Aktualne prace

Konsultacje wytycznych do unijnego rozporządzenia – podsumowanie

Ikona drukuj
Podmiot udostępniający: Departament Edukacji Społecznej i Współpracy Międzynarodowej Biura GIODO
Wytworzył informację: Urszula Góral2017-03-03
Wprowadził informację: Paweł Holiczko2017-03-03 14:03:58
Ostatnio modyfikował: Paweł Holiczko 2017-03-03 14:59:45

Środowiska biznesowe oczekują, że przygotowane przez Grupę Roboczą Art. 29 Wytyczne do unijnego rozporządzenia będą jeszcze doprecyzowane.

Rozpoczęcie stosowania – od 25 maja 2018 r. – przepisów ogólnego rozporządzenia o ochronie danych oznacza rewolucję. Ten akt prawny nakłada bowiem na administratorów danych wiele nowych obowiązków.

Żeby ułatwić im ich wypełnienie, a jednocześnie pozwolić lepiej przygotować się do stosowania nowych regulacji, polski organ ochrony danych wspólnie z innymi europejskimi rzecznikami skupionymi w Grupie Roboczej Art. 29 ds. Ochrony Danych, pracuje nad zestawem wytycznych dotyczących konkretnych rozwiązań i instrumentów ogólnego rozporządzenia.

Dotychczas powstały 3 takie dokumenty:

    • Wytyczne dotyczące prawa do przenoszenia danych,
    • Wytyczne dotyczące inspektorów ochrony danych oraz
    • Wytyczne dotyczące wiodącego organu nadzorczego właściwego dla administratora lub przetwarzającego.

Wytyczne Gr. Roboczej Art. 29, choć nie są dokumentem wiążącym, to mogą mieć bardzo praktyczny wymiar i wspomagać rozumienie i stosowanie przepisów rozporządzenia.

GIODO, chcąc poznać opinie różnych środowisk na ich temat, zainicjował specjalne konsultacje w tej sprawie, a wszystkie zainteresowane podmioty swoje uwagi do nich mogły przesyłać do 15 lutego 2017 r.

Przedsiębiorcy oczekują konkretnych wskazówek

Odzew na zaproszenie do konsultacji był bardzo duży, a nadesłane do GIODO uwagi dowodzą, że treść dokumentów Gr. Roboczej Art. 29 budzi w dalszym ciągu liczne kontrowersje.

Wiele podmiotów wskazuje na zbyt rozszerzającą wykładnię przepisów rozporządzenia stosowaną przez Grupę Roboczą Art. 29. I choć takie podejście miało na celu dodatkowe uelastycznienie rozporządzenia, to jednak według zgłaszających uwagi, skutkuje stworzeniem stanu niepewności dla przedsiębiorców.

Uwagi do Wytycznych dotyczących inspektorów ochrony danych

Przewidziane przepisami rozporządzenia obowiązkowe w niektórych sytuacjach wyznaczenie inspektora ochrony danych niejednokrotnie oznaczać będzie dla administratorów wiele nowych obowiązków. Wiązać się z nimi będą daleko idące zmiany strukturalne i organizacyjne. W związku z tym wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (ang. data protection officers; DPO (WP243) spotkały się z dużym odzewem ze strony zainteresowanych środowisk. Poniżej zamieszczone zostały najważniejsze uwagi przedstawione w kolejności odpowiadającej treści wytycznych.

Ustalenie obowiązku powołania DPO

Zgodnie z rekomendacją Grupy Roboczej Art. 29, administrator danych lub podmiot przetwarzający powinni stworzyć dokument potwierdzający analizę, iż nie są zobowiązani do wyznaczenia inspektora ochrony danych. Natomiast zdaniem uczestników konsultacji, w Wytycznych brakuje odpowiedzi na pytanie, jak często i w jakich sytuacjach powinno się dokonywać analizy obowiązku wyznaczenia DPO.

„Główna działalność”

Do kolejnej kwestii zaliczyć należy rozszerzającą wykładnię art. 37 ust. 1 lit. b i c. Zgodnie z tym artykułem, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy ich „główna działalność” polega na:

      • operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
      • przetwarzaniu na dużą skalę danych wskazanych w art. 9 i 10 RODO.

Natomiast w wytycznych przeczytać możemy, iż: „Głównej działalności nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną. Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania DPO.”

Uczestnicy konsultacji wskazywali, iż stwierdzenia „administrator i podmiot przetwarzający wyznaczą inspektora ochrony danych, zawsze gdy „działalność główna” polegać będzie na operacja przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę” nie należy intepretować w sposób rozszerzający, tak jak ma to miejsce w wytycznych. W efekcie bowiem obowiązek powołania DPO dotyczyłby dużo szerszego kręgu podmiotów.

Ponadto w przedstawionych uwagach podnoszono, iż Grupa Robocza Art. 29 przyjęła zbyt daleko idącą wykładnię treści art. 37 ust. 1 lit. c rozporządzenia, wskazując w Wytycznych, że choć w treści rozporządzenia zastosowano łącznik „oraz” (w wersji angielskiej „and”) to jednak zasadne wydaje się stosowanie łącznika „lub”. Według respondentów, taka zmiana może budzić wątpliwości administratorów, organów nadzorczych oraz sądów poszczególnych państw członkowskich. Ponadto, zastosowanie się do takiej wytycznej może spowodować, iż zwiększy się liczba podmiotów, które będą zobowiązane do wyznaczenia inspektora ochrony danych.

DPO dla grupy przedsiębiorstw lub kilku organów i podmiotów publicznych

Choć art. 37 ust. 2 i ust. 3 przewidują możliwość wyznaczenia jednego inspektora ochrony danych dla grupy przedsiębiorstw albo organów i podmiotów publicznych, to w wytycznych nie został określony sposób takiego wyznaczenia. W konsultacjach podnoszono zaś, iż odmienna będzie procedura przy jednorazowym wyznaczeniu DPO przez spółkę kontrolującą (spółkę „matkę”), a odmienna w przypadku wyznaczenia takiej osoby w każdym przedsiębiorstwie. Podobne wątpliwości budziła niejasna procedura wyznaczenia DPO dla grupy organów i podmiotów publicznych i brak wskazania, czy akt wyznaczenia ma być dokonany przez organ nadrzędny, czy przez każdy z organów.

Wątpliwości budzi również praktyczne rozumienie „grupy przedsiębiorstw” i „kilku organów lub podmiotów”, a także brak wskazania konkretnej liczby podmiotów, dla których wyznaczony może być ten sam DPO.

Kwalifikacje zawodowe

Zgodnie z art. 37 ust. 5 rozporządzenia, na kwalifikacje zawodowe składają się wiedza fachowa oraz umiejętności wypełniania zadań. Tymczasem, jak wskazują uczestnicy konsultacji, w Wytycznych nie wyjaśniono, jakie warunki muszą być spełnione, by uznać, że dana osoba ma umiejętność wypełniania zadań.

Niezależność

W przedstawionych uwagach wskazywano, iż art. 38 ust. 3, będący główną podstawą niezależności inspektora ochrony danych, nie został w sposób należyty wyjaśniony. Zasugerowano więc, by zgodnie ze standardami dotyczącymi innych zawodów i funkcji, niezależność w wykonywaniu działalności inspektora obejmowała m.in. brak możliwości wywierania nacisku przy realizacji przez niego jego zadań. Wskazywano, że tym samym przepis ten wymagałby dokładniejszego wytłumaczenia.

Tajemnica lub poufność wykonywania zadań

Art. 38 ust. 5 stanowi, że „Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego”. Natomiast zdaniem uczestników konsultacji, przepis ten wymaga dalszego wyjaśnienia i odpowiedzi na pytanie, czym różni się obowiązek zachowania tajemnicy od obowiązku zachowania poufności, jakich danych te obowiązki dotyczą i w jakim zakresie może wystąpić wyłączenie tej zasady.

Zadania DPO

Zarzutem podniesionym w wielu komentarzach do Wytycznych był brak wyjaśnienia wszystkich zadań inspektora ochrony danych wymienionych w art. 39 rozporządzenia, takich jak:

        • informowanie i doradzanie w sprawach obowiązków spoczywających na mocy rozporządzenia oraz innych przepisów o ochronie danych osobowych,
        • współpraca z organem nadzorczym,
        • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenia konsultacji we wszystkich innych sprawach.

Ze względu na istotny udział inspektora ochrony danych w zapewnieniu przestrzegania przepisów rozporządzenia, biorący udział w konsultacjach wskazywali na potrzebę wyjaśnienia wszystkich zadań DPO.

Zwracali również uwagę na brak omówienia zadania wynikającego z art. 47 ust. 2 lit. h, który stanowi, że „w wiążących regułach korporacyjnych, określone zostają co najmniej zadania inspektora ochrony danych wyznaczonego zgodnie z art. 37 lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania wiążących reguł korporacyjnych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz monitorowanie szkoleń i rozpatrywanie skarg.” W związku z tym uczestnicy konsultacji stali na stanowisku, iż zasadne jest wyjaśnienie, na czym mają polegać i w jaki sposób mają być wykonywane zadania monitorowania w ramach wiążących reguł korporacyjnych oraz jak je odnieść do zadania monitoringu określonego w art. 39 ust. 1 lit. b.

Zespół DPO

Wskazany w punkcie 3.2 zespół DPO, nie znajdujący oparcia w przepisach RODO, zdaniem uczestników konsultacji wymaga doprecyzowania. Wskazywano, iż z racji na szeroki zakres obowiązków DPO wyznaczenie takiego zespołu może okazać się niezbędne. Jednocześnie negatywnie odebrano brak omówienia kwestii podziału odpowiedzialności, wymagań stawianych wobec członków takiego zespołu, kwestii związanej z zawiadomieniem organu nadzorczego, uprawnień i gwarancji członków zespołu DPO (niezależność w wykonywaniu zadań, zakaz odwoływania lub karania, zakaz istnienia konfliktów interesów).

Uwagi do Wytycznych dotyczące prawa do przenoszenia danych

Wiele zgłoszonych do GIODO uwag dotyczyło Wytycznych dotyczących prawa do przenoszenia danych (WP242). O prawie tym jest mowa w art. 20 rozporządzenia. Tymczasem wątpliwości uczestników konsultacji budziła wykładnia art. 20 ust. 1 rozporządzenia, który stanowi, że „osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora [...]”.

„Dane osobowe”

Zgodnie z art. 4 pkt 1 rozporządzenia, „dane osobowe” oznaczają „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.”

W treści Wytycznych wskazano szeroki zakres danych podlegających prawu do przenoszenia, m.in. lista piosenek użytkownika portalu muzycznego, informacje na temat zakupów. Oznacza to, zdaniem uczestników konsultacji, zaklasyfikowanie do danych osobowych informacji wykraczających poza zakres definicji wskazanej w art. 4 pkt 1 rozporządzenia. Nakładanie na dotychczasowego administratora obowiązku przekazywania takich danych powoduje tylko niepotrzebne zwielokrotnianie danych, które byłoby wykonywane nie w interesie podmiotu danych, lecz w celu uniknięcia dotkliwej kary finansowej. Ponadto na tle tych przykładów z Wytycznych mogą pojawić się problemy ze zidentyfikowaniem zakresu danych podlegającemu przenoszeniu.

Zgodnie z Wytycznymi, „prawo do przenoszenia danych nie jest prawem osoby do niewłaściwego wykorzystywania informacji w sposób, który można zaklasyfikować jako nierzetelną praktykę lub który stanowi naruszenie praw własności intelektualnej. Jednakże potencjalne ryzyko biznesowe nie może, samo w sobie, stanowić podstawy do odmowy udzielenia odpowiedzi na wniosek o przeniesienie i administrator danych może przekazać dane osobowe przekazane przez osoby, których dane dotyczą, w formie, która nie ujawnia informacji objętych tajemnicą handlową lub prawami własności intelektualnej.”

Takie podejście do przenoszenia danych osobowych, zdaniem przedstawicieli branży telekomunikacyjnej, i wskazywane w Wytycznych rozszerzenie ich na metadane/cookies i tym podobne informacje o charakterze w zasadzie bardziej technicznym niż osobowym, jest bardzo daleko idącym i bardzo trudnym do zrealizowania ograniczeniem dla dostawców usług telekomunikacyjnych i dostawców usług w Internecie, gdyż prowadzi de facto do realizacji kopiowania i udostępniania baz danych zbieranych/tworzonych przez użytkownika. Zdaniem respondentów, przeciętny konsument, który zażąda przeniesienia wszystkich swoich danych, nie zdaje sobie sprawy z istnienia pewnych danych na jego temat w systemach dostawcy, w tym o danych objętych tajemnicą telekomunikacyjną. Krytycznie wskazano, iż zrealizowanie Wytycznych oznacza w praktyce istotne zagrożenie dla tajemnicy telekomunikacyjnej, a to wszystko w wyniku złej interpretacji przepisów podyktowanej chęcią zapewnienia wygody użytkownikom usług social media.

W uwagach do Wytycznych wskazano również, iż podane w dokumencie Grupy Roboczej Art. 29 przykłady obejmują dane nie tylko eksploatacyjne, ale także statystyki, które mogą być objęte nie tylko tajemnicą telekomunikacyjną, ale również tajemnicą przedsiębiorstwa administratora danych osobowych, jak na przykład bieżące play listy wskazujące, jakich utworów użytkownik najczęściej słuchał czy które filmy z platformy VOD oglądał. Tak szeroki zakres danych może ujawniać firmom konkurencyjnym zakres świadczonej na rzecz danego podmiotu usługi, a także (ze względu na łatwość przeliczenia pojedynczych streamingów według dostępnych publicznie cenników) pozwala na dokładne obliczenie przychodów danego konkurenta z określonej usługi.

W kontekście powyższego wskazywano również na wątpliwości związane z obowiązkami ciążącymi na obecnym administratorze - brak bowiem pewności, czy zobowiązany jest on do oceny i podjęcia decyzji, czy dane, które mają być przeniesione, są objęte tajemnicą handlową lub prawami własności intelektualnej, jak również czy jest on upoważniony do zdecydowania, które dane nie naruszają praw własności intelektualnej lub tajemnicy handlowych i mogą być przenoszone, a przeniesienie których należy wstrzymać.

„Dane osobowe jej dotyczące, które dostarczyła administratorowi”

Grupa Robocza Art. 29 przyjęła bardzo szerokie rozumienie danych dostarczonych administratorowi przez osobę, której dane dotyczą, stanowiąc, że „generalnie, zważywszy na cele polityki prawa do przenoszenia danych, termin „przekazane przez osobę, której dane dotyczą” musi być interpretowany szeroko, z wyłączeniem tylko „danych wywnioskowanych” i „danych wywiedzionych”, które obejmują dane osobowe, które są generowane przez dostawcę usług (na przykład wyniki algorytmiczne). Administrator może wyłączyć takie wywnioskowane dane, ale powinien uwzględnić wszystkie inne dane osobowe przekazane przez osobę, której dane dotyczą, za pomocą środków technicznych przekazanych przez administratora.” Oznacza to zaliczenie do tej kategorii takich danych, jak:

          • dane bezpośrednio dostarczone, np. imię, nazwisko, login,
          • dane przekazane w związku z korzystaniem z usługi, np. historia wyszukiwania, dane o lokalizacji.

Wskazać należy na zastrzeżenia związane z rozszerzającą wykładnią zwrotu „dane dostarczone administratorowi”. Według przedstawicieli branży telekomunikacyjnej, celowo zastosowano zwrot dane „dostarczone” administratorowi, a nie „przetwarzane” przez administratora. I choć dane dostarczone podlegać będą przetwarzaniu, to nie wszystkie dane przetwarzane są w wyniku dostarczenia przez osobę, której dane dotyczą. Takie wydzielenie ma na celu ograniczenie zakresu danych podlegających przeniesieniu tylko i wyłącznie do danych przekazanych przez osobę, której dane dotyczą. Dane te w wielu przypadkach będą jedynie wycinkiem wszystkich danych przetwarzanych przez administratora. Wykładnia rozszerzająca neguje sens tego rozgraniczenia. Ponadto, istotne zastrzeżenie dotyczyło tego, iż zastosowanie zwrotu danych „dostarczonych” administratorowi, wskazuje na świadomą aktywność użytkownika – osoby, której dane dotyczą. Objęte przenoszeniem powinny być tylko dane bezpośrednio podane przez podmiot danych administratorowi (tj. np. uzupełnione w formularzu, przesłane przez klienta mailem, dostarczone na przekazanych przez klienta dokumentach, wprowadzone przez klienta w systemie administratora lub podyktowane przez klienta pracownikowi administratora w salonie). Inna interpretacja niezasadnie rozszerza zakres art. 20 i powoduje nieproporcjonalne obciążenia dla przedsiębiorców. Brak uzasadnienia, iż dane „dostarczone” obejmować powinny dane generowane w tle, na podstawie aktywności użytkownika.

Prawo do przenoszenia danych a obowiązek informacyjny

Dodatkowe uwagi, które pojawiły się w związku z prawem do przenoszenia danych, dotyczyły momentu powstania obowiązku poinformowania o przysługującym uprawnieniu, jak również sposobu, w jaki należy o nim poinformować.

Wskazano również, że z zastosowanej przez Grupę Roboczą Art. 29 rozszerzonej wykładni przenoszalności danych w zakresie poczty webmail na książki adresowe, kontakty, a także całość korespondencji, wynika pytanie, czy nowy administrator (który dokona pobrania takich danych jako zbioru) ma obowiązek informowania podmiotów trzecich o przetwarzaniu ich danychpochodzących od użytkownika.

Bezpieczeństwo danych przy wykonywaniu prawa do przeniesienia

Komentujący wskazywali ponadto na wiele problemów związanych z bezpieczeństwem danych przy wykonywaniu prawa do ich przeniesienia. Do podstawowych wątpliwości zaliczyć należy to, czy dostawca ma pytać, jaki zakres danych klient chce przekazać i wskazywać klientowi dokładnie, jakie dane i w jakiej formie posiada, jak również to, czy podmiot, który otrzymał dane powinien badać ich prawidłowość, kompletność i aktualność. Pytano również, czy na podstawie art. 20 można przekazać dane podmiotowi przetwarzającemu (bez ustalenia, kto jest administratorem) lub osobie nieprowadzącej działalności gospodarczej, działającej w celach osobistych oraz czy podmiot otrzymujący może odmówić ich przyjęcia, wiedząc, że dane wykraczają poza zakres albo brak mu podstawy do ich przetwarzania.

Ponadto, zgodnie z Wytycznymi, „bieżący” administrator danych powinien zapewnić, by dane były przekazane do właściwego miejsca przeznaczenia. Wątpliwości budziło to, czy dostawca ma badać wiarygodność „nowego” administratora (skoro administrator ma obowiązek dbać o dane) i czy ewentualnie może odmówić przekazania danych, jeśli podmiot biorca nie jest wiarygodny. Istotną obawą jest potencjalny brak możliwości technologicznych albo uprawnień do badania bezpieczeństwa odbiorcy przekazania. W efekcie, zdaniem uczestników konsultacji, powinno zostać wyraźnie wskazane, że „obecny” administrator danych nie ponosi odpowiedzialności za działania lub zaniechania „nowego” administratora danych, który nie zapewnia wymaganego poziomu bezpieczeństwa danych.

Kwestionowano również niewyjaśniony zakres odpowiedzialności administratora za transmisję danych do drugiego administratora. Wskazywano, iż jeżeli pierwszy administrator byłby odpowiedzialny za zabezpieczenie przesłania danych, to może chcieć zastosować dodatkowe środki bezpieczeństwa. Z kolei drugi administrator może nie chcieć spełniać wymogów umożliwiających odbiór tak zabezpieczonych danych (może być małym przedsiębiorstwem internetowym). Pytano, czy w takiej sytuacji pierwszy administrator ma utrzymać stosowany przez siebie poziom ochrony, czy też obniżyć go tak, aby dostosować go do poziomu odbiorcy.

Uwagi do Wytycznych dotyczących ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego

„Grupa przedsiębiorstw”

Istotną kwestią poruszoną w uwagach do Wytycznych dotyczących ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego (WP244) było wskazanie, iż rozporządzenie posługuje się pojęciem „grupa przedsiębiorstw” (określonym m.in. w motywie 19 i 37 preambuły), a także pojęciem „przedsiębiorstwo” (w motywie 150 odsyłającym do art. 101 i 102 Traktatu o Funkcjonowaniu Unii Europejskiej). Ponieważ „przedsiębiorstwo” w rozumieniu TFUE może obejmować całą grupę kapitałową, powstaje pytanie, jaka jest relacja tych pojęć i czy aby móc mówić o  „grupie przedsiębiorstw” w rozumieniu motywu 37, każdy z tych podmiotów ma stanowić „przedsiębiorstwo” w rozumieniu TFUE i każdy ma dokonywać przetwarzania danych osobowych.

Organ wiodący i organy zainteresowane

Zdaniem uczestników konsultacji, istotne byłoby dookreślenie, czy procedura wyboru organu wiodącego dla grupy przedsiębiorstw ma zastosowanie w obu poniższych sytuacjach, w której to w ramach grupy kapitałowej:

            • spółka matka samodzielnie decyduje o przetwarzaniu danych w spółkach zależnych (spółka dominująca jest administratorem, spółki zależne – podmiotami przetwarzającymi),
            • różne podmioty są administratorami tych samych danych w różnym zakresie i celu (np. spółka matka z jednego kraju decyduje samodzielnie o celu nr 1, a spółka zależna z innego kraju o celu nr 2). Pytano, czy wtedy organ wiodący wyznacza się tylko w kontekście przetwarzania na rzecz spółki matki, czy także w kontekście przetwarzania przez spółkę zależną jako administratora.

Ponadto wątpliwości wzbudził nałożony na administratorów danych obowiązek ustalenia, który z organów nadzorczych będzie dla danego administratora organem wiodącym.

Wskazywano również na niedoprecyzowanie, czy w przypadku postępowania dotyczącego administratora oraz podmiotu przetwarzającego, który przetwarza dane tego administratora w jednym kraju, ale ma swoje „jednostki organizacyjne” w różnych krajach, organy ze wszystkich krajów, w których podmiot przetwarzający ma jednostki organizacyjne będą organami, których sprawa dotyczy.

Natomiast w przypadku podmiotu przetwarzającego, zdaniem osób biorących udział w konsultacjach, brakuje wyjaśnienia, jak ustalić, gdzie mają miejsce „główne czynności przetwarzania”. Z wytycznych nie wynika, czy ma to dotyczyć przetwarzania danych przez podmiot w kontekście konkretnego administratora, czy też w oderwaniu od tego (tj. biorąc pod uwagę dane wszystkich administratorów, dla których podmiot przetwarza dane).

Kwestie proceduralne

Podnoszono ponadto, iż wskazane byłoby dookreślenie w Wytycznych, na podstawie którego prawa materialnego i której procedury administracyjnej będzie oceniane przetwarzanie danych przez organ wiodący, jak również doprecyzowanie, w jakim języku toczyć mają się takie postępowania.

Przekazanie uwag do Grupy i dalszy tok prac

Wszystkie uwagi i dokumenty, które wpłynęły do GIODO przesłane zostały do Grupy Roboczej Art. 29. Na najbliższych posiedzeniach jej podgrup roboczych GIODO wspólnie z innymi rzecznikami z UE analizować będą wszystkie uwagi zgłoszone przez poszczególne państwa członkowskie i zdecydują o ewentualnej modernizacji lub uzupełnieniu Wytycznych.