Ostatnio wspominałam o tym, że RODO może mieć zastosowanie do polskich (i nie tylko polskich) twórców internetowych, którzy kierują swoje towary i usługi osobom mieszkającym na terenie Unii Europejskiej bez względu na to, czy mają one charakter odpłatny czy nieodpłatny. Dotyczy to także sytuacji, gdy twórca spoza UE (a dokładniej spoza Europejskiego Obszaru Gospodarczego) dokonuje czynności przetwarzania danych osobowych np. swoich klientów, subskrybentów, obserwatorów, użytkowników, polegających na monitorowaniu ich zachowania. Jeżeli nie jesteś pewien, czy ten temat Ciebie dotyczy, wskakuj do wpisu – Terytorialny zasięg stosowania RODO.
Dziś spróbuję przybliżyć Ci zagadnienie przedstawiciela administratora danych osobowych.
Jeżeli administrator niemający jednostki organizacyjnej w Unii Europejskiej podlega przepisom RODO, czyli zobowiązany jest do ich stosowania i przestrzegania, to co do zasady ma on obowiązek wyznaczenia swojego przedstawiciela w Unii Europejskiej (art. 27 ust. 1 RODO).
Wyjątki!
Zgodnie z art. 27 ust. 2 RODO administrator, o którym mowa powyżej, nie musi wyznaczać swojego przedstawiciela, w dwóch przypadkach.
Po pierwsze, gdy przetwarzanie danych osobowych:
- ma charakter sporadyczny;
- nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO;
- jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych.
Wskazane powyżej przesłanki muszą wystąpić łącznie.
Po drugie, w sytuacji, gdy administrator jest organem lub podmiotem publicznym.
Nas interesuje ten pierwszy wyjątek. Jeżeli jesteś podmiotem z sektora prywatnego, to musisz przeanalizować, czy w Twoim przypadku ma zastosowanie wyłączenie albo inaczej: czy nie musisz wyznaczać swojego przedstawiciela.
Po pierwsze, należy zastanowić się, czy dokonywane przez Ciebie przetwarzanie danych osobowych ma charakter sporadyczny. Wykorzystane przez ustawodawcę sformułowanie „sporadyczny charakter” nie ma legalnej definicji, więc może budzić wątpliwości w praktyce. Zgodnie ze słownikiem języka polskiego sporadyczny to inaczej incydentalny, nieczęsty, odosobniony, pojedynczy, epizodyczny, rzadki czy wyjątkowy. Przeciwieństwem słowa sporadyczny są określenia takie jak: ciągły, cykliczny, częsty, notoryczny, powtarzający się, stały, systematyczny, często spotykany, regularny.
Każdy administrator powinien przeanalizować termin „sporadyczny charakter” pod kątem stanu faktycznego, czyli przetwarzania danych osobowych, którego on dokonuje.
Po drugie, musisz przeanalizować, jakie dane osobowe przetwarzasz i na jaką skalę to robisz. Czy dane osobowe, które przetwarzasz, mieszczą się w szczególnej kategorii danych osobowych (art. 9 ust. 1 RODO), a może dokonujesz przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 10 ust. 1 RODO)?
Do szczególnej kategorii danych osobowych (tzw. dane wrażliwe) zaliczono: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.
Podobnie jak w przypadku sporadycznego charakteru przepisy RODO nie definiują pojęcia „dużej skali”. Niemniej jednak dokonując oceny, czy do przetwarzania dochodzi na dużą skalę, należy wziąć pod uwagę cztery czynniki:
- liczbę osób, których dane osobowe dotyczą,
- zakres przetwarzanych danych osobowych,
- okres, przez jaki dane osobowe są przetwarzane,
- zakres geograficznego przetwarzania danych osobowych.
Pewną podpowiedzią w zakresie rozumienia pojęcia terminu „dużej skali” jest brzmienie motywu 90 RODO, który odnosi się co prawda do konieczności dokonywania oceny skutków dla ochrony danych, niemniej jednak wskazuje, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.
Jako przykłady przetwarzania na dużą skalę Grupa Robocza Art. 29 Ds. Ochrony Danych podaje przetwarzanie danych osobowych:
- pacjentów przez szpital w ramach prowadzonej działalności,
- osób korzystających ze środków komunikacji miejskiej poprzez śledzenie podróży za pośrednictwem „kart miejskich”,
- geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych,
- klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
- do celów reklamy behawioralnej przez wyszukiwarki,
- dotyczących ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych.
Po trzecie, jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele przetwarzanie informacji powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Chodzi o ryzyko rozumiane jako wszelkiego rodzaju zagrożenie interesu osoby, której dane osobowe przetwarzasz, a nie ryzyko rozumiane jako zagrożenie Twojego interesu jako administratora.
Pamiętaj, że wskazane powyżej przesłanki muszą wystąpić łącznie, czyli jedynie w sytuacji, gdy przetwarzasz dane osobowe w sposób sporadyczny, nie przetwarzasz na dużą skalę szczególnej kategorii danych osobowych albo informacji dotyczących wyroków skazujących i czynów zabronionych i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało to (Twoje przetwarzanie) ryzyko naruszenia praw lub wolności osób fizycznych. Wówczas nie musisz wyznaczać swojego przedstawiciela.
Wyznaczenie przedstawiciela musi być udokumentowane i należy dokonać tego na piśmie. Stanowi o tym wprost art. 27 ust. 1 RODO. Musisz wyznaczyć swojego przedstawiciela w sposób wyraźny za pomocą pisemnego upoważnienia do podejmowania działań w Twoim imieniu w odniesieniu do Twoich obowiązków jako administratora wynikających z RODO.
Twoim przedstawicielem może być osoba fizyczna lub osoba prawna. Ważne, by osoba ta miała miejsce zamieszkania lub siedzibę w państwie Unii Europejskiej, w którym przebywają osoby, których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane (art. 27 ust. 3 RODO w zw. art. 4 pkt 17 RODO).
Choć można spotkać się ze stanowiskiem, że można ustanowić przedstawiciela w każdym państwie UE, to w mojej ocenie ideą wyznaczenia przedstawiciela administratora jest możliwość realizacji uprawnień osób, których dane osobowe przetwarzasz (na temat ich uprawnień zob. art. 15-22 RODO). Jeżeli wyznaczysz swojego przedstawiciela w Niemczech, a oferujesz towary lub usługi albo też monitorujesz zachowania osób przebywających w Polsce, to realizacja roszczeń wynikających z RODO przez Polaka niewładającego językiem niemieckim może być utrudniona.
Uwaga! Nie ma obowiązku zgłaszania swojego przedstawiciela do organu nadzorczego, ale musisz poinformować osoby, których dane osobowe przetwarzasz, że wyznaczyłeś swojego przedstawiciela, podając jego tożsamość i dane kontaktowe (art. 13 ust. 1 lit. a i art. 14 ust. 1 lit. a RODO). W ten sposób spełniasz jeden z kilku elementów obowiązku informacyjnego.
Jeżeli zastanawiasz się, jakie zadania będzie realizował przedstawiciel w Twoim imieniu, to musisz wiedzieć, że głównym celem przedstawiciela jest ułatwienie komunikacji pomiędzy Tobą a osobami, których dane osobowe przetwarzasz lub organem nadzorczym. Chodzi o to, by podmioty, o których mowa w poprzednim zdaniu, mogły zwracać się do Twojego przedstawiciela we wszystkich sprawach związanych z przetwarzaniem danych osobowych. Przedstawiciel powinien wykonywać swoje zadania zgodnie z udzielonym przez Ciebie upoważnieniem, w tym współpracować z organem nadzorczym w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania przepisów RODO.
Przedstawiciel działa w Twoim imieniu i może być adresatem ewentualnych działań organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO) (art. 27 ust. 4 RODO). Nie oznacza to jednak, że od momentu wyznaczenia przez Ciebie przedstawiciela PUODO czy osoby, których dane osobowe przetwarzasz, powinny kierować wszelkie swoje działania do niego. Nie! Podmioty, o których mowa wcześniej, mogą występować do Ciebie bezpośrednio lub do Twojego przedstawiciela.
Musisz także wiedzieć, że wyznaczenie przedstawiciela nie wpływa na Twoje obowiązki czy odpowiedzialność prawną jako administratora danych osobowych – wynikającą z przepisów RODO (art. 27 ust. 5 RODO).
Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.
Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl.
Stan prawny na dzień: 13.04.2020 r.
Bibliografia
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
- Komentarz do art. 27 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, red. P. Figielski, Wolters Kluwer Polska, Warszawa 2018, Lex.
- N. Stojanowska, Rejestr czynności przetwarzania, Nowa Currenda 3/2018.
- K. Witkowska-Nowakowska, Komentarz do art. 27 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Wolters Kluwer, Warszawa 2018, Lex.
- Grupa Robocza Art. 27 Ds. Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), WP 243 rew.01, przyjęte w dniu 13 grudnia 2016 r. Ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r. https://uodo.gov.pl/data/filemanager_pl/15.pdf, 11.04.2020 r.
Źródło zdjęcia: Sora Shimazaki, Pexels, https://www.pexels.com/pl-pl/zdjecie/przytnij-czarnego-kandydata-do-pracy-przechodzac-do-pracownika-hr-5673502/, dostęp: 30.10.2023 r.