrzeby rozstrzygnięcia ewentualnej sprawy należałoby ustalić wiodący organ nadzorczy.
Drugi przypadek znajdzie zastosowanie, gdy przetwarzanie znacznie wpływa lub może wpłynąć na osoby zamieszkujące w państwie członkowskim tego organu nadzorczego. Pojęcie znacznego wpływu należy rozumieć zgodnie ze stanowiskiem dr. hab. M. Sakowskiej – Baryła przybliżonym powyżej. W tym przypadku również może dojść do sytuacji, że przetwarzanie znacznie wpływa na osoby zamieszkujące kilka państw członkowskich i konieczne będzie określenie organu wiodącego. Sytuacja taka miała miejsce w przypadku stosowania reklam behawioralnych przez Facebook. Wówczas irlandzki organ nadzorczy był wiodący w sprawie, ponieważ pod jego jurysdykcją siedzibę ma europejska spółka koncernu Meta.
Trzeci przypadek dotyczy wniesienia przez osobę, której dane dotyczą skargi. Wówczas organem nadzorczym, którego sprawa dotyczy będzie ten, do którego została ona skierowana. I zwykle jest on wówczas jedynym takim organem. Dość często zdarza się też, że oprócz organu, do którego wniesiono skargę, sprawa dotyczy również jeszcze jednego organu nadzorczego. Wyobraźmy sobie polską rodzinę spędzającą wakacje za granicą. Jeśli w hotelu znajdującym się przykładowo w Grecji dojdzie do naruszenia ochrony danych osobowych (np. recepcjonista kseruje paszporty lub dowody osobiste gości hotelowych bez podstawy prawnej), Polacy nie muszą składać skargi do greckiego organu nadzorczego. Byłoby to problematyczne choćby ze względu na język urzędowy. Skargę taką można wnieść do polskiego Urzędu Ochrony Danych Osobowych, który będzie wówczas pierwszym organem nadzorczym, którego sprawa dotyczy. Natomiast drugim będzie właśnie ten grecki (na podstawie pierwszej przesłanki opisanej pod lit. a). W takiej sytuacji nie będzie potrzeby ustalania organu wiodącego, ponieważ ten grecki skorzysta ze wszystkich swoich uprawnień względem administratora, a polski przekaże rozstrzygnięcie skarżącemu.