IOD jako punkt kontaktowy dla organu nadzorczego

Przepisy RODO nałożyły na Inspektorów Ochrony Danych (dalej: IOD) szereg zadań, których realizacja ma pomóc administratorowi danych w prawidłowym przetwarzaniu danych osobowych. Zadania IOD zostały określone w art. 39 RODO. W niniejszym rozdziale szczegółowo omówiono jeden z takich obowiązków, a mianowicie pełnienie przez IOD funkcji punktu kontaktowego dla organu nadzorczego, jakim w Polsce jest Prezes Urzędu Ochrony Danych (dalej: PUODO).

Obowiązek pełnienia przez IOD funkcji punktu kontaktowego wynika z art. 39 ust. 1 pkt e RODO, zgodnie z którym do zadań IOD należy:

  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO;
  • oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Pełnienie funkcji punktu kontaktowego w zakresie uprzednich konsultacji

Zgodnie z art. 35 RODO administrator danych, który planuje rozpoczęcie przetwarzania danych, w szczególności z użyciem nowych technologii w sposób, który ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, powinien przed rozpoczęciem takiego przetwarzania dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Natomiast zgodnie z art. 36 ust. 1 RODO, jeżeli przeprowadzona ocena skutków dla ochrony danych, o której mowa w art. 35 RODO, wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

W motywie 94 Preambuły RODO dodatkowo wskazano, że jeżeli po przeprowadzeniu oceny skutków ochrony danych okaże się, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie prawdopodobieństwo naruszenia praw lub wolności osób fizycz­nych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować rozsądnymi środkami z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym. Takie wysokie ryzyko mogą powodować pewne rodzaje przetwarzania oraz zakres i częstotliwość przetwarzania, które mogą skutkować także szkodą lub ingerencją w prawa i wolności osoby fizycznej. W ramach konsultacji można przedłożyć organowi nadzorczemu wyniki oceny skutków dla ochrony danych dokonanej w odniesieniu do danego przetwarzania, a w szczególności środki planowane w celu zminimalizowania ryzyka naruszenia praw lub wolności osób fizycznych.

W praktyce powyższe oznacza, że w każdej sytuacji, w której administrator danych wykaże na podstawie przeprowadzonej oceny skutków dla ochrony danych, że nie będzie w stanie wdrożyć takich rozwiązań, czy to technologicznych, czy organizacyjnych, które zapewnią odpowiedni poziom ryzyka i ochrony danych osobowych, konieczne jest przeprowadzenie konsultacji z organem nadzorczym, tj. Prezesem Urzędu Ochrony Danych
Osobowych.

Procedura przedmiotowych konsultacji odbywa się w trybie określonym w art. 36 ust. 2–3 RODO. Zgodnie z tymi przepisami, jeżeli organ nadzorczy jest zdania, że zamierzone przetwarzanie danych, co do którego przeprowadzono ocenę skutków, stanowiłoby naruszenie wymogów RODO, w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko, to wtedy PUODO w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje udziela administratorowi, a gdy ma to zastosowanie także podmiotowi przetwarzającemu pisemnego zalecenia i może skorzystać z dowolnego ze swoich uprawnień, o których mowa w art. 58 RODO.

Wskazany okres można przedłużyć o sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania. W takiej sytuacji PUODO informuje administratora, a gdy ma to zastoso...

Dalsza część jest dostępna dla użytkowników z wykupionym planem