Zgodnie z zapowiedzią zapraszamy na drugą część opracowania na temat przyjętych przez Europejską Radę Ochrony Danych Wytycznych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO, które do 19 października 2020 r. są w fazie konsultacji publicznych.

35 milionów euro kary dla H&M

W części pierwszej opracowania skupiliśmy się na definicjach administratora, współadministratorów, podmiotu przetwarzającego, strony trzeciej i odbiorcy danych, natomiast w tej części przybliżymy wytyczne EROD na temat relacji powierzenia oraz stosunku pomiędzy współadministratorami.

Relacja pomiędzy administratorem a podmiotem przetwarzającym

Niezaprzeczalną nowością, jaką przyniosło RODO, były przepisy nakładające obowiązki bezpośrednio na podmioty przetwarzające (mowa przykładowo o art. 28 ust. 3, art. 30 ust. 2, art. 32, art. 37 czy 33 ust. 2 RODO). Jednocześnie w związku z faktem, że administrator ma obowiązek korzystać wyłącznie z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymagania określone w RODO, to na administratorze ciąży obowiązek oceny, na ile gwarancje udzielone przez podmiot przetwarzający są wystarczające i to on powinien być w stanie udowodnić, że podczas tej oceny wziął pod uwagę wszystkie niezbędne, wynikające z RODO elementy.

Przez gwarancje udzielane przez procesora należy z oczywistych względów rozumieć te, które procesor jest w stanie zademonstrować, ponieważ tylko one mogą zostać uwzględnione przy ocenie zgodności dokonywanej przez administratora. Na przykład udzielanie tych gwarancji często będzie wymagało udostępnienia odpowiedniej dokumentacji (np. rejestru czynności przetwarzania, raportów z audytów zewnętrznych, uznane międzynarodowe certyfikaty, jak np. seria ISO 27000).

Ocena dokonywana przez administratora jest formą oceny ryzyka, której wynik będzie w znacznym stopniu zależał od rodzaju przetwarzania powierzonego procesorowi i która powinna być wykonana indywidualnie w odniesieniu do poszczególnych przypadków powierzenia przy uwzględnieniu natury, zakresu, kontekstu i celów przetwarzania, jak i ryzyka dla praw oraz wolności osób fizycznych. Administrator powinien brać przy tym pod uwagę takie elementy jak: wiedza ekspercka procesora (np. specjalistyczna wiedza techniczna w odniesieniu do środków bezpieczeństwa i naruszenia danych); rzetelność (niezawodność) procesora oraz zasoby, którymi procesor dysponuje.

Warto zwrócić uwagę, że wyrażony w art. 28 ust. 1 RODO obowiązek używania wyłącznie procesorów zapewniających wystarczające gwarancje jest obowiązkiem ciągłym, a nie jednorazowym. Nie kończy się on w momencie zawarcia umowy pomiędzy administratorem a podmiotem przetwarzającym.

Forma i zawartość umowy powierzenia

Kwestia powierzenia przetwarzania danych powinna zostać uregulowana na piśmie, w tym w formie elektronicznej. Oznacza to, że umowy niepisane (niezależnie od tego, jak bardzo są one dokładne i skuteczne) nie mogą być uznane za wystarczające do spełnienia wymogu określonego w art. 28 RODO. Aby uniknąć wszelkich trudności w wykazaniu, że umowa lub inny instrument prawny jest faktycznie obowiązujący, EROD zaleca zapewnienie, aby w akcie prawnym znalazły się niezbędne podpisy.

EROD podkreśla, że zarówno administrator danych, jak i podmiot przetwarzający są odpowiedzialni za zapewnienie, że umowa powierzenia (lub inny instrument prawny) zostały faktycznie zawarte. W celu wywiązania się z obowiązku zawarcia umowy administrator i podmiot przetwarzający mogą negocjować własną umowę, obejmującą wszystkie obowiązkowe elementy lub polegać, w całości lub w części, na treści standardowych klauzul umownych (standard contractual clauses – dalej „SCC”) w odniesieniu do zobowiązań na mocy art. 28 RODO. Jednocześnie EROD zaznacza, że zawieranie umowy powierzenia w oparciu o SCC ani nie jest obowiązkiem, ani taka umowa nie jest w żaden sposób preferowana w stosunku do negocjowania indywidualnej umowy. Oba warianty są właściwe dla celów zgodności z prawem o ochronie danych, o ile spełniają wymogi art. 28 ust. 3 RODO.

Fakt, że umowa i jej szczegółowe warunki handlowe są przygotowywane przez usługodawcę, zamiast przez administratora, nie jest samo w sobie problematyczne i nie stanowi wystarczającej podstawy do stwierdzenia, że dostawca usług powinien być uważany za administratora danych. Również brak równowagi w zakresie uprawnień umownych niewielkiego administratora danych w stosunku do dużych dostawców usług nie powinien być uważany za uzasadnienie dla przyjęcia przez administratora danych klauzul i warunków umów, które nie są zgodne z prawem ochrony danych osobowych, a tym bardziej nie zwalnia to administratora danych z ciążących na nim na mocy RODO obowiązków. Administrator musi ocenić stawiane mu warunki i w takim zakresie, w jakim swobodnie je akceptuje i korzysta z usługi, przyjmuje również pełną odpowiedzialność za zgodność z RODO.

Dr RODO

Podczas gdy elementy określone w art. 28 RODO stanowią obligatoryjną zawartość umowy między administratorem a procesorem, zawierana umowa powinna być dla administratora i podmiotu przetwarzającego sposobem na dalsze wyjaśnienie (w formie szczegółowej instrukcji), w jaki sposób te wymagane przez RODO elementy będą wdrażane. EROD zwraca uwagę, że umowa między administratorem a procesorem nie powinna stanowić powtórzenia RODO, a raczej stanowić jego uszczegółowienie wraz z konkretnymi informacjami na temat sposobu, w jaki określone umową wymogi zostaną spełnione.

Jednocześnie umowa powinna uwzględniać "szczególne zadania i obowiązki procesora w kontekście przetwarzania, które ma zostać przeprowadzone, oraz zagrożenia dla praw i wolności osoby, której dane dotyczą". Innymi słowy, umowa między stronami powinna być sporządzona w świetle konkretnej czynności przetwarzania danych.

W opinii EROD umowa powierzenia powinna zawierać następujące elementy:

  • przedmiot przetwarzania (np. nagrania wideo osób wchodzących i wychodzących z obiektu o wysokim stopniu zabezpieczeń),
  • czas trwania przetwarzania: należy określić dokładny przedział czasu lub kryteria stosowane do jego określenia (na przykład można odnieść się do czasu trwania umowy dot. przetwarzania),
  • charakter przetwarzania: rodzaj operacji wykonywanych w ramach przetwarzania (np. filmowanie, nagrywanie, archiwizacja obrazów) i cel przetwarzania (np. Wykrycie nielegalnego wstępu); opis ten powinien być możliwie wyczerpujący,
  • rodzaj danych osobowych: powinien być określony w sposób jak najbardziej szczegółowy (przykład: zdjęcia wideo osób wchodzących i wychodzących z obiektu). Za niewystarczające należałoby uznać określenie, że chodzi o "szczególne kategorie danych osobowych, o których mowa w art. 9 RODO". W przypadku szczególnych kategorii danych umowa lub inny instrument prawny powinny przynajmniej określać, jakiego rodzaju danych dotyczą, na przykład: "informacje dotyczące dokumentacji medycznej" lub "informacje, czy podmiot danych jest członkiem związku zawodowego",
  • kategorie osób, których dane dotyczą (przykładowo: goście, pracownicy, usługi dostawcze),
  • obowiązki i prawa administratora.

Udokumentowane polecenie administratora

Ponieważ instrukcje, na podstawie których procesor przetwarza dane należące do administratora muszą być udokumentowane, zaleca się, aby procedura oraz wzór do udzielania dalszych instrukcji stanowił załącznik do umowy powierzenia (lub innego instrumentu prawnego). Takie polecenie może być wydawane w dowolnej formie pisemnej (np. e-mailowej), jednak jedynie pod warunkiem, że możliwa jest kontrola nad takimi poleceniami (przykładowo w formie ewidencji).

EROD zaleca, aby administrator zwracał należytą uwagę na obowiązek wydawania poleceń co do przetwarzania, w szczególności gdy procesor zamierza przekazać niektóre czynności związane z przetwarzaniem dalszym podmiotom przetwarzającym oraz gdy procesor ma oddziały lub jednostki znajdujące się w państwach trzecich.

Procesor powinien podejmować wszelkie środki wymagane na mocy art. 32 RODO

Umowa musi zawierać lub odnosić się do informacji na temat środków bezpieczeństwa, które mają zostać podjęte przez procesora oraz obejmować zobowiązanie procesora do uzyskania zgody administratora danych przed dokonaniem w nich zmian, a także regularnego przeglądu środków bezpieczeństwa w celu zapewnienia ich adekwatności w odniesieniu do zagrożeń, które mogą ewoluować w czasie.

Szczegółowość instrukcji dostarczonych przez administratora procesorowi w zakresie środków, które mają być zastosowane, będą różnić się w zależności od okoliczności. W niektórych przypadkach administrator może dostarczyć jasny i szczegółowy opis środków bezpieczeństwa, które mają zostać wdrożone przez procesora. W innych, administrator może wskazać minimalne cele ochrony, które należy osiągnąć, jednocześnie zwracając się do procesora o zaproponowanie wdrożenia konkretnych środków bezpieczeństwa. W każdym przypadku administrator danych powinien dostarczyć procesorowi opis działań związanych z przetwarzaniem i cele bezpieczeństwa (w oparciu o ocenę ryzyka dokonanej przez administratora), jak również zatwierdzić środki proponowane przez podmiot przetwarzający. Zdaniem EROD takie informacje mogłyby zostać zawarte w umowie powierzenia.

Pomoc administratorowi w zakresie obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązania się z obowiązków określonych w art. 32–36 RODO;

Podczas gdy pomoc przy odpowiadaniu na żądania osób fizycznych może polegać po prostu na szybkim przekazaniu każdego otrzymanego wniosku, w niektórych przypadkach mogą zaistnieć okoliczności, w których uzasadnione jest, aby podmiot przetwarzający otrzymał bardziej szczegółowe, techniczne obowiązki w tym zakresie – przede wszystkim, gdy bierze udział w pozyskiwaniu i zarządzaniu danymi osobowymi. Należy jednak pamiętać, że chociaż praktyczny aspekt zarządzania wnioskami osób fizycznych może być zlecony podmiotowi przetwarzającemu, to administrator danych ponosi odpowiedzialność za realizację takich wniosków. W związku z tym ocena, czy wnioski osób, których dane dotyczą, są dopuszczalne i/lub wymagania określone przez RODO są spełnione, powinny być dokonywane bezpośrednio przez administratora.

Jeśli mowa o pomocy administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, konieczne jest, aby umowa nie powtarzała jedynie określonych w RODO obowiązków w zakresie pomocy administratorowi: umowa powinna zawierać szczegóły dotyczące sposobu, w jaki procesor może zostać poproszony o pomoc administratorowi w spełnieniu wymienionych obowiązków. Na przykład, procedury i wzory formularzy mogą być dodane w załącznikach do umowy, co ułatwiłoby procesorowi dostarczenie administratorowi wszystkich niezbędnych informacji.

Usługa DPIA

Ponadto procesor powinien pomagać administratorowi w wypełnieniu obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, a jeśli zostanie zidentyfikowane wysokie ryzyko naruszenia praw i wolności osób fizycznych – również osobom, których dane dotyczą. Procesor musi powiadomić administratora o każdym przypadku, w którym odkryje naruszenie mające wpływ na zasoby/systemy informatyczne procesora lub podprocesora i jednocześnie jest zobowiązany pomóc administratorowi w uzyskaniu informacji, które należy podać w dokumencie zgłoszenia naruszenia organowi nadzorczemu. EROD zaleca, aby w umowie określić ramy czasowe takiego powiadomienia (np. poprzez wskazanie liczby godzin) i podać punkt kontaktowy dla takich powiadomień oraz formę poinformowania administratora o wykrytym naruszeniu.

Ponadto przetwarzający musi również pomagać administratorowi danych w przeprowadzaniu oceny skutków dla ochrony danych (DPIA) – gdy jest to wymagane – oraz w konsultacji z organem nadzorczym, gdy wynik DPIA ujawni, że istnieje wysokie ryzyko, którego nie można zminimalizować. Obowiązek pomocy nie polega na przeniesieniu odpowiedzialności, ponieważ obowiązki te w dalszym ciągu ciążą na administratorze. Dla przykładu: chociaż DPIA może być w praktyce przeprowadzona przez podmiot przetwarzający, to administrator w dalszym ciągu pozostaje odpowiedzialny za obowiązek przeprowadzenia tej oceny, a podmiot przetwarzający jest zobowiązany do udzielenia pomocy administratorowi "tylko w razie konieczności i na żądanie".

Jeśli procesor narusza RODO poprzez samodzielne decydowanie o celach i sposobach przetwarzania, powinien on zostać uznany za odrębnego administratora danych, zgodnie z art. 28 ust. 10 RODO.

Dalsze podmioty przetwarzające

Chociaż łańcuch dalszych podmiotów przetwarzających może być dość długi, administrator wciąż zachowuje swoją kluczową rolę w określaniu celu i sposobów przetwarzania. Artykuł 28 ust. 2 RODO stanowi, że procesor nie może angażować innego procesora bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora danych. W przypadku ogólnej zgody, procesor musi poinformować administratora danych o wszelkich zamierzonych zmianach dotyczących dodawania lub zastępowania innych podmiotów przetwarzających, co daje administratorowi danych możliwość wyrażenia sprzeciwu wobec takich zmian.

Jeśli administrator zdecyduje się na udzielenie zgody szczegółowej, powinien określić na piśmie, który podprocesor i do jakiej czynności przetwarzania został powołany. Wszelkie późniejsze zmiany przed wejściem w życie będą musiały być w dalszym ciągu autoryzowane przez administratora. Alternatywnie, administrator może udzielić ogólnej zgody na korzystanie z podprocesorów (w umowie powierzenia, zawierając w załączniku do niej wykaz takich podmiotów), który powinien zostać uzupełniony kryteriami, jakimi mają kierować się podmioty przetwarzające przy ewentualnym dalszym powierzeniu (np. gwarancje w zakresie środków technicznych i organizacyjnych, wiedzy fachowej, niezawodności i zasobów). W związku z tym główna różnica między zgodą szczegółową a ogólną sprowadza się do znaczenia nadanego milczeniu administratora.

Ciekawostka
Nałożenie "tych samych" obowiązków powinno być interpretowane w sposób funkcjonalny, a nie formalny: nie jest konieczne, aby umowa zawierała dokładnie te same sformułowania, jak te, które zostały użyte w umowie między administratorem a podmiot przetwarzającym. Podmiot przetwarzający powierzający dane „dalej” powinien jednak zapewnić, aby nakładane na dalszy podmiot przetwarzający obowiązki w swojej istocie pozostały takie same.

Konsekwencje współadministrowania

określenie odpowiednich zakresów odpowiedzialności

Zgodnie z art. 26 RODO, w drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. Współadministratorzy muszą zatem ustalić, "co kto robi", decydując między sobą, kto będzie odpowiedzialny za jakie zadania, aby mieć pewność, że przetwarzanie jest zgodne z przepisami.

Celem tego obowiązku jest zapewnienie, aby w przypadku zaangażowania wielu podmiotów, zwłaszcza w złożonych środowiskach przetwarzania danych, odpowiedzialność za zgodność z zasadami ochrony danych była wyraźnie przypisana, aby nie dopuścić do sytuacji, w których ochrona danych osobowych byłaby ograniczona lub miałby miejsce konflikt kompetencyjny prowadzący do luk prawnych, w wyniku których żadna ze stron zaangażowanych w przetwarzanie danych nie wypełniałaby niektórych obowiązków.

Z przepisu tego jasno wynika, że współadministratorzy muszą określić w szczególności, który z nich będzie odpowiedzialny za wykonywanie praw osób fizycznych, przysługujących im na gruncie RODO, oraz realizację obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO. Jednak użycie sformułowania "w szczególności" jednoznacznie wskazuje, że nie jest to katalog wyczerpujący.

Pomoc

W rzeczywistości współadministratorzy muszą zapewnić, że całe wspólne przetwarzanie danych jest w pełni zgodne z RODO. W związku z tym, w ramach środków mających zapewnić zgodność i związanych z nimi obowiązków – oprócz szczegółowo określonych w artykule – współadministratorzy powinni rozważyć przy podziale obowiązków również:

  • implementację ogólnych zasad ochrony danych (art. 5 RODO)
  • podstawę prawną przetwarzania (art. 6 RODO)
  • środki bezpieczeństwa (art. 32 RODO)
  • zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego i osoby, której dane dotyczą (art. 33 i 34 RODO)
  • ocenę skutków dla ochrony danych (art. 35 i 36 RODO)
  • korzystanie z usług podmiotu przetwarzającego (art. 28 RODO)
  • przekazywanie danych do państw trzecich (rozdział V RODO)
  • organizację kontaktów z osobami, których dane dotyczą, i z organami nadzorczymi.

Inne kwestie, które mogą być rozważane w zależności od danego procesu i intencji stron, to na przykład ograniczenia w wykorzystywaniu danych osobowych przez poszczególnych współadministratorów w innym niż wspólnie ustalonym celu. W takiej sytuacji każdy ze współadministratorów zawsze ma obowiązek zapewnić, że dysponuje podstawą prawną przetwarzania. Czasami dane współadministrowane są udostępniane innemu administratorowi. Mając na względzie zasadę rozliczalności, każdy administrator ma obowiązek zapewnić, aby dane nie były dalej przetwarzane w sposób niezgodny z celami, dla których zostały pierwotnie zebrane przez administratora danych, który przedmiotowe dane udostępnił.

Współadministratorzy mają pewien stopień elastyczności w podziale obowiązków między siebie, o ile zapewniają pełną zgodność z RODO; obowiązki również nie muszą być równomiernie rozdzielane pomiędzy współadministratorów. Ponadto mogą zaistnieć przypadki, w których nie wszystkie obowiązki będą mogły zostać rozdzielone i każdy ze współadministratorów będzie zmuszony do przestrzegania tych samych wymagań wynikających z RODO, przy wzięciu pod uwagę charakteru i kontekstu wspólnego przetwarzania.

Przykładem
jest obowiązek prowadzenia przez każdego ze współadministratorów rejestru czynności przetwarzania lub wyznaczenia inspektora ochrony danych, jeżeli zachodzą przesłanki z art. 37 ust. 1 RODO. Takie wymagania nie są związane ze wspólnym przetwarzaniem, ale mają do nich zastosowanie jako do współadministratorów.

Forma uzgodnień

RODO nie określa formy prawnej, w jakiej powinny być zawarte uzgodnienia między współadministratorami. Oznacza to, że współadministratorzy mają wolną rękę przy określaniu ich formy. Natomiast w trosce o pewność prawną EROD zaleca, aby takie ustalenie zostało dokonane w formie wiążącego dokumentu, takiego jak umowa lub inny wiążący akt prawny na mocy prawa UE lub państwa członkowskiego, któremu podlegają administratorzy danych. Zapewniłoby to pewność i mogłoby zostać wykorzystane jako dowód na realizację zasad przejrzystości i rozliczalności w kontekście przetwarzania. W celu lepszego określenia podziału obowiązków między stronami, EROD zaleca, aby porozumienie zawierało również ogólne informacje na temat wspólnego przetwarzania, w szczególności poprzez określenie przedmiotu i celu przetwarzania, rodzaju danych osobowych oraz kategorii osób, których dane dotyczą.

Obowiązki względem osób, których dane dotyczą, i organów nadzorczych

Kluczowe jest, aby współadministratorzy wyjaśnili w umowie pełnioną przez siebie rolę, w szczególności w odniesieniu do wykonywania praw podmiotu danych i jego obowiązków w zakresie udzielania informacji, o których mowa w art. 13 i 14 RODO. Sposób, w jaki zostanie dokonany podział tych obowiązków powinien należycie (tj. dokładnie) odzwierciedlać rzeczywistość leżącą u podstaw wspólnego przetwarzania. Na przykład, jeśli tylko jeden ze współadministratorów komunikuje się z osobami, których dane dotyczą, taki współadministrator prawdopodobnie w naturalny sposób będzie w stanie lepiej informować osoby, których dane dotyczą, i ewentualnie odpowiadać na żądania realizacji przysługujących im praw.

Obowiązek udostępnienia zasadniczej części uzgodnień jest kluczowy dla osoby, której dane dotyczą, tak aby wiedziała ona, który z administratorów jest za co odpowiedzialny. To, co należy rozumieć jako zasadniczą część uzgodnień nie jest określone przez RODO. EROD zaleca, aby istota obejmowała przynajmniej wszystkie elementy informacji, o których mowa w art. 13 i 14, a dla każdego z tych elementów uzgodnienia powinny określać, który ze współadministratorów danych jest odpowiedzialny za zapewnienie zgodności z konkretnym elementem. Istotą porozumienia musi być również wskazanie punktu kontaktowego, jeżeli został wyznaczony.

RODO nie określa również sposobu udostępnienia zasadniczej części uzgodnień osobom, których dane dotyczą. Dlatego to do współadministratorów należy decyzja o najskuteczniejszym sposobie udostępnienia uzgodnień (np. Wraz z informacjami zawartymi w art. 13 lub 14 RODO, w polityce prywatności lub na wniosek złożony do inspektora ochrony danych, jeśli taki istnieje, lub do punktu kontaktowego – jeśli został wyznaczony).

Strefa RODO

Artykuł 26 ust. 1 RODO przewiduje możliwość wyznaczenia przez współadministratorów punktu kontaktowego dla osób, których dane dotyczą, co nie jest jednak obowiązkowe. Natomiast wskazanie jednej drogi kontaktu ze współadministratorami umożliwia osobom, których dane dotyczą, uzyskanie informacji o tym, z kim mogą się skontaktować we wszystkich kwestiach związanych z przetwarzaniem ich danych osobowych. Ponadto umożliwia ono wielu współadministratorom danych skuteczniejsze koordynowanie swoich relacji i komunikacji z osobami, których dane dotyczą. z tych powodów, w celu ułatwienia wykonywania praw osób, których dane dotyczą, EROD zaleca współadministratorom wyznaczenie takiego punktu kontaktowego. Punktem kontaktowym może być inspektor ochrony danych, o ile taki istnieje, przedstawiciel w Unii lub każdy inny punkt kontaktowy, w którym można uzyskać niezbędne informacje.

Nawet jeśli współadministratorzy wyznaczyli punkt kontaktowy nie oznacza to, że osoby, których dane dotyczą, muszą się temu podporządkować. Wymóg, by osoby fizyczne kontaktowały się z wyznaczonym punktem kontaktowym lub odpowiedzialnym za to administratorem danych nałożyłby na nie nadmierne obciążenie, które byłoby sprzeczne z celem polegającym na ułatwieniu korzystania z praw przysługujących im na mocy RODO.

Niezależnie od powyższego, współadministratorzy powinni zorganizować w uzgodnieniach sposób, w jaki będą się komunikować z właściwymi organami nadzorczymi. Taka komunikacja mogłaby obejmować możliwe konsultacje na mocy art. 36 RODO, zgłoszenie naruszenia ochrony danych osobowych czy wyznaczenie inspektora ochrony danych. Należy jednak pamiętać, że organy nadzorcze ds. ochrony danych nie są związane warunkami tych uzgodnień - ani w kwestii kwalifikacji stron jako współadministratorów, ani wyznaczonego punktu kontaktowego. W związku z tym organy mogą skontaktować się z którymkolwiek ze współadministratorów w celu wykonania swoich uprawnień na mocy art. 58 w odniesieniu do wspólnego przetwarzania danych.

Podsumowanie

Opinie co do Wytycznych i ich użyteczności są podzielone, przy czym trudno nie oprzeć się wrażeniu, że nie zrewolucjonizują one naszego sposobu postrzegania instytucji administrowania, współadministrowania danymi czy ich powierzania. Czekamy na ostateczny kształt Wytycznych, który wyłoni się po konsultacjach społecznych, natomiast doświadczenie wskazuje, że EROD co do zasady nieszczególnie bierze sobie do serca zgłaszane w toku konsultacji poprawki, stąd na roboczo obecny kształt można uznać za prawie ostateczny.