Posouzení vlivu na ochranu osobních údajů, část 1.

Jedním z opatření, která nově zavedlo Nařízení Evropského parlamentu a Rady EU č. 2016/679 o ochraně osobních údajů, je povinnost správců a zpracovatelů zpracovat Posouzení vlivu (konkrétních zpracování) na ochranu osobních údajů (DPIA). Kdy je toto posouzení nezbytné zpracovat, definuje čl. 35 Nařízení, a to následovně: “… v případě, kdy určitý druh zpracování údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií.” Jelikož tato definice je snad až příliš vágní, neboť by na jedné straně mohla popisovat snad každé zpracování osobních údajů s využitím počítače, ale – na straně druhé – absolutní většinu úkonů vylučovat, protože se nejedná o “vysoké riziko”, přináší odst. 3 čl. 35 konkrétní příklady.

Posouzení vlivu je nezbytné provést pro tyto operace s osobními údaji:

  1. systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
  2. rozsáhlé zpracování zvláštních kategorií údajů (např. údajů o rasovém či etnickém původu, politických názorech či zdravotním stavu anebo biometrických údajů atd.) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; anebo
  3. rozsáhlé systematické monitorování veřejně přístupných prostorů.

 

Jenže ani tento výčet nestačí. Pravda, pro rozhodnutí, zda je pro konkrétní operaci nutné zpracovat posouzení vlivu, umožňuje. Ovšem co dělat v případech, kdy daná operace ovlivňuje soubor dalších operací, které tak de facto představují pro osobní údaje stejné či velmi podobné riziko? Pro tento účel vytvořila výkladové pokyny pracovní skupiny WP29. Ty ještě konkrétněji popisují parametry, která mají správci údajů zohlednit při vyhodnocování, zda jejich operace s daty představují vysoké riziko pro práva a svobody fyzických osob a podléhají tedy Posouzení vlivu.

Podle kritérií WP29 se povinnost provést DPIA vztahuje především na následující zpracování osobních údajů:

  • vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů);
  • zpracování údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců;
  • systematické monitorování, tj. zpracování údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů;
  • zpracování citlivých údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnic, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity);
  • zpracování údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy);
  • zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu;
  • zpracování osobních údajů o „zranitelných“ osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.);
  • zpracování údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu);
  • předání osobních údajů mimo Evropskou unii;
  • zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv).

 

Podle pokynů pracovní skupiny WP29 se realizace Posouzení vlivu vyžaduje u takových zpracování osobních údajů, která splňují alespoň dvě výše uvedená kritéria. A pokud by si snad správce údajů nebyl jistý, zda se posouzení vztahuje i na jím realizované operace, doporučuje pracovní skupina WP29, aby správce posouzení provedl. A navíc – podle pokynu WP29 – má seznam druhů operací zpracování údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, sestavit a zveřejnit Úřad pro ochranu osobních údajů.

Podle odst. 10 článku 35 Nařízení se požadavek na realizaci Posouzení nevztahuje na zpracování údajů zahájená před účinností GDPR. Přesto však pracovní skupina WP29 doporučuje, aby správci údajů posouzení vlivu na ochranu osobních údajů provedli i pro operace s daty zahájenými před květnem 2018. Navíc je nutné provést posouzení v případech, kdy nastane významná změna původního zpracování údajů (např. se pro zpracování údajů začne využívat nová technologie nebo aplikace).

Ve všech případech je vhodné posouzení revidovat po uplynutí 3 let nebo případně i dříve s ohledem na povahu a změny zpracování údajů.

Už víte, pro které operace prováděné na vašem úřadu bude nezbytné provést posouzení? Výborně! A pokud ještě nevíte, pak doporučujeme co nejdříve provést analýzu zpracovávaných osobních údajů a pustit se do dalších kroků.

Jak má posouzení vlivu probíhat a co musí zahrnovat se dozvíte v dalším čísle T-linky.


Článek byl původně zveřejněn na webu Služby pro města a obce.

David Kozák
Mou prací je vymýšlet projekty, navrhovat strategie, prezentovat myšlenky, vysvětlovat záměry, rozvíjet nápady a hledat cesty, jak vše změnit v realitu. Rád vyprávím příběhy. Příběhy projektů, firem, institucí i jednotlivců. Příběhy, které vysvětlují, proč dělají to, co dělají, popisují důvody, proč směřují, kam směřují a ukazují jejich cíle. Příběhy, které definují, proč a jak chtějí dosáhnout toho, čeho dosáhnout chtějí.