Analýza rizik vs. DPIA
DPIA není zcela novým institutem, neboť již v roce 2007 byla do zákona o ochraně osobních údajů vložena ustanovení týkající se povinnosti posuzovat rizika v souvislosti se zabezpečením údajů. Povinnost tehdy navazovala na změny ve zpracování osobních údajů Českou republikou v rozsáhlém Schengenském informačním systému, ale byla koncipována jako obecná povinnost dotýkající se všech správců.
Oproti stávající právní úpravě však nařízení přece jen přináší změnu. Správce doposud nemusel provádět posouzení rizika v písemné formě. V rámci výkonu kontroly dozorovým úřadem tak subjekt často mohl odkazovat na důvodovou zprávu k citované novele zákona, která nikoli v duchu nejlepších legislativních tradic – zcela neomaleně – tvrdila, že „posuzování rizik nepřináší nové povinnosti, ani další byrokratickou zátěž, neboť nemusí mít písemnou podobu“.
Požadavky na posouzení vlivu upraveny dle GDPR jsou sice formulovány bez explicitně vyjádřené písemné formy, tu však lze dovozovat z ustanovení čl. 35 odst. 7 a recitálů 91-93.
Kdy DPIA?
Nařízení stanoví, že správce před zpracováním provede posouzení vlivu zamýšlených operací zpracování, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob.
Chceme-li znát odpověď na otázku, kdy a kteří správci mají povinnost posouzení vlivu provést, je nezbytné vyložit zejména pojem „vysoké riziko zpracování“. Je zřejmé, že míru rizika zpracování budou dozorové úřady posuzovat individuálně, v rámci svých zákonem svěřených kompetencí. V zájmu dosažení konzistentnosti posuzování a předejití nejednotnosti výkladu má být pracovní skupinou WP29 vydán seznam, který tzv. „non-exhaustive list“ obsažený v čl. 35 odst. 3 GDPR doplní.
Pracovní skupina WP29 již označila několik procesů zpracování, které DPIA neminou. Jde např. o zpracování dat pacientů v nemocnicích, zpracování cestovních dat v rámci městské hromadné dopravy, zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky anebo také obecně profilování zákazníků.
Kromě uvedených konkrétních příkladů, pro které se provedení DPIA předpokládá na základě vodítek WP29, jsou v rámci GDPR definovány další případy, avšak už pouze v obecné rovině. Nařízení stanoví, že posouzení vlivu bude nutné zejména při systematickém a rozsáhlém vyhodnocování aspektů týkajících se fyzických osob, jež je založeno na automatizovaném zpracování, dále u rozsáhlého zpracování zvláštní kategorie údajů a také v případě rozsáhlého a systematického zpracování veřejně přístupných prostorů.
Pozastavíme-li se u pojmu „rozsáhlost zpracování“, dalšího neurčitého právního pojmu definice podmínek pro DPIA, jsou pro správné posouzení výkladu rozhodné tyto faktory: počet dotčených subjektů, objem dat, nepřetržitost a územní rozsah zpracování. Z hlediska negativního vymezení a s ohledem na rozsáhlost zpracování lze říci, že posouzení vlivu nebude např. potřeba při zpracování údajů o pacientech jednotlivým lékařem, ovšem u nemocnice už ano, a to s ohledem na výše uvedené.
Významnou roli při určení, zda posouzení vlivu provádět, bude mít pověřenec (Data Protection Officer – DPO), neboť mezi jeho povinnosti (úkoly) uložené nařízením patří i provádění DPIA.
Proč vlastně DPIA?
Dosavadní analýza rizik je ve své podstatě totéž jako posouzení vlivu. Cílem obou je snížit riziko neoprávněného zpracování, odhalit mezery a snížit možnou újmu způsobenou jak subjektu údajů, tak správci. Zatímco v případě subjektu údajů půjde zejména o nemajetkovou újmu, u správce to bude újma v podobě uložené pokuty. Ve vlastním zájmu budou správci, příp. zpracovatelé plnit veškeré povinnosti vyplývající z obecného nařízení tak, aby jim nevznikaly zbytečné náklady spojené se zmiňovanými pokutami. Proklamovaný přístup dozorového úřadu spočívající v upřednostňování nápravy závadného stavu před uložením pokuty bude s největší pravděpodobností potlačen a nově formován v duchu GDPR: uložené pokuty musí být v každém případě účinné, přiměřené a odrazující.
S DPIA vyvstávají další otázky, zejména pak jak samotné posouzení vlivu provést, jakou strukturu má mít a co po obsahové stránce nesmí v rámci posouzení chybět. Na některé otázky odpovídá článek 35 odst. 7 GDPR, který stanovuje minimální obsahové náležitosti, a kromě popisu operací zpracování (nezbytnost a přiměřenost) musí správce posoudit rizika vztahující se k právům subjektu údajů a provést plánovaná opatření. V praxi půjde o promítnutí dvou rovin – teoretické a praktické, přičemž obě roviny se musí vzájemně prolínat a být co do zpracování stejné. V případě již probíhajícího zpracování bude základem pro DPIA již zaběhnuté zpracování, které bude zakotveno v písemné podobě.
GDPR práva subjektu údajů nejenže posiluje, ale na základě dosavadní evropské praxe také významně rozšiřuje (např. právo být zapomenut, právo na přenositelnost údajů anebo právo vznést námitku). Za právo náležející subjektu údajů v souvislosti s DPIA, avšak nenárokovatelné, lze označit právo subjektu údajů na vyjádření k posouzení vlivu. Nenárokovatelnost vyplývá z toho, že správce o stanovisko (vyjádření) subjekt údajů „ve vhodných případech“ požádá. Vyvstane tedy otázka, které zpracování bude natolik „vhodné“, že bude vyžadovat stanovisko subjektu údajů. S posílením práv subjektů budou správci muset plnit řadu povinností, které v určitých případech s ohledem na neurčitost pojmů nevyjasní ani skupinou WP29 publikovaná „vodítka“. Kdo je tedy vyjasní? Domníváme se, že až samotná praxe dozorového úřadu a judikatura přispějí k úpravě vztahů mezi správcem a subjektem údajů, obdobně jak tomu bylo doposud např. v případě vymezení zpracování pro osobní potřebu.
Pomůže konzultace?
Pochybnosti týkající se konkrétní DPIA by mohla odstranit předchozí specifická konzultace s dozorovým úřadem. Nařízení dokonce předpokládá, že správce s úřadem konzultuje zpracování, pokud z posouzení vlivu vyplývá, že by zpracování mělo za následek ono „vysoké riziko“. Je však dozorový úřad připraven na administrativní zátěž v souvislosti s novým nařízením? Výčet „aspektů“, které má dozorový úřad povinnost v rámci předchozí konzultace zhodnotit, je podstatně delší. Toto zhodnocení se bude odvíjet od informací, jež dle GDPR musí správce dozorovému úřadu poskytnout. Zejména půjde o informace týkající se správců/zpracovatelů na něj navázaných, jejich postavení, účelu a zárukách, které poskytují ochranu práv a svobod vůči subjektům údajů.
Předchozí konzultace lze do určité míry chápat jako posouzení/vyhodnocení zpracování, které by dozorový úřad jinak prováděl v rámci ex-post kontroly. Nevyjádří-li se úřad v této „ex-ante kontrole“ negativně, budou správci očekávat, že jimi nastavená pravidla hry, resp. zpracování jsou v souladu nejen s právem národním, ale i evropským. Proto vyvstává otázka, zda využijí tohoto práva a budou se na dozorový úřad obracet v dostatečném předstihu v úmyslu „pojistit“ své zpracování dat proti nezanedbatelným sankcím, které GDPR též přinese.
Zvyšující se nároky na ochranu dat se promítají do povinností, které správci/zpracovatelé musí podle nařízení plnit. Jednou z těchto povinností, byť nikoli nově zavedenou, je právě posouzení vlivu. Bude na samotných správcích, jak se s problematikou DPIA poperou a jak precizně své zpracování dokumentace vztahující se k posouzení vlivu i s ohledem na nově stanovené pokuty upraví. Ke správnému uchopení problematiky DPIA je dobré vycházet z datové mapy, která popisuje účel, způsob a prostředky zpracování. Datová mapa je předpokladem pro správné vyhodnocení zpracování a zodpovězení otázky, zda je posouzení vlivu nezbytné, vhodné anebo nadbytečné. Správci by tak neměli s vypracováním datové mapy a následně případně DPIA otálet, neboť se vystavují riziku kontroly a případné sankce, a to nikoli pouze ze strany českého dozorového úřadu, ale také zahraničního, jsou-li splněny zákonné podmínky jako např. přeshraniční zpracování dat.
Autoři tohoto článku vycházeli z vodítek pracovní skupiny WP29 k DPIA publikovaných dne 4. 4. 2017, přičemž se zaměřili na ustanovení, jež byla pracovní skupinou WP29 schválena již v jiných doporučeních, např. ve vodítkách k DPO.
Diskuze k článku ()