Kiedy administrator lub podmiot przetwarzający muszą wyznaczyć swojego przedstawiciela?

• 31.12.2018

• Autor: Joanna Peryt

• News

Zgodnie z art. 3 ust. 2 RODO administratorzy danych i podmioty przetwarzające, którzy nie posiadają swojej siedziby na terenie Unii Europejskiej, ale przetwarzają dane osób przebywających na terenie Unii w związku z oferowaniem im towarów lub usług lub monitorowaniem ich zachowania, zobowiązani są do wyznaczenia swojego przedstawiciela.

Obowiązek ten nie ma zastosowania wówczas, kiedy przetwarzanie danych przez administratorów i podmioty przetwarzające:

• ma charakter sporadyczny i nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych osobowych oraz przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Należy podkreślić, że przesłanki te muszą zachodzić łącznie, aby podmiot został zwolniony z powyższego obowiązku.
• jeżeli administrator jest organem lub podmiotem publicznym.

Zgodnie z definicją przedstawicielem może być osoba fizyczna lub prawna, która ma miejsce zamieszkania lub siedzibę w Unii, i która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z rozporządzenia. Wybór właściwego przedstawiciela powinien być uzależniony od charakteru przetwarzania oraz wielkości administratora lub podmiotu przetwarzającego. Istotne jest, aby przedstawiciel miał siedzibę w państwie członkowskim, w którym przebywają osoby, których dane są przetwarzane.

Przedstawiciel działa w imieniu administratora lub podmiotu przetwarzającego i pełni rolę punktu kontaktowego dla organu nadzorczego oraz dla osób, których dane dotyczą w związku z realizacją ich żądań. Należy podkreślić, że wyznaczenie przedstawiciela nie zwalnia powyższych podmiotów z wywiązywania się z obowiązków, jakie nakłada na nich RODO, np. z odpowiedzialności za naruszenia, która spoczywa zarówno na administratorze, jak i podmiocie przetwarzającym. Na przedstawiciela również mogą zostać nałożone sankcje zgodnie z art. 84 ust. 1 RODO.

Ponadto w motywie 80 Preambuły wskazano, że przedstawiciel wykonuje swoje zadania na podstawie pisemnego upoważnienia nadanego mu przez administratora danych lub podmiot przetwarzający i działa tylko zgodnie z tym upoważnieniem. W przypadku kiedy przedstawiciel nie przestrzega zapisów upoważnienia może zostać poddany działaniom egzekucyjnym, mimo że w samym rozporządzeniu nie są przewidziane dla przedstawiciela żadne sankcje z tego tytułu.

Informacja o powołaniu przedstawiciela musi zostać przekazana w obowiązku informacyjnym skierowanym do osób, których dane dotyczą, i należy wskazać w nim jego tożsamość i dane kontaktowe.

Brak powołania przez administratora lub podmiot przetwarzający swojego przedstawiciela, jeśli zachodzą ku temu przesłanki, może prowadzić do zastosowania środków, o których  jest mowa w art. 77 – 78 oraz może skutkować nałożeniem kary pieniężnej  zgodnie z art. 83 ust. 4 lit. a) RODO.

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.