GDPR: Co se skrývá pod tajemným „DPIA“?

22.02.2018

Účinnost tzv. GDPR, tedy unijního nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, se nezadržitelně blíží. Správcům osobních údajů stanoví celou řadu povinností. Některým z nich například ukládá povinnost provést posouzení vlivu na ochranu osobních údajů, které se také označuje zkratkou DPIA, vycházející z anglického Data Protection Impact Assessment.

DPIA je povinen provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko pro práva a svobody fyzických osob.[1] Podílí se na něm dle okolností také pověřenec pro ochranu osobních údajů a zpracovatel.

Samotné GDPR považuje za nutné, aby bylo posouzení vypracováno v případě, kdy dochází k systematickému a rozsáhlému vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad, a dále jde-li o rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 GDPR (které dnes známe pod pojmem citlivé údaje) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 nařízení, případně jde-li o rozsáhlé systematické monitorování veřejně přístupných prostorů.

DPIA je o proces, jehož smyslem je popis zpracování údajů, posouzení jeho nezbytnosti a přiměřenosti, a současně řízení rizik pro práva a svobody fyzických osob plynoucích ze zpracování osobních údajů. Slouží k zajištění a doložení souladu zpracování s GDPR. Může se týkat jen jediné operace zpracování osobních údajů, pro soubor podobných operací zpracování, které představují podobné riziko, však postačí i jediné posouzení. Vždy by však mělo být provedeno před zpracováním, a dále aktualizováno po celou dobu, kdy ke zpracování dochází. Jde o nepřetržitý proces; jen tak může být zajištěna řádná ochrana osobních údajů a soukromí jejich subjektů.[2]

Základní obsahové náležitosti stanoví samotné nařízení tak, že DPIA obsahuje alespoň:

  • systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
  • posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
  • posouzení rizik pro práva a svobody subjektů údajů; a
  • plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Posouzení vlivu na ochranu osobních údajů nemusí správce zpřístupnit široké veřejnosti; na takovou povinnost totiž GDPR nepamatuje. V některých případech však může být zveřejnění vhodné, a to zejména je-li jeho cílem posílení důvěry v operace zpracování osobních údajů a jejich transparentnost. Odborná literatura doporučuje zveřejnit DPIA v případě, že se zpracování dotýká veřejnosti; nejčastěji tak půjde o situace, kdy posouzení provádí orgán veřejné správy.[3]

Pokud z DPIA vyplyne, že by posuzované zpracování mělo za následek vysoké riziko pro práva a svobody fyzických osob, a současně v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, zejména pokud by je nebyl schopen implementovat, je správce povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů. Účelem takové konzultace je korekce hrozícího vysokého rizika.[4]

Pracovní skupina WP29 vydala loni v dubnu pokyny pro DPIA, které jsou dostupné i v českém jazyce[5], jenž mají správcům nabídnout vodítka k posouzení, zda a jak mají posouzení vlivu na ochranu osobních údajů provést.

Ani povinnost správců vyhotovit DPIA není prostá sankce. Úřad pro ochranu osobních údajů může správci za porušení povinnosti související s procesem posouzení vlivu na ochranu osobních údajů uložit správní pokutu až do výše 10.000.000 EUR anebo, jedná-li se o podnik, do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, a to podle toho, která hodnota je vyšší. Závěrem tak lze jedině doporučit, aby správci tuto povinnost nepodceňovali.

[1] Článek 35 odst. 1 GDPR

[2] Nezmar Luděk, Ing., Mgr., GDPR: Praktický průvodce implementací. GRADA Publishing, a.s., 2017, s. 106.

[3] Tamtéž, s. 111.

[4] https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744

[5] https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=28569