Czasopisma logo

Monitor Prawniczy

no. 13/2017

Data protection impact assessment and prior consultations – new duties of personal data processors

Natalia Kalinowska
Autorka jest doktorantką na WPiA UKSW, prawnikiem w Maruta Wachta sp.j.
Paweł Litwiński
Autor jest adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.
Abstract

The article discusses two new institutions introduced by the GDPR – data protection impact assessment and prior consultations with the supervisory authority. Their aim is to replace the ineffective and burdensome duty to register personal data sets with effective mechanisms and procedure affording better personal data protection. Under the new regulations impact assessment is a process consisting in a comprehensive description of planned data processing operations. Basing on the description the administrator makes an assessment whether the processing operations are indispensable and proportionate in relation to the objectives, and also assesses the risk of violation of the rights and freedoms of data subjects. Where despite the application of risk alleviating measures the assessment continues to indicate a high level of risk, the administrator is obliged to make prior consultations with the supervisory authority. Despite the guidelines issued by the Article 29 Working Party, data protection impact assessment continues to arouse many doubts as to its carrying out and application – in particular as regards risk assessment which directly affects whether impact assessment is mandatory or facultative.

Instytucja oceny skutków regulacji dla ochrony danych osobowych uległa istotnym zmianom w trakcie prac nad rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylające dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych); Dz.Urz. L Nr 119 z 4.5.2016 r., s. 1; dalej jako: RODO. Zgodnie z pierwotną propozycją Komisji Europejskiej [art. 33 ust. 6 i 7 pierwotnego projektu RODO, zob. Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych), COM(2012) 11 final.], Komisja miała mieć istotny wpływ na zasady przeprowadzania oceny. Komisja miała być bowiem, po pierwsze, uprawniona do przyjmowania aktów delegowanych w celu doprecyzowania kryteriów i warunków operacji przetwarzania, dla których przeprowadzenie oceny miało być obowiązkowe. Po drugie, Komisja miała również mieć uprawnienie do określania wymogów w zakresie oceny skutków, a także standardów i procedur przeprowadzania, weryfikowania i kontroli oceny. Dopiero na finalnym etapie prac nad RODO Parlament Europejski zdecydował się usunąć delegację dla Komisji i obecnie ocena skutków jest instytucją, która nie może być doprecyzowana w akcie delegowanym bądź wykonawczym Komisji Europejskiej.