Obowiązek konsultacji z UODO

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadza wiele nowości jeżeli chodzi o przetwarzanie danych osobowych. Jedną z tych nowości jest obowiązek konsultacji z UODO, czyli przyszłym Urzędem Ochrony Danych Osobowych. Obowiązek konsultacji z UODO występuje w sytuacjach, w których przetwarzanie danych osobowych powodowałoby wysokie ryzyko dla praw i wolności osób, których dane są przetwarzane. Jak dokładnie wygląda obowiązek konsultacji z UODO?

Ocena ryzyka przetwarzania – krok pierwszy

Pierwszym krokiem, który musi wykonać każdy administrator danych osobowych jest ocena ryzyka, jakie wiąże się z przetwarzaniem danych osobowych. Ocenę ryzyka można podzielić na dwie kategorie: sformalizowane i niesformalizowane. Sformalizowana ocena ryzyka to ocena zgodna z art. 35 RODO. Niesformalizowana ocena ryzyka przetwarzania danych osobowych to ocena dokonywana w pozostałych przypadkach.

Warto wskazać, że ocena sformalizowana jest obowiązkowa jeżeli rodzaj przetwarzania danych osobowych, w szczególności z wykorzystaniem nowych technologii lub kontekst przetwarzania bądź cele przetwarzania mogą z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Oceny ryzyka dokonuje się przed przystąpieniem do przetwarzania danych osobowych. Jednocześnie, zgodnie z art. 35 ust. 3 RODO ocena skutków dla ochrony danych jest wymagana między innymi w przypadku:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych (tzw. dane osobowe wrażliwe, np. dotyczące stanu zdrowia);

  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (to może dotyczyć miedzy innymi branży ochrony osób i mienia).

Ocena sformalizowana, tj. zgodna z art. 35 RODO zawiera co najmniej:

a)systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b)ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c)ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych.

Obowiązek konsultacji z UODO – krok drugi

Stosownie do art. 36 RODO obowiązek konsultacji uaktualnia się w przypadku gdy:

  1. ocena  skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko;
  2. administrator nie stosuje środków w celu zminimalizowania tego ryzyka.

Jeżeli powyższe przesłanki są spełnione, to powstaje obowiązek konsultacji z UODO. Warto dodać, że konsultacje muszą nastąpić przed rozpoczęciem przetwarzania danych osobowych.

Konsultując się z UODO, administrator danych osobowych zobowiązany jest, zgodnie z art. 36 ust. 3 RODO,  przedstawić UODO między innymi następujące informacje:

a) cele i sposoby zamierzonego przetwarzania;

b) środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z niniejszym rozporządzeniem;

c) ocenę skutków dla ochrony danych przeprowadzoną zgodnie z art. 35 RODO (ocena sformalizowana);

d)wszelkie inne informacje, których żąda UODO.

Niezależnie od uprawnień do żądania dodatkowych informacji, UODO będzie mogło zastosować środki przewidziane w art. 58 RODO, czyli między innymi wprowadzić całkowity zakaz przetwarzania danych przez administratora.

Obowiązek konsultacji z UODO – problemy praktyczne

W związku z faktem, że obowiązek konsultacji jest nowym rozwiązaniem prawnym, jak również z uwagi na ogólnikowy charakter RODO w tym zakresie, nie do końca wiadomo jak ma wyglądać konsultacja z UODO w praktyce. Czy w wyniku konsultacji UODO będzie wydawało decyzję administracyjną zezwalającą na przetwarzanie pomimo występujących ryzyk? Jak będą wyglądały porady UODO udzielane administratorowi? Na powyższe pytania w związku z brakiem polskiej ustawy implementującej RODO nie znamy na razie odpowiedzi. Wydaje się jednak, że celem konsultacji ma być zajęcie merytorycznego stanowiska przez UODO, dzięki któremu przetwarzanie danych będzie możliwe.

Pomoc przy wdrożeniu RODO

Przetwarzasz dane osobowe, a nie wiesz czy wiąże się to z wysokim ryzykiem naruszenia praw i wolności osób? Nie wiesz, czy powinieneś przeprowadzić ocenę ryzyka przetwarzania danych? Zgłoś się do nas. Pomożemy Ci rozwiązać te i inne problemy stosowania RODO.

Zespół Certyfikatydo.pl to eksperci ochrony danych osobowych.

 

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.