Skip to content
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Menu
Menu
9 minut

Przedstawiciel administratora danych osobowych

image_pdfimage_print

Wstęp

RODO może mieć zastosowanie do twórców internetowych, którzy kierują swoje towary i usługi osobom mieszkającym na terenie Unii Europejskiej. Towary lub usługi mogą mieć charakter odpłatny albo nieodpłatny. Dotyczy to także sytuacji, gdy twórca spoza UE dokonuje czynności przetwarzania danych osobowych polegających na monitorowaniu ich zachowania. Na przykład monitorowania zachowania swoich klientów, subskrybentów, obserwatorów, użytkowników swojej strony internetowej. Jest to związane z terytorialnym zasięgiem stosowania RODO.

Obowiązek wyznaczenia przedstawiciela administratora danych

Warto wiedzieć czy musisz przestrzegac RODO ponieważ jeżeli administrator niemający jednostki organizacyjnej w Unii Europejskiej, ale podlega przepisom RODO, to obowiązek wyznaczyć swojego przedstawiciela w Unii Europejskiej (art. 27 ust. 1 RODO).

Wyjątki!

Zgodnie z art. 27 ust. 2 RODO administrator nie musi wyznaczać swojego przedstawiciela, w dwóch przypadkach.

Po pierwsze, gdy przetwarzanie danych osobowych:

  1. ma charakter sporadyczny;
  2. nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO;
  3. jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych.

Wskazane powyżej przesłanki muszą wystąpić łącznie.

Po drugie, w sytuacji, gdy administrator jest organem lub podmiotem publicznym.

Nas interesuje ten pierwszy wyjątek. Jeżeli jesteś podmiotem z sektora prywatnego, to musisz przeanalizować, czy w Twoim przypadku ma zastosowanie wyłączenie.

Sporadyczny charakter przetwarzania danych osobowych

Po pierwsze, należy zastanowić się, czy dokonywane przez Ciebie przetwarzanie danych osobowych ma charakter sporadyczny. Wykorzystane przez ustawodawcę sformułowanie „sporadyczny charakter” nie ma ustawowej definicji, więc może budzić wątpliwości w praktyce. Zgodnie ze słownikiem języka polskiego sporadyczny to inaczej incydentalny, nieczęsty, odosobniony, pojedynczy, epizodyczny, rzadki czy wyjątkowy. Przeciwieństwem słowa sporadyczny są określenia takie jak: ciągły, cykliczny, częsty, notoryczny, powtarzający się, stały, systematyczny, często spotykany, regularny.

W konsekwencji każdy administrator powinien przeanalizować termin „sporadyczny charakter” pod kątem stanu faktycznego, czyli przetwarzania danych osobowych, którego on dokonuje.

Skala przetwarzania danych osobowych

Po drugie, musisz przeanalizować, jakie dane osobowe przetwarzasz i na jaką skalę to robisz. Czy dane osobowe, które przetwarzasz, mieszczą się w szczególnej kategorii danych osobowych (art. 9 ust. 1 RODO), a może dokonujesz przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 10 ust. 1 RODO)?

Do szczególnej kategorii danych osobowych (tzw. dane wrażliwe) zaliczono: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.

Podobnie jak w przypadku sporadycznego charakteru przepisy RODO nie definiują pojęcia „dużej skali”. Niemniej jednak dokonując oceny, czy do przetwarzania dochodzi na dużą skalę, należy wziąć pod uwagę cztery czynniki:

  • liczbę osób, których dane osobowe dotyczą,
  • zakres przetwarzanych danych osobowych,
  • okres, przez jaki dane osobowe są przetwarzane,
  • zakres geograficznego przetwarzania danych osobowych.

Dodatkowo pewną podpowiedzią w zakresie rozumienia pojęcia terminu „dużej skali” jest brzmienie motywu 90 RODO, który odnosi się co prawda do konieczności dokonywania oceny skutków dla ochrony danych, niemniej jednak wskazuje, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Jako przykłady przetwarzania na dużą skalę Grupa Robocza Art. 29 Ds. Ochrony Danych podaje przetwarzanie danych osobowych:

  • pacjentów przez szpital w ramach prowadzonej działalności,
  • osób korzystających ze środków komunikacji miejskiej poprzez śledzenie podróży za pośrednictwem „kart miejskich”,
  • geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych,
  • klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
  • do celów reklamy behawioralnej przez wyszukiwarki,
  • dotyczących ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych.

Niskie ryzyko naruszenia praw lub wolności osób fizycznych

Po trzecie, jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele przetwarzanie informacji powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Chodzi o ryzyko rozumiane jako wszelkiego rodzaju zagrożenie interesu osoby, której dane osobowe przetwarzasz, a nie ryzyko rozumiane jako zagrożenie Twojego interesu jako administratora.

Powyższe przesłanki muszą wystąpić łącznie. Jeżeli więc przetwarzasz dane osobowe w sposób sporadyczny, nie przetwarzasz na dużą skalę szczególnej kategorii danych osobowych albo informacji dotyczących wyroków skazujących i czynów zabronionych i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało to (Twoje przetwarzanie) ryzyko naruszenia praw lub wolności osób fizycznych. Wówczas nie musisz wyznaczać swojego przedstawiciela.

Forma wyznaczenia przedstawiciela administratora danych osobowych

Wyznaczenie przedstawiciela musi być udokumentowane i należy dokonać tego na piśmie. Stanowi o tym wprost art. 27 ust. 1 RODO. Musisz wyznaczyć swojego przedstawiciela w sposób wyraźny za pomocą pisemnego upoważnienia do podejmowania działań w Twoim imieniu w odniesieniu do Twoich obowiązków jako administratora wynikających z RODO.

Administrator lub podmiot przetwarzający powinien wyznaczyć przedstawiciela w wyraźny sposób za pomocą pisemnego upoważnienia do podejmowania działań w jego imieniu w odniesieniu do obowiązków administratora lub podmiotu przetwarzającego wynikających z niniejszego rozporządzenia.
Motyw 80 RODO (fragment)

Kto może zostać przedstawicielem administratora danych osobowych

Przedstawicielem może być osoba fizyczna lub osoba prawna. Ważne, by osoba ta miała miejsce zamieszkania lub siedzibę w państwie Unii Europejskiej, w którym przebywają osoby, których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane (art. 27 ust. 3 RODO w zw. art. 4 pkt 17 RODO).

Choć można spotkać się ze stanowiskiem, że można ustanowić przedstawiciela w każdym państwie UE, to w mojej ocenie ideą wyznaczenia przedstawiciela administratora jest możliwość realizacji uprawnień osób, których dane osobowe przetwarzasz (na temat ich uprawnień zob. art. 15-22 RODO). Jeżeli wyznaczysz swojego przedstawiciela w Niemczech, a oferujesz towary lub usługi albo też monitorujesz zachowania osób przebywających w Polsce, to realizacja roszczeń wynikających z RODO przez Polaka niewładającego językiem niemieckim może być utrudniona.

Uwaga! Nie ma obowiązku zgłaszania swojego przedstawiciela do organu nadzorczego. Musisz jednak poinformować osoby, których dane osobowe przetwarzasz, że wyznaczyłeś swojego przedstawiciela, podając jego tożsamość i dane kontaktowe (art. 13 ust. 1 lit. a i art. 14 ust. 1 lit. a RODO). W ten sposób spełniasz jeden z kilku elementów obowiązku informacyjnego.

Obowiązki przedstawiciela administratora

Jeżeli zastanawiasz się, jakie zadania będzie realizował przedstawiciel, to musisz wiedzieć, że głównym celem przedstawiciela jest ułatwienie komunikacji pomiędzy administratorem a osobami, których dane osobowe przetwarzasz lub organem nadzorczym. Chodzi o ułatwienie komunikacji. Przedstawiciel powinien wykonywać swoje zadania zgodnie z udzielonym przez Ciebie upoważnieniem, w tym współpracować z organem nadzorczym w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania przepisów RODO.

Przedstawiciel powinien wykonywać swoje zadania zgodnie z upoważnieniem otrzymanym od administratora lub podmiotu przetwarzającego, w tym współpracować z właściwymi organami nadzorczymi w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania niniejszego rozporządzenia. W razie jego nieprzestrzegania przez administratora lub podmiot przetwarzający wyznaczony przedstawiciel powinien zostać poddany działaniom egzekucyjnym.
Motyw 80 RODO (fragment)

Podsumowanie

Przedstawiciel działa w Twoim imieniu. Może być adresatem ewentualnych działań organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO) (art. 27 ust. 4 RODO). Nie oznacza to jednak, że od momentu wyznaczenia przedstawiciela PUODO lub podmiot danych ma kierować wszelkie swoje działania do niego. Nie! Osoby fizyczne, których dane przetwarzasz mogą występować do bezpośrednio do administratora lub do jego przedstawiciela.

Przedstawiciel powinien działać w imieniu administratora lub podmiotu przetwarzającego i może być adresatem ewentualnych działań organu nadzorczego.
Motyw 80 RODO (fragment)

Wyznaczenie przedstawiciela nie wpływa na obowiązki czy odpowiedzialność prawną administratora danych osobowych – wynikającą z przepisów RODO (art. 27 ust. 5 RODO).


Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl

Stan prawny na dzień: 13.04.2020 r. Aktualizacja: 16.04.2024 r.


Bibliografia

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
  2. Komentarz do art. 27 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, red. P. Figielski, Wolters Kluwer Polska, Warszawa 2018, Lex.
  3. N. Stojanowska, Rejestr czynności przetwarzania, Nowa Currenda 3/2018.
  4. K. Witkowska-Nowakowska, Komentarz do art. 27 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Wolters Kluwer, Warszawa 2018, Lex.
  5. Grupa Robocza Art. 27 Ds. Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), WP 243 rew.01, przyjęte w dniu 13 grudnia 2016 r. Ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r. https://uodo.gov.pl/data/filemanager_pl/15.pdf, 11.04.2020 r.

Źródło zdjęcia: Sora Shimazaki, Pexels, https://www.pexels.com/pl-pl/zdjecie/przytnij-czarnego-kandydata-do-pracy-przechodzac-do-pracownika-hr-5673502/, dostęp: 30.10.2023 r.

Udostępnij

Natalia Stojanowska

Prawnik biznesowy. Wspieram przedsiębiorców, którzy skupiają swoje działania w internecie. Dostarczam poszukującym wsparcia prawnego, eksperckich porad i wskazówek dotyczących prowadzenia biznesu online. Założycielka projektu Tu Dział Prawny.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *