Czy w urzędzie gminy, który swoje zadania wykonuje na podstawie przepisów prawa, zobowiązany jest do przeprowadzenia oceny skutków dla ochrony danych? Czy obowiązek oceny skutków dla ochrony danych obejmuje administrację samorządową? Sprawdzamy, czy wyłączenia w zakresie DPIA dotyczą podmiotów publicznych.
W artykule:
kiedy obowiązek DPIA podlega wyłączeniu,
czy takie wyłączenie dotyczy jednostek samorządu terytorialnego.
W myśl art. 35 ust. 10 RODO regulacje dotyczące oceny skutków dla ochrony danych nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.
Obowiązek przeprowadzenia DPIA jest wyłączony, gdy spełnione są wszystkie poniższe przesłanki:
przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. c lub e RODO;
przetwarzanie takie ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji;
DPIA dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej, chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.
W przypadku podmiotów publicznych w tym jednostek samorządu terytorialnego należy ocenić zwłaszcza ostatnią przesłankę.
Administrator musi dokonać ustaleń czy ocena skutków dla ochrony danych została przeprowadzona w ramach procesu legislacyjnego tj. w ramach oceny skutków regulacji w związku z przyjęciem przepisów stanowiących podstawę prawną przetwarzania.
Jak wskazuje się w literaturze brak jest jakichkolwiek kryteriów dokonywania tej oceny tj. wskazania jakie wymagania progowe dana legislacja musiałaby spełnić, aby można było uznać, że ocena skutków dla ochrony danych w rozumieniu art. 35 RODO została w jej ramach dokonana. Nie sposób także uznać, że omawiana przesłanka została spełniona (tj. że przeprowadzono ocenę skutków dla ochrony danych w ramach oceny skutków regulacji) w przypadku przepisów, które obowiązywały na długo przed wejściem w życie i obowiązywaniem RODO. Tym samym należy uznać, że w przypadku przepisów, które weszły w życie przed RODO, zastosowanie wyjątku w zakresie DPIA jest niemożliwe.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
