GDPR: Co se skrývá pod tajemným „DPIA“?

Účinnost tzv. GDPR, tedy unijního nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, se nezadržitelně blíží. Správcům osobních údajů stanoví celou řadu povinností. Některým z nich například ukládá povinnost provést posouzení vlivu na ochranu osobních údajů, které se také označuje zkratkou DPIA, vycházející z anglického Data Protection Impact Assessment.

advokátka ve FAIRSQUARE | LAW FIRM, členka redakční rady webu Právní prostor.cz
Foto: Shutterstock

DPIA je povinen provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko pro práva a svobody fyzických osob.[1] Podílí se na něm dle okolností také pověřenec pro ochranu osobních údajů a zpracovatel.

Samotné GDPR považuje za nutné, aby bylo posouzení vypracováno v případě, kdy dochází k systematickému a rozsáhlému vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad, a dále jde-li o rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 GDPR (které dnes známe pod pojmem citlivé údaje) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 nařízení, případně jde-li o rozsáhlé systematické monitorování veřejně přístupných prostorů.

DPIA je o proces, jehož smyslem je popis zpracování údajů, posouzení jeho nezbytnosti a přiměřenosti, a současně řízení rizik pro práva a svobody fyzických osob plynoucích ze zpracování osobních údajů. Slouží k zajištění a doložení souladu zpracování s GDPR. Může se týkat jen jediné operace zpracování osobních údajů, pro soubor podobných operací zpracování, které představují podobné riziko, však postačí i jediné posouzení. Vždy by však mělo být provedeno před zpracováním, a dále aktualizováno po celou dobu, kdy ke zpracování dochází. Jde o nepřetržitý proces; jen tak může být zajištěna řádná ochrana osobních údajů a soukromí jejich subjektů.[2]

Základní obsahové náležitosti stanoví samotné nařízení tak, že DPIA obsahuje alespoň:

  • systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
  • posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
  • posouzení rizik pro práva a svobody subjektů údajů; a
  • plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Posouzení vlivu na ochranu osobních údajů nemusí správce zpřístupnit široké veřejnosti; na takovou povinnost totiž GDPR nepamatuje. V některých případech však může být zveřejnění vhodné, a to zejména je-li jeho cílem posílení důvěry v operace zpracování osobních údajů a jejich transparentnost. Odborná literatura doporučuje zveřejnit DPIA v případě, že se zpracování dotýká veřejnosti; nejčastěji tak půjde o situace, kdy posouzení provádí orgán veřejné správy.[3]

Pokud z DPIA vyplyne, že by posuzované zpracování mělo za následek vysoké riziko pro práva a svobody fyzických osob, a současně v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, zejména pokud by je nebyl schopen implementovat, je správce povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů. Účelem takové konzultace je korekce hrozícího vysokého rizika.[4]

Pracovní skupina WP29 vydala loni v dubnu pokyny pro DPIA, které jsou dostupné i v českém jazyce[5], jenž mají správcům nabídnout vodítka k posouzení, zda a jak mají posouzení vlivu na ochranu osobních údajů provést.

Ani povinnost správců vyhotovit DPIA není prostá sankce. Úřad pro ochranu osobních údajů může správci za porušení povinnosti související s procesem posouzení vlivu na ochranu osobních údajů uložit správní pokutu až do výše 10.000.000 EUR anebo, jedná-li se o podnik, do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, a to podle toho, která hodnota je vyšší. Závěrem tak lze jedině doporučit, aby správci tuto povinnost nepodceňovali.


 


Doplněk právního systému CODEXIS® MONITOR OCHRANA OSOBNÍCH ÚDAJŮ (GDPR) je praktickým průvodcem pro všechny, kteří zpracovávají osobní údaje. Tento funkční doplněk vám umožní úspěšnou implementaci nového evropského nařízení.

MONITOR OCHRANA OSOBNÍCH ÚDAJŮ (GDPR) obsahuje komplexní přehled legislativy a judikatury České republiky a Evropské unie týkající se nařízení GDPR, Obecné nařízení o ochraně osobních údajů, Stanoviska a sdělení Úřadu pro ochranu osobních údajů, Důvodové zprávy, Komentáře LIBERIS a ucelený přehled nejčastějších otázek a odpovědí ke GDPR.

Velkou výhodou MONITORU je možnost zobrazení porovnání stávající národní úpravy a nové evropské právní úpravy GDPR. Součástí doplňku je také praktická převodní tabulka, která uživatelům umožňuje provést analýzu současného stavu zpracování osobních údajů a porovnaní výsledků plynoucích z analýzy s požadavky GDPR – tento nástroj významným způsobem usnadňuje následnou aplikaci nových opatření.

Staňte se uživateli MONITORU OCHRANA OSOBNÍCH ÚDAJŮ (GDPR) a připravte se tak na revoluci v ochraně osobních dat včas!

Více informací naleznete zde: www.codexis.cz


[1] Článek 35 odst. 1 GDPR

[2] Nezmar Luděk, Ing., Mgr., GDPR: Praktický průvodce implementací. GRADA Publishing, a.s., 2017, s. 106.

[3] Tamtéž, s. 111.

[4] https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744

[5] https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=28569

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články