Uprzednie konsultacje administratora danych z organem nadzorczym
Kiedy należy skonsultować się z organem nadzorczym?
Obowiązek ten został przewidziany w nowych przepisach dotyczących ochrony danych osobowych - RODO.
Ocena skutków dla ochrony danych musi być realną oceną ryzyk, umożliwiającą administratorom podejmowanie działań mających na celu ich rozwiązanie. Jeśli ocena skutków dla ochrony danych wykaże, iż przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator danych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator ma obowiązek skonsultowania się z organem nadzorczym.
Należy skonsultować się z organem nadzorczym, jeśli występuje wysokie ryzyko szczątkowe (tzn. ryzyko, które pozostaje po zastosowaniu wszelkich możliwych środków bezpieczeństwa i przeprowadzeniu działańzmierzających do zminimalizowania ryzyka – nie można go wyeliminować).
Niedopuszczalne wysokie ryzyko szczątkowe obejmuje przypadki, w których osoby fizyczne mogą ponieść znaczne lub nawet nieodwracalne konsekwencje, z którymi niebędą mogły sobie poradzić (np.: bezprawne uzyskanie dostępu do danych prowadzące do zagrożenia życia osób, zwolnienie, zagrożenie o charakterze finansowym) bądź w których wydaje się oczywiste, że wystąpi ryzyko (np.: ograniczenie liczby osób mających dostęp do danych nie jest możliwe ze względu na sposób ich udostępniania, wykorzystywania lub rozprowadzania bądź gdy luka w zabezpieczeniach, o której istnieniu wiadomo, nie zostanie usunięta).
Tak więc, jeśli ocena skutków dla ochrony danych wykaże, iż przetwarzanie spowoduje wysokie ryzyko, jeżeli administrator nie zastosuje środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator winien skonsultować się z organem nadzorczym. Zawsze zatem, kiedy administrator danych nie może znaleźć środków wystarczających do zmniejszenia ryzyka do dopuszczalnego poziomu (np. ryzyko szczątkowe wciąż jest wysokie), wymagane są konsultacje z organem nadzorczym.
Na czym polegają skonsultacje z organem nadzorczym?
W przypadku organizacji mających siedzibę w Polsce jest to Urząd Ochrony Danych Osobowych – UODO, a właściwie jego Prezes (następca GIODO). Uprzednie konsultacje są rodzajem postępowania administracyjnego, jakie trzeba wszcząć z w oparciu o wynik oceny skutków dla ochrony danych. Po przeprowadzeniu postepowania, organ nadzorczy (PUODO) może wydać zalecenia, które ich adresat winien wdrożyć.
Informacje potrzebne w celu konsultacji
Należy wskazać:
- cele i sposoby zamierzonego przetwarzania,
- środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą,
- ocenę skutków dla ochrony danych i
- dane kontaktowe inspektora ochrony danych (jesli został wyznaczony).
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) – art. 36.
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?