Kiedy konieczne są uprzednie konsultacje z PUODO?

Kto i w jakich sytuacjach zobowiązany jest do złożenia wniosku o uprzednie konsultacje?

Z przepisów RODO wynika, że z wnioskiem o uprzednie konsultacje może wystąpić administrator danych (art. 36 ust. 1 RODO). Ustawa o ochronie danych osobowych do podmiotów, które mogą wystąpić o konsultacje, zaliczyła również podmiot przetwarzający (art. 57 ust. 1 ustawy o ochronie danych osobowych).

Z wnioskiem o uprzednie konsultacje należy wystąpić w sytuacji, w której w wyniku przeprowadzonej oceny skutków dla ochrony danych na liście badanych operacji przetwarzania znajdą się operacje, dla których ryzyko naruszenia praw i wolności oszacowane zostało jako wysokie i gdy administrator danych nie może znaleźć środków wystarczających do zmniejszenia (zminimalizowania) tego ryzyka do dopuszczalnego poziomu (art. 36 RODO).

W takich sytuacjach przed rozpoczęciem przetwarzania danych należy wyniki przeprowadzonej oceny skonsultować z organem nadzorczym (tj. w Polsce z PUODO), chyba że administrator podejmie decyzję o nieprzetwarzaniu danych, np. niewprowadzaniu nowej usługi.

Natomiast jeśli przeprowadzona ocena skutków dla ochrony danych wykazała, że przetwarzanie nie będzie powodować wysokiego ryzyka, wtedy nie ma podstaw do wystąpienia do organu o uprzednie konsultacje (36 ust. 1 RODO). 

Uprzednie konsultacje są narzędziem służącym do współpracy pomiędzy organem nadzorczym oraz administratorem. Celem uprzednich konsultacji jest jak najlepsze zabezpieczenie operacji przetwarzania danych osobowych przez administratora przy współpracy organu nadzorczego.

Kiedy trzeba złożyć wniosek o uprzednie konsultacje?

Wniosek o uprzednie konsultacje należy złożyć przed rozpoczęciem przetwarzania.

Jakie działania należy podjąć przed wystąpieniem z wnioskiem o uprzednie konsultacje

Warunkiem koniecznym do wystąpienia z wnioskiem o uprzednie konsultacje do organu nadzorczego jest wcześniejsze dokonanie przez administratora oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi ryzyka naruszenia praw i wolności osób fizycznych. Ocena ta powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające zminimalizować to ryzyko.

RODO zapewnia administratorom swobodę w wyborze metodyki przeprowadzenia oceny skutków dla ochrony danych, lecz metodyka ta powinna być zgodna z kryteriami określonymi w załączniku nr 2 do Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679. (WP 248). Kryteria można wykorzystać do wykazania, że konkretna metodyka oceny skutków dla ochrony danych spełnia standardy przewidziane w RODO.

Wskazana jest ścisła współpraca pomiędzy administratorem, inspektorem ochrony danych oraz podmiotem przetwarzającym na każdym z etapów dokonywania oceny skutków dla ochrony danych. 

Jeśli przeprowadzona ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia - administrator ma obowiązek skonsultować się z organem nadzorczym, czy zamierzone przetwarzanie danych jest zgodne z RODO.

Wniosek o uprzednie konsultacje

Formularz wniosku o uprzednie konsultacje

 W celu ułatwienia wypełnienia przez administratora obowiązku uprzednich konsultacji Prezesa UODO przygotował elektroniczny formularz wniosku o uprzednie konsultacje. 

Jakie informacje musi zawierać wniosek o uprzednie konsultacje?

Wniosek o uprzednie konsultacje powinien spełniać wymogi określone w art. 63 kodeksu postępowania administracyjnego, w szczególności powinien zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie, a także powinien być podpisany przez wnoszącego. Ponadto wniosek wniesiony w formie dokumentu elektronicznego powinien być opatrzony bezpiecznym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (art. 63 § 3a pkt 1 Kodeksu postępowania administracyjnego).

We wniosku o uprzednie konsultacje należy podać co najmniej następujące informacje (art. 36 ust. 3 RODO):

 

  • odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
  • cele i sposoby zamierzonego przetwarzania;
  • środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z RODO;
  • dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony;
  • ocenę skutków dla ochrony danych;
  • wszelkie inne informacje, których żąda organ nadzorczy. 

Co należy załączyć do wniosku o uprzednie konsultacje?

 Do wniosku o uprzednie konsultacje należy załączyć pełną ocenę skutków dla ochrony danych dotyczącą przetwarzania, którego dotyczy wniosek (art. 36 ust. 3 lit. e RODO).

Ponadto, jeżeli wniosek podpisuje pełnomocnik należy załączyć oryginał lub urzędowo poświadczony odpis pełnomocnictwa (art. 33 § 3 i § 3a pkt 1 Kodeksu postępowania administracyjnego) oraz dowód zapłaty należnej opłaty skarbowej w wysokości 17 zł (§ 3 ust. 1 rozporządzenia Ministra Finansów z dnia 28 września 2007 r. w sprawie zapłaty opłaty skarbowej, Dz. U. Nr 187, poz. 1330). Opłatę skarbową należy uiścić w kasie lub na konto Dzielnicy Śródmieście m. st. Warszawy, ul. Nowogrodzka 43, 00 – 691 Warszawa, Nr konta: 60 1030 1508 0000 0005 5001 0038.

Jak złożyć wniosek?

  1. Wniosek składa się elektronicznie za pomocą odpowiedniego formularza dostępnego poniżej, który należy wypełnić a następnie...
  2. ...załączyć do pisma ogólnego dostępnego na platformie biznes.gov.pl 

Jakie działania może podejmować PUODO w związku z otrzymanym wnioskiem?

Po otrzymaniu wniosku

Jeżeli wniosek o uprzednie konsultacje nie spełnia wymogów, określonych w art. 36 ust. 3 rozporządzenia 2016/679 oraz art. 63 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (opisanych w punkcie IV ppkt 2 Jakie informacje musi zawierać wniosek o uprzednie konsultacje?) Prezes Urzędu informuje o nieudzieleniu konsultacji, wskazując przyczyny ich nieudzielenia (art. 57 ust. 3 ustawy o ochronie danych osobowych).

Podobnie organ może się zachować, jeśli z wniosku wynikać będzie, że przeprowadzona ocena skutków dla ochrony danych wykazała, że przetwarzanie nie będzie powodować wysokiego ryzyka.

W trakcie konsultacji

W trakcie postępowania prowadzonego w ramach uprzednich konsultacji PUODO może wezwać wnioskodawcę do przekazania dodatkowych informacji, które okażą się potrzebne do celów konsultacji (art. 36 ust. 2 RODO).

Po przeprowadzeniu konsultacji

 Po przeprowadzeniu konsultacji organ nadzorczy może wydać zalecenia, które skierowane mogą być do administratora, ale też do podmiotu przetwarzającego (art. 36 ust. 2 RODO). W uzasadnionych przypadkach, niezależnie od wydanych zaleceń, organ może skorzystać z uprawnień władczych, o których mowa w art. 58 RODO, w szczególności: wydać ostrzeżenie dotyczące możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania, nakazać administratorowi lub podmiotowi przetwarzającemu dostosowanie operacji przetwarzania do przepisów RODO, albo też wprowadzić czasowe lub całkowite ograniczenie przetwarzania, w tym zakaz przetwarzania.

Terminy

Organ nadzorczy powinien rozpatrzyć wniosek o uprzednie konsultacje w terminie do ośmiu tygodni od dnia wpłynięcia wniosku o konsultacje. Ze względu na złożony charakter zamierzonego przetwarzania organ może przedłużyć termin o dodatkowe sześć tygodni. Bieg tych terminów organ może zawiesić, do czasu aż uzyska wszelkie informacje, których zażądał do celów konsultacji (art. 36 ust. 2 RODO).

Zob. też: Jak rozumieć i stosować podejście oparte na ryzyku?

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

 

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1);
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000);
  • ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz.U. z 2017 r., poz. 1257, z późn. zm.).
Udostępnij

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika