Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Uprzednie konsultacje – nie chcemy czy nie potrafimy korzystać?

13-11-2020 Autor: Michał Czarnecki, Tomasz Osiej

Jakiś czas temu ze zdziwieniem odnotowaliśmy, że w Polsce jako jednym z nielicznych krajów w Europie nie złożono ani jednego wniosku w trybie art. 36. ust. 1 rodo. Postanowiliśmy poddać tę kwestię głębszej analizie.

 

Nasz kraj został ponownie wskazany jako europejski niechlubny wyjątek, dlatego zwróciliśmy się do europejskich organów, by u źródeł zweryfikować, jak faktycznie to wygląda w Polsce oraz w innych krajach europejskich, a przede wszystkim zdiagnozować przyczynę i poszukać rozwiązań. Za pośrednictwem portalu www.gdpr.pl zadaliśmy tym urzędom (w tym także polskiemu organowi) następujące pytania: czy administratorzy danych zwracali się do nich o zasięgnięcie opinii w sprawie przetwarzania danych zgodnie z art. 36 ust. 1 rodo? Jeśli tak, to jakie były wyniki takich konsultacji, ile wniosków zostało poddanych procedurze i jaki był tego efekt?
Z przesłanych zwrotnie informacji przygotowane zostało zestawienie, które zostało opublikowane na portalu GDPR.pl1.


W niniejszym artykule problem zostanie jednak przedstawiony szerzej przez sięgnięcie przede wszystkim do przepisów prawa i zestawienie ich z praktyką, która okazuje się zaskakująca.


Co na to rodo


Wstępem do tych rozważań musi być oczywiście krótka analiza przepisów, aby przypomnieć, z jak nietypową, ale ważną instytucją mamy do czynienia.


Punktem wyjścia jest art. 36 ust. 1 rodo, w myśl którego, jeżeli przeprowadzona ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment, dalej: DPIA) wykaże, że określone przetwarzanie powodowałoby wysokie ryzyko naruszenia praw i wolności osób (a administrator nie jest w stanie zminimalizować go samodzielnie), to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. W motywie 94 preambuły rodo prawodawca unijny podkreśla, że administrator wyraża opinię, że ryzyka nie mógł zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia. Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) wskazała również, iż niezależnie od tego, czy wymagane są konsultacje z organem nadzorczym na podstawie określonego poziomu ryzyka, obowiązki polegające na przechowywaniu dokumentacji związanej z oceną skutków dla ochrony danych i dokonywaniu aktualizacji tej oceny skutków w stosownym terminie pozostają aktualne2.


Wydaje się więc, że uprzedni charakter konsultacji sprawia, że jest to użyteczne narzędzie w rękach administratorów, które umożliwia im zaangażowanie w planowanie swoich działań Prezesa UODO, przy czym „konstrukcja prawna uprzednich konsultacji może być rozumiana jako przejaw wsparcia, jakiego organ nadzorczy powinien udzielić administratorowi w przypadku, gdy administrator nie wie, jakie środki powinien przyjąć" (P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa, 2018).


Zgodnie z art. 36 ust. 2 rodo jeżeli w ocenie organu zamierzone przetwarzanie stanowiłoby naruszenie przepisów rodo – w terminie do 8 tygodni od wpłynięcia wniosku o konsultacje udziela on administratorowi (a gdy ma to zastosowanie także podmiotowi przetwarzającemu) pisemnego zalecenia i może skorzystać z dowolnego ze swoich uprawnień, o których mowa w art. 58 rodo (m.in. uprawnienia naprawcze, doradcze, postępowania i kontrole). Okres, w którym organ powinien wrócić z odpowiedzią, można przedłużyć o 6 tygodni ze względu na złożony charakter przetwarzania.


Z semantycznego punktu widzenia (K. Witkowska-Nowakowska [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018): „zwraca się uwagę na pewne trudności związane z zastosowaniem przez prawodawcę unijnego pojęcia konsultacji, rozumianego tradycyjne m.in. jako środek służący wymianie poglądów, co może wywoływać mylne wyobrażenie na temat istoty nowego obowiązku, przewidzianego przez art. 36. Przepis ten obliguje bowiem administratora do przekazania organowi nadzorczemu określonego zestawu informacji, po dokonaniu oceny którego organ może wydać zalecenia lub skorzystać z uprawnień przyznanych mu na mocy art. 58”.


Władcze uprawnienia organu wymienione w tym przepisie (np. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, ostrzeżenia, upomnienia, nakazy) nie powinny działać odstraszająco w sytuacji, w której przetwarzanie jest dopiero „planowane”, trudno bowiem na takim wstępnym etapie podejrzewać, by dopuszczono się naruszenia, a administrator miał z tego tytułu ponieść negatywne konsekwencje. Sam organ wskazuje, iż działania te nie są po to, by odstraszyć administratorów, ale pomóc im tak zorganizować planowane procesy związane z przetwarzaniem danych, by były one zgodne z przepisami o ochronie danych osobowych. Oczywiście istnieje ryzyko, że podmiot, przekazując organowi informacje konieczne do przeprowadzenia konsultacji, niejako przy okazji, odsłoni braki w systemie ochrony danych osobowych (np. przez planowanie przetwarzania, które ma być realizowane z wykorzystaniem bazy danych, która została pozyskana niezgodnie z prawem).


Z czym do Urzędu


Konsultując się z organem nadzorczym, należy przedstawić szereg informacji niezbędnych do pełnej oceny przetwarzania. Jako minimum w pierwszej kolejności wymieniono obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności – co podkreślono w treści przepisu – w przypadku przetwarzania w ramach grupy przedsiębiorstw. Określić należy też cele i sposoby przetwarzania. Następnym elementem są środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą. Dołączyć należy również ocenę skutków dla ochrony danych. Katalog ten jest otwarty i organ nadzorczy może żądać dodatkowych informacji.


Wynika z tego, że informacje, które należy przekazać organowi, nie wykraczają (w podstawowym zakresie) poza te, którymi administrator już dysponuje, gdyż były one konieczne do poprawnego przeprowadzenia oceny skutków dla ochrony danych. Nie występuje tu więc dodatkowy nakład pracy. Urząd Ochrony Danych Osobowych nie opracował obligatoryjnego czy też pomocniczego formularza (w przeciwieństwie chociażby do ustalonych wzorów zawiadomienia o wyznaczeniu IOD i zgłoszenia naruszeń ochrony danych osobowych). Na marginesie możemy wskazać, że są kraje, które skorzystały z pomysłu zrobienia formularza ułatwiającego zgłaszanie wniosków, ale nie wiemy, na ile to jest rzeczywiście pomocne.

 

[...]

 

Michał Czarnecki – partner Osiej i Partnerzy.
Tomasz Osiej – partner zarządzający Osiej i Partnerzy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.