Jakie działania trzeba podjąć przed wystąpieniem z wnioskiem o uprzednie konsultacje
Warunkiem koniecznym do wystąpienia z wnioskiem o uprzednie konsultacje do organu nadzorczego jest wcześniejsze dokonanie przez administratora oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi ryzyka naruszenia praw i wolności osób fizycznych. Ocena ta powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające zminimalizować to ryzyko.
RODO zapewnia administratorom swobodę w wyborze metodyki przeprowadzenia oceny skutków dla ochrony danych, lecz metodyka ta powinna być zgodna z kryteriami określonymi w załączniku nr 2 do Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679. (WP 248). Kryteria można wykorzystać do wykazania, że konkretna metodyka oceny skutków dla ochrony danych spełnia standardy przewidziane w RODO.
Pomocne informacje można znaleźć również w przygotowanym przez GIODO poradniku "Jak rozumieć i stosować podejście oparte na ryzyku?", w którym przedstawione zostały kolejne możliwe etapy działań podejmowanych w celu przeprowadzania ogólnej oceny ryzyka oraz szczegółowej oceny ryzyka.
Wskazana jest ścisła współpraca pomiędzy administratorem, inspektorem ochrony danych oraz podmiotem przetwarzającym na każdym z etapów dokonywania oceny skutków dla ochrony danych.
Jeżeli przeprowadzona ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia - administrator ma obowiązek skonsultować się z organem nadzorczym, czy zamierzone przetwarzanie danych jest zgodne z RODO.