Brak jednostki organizacyjnej w UE a zgłoszenie IOD
Do którego organu nadzorczego należy kierować zawiadomienie o wyznaczeniu IOD w przypadku podmiotów nieposiadających jednostki organizacyjnej w UE?
Zawiadomienie organu nadzorczego o wyznaczeniu inspektora ochrony danych przez podmioty wskazane w art. 3 ust. 2 RODO powinno nastąpić do organu nadzorczego w państwie członkowskim, w którym przedstawiciel administratora w UE ma jednostkę organizacyjną.
Do podmiotów (administratorów i podmiotów przetwarzających) nieposiadających jednostki organizacyjnej w UE RODO może mieć zastosowanie, również w zakresie obowiązku wyznaczenia inspektora ochrony danych osobowych, wówczas, gdy prowadzone przez nie czynności przetwarzania wiążą się z:
- oferowaniem towarów lub usług takim osobom, których dane dotyczą, w UE - niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
- monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w UE.
Takie podmioty mają obowiązek wyznaczenia swojego przedstawiciela w UE, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje na dużą skalę przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych, lub jeżeli administrator jest organem lub podmiotem publicznym. Wyznaczenie przedstawiciela nie wpływa na obowiązki lub odpowiedzialność prawną administratora lub podmiotu przetwarzającego wynikającą z RODO ( art. 27 ust. 5 RODO, Motyw 80).
Do jakiego organu podmioty takie powinny kierować zawiadomienie o wyznaczeniu IOD? Stosując analogię do obowiązku zgłaszania naruszeń i wskazówek przekazanych w kontekście tego obowiązku w odniesieniu do podmiotów, które nie posiadają jednostki organizacyjnej w UE w Wytycznych dotyczących zgłaszania naruszeń ochrony danych (WP 250) zgłoszenia związane z inspektorem ochrony danych powinny być kierowane do organu nadzorczego w państwie członkowskim, w którym przedstawiciel administratora w UE ma jednostkę organizacyjną. W przypadku zgłoszeń naruszeń ochrony danych osobowych Gr. Robocza wypowiedziała się następująco: (…) w przypadku, gdy naruszenie odnotuje administrator niemający jednostki organizacyjnej w UE, który podlega przepisom art. 3 ust. 2 lub 3, na administratorze tym wciąż spoczywają obowiązki zgłaszania określone w art. 33 i 34. W art. 27 ustanowiono wymóg zobowiązujący administratora (i podmiot przetwarzający) do wyznaczenia przedstawiciela w UE w przypadku, gdy zastosowanie ma art. 3 ust. 2. W takich przypadkach Grupa Robocza Art. 29 zaleca, aby zgłoszenia były kierowane do organu nadzorczego w państwie członkowskim, w którym przedstawiciel administratora w UE ma jednostkę organizacyjną. Podobnie w przypadku gdy podmiot przetwarzający podlega przepisom art. 3 ust. 2, spoczywają na nim obowiązki dotyczące podmiotów przetwarzających, a w szczególności obowiązek zgłaszania naruszenia administratorowi na podstawie art. 33 ust. 2.
(str. 21)