Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Wyznaczenie inspektora ochrony danych przez podmiot spoza Unii Europejskiej

17/07/2019

Inspektor Ochrony Danych, Iod, Dpo, Obowiązek Administratora, Obowiązek Podmiotu Przetwarzającego, Przetwarzanie Danych Przez Podmioty Spoza Ue,

Ogólne rozporządzenie o ochronie danych w określonych w ust. 1 art. 37 RODO przypadkach przewiduje obowiązek wyznaczenia przez administratorów i podmiotów przetwarzających inspektora ochrony danych. Dotyczy to głównie podmiotów, które przetwarzaj dane w związku z działalnością prowadzona przez swoje jednostki organizacyjne w Unii. Powstaje pytanie, czy podmiot zagraniczny nieposiadający jednostki organizacyjnej w UE powinien wyznaczyć inspektora ochrony danych?


Przepisy Ogólnego rozporządzenie o ochronie danych obejmują wszystkie podmioty działające na terenie UE, które gromadzą i przetwarzają dane osób fizycznych.

Przedsiębiorstwa spoza Unii Europejskiej, które oferują swoje towary i usługi osobom przebywającym na terytorium UE lub monitorują zachowania osób na terenie UE,  niezależnie od tego, gdzie odbywa się przetwarzanie też podlegają przepisom RODO (ust. 2 art. 3 RODO). Zatem muszą oni powołać inspektora ochrony danych, jeśli spełniają warunki określone w ust. 1 art. 37 RODO.

 

 

1. Kiedy trzeba wyznaczyć IOD?

 

Wyznaczenie inspektora jest dla administratora lub podmiotu przetwarzającego obowiązkowe, gdy:

 

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

(patrz Schemat „Wyznaczenie Inspektora ochrony danych).


W przypadku grupy przedsiębiorstw można wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej (patrz: Wyznaczenie jednego  Inspektora dla  kilku podmiotów w grupie przedsiębiorstw).

 

Inspektor ochrony danych wyznacza się na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia wymienionych w RODO zadań (patrz: Jakie kwalifikacje powinien posiadać Inspektor Ochrony Danych).

 

 

2. Gdzie powinien być zlokalizowany IOD?

 

 

Grupa Robocza  Art. 29  (GR Art. 29 ) w wytycznych dotyczących inspektorów ochrony danych  (patrz: Wytyczne dotyczące inspektorów ochrony danych DPO) zwraca uwagę na to, że dostępność IOD powinna być efektywna (sekcja 4 RODO) by zapewnić dostępność Inspektora oraz  zaleca aby IOD zlokalizowany był wewnątrz Unii Europejskiej, niezależnie od tego czy administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w UE.

 

Jednak zdaniem GR art. 29 nie można wykluczyć, że w niektórych przypadkach, w których administrator lub podmiot przetwarzający  nie będą mieli jednostki organizacyjnej w Unii Europejskiej, IOD będzie w stanie skutecznie prowadzić swoją działalność, znajdując się poza terytorium UE.

 

 

3. Do którego organu nadzorczego należy kierować zawiadomienie o wyznaczeniu IOD?

 

Zawiadomienie organu nadzorczego o wyznaczeniu inspektora ochrony danych podmioty, nieposiadające jednostki organizacyjne w UE powinny kierować do organu nadzorczego w państwie członkowskim, w którym przedstawiciel administratora w UE ma jednostkę organizacyjną.

 

Wytycznych dotyczących zgłaszania naruszeń ochrony danych GR Art.29  wypowiedziała się ,że w przypadku, gdy naruszenie odnotuje administrator niemający jednostki organizacyjnej w UE, zaleca się, aby zgłoszenia były kierowane do organu nadzorczego w państwie członkowskim, w którym przedstawiciel administratora w UE ma jednostkę organizacyjną. Podobnie w przypadku przedmiotu przetwarzającego.

 

Stosując analogię do obowiązku zgłaszania w odniesieniu do podmiotów, które nie posiadają jednostki organizacyjnej w UE  zgłoszenia związane z inspektorem ochrony danych powinny być kierowane do organu nadzorczego w państwie członkowskim, w którym przedstawiciel administratora w UE ma jednostkę organizacyjną. (patrz: Jak formalnie powołać  Inspektora Ochrony Danych i zgłosić go do rejestru Prezesa Urzędu  Ochrony Danych Osobowych?)

 

 

Olga Sklyarova, specjalista ds. ochrony danych osobowych, audytor JDS Consulting

 

Inspektor Ochrony Danych, Iod, Dpo, Obowiązek Administratora, Obowiązek Podmiotu Przetwarzającego, Przetwarzanie Danych Przez Podmioty Spoza Ue,
Podręcznik Inspektora Ochrony Danych
Podręcznik Inspektora Ochrony Danych
Czy Inspektor Ochrony danych może być wyznaczony do nadawania upoważnień do przetwarzania danych osobowych?
Czy Inspektor Ochrony danych może być wyznaczony do nadawania upoważnień do przetwarzania danych osobowych?
Czy warto wyznaczyć inspektora ochrony danych?
Czy warto wyznaczyć inspektora ochrony danych?