Konsultacje z organem nadzorczym

RODO wprowadza nową procedurę uprzedniej konsultacji z organem nadzorczym (art. 36 rozporządzenia), opartą na ocenie ryzyka planowanych operacji przetwarzania danych osobowych. W przypadku gdy ana¬liza ryzyka potwierdzi duże prawdopodobieństwo wystąpienia negatywnych skutków dla prywatności, administrator powinien skonsultować się z organem nadzorczym, aby zminimalizować niebezpieczeństwo.

Organ nadzorczy wraz z administratorem danych definiują i eliminują zagrożenia, które mogą mieć wpływ na prawa i wolności osób, których dane dotyczą. Czynności te są wykonywane jeszcze przed rozpoczęciem przetwarzania danych.

W związku z powyższym mamy do czynienia ze zmieniającym się sposobem działania administratora danych i organu nadzorczego w celu ochrony prywatności jeszcze przed rozpoczęciem przetwarzania danych. RODO koncentruje się na operacjach przetwarzania danych, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować ryzyko naruszenia praw i wolności osób.

Przepisy RODO wskazują na konieczność stworzenia przez organ nadzorczy wykazu rodzajów operacji przetwarzania, które podlegają wymogowi oceny skutków dla ochrony danych (lub wykazu operacji niepodlegających temu wymogowi). Zapewne w tym wykazie znajdą się operacje na danych z użyciem nowych technologii, polegające na systematycznej, kompleksowej ocenie czynników osobowych (np. profilowaniu) oraz operacje przetwarzania, które wymagają oceny ryzyka, np. przetwarzanie na dużą skalę szczególnych kategorii danych.

Należy zwrócić uwagę, że podmiotem zobowiązanym do dokonania oceny ryzyka przed rozpoczęciem przetwarzania danych jest administrator danych. Ocena administratora dotyczy danych przetwarzanych samodzielnie, jak też w przypadku gdy w proces przetwarzania będzie zaangażowany podmiot działający w jego imieniu. W przypadku gdy administrator w swojej ocenie potwierdzi wysokie ryzyko dla ochrony danych osobowych, będzie on musiał podjąć niezbędne działania minimalizujące te zagrożenia, a następnie skonsultować ten proces z organem nadzorczym w sposób określony w RODO.

Administrator w ramach konsultacji informuje organ nadzorczy o celach i sposobach zamierzonego przetwarzania, ocenie skutków przetwarzania dla prywatności osób, których dane dotyczą, wskazuje środki służące zabezpieczeniu danych osobowych, dane kontaktowe inspektora ochrony danych, jeśli go powołał, a także jest zobowiązany podać wszelkie inne informacje, których organ zażąda.

Prowadzona przez administratora ocena musi być wykonana przed rozpoczęciem przetwarzania danych i powinna zawierać:

  • systematyczny opis planowanych operacji i ich celów,
  • ocenę, czy planowane operacje przetwarzania są niezbędne i proporcjonalne do celów,
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • charakterystykę planowanych środków zaradczych, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia ogólnego.

W przypadku gdy organ nadzorczy stwierdzi, że przetwarzanie stanowiłoby naruszenie RODO, to poinformuje o tym administratora, określając sposób działania mający na celu zminimalizowanie ryzyka lub może skorzystać z uprawnień, o których mowa w art. 58 rozporządzenia:

  • nakazać dostosowanie operacji przetwarzania do przepisów RODO,
  • wydać ostrzeżenie dotyczące możliwości naruszenia przepisów poprzez planowane operacje na danych,
  • wprowadzić czasowe lub całkowite ograniczenie przetwarzania (w tym zakazać przetwarzania danych),
  • nałożyć karę pieniężną w zależności od okoliczności sprawy.
  •  

Jak widać, podejście do kwestii bezpieczeństwa danych zmienia się w istotny sposób. Rejestracja zbiorów danych została zastąpiona procedurą oceny ryzyka i konsultacji mającej na celu wyeliminowanie ryzyka lub sprowadzenie
go do poziomu akceptowalnego, tak aby przed rozpoczęciem przetwarzania danych osobowych stworzyć właściwy system ich zabezpieczenia i wyeliminować błędy administratora, które mogą polegać na nieadekwatnym zbieraniu danych, niewłaściwym ich przesyle pomiędzy systemami itp.

RODO kładzie nacisk na samokontrolę administratora danych i realizację zasady uwzględniania ochrony danych w fazie projektowania systemu. Administrator danych będzie zobowiązany:

  • ocenić, czy i w jaki sposób planowany rodzaj przetwarzania danych wpłynie na prywatność osób, których dane dotyczą,
  • czy zagrożenie dla tych danych jest duże i czy nie należy go zmniejszyć, stosując konkretne rozwiązania, które w jego ocenie wyłączą lub zminimalizują ryzyko.

Natomiast organ nadzoru:

  • zweryfikuje skuteczność działań administratora i wyda w razie potrzeby pisemne zalecenia,
  • nakaże dostosowanie operacji przetwarzania do przepisów RODO,
  • wyda ostrzeżenie dotyczące możliwości naruszenia przepisów poprzez planowane operacje na danych,
  • wprowadzi czasowe lub całkowite ograniczenie przetwarzania,
  • nałoży karę pieniężną w zależności od okoliczności sprawy.

Procedura konsultacji oraz poprzedzającej ją oceny ryzyka jest dedykowana administratorom, którzy zamierzają w systemie przetwarzania danych osobowych korzystać ze szczególnie skomplikowanych i zagrażających prywatności operacji przetwarzania danych, prowadzonych przy użyciu innowacyjnych technologii. Procedura ta zastępuje ogólny obowiązek rejestracyjny zbiorów danych.