Powstanie obowiązku uprzednich konsultacji

Ocena skutków dla ochrony danych może tworzyć obowiązek konsultacji z organem nadzorczym przed rozpoczęciem przetwarzania przez administratora.

Będzie tak, jeśli wskaże ona, że:

1) przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych; i

2) administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia.

Elementy informacji przedstawianej organowi nadzorczemu w ramach konsultacji

Konsultując się z organem nadzorczym, administrator przedstawia mu:

1) gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu;

2) cele i sposoby zamierzonego przetwarzania;

3) środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z rozporządzeniem GDPR;

4) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

5) ocenę skutków dla ochrony danych; oraz

6) wszelkie inne informacje, których żąda organ nadzorczy.

Zalecenie organu nadzorczego

Jeżeli organ nadzorczy jest zdania, że zamierzone przetwarzanie, stanowiłoby naruszenie rozporządzenia GDPR, udziela pisemnego zalecenia. Kieruje je do administratora i procesora (gdy ma to zastosowanie). Może on, przy okazji, skorzystać z dowolnego ze swoich uprawnień kontrolnych.

Dokonuje tego w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje. Okres ten może przedłużyć o sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania, o czym informuje adresatów swego zalecenia. Bieg tych terminów można zawiesić, do czasu aż organ nadzorczy uzyska wszelkie informacje, których zażądał do celów konsultacji.

Brak reakcji ze strony organu nadzorczego w tym terminie nie wyklucza jego interwencji w późniejszym okresie, zgodnie z jego zadaniami i uprawnieniami zawartymi w rozporządzeniu GDPR.

Możliwość wprowadzenia przez państwo wymogu uzyskania uprzedniej zgody organu nadzorczego

Rozporządzenie GDPR nadaje szczególny status przetwarzaniu danych osobowych do celów wykonania zadania realizowanego w interesie publicznym. Prawo krajowe, może wprowadzić wymóg by administratorzy konsultowali się z organem nadzorczym i uzyskiwali jego uprzednią zgodę na tego typu przetwarzanie.

Obowiązek ten, może objąć przetwarzanie w związku z ochroną socjalną i zdrowiem publicznym.

W związku z tym przepisem należy cały czas monitorować proces polskiej legislacji, gdyż ustawodawca krajowy ma swobodę co do możliwości wydania aktu prawnego o tej treści.

Related Post