Opracowanie

RODO – Główna jednostka organizacyjna

Pojęcie głównej jednostki organizacyjnej jest kluczowe dla ustalenia, które państwo Unii będzie sprawowało nadzór nad przetwarzaniem danych osobowych w podmiocie.

Art. 4 pkt 16 rozbija definicję głównej jednostki organizacyjnej na tę dotyczącą administratora danych i podmiot przetwarzający. Przepis ma zastosowanie, gdy którykolwiek z tych podmiotów ma jednostki organizacyjne w więcej niż jednym państwie członkowskim.

Zgodnie z art. 4 pkt 16 lit. a, w przypadku administratora danych główna jednostka administracyjna będzie w miejscu, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organizacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje.

Z kolei dla podmiotu przetwarzającego będzie to miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostka organizacyjna podmiotu przetwarzającego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organizacyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy RODO.

Konkretne wskazówki jak ustalać miejsce położenia głównej jednostki organizacyjnej zawiera motyw 36 preambuły. Zgodnie z nim, główną jednostkę organizacyjną administratora w Unii należy określać na podstawie obiektywnych kryteriów; powinna ona oznaczać skuteczne i faktycznie zarządzanie za pośrednictwem stabilnych struktur polegające na podejmowaniu najważniejszych decyzji co do celów i sposobów przetwarzania. Kryterium to nie powinno zależeć od faktu, czy przetwarzanie danych osobowych odbywa się w tej lokalizacji. Obecność i wykorzystywanie środków technicznych i technologii do przetwarzania danych osobowych lub do czynności przetwarzania nie stanowią same w sobie o głównej jednostce organizacyjnej, nie są więc kryteriami decydującymi o jej określeniu.

W przypadku gdy sprawa dotyczy zarówno administratora, jak i podmiotu przetwarzającego, właściwym wiodącym organem nadzorczym powinien pozostać organ nadzorczy państwa członkowskiego, w którym administrator ma główną jednostkę organizacyjną, ale organ nadzorczy podmiotu przetwarzającego powinien być uznawany za organ nadzorczy, którego sprawa dotyczy, i powinien uczestniczyć w procedurze współpracy przewidzianej w niniejszym rozporządzeniu.

Zaprezentowane definicje prowadzą do wniosku, że podmioty same powinny ustalić, gdzie znajduje się ich główna jednostka organizacyjna. Jeśli jednak taki wybór nie będzie faktycznie usprawiedliwiony (bo oceny należy dokonywać na podstawie kryteriów obiektywnych), może zostać podważony jako sprzeczny z prawem.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.