Poradna: Kdy provést posouzení vlivu na ochranu osobních údajů?

Posouzení vlivu na ochranu osobních údajů je nová povinnost, kterou přináší GDPR. Jde o proces, který musí podnikatel provést, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.



Posouzení se musí provést před zahájením konkrétního zpracování osobních údajů. Není však nutné provádět posouzení vždy, jelikož u podobného souboru operací zpracování, které představují podobné riziko, stačí jen jedno posouzení.

Kdy se tedy vyžaduje posouzení vlivu na ochranu osobních údajů? Jde především o tři kategorie:

  • Systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky.
  • Rozsáhlé zpracování zvláštních kategorií údajů (např. zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání) nebo rozsudků v trestních věcech.
  • Rozsáhlé systematické monitorování veřejně přístupných prostorů.

A co musí posouzení vlivu obsahovat? Minimálně následující položky:

  • Systematický popis zamýšlených operací zpracování a účelů zpracování, případně včetně oprávněných zájmů podnikatele. Podnikatel musí prvně popsat zamýšlené zpracování osobních údajů.
  • Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů. Podnikatel musí posoudit, zda operace zpracování jsou nezbytné a přiměřené ve vztahu k vymezeným účelům.
  • Posouzení rizik pro práva a svobody subjektů údajů.
  • Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s GDPR, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob. Podnikatel musí na základě zjištěných rizik daného zpracování popsat, jaká opatření plánuje za účelem zmírnění rizik přijmout.

V této souvislosti by měl Úřad pro ochranu osobních údajů zveřejnit seznam operací zpracování, které podléhají požadavkům na posouzení vlivu na ochranu osobních údajů. Sankce za porušení neprovedení posouzení vlivu na ochranu osobních údajů může být dle GDPR až do výše 10 milionů eur, nebo jedná-li se o podnik až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok.

Převzato z časopisu Komora. Autor článku Lucie Plachá, Úřad HK ČR.

Doporučujeme