DPIA w urzędzie gminy

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 15 kwietnia 2019
pracownicy

W określonych przypadkach administrator danych osobowych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA). Jak przedstawia się ta kwestia w urzędzie gminy?

Przesłanki przeprowadzenia DPIA 

RODO nakłada na administratorów danych obowiązek przeprowadzania oceny skutków dla ochrony danych (DPIA). Administrator danych zobligowany jest przeprowadzić ocenę skutków dla ochrony danych (DPIA) zawsze wtedy, gdy:

  • spełnione są przesłanki wskazane w art. 35 ust. 1 RODO (tj. gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) lub
  • zachodzą przypadki określone w art. 35 ust. 3 RODO (np. przetwarzanie na dużą skalę szczególnych kategorii danych z art. 9 ust. 1 lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10)
  • organ nadzorczy ustanowił i podał do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy art. 35 ust. 1.

Administrator danych zwolniony jest z obowiązku przeprowadzenia oceny skutków dla ochrony danych, jeżeli operacja przetwarzania, zgodnie z art. 6 ust. 1 lit. c lub e RODO, ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, które reguluje daną operację przetwarzania, oraz jeżeli oceny skutków dla ochrony danych dokonano już w związku z przyjęciem tej podstawy prawnej (art. 35 ust. 10 RODO), chyba że państwo członkowskie uznało za niezbędne dokonanie oceny skutków dla ochrony danych przed rozpoczęciem czynności przetwarzania.

Należy sięgnąć do komunikatu Prezesa UODO

Opublikowany w Monitorze Polskim komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. zawiera wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków dla ochrony danych na mocy art. 35 ust. 1 RODO. Wykaz ten zawiera przykłady operacji, w których może wystąpić wysokie ryzyko naruszenia i przykłady potencjalnych obszarów obejmujących te operacje. 

Wobec tego administrator danych wykonujący operacje na danych osobowych, których rodzaje zostały wskazane w komunikacie PUODO lub w sytuacji, gdy spełnione są przesłanki wskazane w art. 35 ust. 1 lub ust. 3 RODO powinien przeprowadzić ocenę skutków dla ochrony danych.

Uwaga

Urząd gminy jako administrator danych powinien przeprowadzić DPIA w szczególności, gdy:

  • proces przetwarzania danych opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej;
  • proces przetwarzania danych odnosi się do przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych karnych;
  • proces przetwarzania danych odbywa się z wykorzystaniem systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x