Kiedy przeprowadzić konsultacje z Prezesem Urzędu Ochrony Danych Osobowych (UODO)

Jeżeli:

•  z przeprowadzonej oceny skutków w celu ochrony danych (DPIA) wynika, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie generowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych,

•  według administratora ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia.

wówczas administrator powinien przystąpić do konsultacji z Prezesem UODO (art. 36 ust. 1 RODO). Uprzednie konsultacje są więc następstwem DPIA.

Aby zainicjować konsultacje administrator powinien złożyć wniosek do Prezesa UODO: pisemnie, telegraficznie, za pomocą telefaksu lub ustnie do protokołu, a także za pomocą innych środków komunikacji elektronicznej (przez elektroniczną skrzynkę podawczą Prezesa UODO).

Wniosek o uprzednie konsultacje powinien spełniać wymogi określone w art. 36 ust. 3 RODO. Należy w nim wskazać następujące kwestie:

•  odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;

• cele i sposoby zamierzonego przetwarzania;

•  środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z tym rozporządzeniem;

• dane kontaktowe inspektora ochrony danych (gdy został on powołany);

• wyniki oceny skutków w celu ochrony danych.

Poza tym sam wniosek, jak każde inne podanie, musi być zgodny z wymogami Kodeksu postępowania administracyjnego.

Jeżeli administrator wyznaczył inspektora ochrony danych, to inspektor ten powinien brać udział w konsultacjach. Pełni on wówczas rolę punktu kontaktowego dla Prezesa UODO.

Ile trwają i na czym polegają konsultacje administratora z Prezesem UODO

Zasadniczo konsultacje mają trwać do 8 tygodni. Termin ten może być przedłużony o 6 tygodni ze względu na złożony charakter zamierzonego przetwarzania (Prezes UODO informuje o tym administratora).

W toku konsultacji Prezes UODO udziela administratorowi zaleceń, jeżeli zamierzone przetwarzanie stanowiłoby naruszenie RODO. Zalecenia są udzielane w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko. Organ nadzorczy może też korzystać z innych uprawnień wymienionych w art. 58 RODO. Możliwe jest np. przeprowadzenie przez organ nadzorczy audytu ochrony danych czy też zawiadomienie o podejrzeniu naruszenia RODO.

Marcin Sarna, Michał Kowalski