Nawigacja
RODO > Artyku艂 36. Uprzednie konsultacje
Pobierz jako plik PDF

Artyku艂 36 RODO. Uprzednie konsultacje

Article 36 GDPR. Prior consultation

1. Je偶eli ocena skutk贸w dla ochrony danych, o kt贸rej mowa w art. 35, wska偶e, 偶e przetwarzanie powodowa艂oby wysokie ryzyko, gdyby administrator nie zastosowa艂 艣rodk贸w w celu zminimalizowania tego ryzyka, to przed rozpocz臋ciem przetwarzania administrator konsultuje si臋 z organem nadzorczym.

1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.

Powi膮zane teksty

2. Je偶eli organ nadzorczy jest zdania, 偶e zamierzone przetwarzanie, o kt贸rym mowa w ust. 1, stanowi艂oby naruszenie niniejszego rozporz膮dzenia 鈥 w szczeg贸lno艣ci gdy administrator niedostatecznie zidentyfikowa艂 lub zminimalizowa艂 ryzyko 鈥 organ nadzorczy w terminie do o艣miu tygodni od wp艂yni臋cia wniosku o konsultacje udziela administratorowi, a gdy ma to zastosowanie tak偶e podmiotowi przetwarzaj膮cemu pisemnego zalecenia i mo偶e skorzysta膰 z dowolnego ze swoich uprawnie艅, o kt贸rych mowa w art. 58. Okres ten mo偶na przed艂u偶y膰 o sze艣膰 tygodni ze wzgl臋du na z艂o偶ony charakter zamierzonego przetwarzania. Organ nadzorczy informuje administratora, a gdy ma to zastosowanie tak偶e podmiot przetwarzaj膮cy, o takim przed艂u偶eniu w terminie miesi膮ca od wp艂yni臋cia wniosku o konsultacje, z podaniem przyczyn tego op贸藕nienia. Bieg tych termin贸w mo偶na zawiesi膰, do czasu a偶 organ nadzorczy uzyska wszelkie informacje, kt贸rych za偶膮da艂 do cel贸w konsultacji.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph聽1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article聽58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

3. Konsultuj膮c si臋 z organem nadzorczym zgodnie z ust. 1, administrator przedstawia mu:

3. When consulting the supervisory authority pursuant to paragraph聽1, the controller shall provide the supervisory authority with:

a) gdy ma to zastosowanie 鈥 odpowiednie obowi膮zki administratora, wsp贸艂administrator贸w oraz podmiot贸w przetwarzaj膮cych uczestnicz膮cych w przetwarzaniu, w szczeg贸lno艣ci w przypadku przetwarzania w ramach grupy przedsi臋biorstw;

(a)聽where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;

b) cele i sposoby zamierzonego przetwarzania;

(b)聽the purposes and means of the intended processing;

c) 艣rodki i zabezpieczenia maj膮ce chroni膰 prawa i wolno艣ci os贸b, kt贸rych dane dotycz膮, zgodnie z niniejszym rozporz膮dzeniem;

(c)聽the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;

d) gdy ma to zastosowanie 鈥 dane kontaktowe inspektora ochrony danych;

(d)聽where applicable, the contact details of the data protection officer;

e) ocen臋 skutk贸w dla ochrony danych, o kt贸rej mowa w art. 35; oraz

(e)聽the data protection impact assessment provided for in Article聽35; and

Powi膮zane teksty

f) wszelkie inne informacje, kt贸rych 偶膮da organ nadzorczy.

(f)聽any other information requested by the supervisory authority.

4. Pa艅stwa cz艂onkowskie konsultuj膮 si臋 z organem nadzorczym, przygotowuj膮c projekt aktu prawnego przyjmowanego przez parlament narodowy lub aktu wykonawczego opartego na takim akcie prawnym, je偶eli projekt dotyczy przetwarzania.

4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing.

5. Niezale偶nie od ust. 1 prawo pa艅stwa cz艂onkowskiego mo偶e wymaga膰, by administratorzy konsultowali si臋 z organem nadzorczym i uzyskiwali jego uprzedni膮 zgod臋 na przetwarzanie danych osobowych przez administratora do cel贸w wykonania zadania realizowanego przez administratora w interesie publicznym, w tym przetwarzania w zwi膮zku z ochron膮 socjaln膮 i zdrowiem publicznym.

5. Notwithstanding paragraph聽1, Member聽State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.

ISO 27701 Motywy zostaw komentarz
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 36 GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(94) Je偶eli ocena skutk贸w dla ochrony danych wyka偶e, 偶e przy braku zabezpiecze艅, 艣rodk贸w bezpiecze艅stwa oraz mechanizm贸w minimalizuj膮cych ryzyko przetwarzanie powodowa艂oby wysokie ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych, a administrator wyra偶a opini臋, 偶e ryzyka tego nie da si臋 zminimalizowa膰 艣rodkami rozs膮dnymi z punktu widzenia dost臋pnych technologii i koszt贸w wdro偶enia, wtedy przed rozpocz臋ciem czynno艣ci przetwarzania nale偶y skonsultowa膰 si臋 z organem nadzorczym. Takie wysokie ryzyko mog膮 powodowa膰 pewne rodzaje przetwarzania oraz zakres i cz臋stotliwo艣膰 przetwarzania, kt贸re mog膮 skutkowa膰 tak偶e szkod膮 lub ingerencj膮 w prawa i wolno艣ci osoby fizycznej. Na wniosek o konsultacje organ nadzorczy powinien odpowiedzie膰 w okre艣lonym terminie. Jednak brak reakcji ze strony organu nadzorczego w tym terminie nie powinien wyklucza膰 interwencji tego organu zgodnie z jego zadaniami i uprawnieniami ustanowionymi w niniejszym rozporz膮dzeniu, w tym uprawnieniami do zakazania operacji przetwarzania. W ramach konsultacji mo偶na przed艂o偶y膰 organowi nadzorczemu wyniki oceny skutk贸w dla ochrony danych dokonanej w odniesieniu do danego przetwarzania, a w szczeg贸lno艣ci 艣rodki planowane w celu zminimalizowania ryzyka naruszenia praw lub wolno艣ci os贸b fizycznych.

(94) Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons.

(95) W razie potrzeby i na 偶膮danie podmiot przetwarzaj膮cy powinien pomaga膰 administratorowi w zapewnieniu przestrzegania obowi膮zk贸w wynikaj膮cych z dokonania oceny skutk贸w dla ochrony danych oraz z uprzednich konsultacji z organem nadzorczym.

(95) The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority.

(96) Konsultacji z organem nadzorczym nale偶y dokona膰 r贸wnie偶 w trakcie przygotowywania aktu ustawodawczego lub wykonawczego przewiduj膮cego przetwarzanie danych osobowych, aby zapewni膰 zgodno艣膰 zamierzonego przetwarzania z niniejszym rozporz膮dzeniem, a w szczeg贸lno艣ci zminimalizowa膰 ewentualne ryzyko dla osoby, kt贸rej dane dotycz膮.

(96) A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject.

zostaw komentarz
[js-disqus]