Zasada One stop shop w RODO

stop shop rodo

Porządek prawny Unii Europejskiej pozwala przedsiębiorstwom na nieskrępowane prowadzenie działalności w innych państwach członkowskich, wprowadzając zakazy ograniczeń w tym zakresie. Podobnie jest z ochroną danych osobowych. RODO zapewnia swobodny przepływ danych osobowych pomiędzy granicami państw członkowskich UE. Jak natomiast wyglądają obowiązki administratora danych osobowych w przypadku działalności prowadzonej w kilku państwach członkowskich jednocześnie? Czy przykładowo, w przypadku wystąpienia naruszenia ochrony danych osobowych administrator powinien powiadomić o tym organ nadzorczy w każdym z państw członkowskich w którym prowadzi działalność? Na te pytania odpowiedź stanowi zasada „One stop shop”.

Dotychczas administrator danych podlegał tylu organom nadzorczym ochrony danych osobowych, w ilu państwach członkowskich prowadził działalność gospodarczą. RODO wychodzi pod tym względem naprzeciw interesom przedsiębiorców i ustala zasadę podlegania jednemu organowi nadzorczemu na terenie całej UE, niezależnie od ilości państw, na terenie których działa firma. Właściwość organu nadzorczego w UE dla administratorów i procesorów ustala się według kryterium siedziby, lub głównej jednostki organizacyjnej, co oznacza, że w państwie członkowskim, w którym administrator podejmuje decyzje o celach i sposobach przetwarzania danych, mieści się właściwy dla administratora organ nadzorczy. Natomiast, gdy siedziba administratora znajduje się poza EOG, właściwym organem będzie organ państwa członkowskiego, w którym odbywają się główne czynności przetwarzania w Unii.

Należy zaznaczyć, że zasada „one stop shop” odnosi się także do obywateli Unii. Dla przykładu, gdy obywatel jednego państwa członkowskiego chce zgłosić naruszenie dokonane przez administratora, którego właściwy organ nadzorczy znajduje się w innym państwie członkowskim, to może to uczynić w „swoim”, lokalnym organie nadzorczym. Tak więc, organ nadzorczy będzie tutaj właściwy dla czynności przetwarzania odbywającej się w danym państwie członkowskim, natomiast w sprawie obowiązków administratora właściwy będzie nadal organ nadzorczy właściwy dla siedziby firmy.

Sposób działania zasady „one stop shop” spaja niejako obowiązek współpracy między organami nadzorczymi. Jeżeli w sprawie, w której udział bierze także podmiot przetwarzający z siedzibą w innym państwie członkowskim niż państwo siedziby administratora, to organ nadzorczy tego państwa również zostanie zaangażowany w sprawę. Podobnie będzie też w przypadku przytoczonej powyżej skargi obywatela.

Bartosz Czernek

Autor

Bartosz Czernek

Praktykował w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Ma doświadczenie w prowadzeniu audytów ochrony danych osobowych, opiniowaniu umów i regulaminów.