1. Państwa członkowskie zapewniają, by administrator lub podmiot przetwarzający przed przetwarzaniem danych osobowych, które będzie częścią mającego powstać nowego zbioru danych, skonsultowali się z organem nadzorczym, jeżeli:
a) ocena skutków dla ochrony danych, o której mowa w art. 27, wykaże, że przetwarzanie powodowałoby wysokie ryzyko naruszenia w razie niepodjęcia przez administratora środków w celu zminimalizowania tego ryzyka; lub
b) odnośny rodzaj przetwarzania – zwłaszcza z użyciem nowych technologii, mechanizmów lub procedur – stwarza poważne ryzyko naruszenia praw i wolności osób, których dane dotyczą.
2. Państwa członkowskie zapewniają przeprowadzenie konsultacji z organem nadzorczym w toku przygotowywania projektu aktu prawnego przyjmowanego przez parlament narodowy lub aktu wykonawczego opartego na takim akcie prawnym, jeżeli projekt dotyczy przetwarzania.
3. Państwa członkowskie zapewniają, by organ nadzorczy mógł sporządzać wykaz operacji przetwarzania, które wymagają uprzednich konsultacji zgodnie z ust. 1.
4. Państwa członkowskie zapewniają, by administrator przedstawiał organowi nadzorczemu ocenę wpływu na ochronę danych, o której mowa w art. 27, oraz na żądanie wszelkie inne informacje umożliwiające organowi nadzorczemu ocenę zgodności przetwarzania z przepisami, a w szczególności ocenę ryzyka w sferze ochrony danych osobowych osoby, której dane dotyczą, oraz powiązanych zabezpieczeń.
5. Państwa członkowskie zapewniają, by – jeżeli organ nadzorczy jest zdania, że zamierzone przetwarzanie, o którym mowa w ust. 1 niniejszego artykułu, stanowiłoby naruszenie przepisów przyjętych na podstawie niniejszej dyrektywy, w szczególności jeżeli administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – organ nadzorczy, w terminie do sześciu tygodni po otrzymaniu wniosku o konsultacje, przedstawił administratorowi, a w stosownym przypadku podmiotowi przetwarzającemu, pisemne zalecenia i mógł skorzystać z uprawnień, o których mowa w art. 47. Termin ten można przedłużyć o kolejny miesiąc ze względu na złożony charakter zamierzonego przetwarzania. Organ nadzorczy informuje administratora oraz, w stosownym przypadku, podmiot przetwarzający o takim przedłużeniu w terminie jednego miesiąca od otrzymania wniosku w sprawie konsultacji, z podaniem przyczyn tego opóźnienia.
(59) Aby zapewnić skuteczną ochronę praw i wolności osób, których dane dotyczą, administrator lub podmiot przetwarzający powinni w określonych przypadkach konsultować się z organem nadzorczym przed przetwarzaniem.
Zobacz także: WYTYCZNE