Kedy je potrebné vykonať posúdenie vplyvu na ochranu osobných údajov

Každá organizácia, ktorá spracúva osobné údaje, či už z pozície prevádzkovateľa alebo sprostredkovateľa, je povinná vedieť preukázať aké opatrenia prijala na ich ochranu. Zároveň je vždy zaviazaná vykonať analýzu rizík, a to v súlade s čl. 32 všeobecného nariadenia o ochrane údajov. Vyplýva to z dokumentu, ktorý zverejnil náš dozorujúci úrad – 30 krokov súladu s novou právnou úpravou ochrany osobných údajov.

To však ani zďaleka nie je všetko. V prípade, ak prevádzkovateľ vykonáva také spracúvanie osobných údajov, ktoré povedie k vysokému riziku pre práva a slobody fyzických osôb, potom pred spracúvaním osobných údajov vykoná prevádzkovateľ posúdenie vplyvu  plánovaných spracovateľských operácií na ochranu osobných údajov, ktoré náležite zdokumentuje. Všeobecné nariadenie o ochrane údajov vo svojom čl. 35 ods. 3 uvádza, že posúdenie vplyvu je potrebné vykonať najmä v prípadoch:

a) systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b) spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c) systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

Vodítka, ktoré pomôžu

Uvedené vymedzenie je však príliš všeobecné a prax ukazuje, že aj využitím informácií, ktoré sú súčasťou Usmernení týkajúcich sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či na účely nariadenia 2016/679 spracúvanie pravdepodobne povedie k vysokému riziku,  je zložité vyhodnotiť situáciu spracúvania osobných údajov u prevádzkovateľa a poskytnúť tak jednoznačné vyjadrenie, či je posúdenie vplyvu potrebné vykonať alebo nie je.

Ako ďalej nariadenie uvádza, dozorujúci orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov. A kedže nariadenie je rovnako záväzné pre všetky členské krajiny EÚ, v rámci implementácie jeho  požiadaviek, sú pre nás viac ako inšpiratívne zahraničné zdroje. Z tohto dôvodu dávame do pozornosti nášho čitateľa dokument zverejnený českým dozorujúcim orgánom. Je ním dokument K povinnosti správců provádět DPIA.  Spracúvanie osobných údajov zaraďuje do troch skupín, ktorých charakteristiky dosahujú:

  • kritické hodnoty,
  • významné hodnoty,
  • a nízke hodnoty.

Posúdeniu vplyvu na ochranu osobných údajov potom podlieha napríklad také spracúvanie, ktorého úroveň dvoch a viac  charakteristík zasiahne medzi kritické hodnoty. Pričom prvú kritickú hodnotu môže dosiahnuť napríklad monitorovanie priebežnej činnosti zamestnancov prostredníctvom kamerového systému. Z pohľadu zraniteľnosti dotknutých osôb, zamestnanci prevádzkovateľa patria do skupiny s významnou hodnotou.

Veríme, že minimálne s rovnako podnetným dokumentom v krátkom čase príde aj Úrad na ochranu osobných údajov SR.

Od |2019-02-13T10:51:29+00:0012. februára 2019|Blog|0 Comments

O autorovi:

Martina Kroupová
Vyštudovala som fakultu mechatroniky Trenčianskej univerzity Alexandra Dubčeka. Od roku 2005 sa aktívne venujem ochrane osobných údajov. Osobne sa podieľam na analýzach spracúvania osobných údajov a spolupracujem pri vypracovávaní bezpečnostných dokumentácií, ktoré sú založené na systémoch procesného riadenia tak, aby dokumentácia vyhovovala auditom a požiadavkám na certifikáciu systémov manažérstva kvality a zároveň bola v súlade so všeobecným nariadením o ochrane údajov (GDPR). Som hlavnou autorkou a gestorkou internetovej knižnice Centra ochrany osobných údajov. Pôsobím ako lektorka odborných školení.