Posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů
Správce je povinen provést posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment, DPIA), pokud je pravděpodobné, že určité zpracování osobních údajů, zejména s využitím nových technologií, představuje vysoké riziko pro práva a svobody fyzických osob. Posouzení vlivu se provádí před zahájením zpracování a pro soubor podobných operací zpracování může stačit jedno společné posouzení.
Kdy je nutné provést posouzení vlivu?
GDPR výslovně uvádí situace, kdy je posouzení vlivu povinné:
- Systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí s právními nebo jinými závažnými dopady.
- Rozsáhlé zpracování zvláštních kategorií osobních údajů (citlivých údajů) nebo údajů týkajících se rozsudků v trestních věcech a trestných činů.
- Rozsáhlé systematické monitorování veřejně přístupných prostorů (např. kamerové systémy).
Úřad pro ochranu osobních údajů (ÚOOÚ) může stanovit seznam operací, u nichž je posouzení vlivu povinné, a zároveň seznam operací, kde posouzení provádět nemusí.
Obsah posouzení vlivu
Posouzení vlivu na ochranu osobních údajů musí zahrnovat:
- Systematický popis zamýšlených operací zpracování a účelů zpracování, případně včetně oprávněných zájmů správce.
- Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů.
- Identifikaci rizik pro práva a svobody subjektů údajů.
- Plánovaná opatření k řešení rizik, včetně záruk, bezpečnostních opatření a mechanismů pro zajištění ochrany osobních údajů a doložení souladu s GDPR.
Závěr
Posouzení vlivu na ochranu osobních údajů je klíčovým nástrojem pro řízení rizik v rámci GDPR. Správci by měli posouzení provádět včas a zajistit, že zpracování osobních údajů probíhá v souladu s právními požadavky a se zajištěním odpovídajících ochranných opatření.