Portal GDPR.pl wystąpił do organów nadzorczych z krajów UE z serią pytań, z których pierwsze dotyczyło liczby wniesionych wniosków o uprzednie konsultacje. Niniejsze opracowanie nie ma zatem charakteru kompletnego i opiera się na przesłanych odpowiedziach.
Artykuł 36 RODO przewiduje, iż w przypadku, gdy ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem takiego przetwarzania konsultuje się on z organem nadzorczym.
W przesłanej do nas odpowiedzi urząd wskazuje, że:
Konieczność wystąpienia z wnioskiem o uprzednie konsultacje może mieć miejsce w sytuacjach szczególnych wskazanych w art. 36 RODO, tzn., gdy przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia. A zatem warunkiem koniecznym do wystąpienia z wnioskiem o uprzednie konsultacje do organu nadzorczego jest wcześniejsze dokonanie przez administratora oceny skutków dla ochrony danych w celu oszacowania ryzyka naruszenia praw i wolności osób fizycznych. Jeśli ocena ta wykaże wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator uzna, że ryzyka tego nie da się zminimalizować dostępnymi dla niego środkami z punktu widzenia technologii i kosztów wdrożenia – wówczas administrator ma obowiązek skonsultować się z Prezesem Urzędu Ochrony Danych Osobowych. A więc, aby konieczne było wystąpienie do Prezesa UODO z wnioskiem o uprzednie konsultacje musi zaistnieć ta wyjątkowa sytuacja, w której administrator lub współadministratorzy nie będą mogli znaleźć właściwego optymalnego rozwiązania dla bezpiecznego przetwarzania danych osobowych w planowanych operacjach przetwarzania.
Kto konsultuje ten nie ryzykuje
W pierwszej kolejności wskazać należy, iż artykuł 36 przyznaje administratorom użyteczne narzędzie, które w przypadku procesów, w których zidentyfikowane wysokie ryzyko naruszenia praw i wolności osób, których dane są przetwarzane, umożliwia uzyskanie wiążącego stanowiska organu nadzorczego. Jeżeli jest on zdania, że zamierzone przetwarzanie stanowiłoby naruszenie RODO – w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – organ w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje udziela pisemnego zalecenia i może skorzystać z dowolnego ze swoich uprawnień, o których mowa w art. 58 RODO. Okres ten można przedłużyć o sześć tygodni ze względu na złożony charakter przetwarzania.
A wniosków brak
Nieco dziwić więc może niewielka liczba złożonych zapytań. W szczególności w Niemczech, gdzie lokalne organy nadzorcze w poszczególnych landach działają niezwykle sprawnie, złożono tylko jeden taki wniosek. Dla kontrastu Finlandia to 90 wniosków (z czego tylko, albo aż 20 postępowań zostało zakończonych zaleceniami urzędu, w pozostałych przypadkach wnioski wycofano lub odrzucono). Chorwacja 35 (!) wniosków, Szwecja 30, Wielka Brytania 10, Łotwa i Islandia po 5. Co ciekawe sąsiedzi – Szwecja i Finlandia łącznie dominują w tym zestawieniu (ok 65% złożonych wniosków).
Liczby te mogą wynikać z jednej z strony z charakteru procedury, która zakłada przedstawienie szczegółowego obrazu procesu przetwarzania organowi nadzorczemu, z drugiej z braku przeprowadzania rzetelnych analiz ryzyka i oceny skutków ochrony danych, podczas których zidentyfikowano by procesy wymagające konsultacji.
Z naszej praktyki, wynika też, iż w Polsce brak wniosków wynika często ze strachu przed reakcją organu nadzorczego, który w ostatnim czasie wydaje się chętnie sięgać po instrument w postaci administracyjnych kar pieniężnych. Kadra kierownicza niechętnie patrzy na kontakt z urzędem, który potencjalnie negatywnie może się odbić na działalności biznesowej. Taka postawa pomija jednak całkowicie fakt, że podmiot konsultuje się z organem PRZED rozpoczęciem przetwarzania i otrzymanie wiążących wskazówek de facto niweluje ryzyko późniejszego kwestionowania przebiegu procesu przez urząd.
Obawa przed karami?
Szukając odpowiedzi na pytanie dlaczego w Polsce nikt nie konsultuje, a w Skandynawii jest to można powiedzieć masowe, zaczęliśmy od analizy współzależności z karami. Czy obawa przed karami może być przyczyną tak niewielkiej liczby konsultacji? Finlandia to tylko 5 nałożonych kar, podczas gdy Niemcy – 26 co mogłoby potwierdzać tę tezę, Polska to 9 kar, Islandia i Łotwa po 2, Wielka Brytania 3. Wydaje się, że dysponujemy zbyt małą ilością danych by stwierdzić tu związek przyczynowo – skutkowy, ale z pewnością w przypadku kilku państw możemy mówić o współwystępowaniu tych dwóch elementów (niewielka liczba kar = więcej składanych wniosków). Można na zagadnienie spojrzeć też z drugiej strony dużo konsultacji to mało kar (Finlandia 5 kar i 90 wniosków).
Trudniej jest natomiast powiązać liczbę konsultacji z wysokością kar (łączną kwotą), o ile w przypadku Finlandii (łącznie ok 200 tyś euro) można znaleźć wyraźny związek potwierdzający postawioną hipotezę, o tyle Wielka Brytania czy Norwegia zdaje się jej nie potwierdzać.
Zmarnowany potencjał?
Zebrane przez nas informacje nie napawają optymizmem i pozwalają na stwierdzenie, że mechanizm uprzednich konsultacji to narzędzie wciąż jeszcze zbyt mało popularne, pomimo ewidentnych korzyści dla administratorów i podmiotów przetwarzających, a szkoda bo to bardzo dobrze pomyślany mechanizm wsparcia administratorów na etapie projektowania. Przede wszystkim powinny nas do tego zachęcić organy nadzoru, nagradzając „odważnych” szybkimi i merytorycznymi konsultacjami opartymi o założenie, że obie strony grają do jednej bramki.
Problem jest jednak jak się wydaje bardziej złożony i niejednoznaczny w ocenie. Zdaniem urzędu administratorzy danych nie potrafią stosować właściwie przepisów. W przesłanej do nas odpowiedzi urząd stwierdza, iż:
Instytucja uprzednich konsultacji jest dość sformalizowana, tzn. oprócz wymogów określonych w art. 63 Kodeksu postepowania administracyjnego, wniosek taki musi zawierać co najmniej informacje wymienione w art. 36 ust. 3 RODO. Jeżeli wniosek nie będzie spełniał tych wymogów Prezes Urzędu informuje o nieudzieleniu konsultacji, wskazując tego przyczyny (zgodnie z art. 57 ust. 3 ustawy o ochronie danych osobowych).
To, że do tej pory Prezes UODO nie wydał stanowisk (nie udzielił zaleceń) na podstawie wniosków o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 RODO nie oznacza, że takich wniosków nie rozpatrywał. Pierwszy taki wniosek wpłynął już w październiku 2018 r., jednak ze względu na to, że nie spełniał wymogów formalnych (m.in. nieprawidłowe pełnomocnictwo, brak elementów określonych w art. 36 i 35 RODO) Prezes UODO nie udzielił konsultacji w przedmiotowej sprawie.
Ponadto, do Prezesa UODO wpływają nieliczne pisma zatytułowane jako „wniosek o uprzednie konsultacje” jednak po ich analizie okazuje się, że dotyczą one wątpliwości związanych z przetwarzaniem danych osobowych w konkretnych opisanych sytuacjach. Może to oznaczać, że administratorzy, i to zarówno z sektora prywatnego jak i publicznego, często mylą sformalizowaną procedurę uprzednich konsultacji z sytuacją, gdy chcą jedynie uzyskać od Prezesa UODO stanowisko w konkretnej sprawie.
Gdzie zatem w istocie leży problem, czy po stronie administratorów którzy nie wiedzą jak złożyć wniosek i boją się tej instytucji, czy po stronie urzędu który nie wdrożył mechanizmów zachęt i nie przeprowadził akcji edukacyjnej? Jak widać po stronie administratorów jak i IOD taka potrzeba jest. Pytanie pozostawiamy otwarte, ale warto się nad problemem w przyszłości pochylić.
Pozostaje mieć nadzieję, że dobre praktyki z Finlandii, Chorwacji czy Szwecji z czasem zyskają na popularności w pozostałych państwach członkowskich. Nie chcielibyśmy by uprzednie konsultacje podzieliły los certyfikacji uważanej za największe rozczarowanie rynku w odniesieniu do RODO.
Na koniec warto przytoczyć fragment stanowiska UODO, które dobrze podsumowuje naszą analizę:
„Jeśli chodzi o ocenę samej instytucji uprzednich konsultacji to wydaje się, że wprowadzenie jej w RODO jest dobrym pomysłem, gdyż ma na celu niejako wesprzeć administratorów w wypracowaniu właściwej strategii w ochronie danych osobowych. Pomimo tego, że administratorzy mają pełną swobodę w wyborze stosowanych środków bezpieczeństwa dla ochrony danych osobowych to jednak instytucja ta przewiduje sytuacje, gdy może okazać się, że żadne z tych środków nie są właściwe. Tym samym RODO nie pozostawia administratorów samych sobie w takich okolicznościach i daje im niejako narzędzie do uzyskania pomocy ze strony organu nadzorczego”.
Kolejna część naszych publikacji opartych o informacje z urzędów dotyczyć będzie inspektorów ochrony danych, a więc bardzo gorącego tematu. Zatem już teraz zapraszamy do śledzenia naszych publikacji na portalu. A warto, bo zapowiada się bardzo ciekawie.