Uprzednie konsultacje z Prezesem Urzędu Ochrony Danych Osobowych

Obowiązek uprzednich konsultacji ściśle powiązany jest z wynikającym z RODO wymogiem dokonywania przez administratorów oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Uprzednie konsultacje w określonych przypadkach powinny być kolejnym etapem działań administratora po przeprowadzeniu oceny skutków przetwarzania, a jeszcze przed rozpoczęciem nowych procesów przetwarzania danych osobowych.

Uprzednie konsultacje z Prezesem Urzędu Ochrony Danych Osobowych

Rafał Stępniewski

31 sierpnia 2018

Obowiązek uprzednich konsultacji ściśle powiązany jest z wynikającym z RODO wymogiem dokonywania przez administratorów oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Uprzednie konsultacje w określonych przypadkach powinny być kolejnym etapem działań administratora po przeprowadzeniu oceny skutków przetwarzania, a jeszcze przed rozpoczęciem nowych procesów przetwarzania danych osobowych.

Na podstawie przepisów RODO administratorzy powinni konsultować się przed podjęciem operacji przetwarzania danych osobowych z organem nadzorczym. W Polsce tym organem od 25 maja 2018 roku jest Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO oraz organ nadzorczy). W związku z tym, że obowiązek uprzednich konsultacji jest dla administratorów nowy, Prezes UODO przygotował na swojej stronie internetowej poradnik dotyczący tego, kiedy i w jaki sposób należy zwrócić się do organu nadzorczego z wnioskiem o uprzednie konsultacje (1).

Kiedy uprzednie konsultacje z Prezesem UODO są obowiązkowe?

Obowiązek złożenia wniosku o uprzednie konsultacje do Prezesa Urzędu Ochrony Danych Osobowych, na podstawie art. 36 RODO zachodzi, gdy spełnione zostaną łącznie następujące warunki:

  • przeprowadzona ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych wykazała wysokie ryzyko naruszenia praw i wolności osób,
  • administrator nie jest w stanie znaleźć środków umożliwiających zminimalizowanie ryzyka do stopnia akceptowalnego,
  • administrator nie podjął decyzji o nieprzetwarzaniu, to znaczy mimo wysokiego ryzyka naruszenia praw i wolności osób, chciałby dopuścić do planowanych operacji przetwarzania danych osobowych.

Przykłady operacji, które mogą nieść za sobą wysokie ryzyko naruszenia praw i wolności osób:

  • Administrator chciałby wdrożyć nową aplikację mobilną, która będzie zainstalowana w telefonach służbowych pracowników dla celów zwiększenia ich efektywności, jednocześnie będzie jednak zbierała szereg dodatkowych informacji o użytkownikach tych telefonów.
  • Administrator planuje wdrożenie nowej strategii marketingowej, w ramach której dokonywane będzie zautomatyzowane podejmowania decyzji ze skutkiem dla osoby, której dane dotyczą. Specjalne oferty będą przygotowywane na podstawie stworzonego przez system informatyczny profilu, w którym szereg informacji został wyinterpretowany z historii zakupów i preferencji klienta.
  • Administrator chce wprowadzić na rynek opaski służące zdrowemu stylowi życia – liczące kroki, prędkość biegu, tętno i szereg innych informacji o osobie i jej stanie zdrowia oraz sposobu spędzania czasu, które będą łączyły się z siecią Wi-Fi. Do zebranych informacji będą mieli dostęp specjaliści z zakresu dietetyki i trenerzy, zatrudnieni przez administratora.
  • Administrator rozważa wdrożenie przetwarzania danych biometrycznych gości hotelowych dla potrzeb kontroli dostępu. Celem nowego rozwiązania ma być podwyższenie standardów obsługi i skierowanie swoich usług dla klientów o szczególnym statusie (VIP).

Wniosek o uprzednie konsultacje do Prezesa UODO powinien zostać złożony po dokonaniu oceny skutków dla ochrony danych w razie zajścia wyżej wymienionych przesłanek, ale jeszcze przed rozpoczęciem przetwarzania.

Uwaga: Jeżeli ocena skutków dla ochrony danych wykazała dopuszczalne ryzyko, nie ma konieczności przeprowadzania uprzednich konsultacji z Prezesem UODO.

Kto powinien wystąpić z wnioskiem o uprzednie konsultacje?

Zgodnie z art. 36 ust. 1 RODO, z wnioskiem o uprzednie konsultacje powinien wystąpić administrator danych osobowych. Może być to na przykład spółka zajmująca się pośrednictwem pracy, która chce wprowadzić na rynek nową usługę związaną z przetwarzaniem na dużą skalę danych osobowych osób ubiegających się o zatrudnienie.

Krajowa ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, w art. 57 ust. 1 uprawnienie do zgłoszenia wniosku o uprzednie konsultacje nadaje również podmiotowi przetwarzającemu dane osobowe w imieniu administratora.

Z wnioskiem do organu nadzorczego może więc zwrócić się na przykład prowadzący jednoosobową działalność gospodarczą informatyk, współpracujący z administratorem danych w zakresie wsparcia IT przy wdrożeniu nowego projektu związanego z przetwarzaniem danych osobowych, który w ramach świadczenia swoich usług dokonał oceny skutków nowego procesu dla ochrony danych i uprawdopodobnił w niej wysokie ryzyko naruszenia praw i wolności osób w ramach tego, planowanego przetwarzania.

Wymogi dotyczące wniosku o uprzednie konsultacje

Prezes UODO wskazuje, że wniosek o uprzednie konsultacje powinien spełniać wymogi określone w art. 63 kodeksu postępowania administracyjnego (dalej jako k.p.a.). Wniosek taki powinien zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie (art. 63 § 2 k.p.a.). Powinien także być podpisany przez wnoszącego (art. 63 § 2 k.p.a.). W razie składania wniosku przez pełnomocnika, pełnomocnik podpisuje wniosek oraz załącza oryginał bądź urzędowo poświadczony odpis pełnomocnictwa (art. 33 § 3 i § 3a k.p.a.).

Na podstawie art. 63 § 1 kodeksu postępowania administracyjnego wniosek może być złożony pisemnie, telegraficznie, za pomocą telefaksu lub ustnie do protokołu, a także za pomocą innych środków komunikacji elektronicznej przez elektroniczną skrzynkę podawczą Prezesa UODO.

Istnieje możliwość złożenia wniosku na formularzu elektronicznym przygotowanym przez Prezesa UODO. Wniosek w formie dokumentu elektronicznego powinien być opatrzony bezpiecznym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (art. 63 § 3a pkt 1).

Wniosek powinien czynić zadość przepisom szczególnym (art. 63 § 2 k.p.a.). W tym przypadku takim przepisem będzie art. 36 ust. 3 RODO, zgodnie z którym, konsultując się z organem nadzorczym, administrator przedstawia mu:

  • swoje obowiązki, a także odpowiednie obowiązki współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu,
  • cele i sposoby zamierzonego przetwarzania,
  • środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z RODO,
  • dane kontaktowe inspektora ochrony danych, (gdy ma to zastosowanie),
  • pełną ocenę skutków dla ochrony danych, której dotyczy wniosek oraz
  • wszelkie inne informacje, których żąda organ nadzorczy (ten wymóg może także obejmować konieczność udzielania Prezesowi UODO informacji również w trakcie wszczętego na wniosek postępowania – uprzednich konsultacji).

Do wniosku o uprzednie konsultacje z Prezesem UODO należy dołączyć dowód zapłaty należnej opłaty skarbowej w wysokości 17 zł — § 3 ust. 1 rozporządzenia Ministra Finansów z dnia 28 września 2007 r. w sprawie zapłaty opłaty skarbowej (2).

Przebieg konsultacji: terminy i uprawnienia Prezesa UODO

Art. 36 ust. 1 RODO wskazuje terminy oraz kompetencje organu nadzorczego związane z przeprowadzaniem uprzednich konsultacji. Przepis upoważnia Prezesa Urzędu Ochrony Danych Osobowych do udzielenia administratorowi, a jeśli trzeba również podmiotowi przetwarzającemu pisemnego zalecenia, w szczególności gdyby dokonana ocena skutków przetwarzania dla ochrony danych była niedostateczna lub ryzyko zostałoby oszacowane jako zbyt niskie.

W razie gdyby organ nadzorczy uznał, że planowana operacja przetwarzania stanowiłaby naruszenie RODO, ma on możliwość dowolnego skorzystania ze swoich uprawnień określonych w art. 58 RODO, które obejmują szereg działań związanych z prowadzeniem postepowań (np. nakazanie administratorowi udzielenia informacji), działań naprawczych (np. wydawanie administratorowi ostrzeżeń) oraz działań doradczych (np. udzielanie administratorowi porad).

Prezes UODO powinien rozpatrzyć wniosek o uprzednie konsultacje w terminie ośmiu tygodni od jego wpłynięcia. Z uwagi na złożoność sprawy termin ten może zostać wydłużony o kolejne sześć tygodni, przy czym o przedłużeniu organ nadzorczy powinien poinformować w ciągu miesiąca od wpłynięcia wniosku. Bieg terminu może również ulec zawieszeniu do czasu aż organ nadzorczy uzyska wszelkie żądane informacje dla potrzeb sfinalizowania konsultacji.

Uprzednie konsultacje państw członkowskich

Jako ciekawostkę należy dodać, że na mocy art. 36 ust. 4 obowiązek uprzednich konsultacji z organem nadzorczym dotyczy również samych państw członkowskich Unii Europejskiej. Parlament narodowy powinien skonsultować się z organem nadzorczym, przygotowując projekt aktu prawnego lub aktu wykonawczego opartego na takim akcie prawnym, jeżeli projekt dotyczy przetwarzania.

Oznacza to, że w Rzeczypospolitej Polskiej Sejm, projektując akty prawne obejmujące kwestie związane z przetwarzaniem danych osobowych, również powinien zgłosić się w celu uprzednich konsultacji do Prezesa Urzędu Ochrony Danych Osobowych.

(1) https://uodo.gov.pl/pl/127

(2) https://uodo.gov.pl/pl/127/219

Problematykę oceny skutków przetwarzania dla ochrony danych omówiliśmy w jednym z artykułów zamieszczonych w piątym numerze RODOmagazynu.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!