Kdy musíte provést posouzení vlivu na ochranu osobních údajů?

Kdy musíte provést posouzení vlivu na ochranu osobních údajů?

Posouzení vlivu na ochranu osobních údajů je nová povinnost, kterou přináší GDPR. Jde o proces, který musí podnikatel provést, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

Posouzení se musí provést před zahájením konkrétního zpracování osobních údajů. Není však nutné provádět posouzení vždy, jelikož u podobného souboru operací zpracování, které představují podobné riziko, stačí jen jedno posouzení.

Kdy se vyžaduje posouzení vlivu na ochranu osobních údajů? Jestliže jde zejména o:

  • Systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
  • Rozsáhlé zpracování zvláštních kategorií údajů (např. zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání) nebo rozsudků v trestních věcech
  • Rozsáhlé systematické monitorování veřejně přístupných prostorů

Co musí posouzení vlivu obsahovat? Minimálně následující:

  • Systematický popis zamýšlených operací zpracování a účelů zpracování, případně včetně oprávněných zájmů podnikatele. Podnikatel musí prvně popsat zamýšlené zpracování osobních údajů.
  • Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů. Podnikatel musí posoudit, zda operace zpracování jsou nezbytné a přiměřené ve vztahu k vymezeným účelům.
  • Posouzení rizik pro práva a svobody subjektů údajů.
  • Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s GDPR, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob. Podnikatel musí na základě zjištěných rizik daného zpracování popsat, jaká opatření plánuje za účelem zmírnění rizik přijmout.

V této souvislosti by měl Úřad pro ochranu osobních údajů zveřejnit seznam operací zpracování, které podléhají požadavků na posouzení vlivu na ochranu osobních údajů. Sankce za porušení neprovedení posouzení vlivu na ochranu osobních údajů může být dle GDPR až do výše 10 mil. EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok.

Potřebujete více informací k posouzení vlivu nebo obecně k GDPR? Registrujte se na akci Hospodářské komory ČR: Velkou konferenci k GDPR, která se uskuteční 23. 11. 20017 v Praze od 9 – 17 hodin a navazující workshopy začátkem roku 2018. 

Lucie Plachá

Zdroj foto:

https://pixabay.com/cs/lid%C3%A9-%C5%BEena-zased%C3%A1n%C3%AD-podnik%C3%A1n%C3%AD-2564956/