Uprzednie konsultacje z UODO – kto i kiedy może z nich skorzystać?

Uprzednie konsultacje z UODO to procedura służąca wsparciu administratorów w sytuacji stwierdzenia przez nich wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, którego sami nie są w stanie zminimalizować.

Celem uprzednich konsultacji jest wypracowanie rozwiązań, które pozwolą administratorowi prawidłowo chronić dane osobowe.

Procedura ta uregulowana jest w art. 36 ust. 1 RODO oraz art. 57 ust. 1 ustawy o ochronie danych osobowych.

Po przeprowadzeniu uprzednich konsultacji Prezes UODO może wydać administratorowi, a w określonych sytuacjach również podmiotowi przetwarzającemu zalecenia dotyczące operacji przetwarzania danych osobowych. A więc w niektórych sytuacjach administrator, który napotka pewne problemy może liczyć na wsparcie UODO. i  - przy spełnieniu warunków określonych w przepisach o ochronie danych osobowych - warto korzystać z takiego wsparcia.

Procedura na trudne przypadki

Nie każda sytuacja, w której administrator napotyka problemy lub trudności nadaje się na tryb uprzednich konsultacji.  RODO, czyli ogólne rozporządzenie o ochronie danych przewiduje sytuacje, w których takie rozwiązanie jest wręcz konieczne. Procedura uprzednich konsultacji przewidziana jest dla sytuacji wyjątkowych i trudnych dla administratorów. I co istotne, dla takich operacji na danych, które nie są jeszcze wdrożone, ale są dopiero w planach.

Skorzystać z uprzednich konsultacji mogą administratorzy, w przypadku których planowane przez nich operacje przetwarzania danych będą powodowały wysokie ryzyko naruszenia praw i wolności osób, a administratorzy nie są w stanie sami zminimalizować tego ryzyka. Aby dojść do takiego wniosku administrator musi więc wcześniej przeprowadzić ocenę skutków dla ochrony danych.

Przypominamy, że przeprowadzenie oceny skutków dla ochrony danych jest wymagane zawsze, gdy:

1. dany rodzaj przetwarzania został wskazany w przepisie prawa. Przykładem takiego przepisu jest art. 35 ust. 3 RODO, zgodnie z którym przeprowadzenie oceny skutków dla ochrony danych wymagane jest w przypadku: a. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; b. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO; lub c. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
2. dany rodzaj przetwarzania został wskazany w wykazie podanym do publicznej wiadomości przez krajowy organ nadzorczy, zgodnie z art. 35 ust. 4 RODO
3. poziom ryzyka określony został jako wysoki w wyniku jego szacowania przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania.

Taka ocena pozwala opisać procesy przetwarzania danych osobowych w organizacji i jednocześnie ocenić ich konieczność oraz proporcjonalność, a także ryzyko, jakie dany rodzaj przetwarzania rodzi dla praw i wolności osób fizycznych. Powinna także zawierać planowane środki, mechanizmy i zabezpieczenia mające zminimalizować zidentyfikowane ryzyko.

Dopiero, gdy taka ocena skutków  dla ochrony danych została przeprowadzona i wykazała, że istnieje wysokie ryzyko naruszenia praw i wolności osób, którego administrator nie jest w stanie zmniejszyć do dopuszczalnego poziomu, to zasadne jest wystąpienie do Prezesa UODO z wnioskiem o przeprowadzenie uprzednich konsultacji.

Oczywiście administrator, który przeprowadził ocenę skutków dla ochrony danych planowanych operacji przetwarzania może wycofać się ze swoich planów i np. zrezygnować z wdrożenia usług czy rozwiązań, w przypadku których operacje przetwarzania danych będą powodowały wysokie ryzyko naruszenia praw lub wolności osób, a sam nie może znaleźć środków wystarczających do zminimalizowania tego ryzyka. Jeżeli nie chce jednak zmieniać swoich planów, to z pomocą przychodzą właśnie uprzednie konsultacje z organem nadzorczym. Jest to forma współpracy UODO z administratorami, która służy temu, by jak najlepiej zabezpieczyć operacje przetwarzania danych osobowych.

Przebieg uprzednich konsultacji

Jeżeli Prezes UODO uzna, że wniosek administratora o przeprowadzenie uprzednich konsultacji spełnia wymogi określone w RODO oraz wymogi formalne wówczas takie konsultacje zostaną przeprowadzone.

W ramach tych konsultacji administrator musi przekazać organowi nadzorczemu w szczególności informacje dotyczące jego obowiązków, a gdy ma to zastosowanie, to także na temat obowiązków współadministratorów czy podmiotów przetwarzających. Należy też wskazać cele i sposoby zamierzonego przetwarzania, środki i zabezpieczenia mające chronić prawa i wolności osób, dane kontaktowe inspektora ochrony danych (gdy jest wyznaczony), ocenę skutków dla ochrony danych. W ramach tej procedury organ nadzoru może również domagać się dodatkowych informacji od administratora, niż te które przekazał wraz z wnioskiem o przeprowadzenie konsultacji.

Zalecenia, ale nie tylko

Efektem konsultacji mogą być nie tylko zalecenia Prezesa UODO dotyczące planowanych operacji przetwarzania. Może się okazać, że Prezes UODO wyda administratorowi ostrzeżenie dotyczące planowanych praktyk na danych, nakaże dostosowanie operacji przetwarzania do przepisów RODO, czy wprowadzi czasowe lub całkowite ograniczenie przetwarzania. W ostateczności Prezes Urzędu może też zakazać przetwarzania danych.

Działania te nie są jednak po to, by odstraszyć administratorów, ale pomóc im tak zorganizować planowane procesy związane z przetwarzaniem danych, by były one zgodne z przepisami o ochronie danych osobowych. Dzięki temu dane osób, które będą przetwarzane zostaną odpowiednio zabezpieczone.

Źródło: uodo.gov.pl

A.J.
Zespół e-prawnik.pl