Posouzení vlivu na ochranu osobních údajů, část 2.

Jedním z opatření, která nově zavedlo Nařízení Evropského parlamentu a Rady EU č. 2016/679 o ochraně osobních údajů, je povinnost správců a zpracovatelů zpracovat Posouzení vlivu (konkrétních zpracování) na ochranu osobních údajů (DPIA). Jak má posouzení vlivu probíhat a co musí zahrnovat? Tak přesně to vám sdělíme v následujícím textu.

Jak má posouzení vlivu probíhat?

Proces posouzení (DPIA) musí proběhnout vždy před zahájením konkrétního zpracování údajů. To znamená, že některé operace s daty ještě nemusí být ještě detailně specifikovány. Na ty se totiž dostane v dalších kolech. DPIA nemusí proběhnout jednorázově – může se jednat o dlouhodobý kontinuální proces. Zejména v těch případech, kdy se operace s daty průběžně vyvíjejí a mění.

Za realizaci posouzení odpovídá Správce údajů a to i v případech, kdy provedením DPIA pověří jinou osobu. Pokud Správce údajů jmenoval Pověřence pro ochranu osobních údajů (v případě orgánů veřejné správy jde o povinnost), musí si navíc vyžádat jeho posudek. Ten je navíc následně povinen zohlednit a zdokumentovat v rámci DPIA.

Správce údajů by měl požádat o spolupráci také zpracovatele, kteří pro něj (zcela nebo jen zčásti) zpracovávají osobní údaje. V některých situacích by měl Správce údajů získat také vyjádření relevantních subjektů údajů, případně jejich zástupců (např. odborů).

Povinné úkony při zpracování DPIA

Správci osobních údajů mohou při posuzování vlivu využívat nejrůznější postupy podle svých potřeb. Každé posouzení však musí podle článku 35 odst. 7 Nařízení zahrnovat následující čtyři úkony:

  • systematický popis zamýšlených operací zpracování údajů a účely zpracování, případně včetně popisu oprávněných zájmů správce;
  • posouzení nezbytnosti a přiměřenosti operací s údaji z hlediska účelů;
  • posouzení rizik pro práva a svobody subjektů údajů; a
  • plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k prokázání souladu s GDPR.

Pracovní skupina WP29 navíc doporučuje, aby správci údajů výstupy posouzení vlivu na ochranu osobních údajů alespoň částečně zveřejnili, aby zvýšili důvěru a prokázali odpovědnost a transparentnost zpracování údajů.

Konzultace DPIA s dozorovým orgánem

Ve výjimečných případech (konkrétně tehdy, pokud na základě DPIA zjistí, že dané zpracování může představovat vysoké riziko a nepřijal by opatření k jeho zmírnění) musí Správci údajů podle článku 36 odst. 1 Nařízení zpracování osobních údajů předem konzultovat s dozorovým úřadem (s Úřadem pro ochranu osobních údajů).

Použitá literatura

  1. Martin Kartner, Jiří Prouza: Posouzení vlivu na ochranu osobních údajů podle GDPR. epravo.cz, 17. 5. 2017. [ONLINE]
  2. Marian Němec: Posouzení vlivu na ochranu osobních údajů dle GDPR. IT Systems, 4/2017. [ONLINE]

Článek byl původně zveřejněn na webu Služby pro města a obce.

David Kozák
Mou prací je vymýšlet projekty, navrhovat strategie, prezentovat myšlenky, vysvětlovat záměry, rozvíjet nápady a hledat cesty, jak vše změnit v realitu. Rád vyprávím příběhy. Příběhy projektů, firem, institucí i jednotlivců. Příběhy, které vysvětlují, proč dělají to, co dělají, popisují důvody, proč směřují, kam směřují a ukazují jejich cíle. Příběhy, které definují, proč a jak chtějí dosáhnout toho, čeho dosáhnout chtějí.