Warianty tytułu
Obligation for Municipal Authorities to Prepare a Data Protection Impact Assessment
Języki publikacji
Abstrakty
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (rozporządzenie o ochronie danych osobowych) wprowadziło nowe standardy w zakresie realizacji obowiązków nałożonych na administratorów danych w związku z przetwarzaniem przez nich danych osobowych. Jeden z nich, obowiązek przeprowadzenia oceny skutków dla ochrony danych, wciąż budzi wątpliwości administratorów w sektorze prywatnym i publicznym. Niedookreśloność pojęć wykorzystanych przez unijnego prawodawcę w art. 35 RODO powoduje istotne trudności w praktyce jego stosowania. Przedmiotem artykułu jest analiza przedmiotowa i podmiotowa obowiązku przeprowadzenia oceny skutków dla ochrony danych w sektorze publicznym, ze szczególnym uwzględnieniem administratorów danych będących organami samorządu gminnego. Głównym celem artykułu jest wyjaśnienie, w jakich sytuacjach i w jaki sposób obowiązek ten powinien być realizowany. Przeprowadzone badania pozwalają stwierdzić, że administrator danych będący organem samorządu gminnego powinien przeprowadzić ocenę skutków dla ochrony danych niemal dla wszystkich procesów przetwarzania, przede wszystkim z uwagi na dużą liczbę podmiotów, których dane przetwarza, jak również charakter tych danych. Aby odciążyć gminy w tym zakresie, ustawodawca mógłby zdecydować się na przeprowadzenie oceny skutków na etapie procesu legislacyjnego, tak się jednak dotychczas nie stało. Warto podkreślić, że przeprowadzenie oceny skutków dla ochrony danych nie tylko pozwala administratorom zapewnić odpowiedni poziom ochrony podmiotom danych, lecz także w odpowiedni sposób wdrażać zasadę rozliczalności w procesach przetwarzania.(abstrakt oryginalny)
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (Data Protection Regulation) introduced new standards of fulfilling the obligations imposed on data controllers in connection with their personal data processing. One of these, the obligation to conduct a data protection impact assessment, still gives rise to concern for controllers in the private and public sectors. The concepts used by the EU legislator in Article 35 of the GDPR are so vague that they cause great difficulties in its application in practice. The article presents a subjective and objective analysis of the obligation to conduct a public sector data protection impact assessment with particular focus on controllers who are municipal authorities. The main objective of the article is to explain the situations in which this obligation should be fulfilled, as well as its method. The research conducted enables the conclusion to be drawn that the data controller that is a municipal authority should conduct a data protection impact assessment for almost all processing, primarily because of the large number of subjects whose data it processes as well as the nature of this data. In order to ease the burden on municipalities in this respect, the legislator could have decided to perform the impact assessment at the stage of the legislative process, although this has not happened to date. It is worth emphasizing that the preparation of a data protection impact assessment not only enables controllers to ensure that data subjects have an appropriate level of protection, but also to adequately implement the principle of accountability in processing.(original abstract)
Twórcy
- Uniwersytet Wrocławski
Bibliografia
- Barta P., Kawecki M., Litwiński P. [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Warszawa 2021.
- Fajgielski P., Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2021.
- Fajgielski P., Zasady ogólne przetwarzania i ochrony danych osobowych [w:] Prawna ochrona danych osobowych w Polsce na tle europejskich standardów, red. G. Goździewicz, M. Szabłowska, Toruń 2008.
- Izydorczyk T., Ocena ryzyka naruszenia praw lub wolności osób i ocena skutków dla ochrony danych [w:] Reforma ochrony danych osobowych a jawność dostępu do informacji sądowej - aspekty proceduralne, red. M. Jabłoński, K. Flaga-Gieruszyńska, K. Wygoda, Wrocław 2017.
- Jabłoński M., Kuźnicka-Błaszkowska D., "Disproportionate Effort" in the Meaning of Article 14 of the General Data Protection Regulation, "Przegląd Prawa Konstytucyjengo" 2021/6.
- Jabłoński M., Węgrzyn J., Zmiana modelu ochrony danych osobowych - podejście oparte na ryzyku, privacy by design i privacy by default [w:] Reforma ochorny danych osobowych a jawność dostępu do informacji sądowej - aspekty proceduralne, red. M. Jabłoński, K. Flaga-Gieruszyńska, K. Wygoda, Wrocław 2017.
- Kalinowska N., Litwiński P., Ocena skutków dla ochrony danych i uprzednie konsultacje - nowe obowiązki podmiotów przetwarzających dane osobowe, "Monitor Prawniczy" 2017/13.
- Krzeszowski J., Więcej kamer w mieście i więcej pieniędzy na monitoring prewencyjny, https://www.wroclaw.pl/portal/wiecej-kamer-w-miescie-i-wiecej-pieniedzy-na-monitoring-prewencyjny, dostęp: 20.03.2022 r.
- Mednis A., Wymóg oceny skutków przetwarzania w ogólnym rozporządzeniu o ochronie danych osobowych, "Monitor Prawniczy" 2016/20.
- Nerka A. [w:] Ogólne rozporządzenie o ochronie danych osobowych Komentarz, red. M. Sakowska-Baryła, LEX 2019.
- Rapcewicz A., Oddalenie skargi na decyzję PUODO, nakładającą pierwszą karę pieniężną w sektorze publicznym, "Informacja w Administracji Publicznej" 2020/4.
- Więckowska M., Analiza ryzyka prywatności, "ABI EXPERT" 2017/2.
Typ dokumentu
Bibliografia
Identyfikatory
Identyfikator YADDA
bwmeta1.element.ekon-element-000171660472
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.