Żaden przedsiębiorca nie przeprowadził dotąd w Polsce obowiązkowych konsultacji przed wdrożeniem produktów czy usług, które mogą zagrażać ochronie danych.
Obowiązek przeprowadzania uprzednich konsultacji został wprowadzony przez RODO. Są one powiązane z oceną skutków dla ochrony danych osobowych (ang. Data Protection Impact Assessment; dalej: DPIA). Ta musi być przeprowadzana wszędzie tam, gdzie pojawia się ryzyko naruszenia praw lub wolności osób (np. wyciek danych). Chodzi nie tylko o duże korporacje wprowadzające na rynek nowe narzędzia informatyczne czy produkty. Nawet mały start-up mający pomysł na innowacyjną usługę internetową może być zmuszony do przeprowadzenia DPIA. Jeśli ocena ta pokaże wysokie ryzyko wycieku, a administrator nie jest pewien czy zastosowane środki w sposób wystarczający minimalizują to ryzyko, to powinien przeprowadzić konsultacje uprzednie z organem nadzorczym. Polski organ, czyli Urząd Ochrony Danych Osobowych dotychczas nie przeprowadził ani jednych takich konsultacji.
– Wpływają do nas nieliczne pisma zatytułowane jako „wniosek o uprzednie konsultacje”, jednak po ich analizie okazuje się, że dotyczą one wątpliwości związanych z przetwarzaniem danych osobowych w konkretnych opisanych sytuacjach. Prezes UODO informuje wówczas takie podmioty, że procedura uprzednich konsultacji została ustanowiona w innym celu i ma zastosowanie wówczas, jeżeli planowana operacja przetwarzania danych (np. wprowadzenie w organizacji nowej technologii, wprowadzenie nowej usługi) budzi wątpliwości administratora co do wysokiego ryzyka naruszenia praw i wolności osób fizycznych – mówi Adam Sanocki, rzecznik prasowy UODO.