Czy jednostka administracji publicznej może na podstawie art. 35 ust. 10 RODO nie przeprowadzać oceny skutków dla ochrony danych osobowych dla procesów przetwarzania z art. 6 ust. 1 lit. c RODO?
ODPOWIEDŹ
JJednostka administracji publicznej może nie przeprowadzać oceny skutków dla ochrony danych osobowych na podstawie art. 35 ust. 10 RODO dla operacji przetwarzania, które nie zostały wymienione wprost w komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Taki komunikat został wydany na podstawie art. 54 ustawy o ochronie danych osobowych. Jest on dostępny pod adresem: https://uodo.gov.pl/pl/123/212 (dostęp: 19 sierpnia 2019 r.). Ogłoszony wykaz zawiera 9 kategorii rodzajów przetwarzania, dla których obowiązkowe będzie dokonanie oceny skutków dla ochrony danych. Zatem dla wymienionych tam rodzajów operacji przetwarzania należy obowiązkowo przeprowadzić DPIA, a w pozostałym zakresie administrator danych może rozważyć nieprzeprowadzanie oceny na podstawie dyspozycji art. 35 ust. 10 RODO.