Posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů
Správce je povinen posoudit zamýšlených operací zpracování na ochranu osobních údajů, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu z. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.
GDPR pak uvádí výslovně situace, kdy je třeba toto posouzen provádět, kterými jsou:
• systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
• rozsáhlé zpracování zvláštních kategorií údajů (citlivých) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
• rozsáhlé systematické monitorování veřejně přístupných prostorů (kamerové systémy).
GDPR stanoví rovněž možnost, že ÚOOÚ bude moci stanovit seznam operací, kde bude třeba posouzení provádět, stejně tak jako seznam operací, kde posouzení výt nemusí.
Posouzení obsahuje alespoň:
a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
c) posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a
d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.