Zadania i uprawnienia organu nadzorczego

W systemie ochrony danych osobowych kluczowe miejsce zajmują niezależne organy ochrony danych, zwane również organami nadzorczymi. W art. 28 dyrektywy 95/46/ WE nadano im szczególny status oraz określono ich zadania, co w konsekwencji późniejszych prac legislacyjnych zostało potwierdzone w art. 8 Karty Praw Podstawowych UE oraz w art. 16 Traktatu o Funkcjonowaniu UE, które określiły wymagania w odniesieniu do gwarancji niezależności organów ochrony danych osobowych.

RODO przyjęło dotychczasowe rozwiązania, wykorzystując obowiązujące standardy i je rozwijając. Jednocześnie wzmacnia pozycję ustrojową niezależnych organów ochrony danych osobowych, które mają za zadanie efektywnie egzekwować przestrzeganie przepisów o ochronie danych osobowych. Organy te otrzymały szersze kompetencje oraz gwarancje pełnej niezależności.

Przepisy RODO prowadzą do likwidacji różnic w kompetencjach krajowych organów nadzorczych i zapewniają ich ujednolicenie w wyniku wdrożenia jednolitego katalogu zadań oraz kompetencji organów nadzorczych.Wśród nowych rozwiązań, w szczególności nieznanych dotąd polskim przepisom o ochronie danych osobowych, należy wymienić, zgodnie z art. 57, takie kompetencje, jak:

  • kompetencje do nakładania administracyjnych kar finansowych,
  • pełnienie funkcji edukacyjnej i doradczej,
  • ustanawianie systemów certyfikacji oraz samoregulacji,
  • monitorowanie i egzekwowanie przestrzegania przepisów o ochronie danych,
  • rozpatrywanie skarg osób, których dane dotyczą, i prowadzenie związanych z tym postępowań,
  • upowszechnianie wiedzy w tym zakresie, w szczególności podejmowanie działań edukacyjnych skierowanych do dzieci,
  • upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy o spoczywających na nich obowiązkach,
  • doradzanie parlamentom narodowym, rządom oraz innym instytucjom i organom w sprawie aktów prawnych i środków administracyjnych,
  • współpraca z innymi organami nadzorczymi, w tym wymiana informacji i wzajemna pomoc oraz udział w pracach Europejskiej Rady Ochrony Danych,
  • monitorowanie rozwoju technologii informacyjno-komunikacyjnych, nowych modeli biznesowych i zmian mających wpływ na ochronę danych osobowych w innych dziedzinach,
  • ustanowienie i prowadzenie wykazów operacji wymagających obowiązku przeprowadzenia oceny skutków,
  • realizacja zadań dotyczących kodeksów postępowania oraz mechanizmów certyfikacji,
  • zatwierdzanie różnych instrumentów prawnych umożliwiających przekazywanie danych osobowych do państw trzecich, które nie zapewniają odpowiedniego poziomu ochrony,
  • prowadzenie wewnętrznych rejestrów naruszeń RODO i działań naprawczych podjętych zgodnie z art. 58 ust. 2 rozporządzenia,
  • wypełnianie zadań na rzecz osoby, której dane dotyczą, i inspektora ochrony danych. Organ jest zobowiązany do ułatwiania wnoszenia skarg poprzez udostępnienie odpowiedniego formularza w formie elektronicznej (art. 57 ust. 2 rozporządzenia).

Ponadto rozporządzenie nadaje organom nadzorczym szereg uprawnień, które mają za zadanie dyscyplinowanie administratorów danych oraz ich przywoływanie do należytego stosowania przepisów RODO, a tym samym powodować naprawę systemu przetwarzania danych i przywracać go do właściwych standardów.

Do takich uprawnień zalicza się:

  • wydawanie ostrzeżeń skierowanych do administratora lub podmiotu przetwarzającego, gdy planowane operacje przetwarzania danych mogą naruszać przepisy RODO;
  • udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu, gdy operacje przetwarzania danych naruszają przepisy ogólnego rozporządzenia;
  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądań osoby, której dane dotyczą, w zakresie realizacji jej uprawnień;
  • nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania prowadzonych operacji przetwarzania danych do przepisów RODO;
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  • wprowadzanie czasowego lub całkowitego ograniczenia, a nawet zakazu przetwarzania danych;
  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  • cofnięcie certyfikatu lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikatu lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
  • nałożenie administracyjnej kary pieniężnej;
  • wstrzymanie przekazywania danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Oprócz kompetencji naprawczych organom nadzorczym przyznano kompetencje do wydawania zezwoleń oraz uprawnienia doradcze, które obejmują:

  • udzielanie porad administratorowi w ramach uprzednich konsultacji;
  • wydawanie opinii przeznaczonych m.in. dla parlamentu narodowego, rządu państwa członkowskiego oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych;
  • wydawanie uprzednich zezwoleń na określone operacje przetwarzania danych, jeżeli taki obowiązek przewiduje prawo krajowe;
  • opiniowanie i zatwierdzanie projektów kodeksów postępowania;
  • akredytowanie podmiotów certyfikujących;
  • udzielanie certyfikatów i zatwierdzanie kryteriów certyfikacji.

Ujednolicone zadania i kompetencje organów nadzorczych będą miały istotne znaczenie w odniesieniu do przetwarzania danych osobowych w przesyle transgranicznym przez administratorów, którzy mają swoje siedziby i oddziały w różnych państwach Unii. Art. 4 pkt 23 rozporządzenia wprowadził pojęcie „przetwarzania danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo przetwarzania danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim”. RODO określa jurysdykcję organu nadzorczego w sprawach transgranicznych oraz wprowadza procedury współpracy pomiędzy organami nadzorczymi. W razie konfliktu między zaangażowanymi organami istnieje możliwość wydawania wiążących decyzji przez Europejską Radę Ochrony Danych.