GDPR přináší novinku – povinnost správce údajů provést posouzení vlivu na ochranu osobních údajů.

GDPR:

Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.

Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

  1. systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
  2. rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo
  3. rozsáhlé systematické monitorování veřejně přístupných prostorů.

Je také třeba vzít v úvahu výkladové pokyny pracovní skupiny WP29, který tento okruh povinných činností blíže specifikuje a podstatně rozšiřuje.

Zároveň musíme vyčkat na vyjádření ÚOOÚ, který by měl zveřejnit seznam druhů operací zpracování údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů.

GDPR článek35/7:

Posouzení obsahuje alespoň: 
a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce; 
b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů; 
c) posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a 
d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

V rámci zpracování Analýzy zpracování osobních údajů bychom si měli určit procesy, pro které je nezbytné Posouzení vytvořit.

V okamžiku, kdy budeme měnit např. systém, ve kterém data zpracováváme nebo procesy, podle kterých je zpracováváme, měli bychom i Posouzení zpracovat znovu.

Rozhodneme-li se pro nový obchodní model, nový produkt, nové kanály, vždy by před začátkem zpracovávání osobních údajů měla proběhnout úvaha, jestli DPIA potřebujeme a jestliže ano, musíme jej zpracovat ještě před začátkem zpracování.