Czy jednostka samorządu terytorialnego może zrezygnować z DPIA
Czy w urzędzie gminy, który swoje zadania wykonuje na podstawie przepisów prawa, zobowiązany jest do przeprowadzenia oceny skutków dla ochrony danych? Czy obowiązek oceny skutków dla ochrony danych obejmuje administrację samorządową? Sprawdzamy, czy wyłączenia w zakresie DPIA dotyczą podmiotów publicznych.
W artykule:
-
kiedy obowiązek DPIA podlega wyłączeniu,
-
czy takie wyłączenie dotyczy jednostek samorządu terytorialnego.
Dane identyfikujące i dające możliwość identyfikacji
W myśl art. 35 ust. 10 RODO regulacje dotyczące oceny skutków dla ochrony danych nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.
Obowiązek przeprowadzenia DPIA jest wyłączony, gdy spełnione są wszystkie poniższe przesłanki:
-
przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. c lub e RODO;
-
przetwarzanie takie ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji;
-
DPIA dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej, chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.
Problem z ostatnią z przesłanek
W przypadku podmiotów publicznych w tym jednostek samorządu terytorialnego należy ocenić zwłaszcza ostatnią przesłankę.
Administrator musi dokonać ustaleń czy ocena skutków dla ochrony danych została przeprowadzona w ramach procesu legislacyjnego tj. w ramach oceny skutków regulacji w związku z przyjęciem przepisów stanowiących podstawę prawną przetwarzania.
Jak wskazuje się w literaturze brak jest jakichkolwiek kryteriów dokonywania tej oceny tj. wskazania jakie wymagania progowe dana legislacja musiałaby spełnić, aby można było uznać, że ocena skutków dla ochrony danych w rozumieniu art. 35 RODO została w jej ramach dokonana. Nie sposób także uznać, że omawiana przesłanka została spełniona (tj. że przeprowadzono ocenę skutków dla ochrony danych w ramach oceny skutków regulacji) w przypadku przepisów, które obowiązywały na długo przed wejściem w życie i obowiązywaniem RODO. Tym samym należy uznać, że w przypadku przepisów, które weszły w życie przed RODO, zastosowanie wyjątku w zakresie DPIA jest niemożliwe.
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Ochrona danych osobowych uczestników rynku kryptoaktywów wymaga doprecyzowania
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Nowelizacja ustawy o cudzoziemcach sprzeczna z zasadą minimalizacji RODO – uwagi Prezesa Urzędu Ochrony Danych Osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
- Kodeks postępowania RODO w ochronie zdrowia - jakie rozwiązania przewiduje
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
