Koncepce rizika v GDPR

GDPR zavádí koncepci rizika při posuzování toho, jaká technická a organizační opatření má správce zvolit k ochraně osobních údajů. Rozsah a účinnost těchto opatření závisí na několika faktorech, jako jsou:

• stav techniky,
• náklady na provedení,
• povaha, rozsah, kontext a účel zpracování,
• pravděpodobnost a závažnost rizik pro práva a svobody fyzických osob.

To znamená, že úroveň a kvalita zavedených opatření se liší podle účelu, za kterým jsou osobní údaje zpracovávány. Například ochrana údajů klientů bank žádajících o úvěr bude vyžadovat vyšší úroveň zabezpečení než evidence faktur. Často se mylně tvrdí, že všechny e-mailové komunikace musí být šifrovány, avšak míra ochrany závisí na konkrétní analýze rizik souvisejících se zpracováním osobních údajů.

Posouzení rizika při zpracování osobních údajů předpokládá, že správce nejprve provede audit jednotlivých agend podle účelu zpracování (např. prostřednictvím Klíče k ochraně osobních údajů). Pro každou agendu je třeba vyhodnotit:

• právní důvod zpracování,
• rozsah zpracovávaných osobních údajů,
• dobu uchování údajů,
• volbu vhodných prostředků zpracování.

Až na základě těchto informací lze objektivně posoudit rizika a implementovat odpovídající technická a organizační opatření.

Samotné pojmenování a roztřídění jednotlivých agend podle účelů zpracování a přiřazení atributů zpracování osobních údajů je již jedním z technických a organizačních opatření. Tento krok dokumentuje záměrnost zpracování a pomáhá prokázat soulad s požadavky GDPR. Bez této kategorizace nelze rizika efektivně posoudit a přijmout adekvátní opatření.