Metodika posúdenia vplyvu na ochranu osobných údajov (DPIA)

Základ určuje čl. 35 GDPR

DPIA podľa GDPR predpokladá vykonanie dvoch krokov

Prvým z nich je prvotné posúdenie možného rizika, ktoré nové spracovanie osobných údajov, alebo významná zmena existujúceho spracovania (napr. Rozšírenie kategórií spracovávaných dát, využitie dát za ďalším účelom atď.) môže pre dotknuté osoby predstavovať.

Pokiaľ z tejto úvodnej analýzy vyplynie, že dané spracovanie môže pre práva dotknutých osôb predstavovať vysoké riziko, musí sa vykonať a zdokumentovať kompletné posúdenie vplyvu na ochranu osobných údajov (DPIA), v niektorých prípadoch spojené s povinnou konzultáciou zamýšľaného spracovania a opatrenia na zníženie rizika s Úradom na ochranu osobných údajov podľa čl. 36 GDPR.

Prvý krok, prvotné posúdenie možného rizika, nemusí ísť úplne do detailu. GDPR samo uvádza typické prípady druhov spracovania, ktoré obvykle budú predstavovať vysoké riziko a teda zakladať povinnosť vykonať kompletnú DPIA. Ide o situácie, kedy správca údajov mieni:

• Vykonávať systematické a rozsiahle vyhodnocovanie osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracovaní vrátane profilovania, a na ktorom sa zakladajú rozhodnutia, ktoré vyvolávajú vo vzťahu k fyzickým osobám právne účinky alebo majú na fyzické osoby podobne závažný vplyv. Typicky sa bude jednať o overovanie bonity či spotrebiteľskej histórie záujemcov o produkt či uchádzačov o zamestnanie, vytváranie profilov s cieľom predvídať správanie spotrebiteľov atď.
• Vykonávať rozsiahle spracovanie citlivých osobných údajov. Medzi citlivé osobné údaje GDPR radí najmä údaje o zdravotnom stave, národnostnom či etnickom pôvode, politickom presvedčení, náboženstva a biometrické alebo genetické údaje.
• Realizovať systematické monitorovanie verejne prístupných priestorov, najmä prostredníctvom kamier, fotopascí alebo podobných nástrojov.

Výstup auditu - čo s rizikami?

Ak správca po prvotnom vyhodnotení dospeje k záveru, že nové spracovanie môže predstavovať vysoké riziko, je povinný vykonať a zdokumentovať celú DPIA.

Jej obsahom musí byť predovšetkým:

• Identifikácia a posúdenie rizík pre práva a slobody dotknutých osôb
• Systematický opis plánovaných operácií spracovania a účely spracovania osobných údajov
• Plánované opatrenia na riešenie týchto rizík, vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na doloženie súladu činnosti správcu s GDPR.
• Posúdenie nevyhnutnosti a primeranosti operácií spracovania z hľadiska účelov, inak povedané vykonanie testu proporcionality, primeranosti zásahu do práv dotknutej osoby so zreteľom na účely spracovania.

Úloha zodpovednej osoby na ochranu osobných údajov

Ak správca menoval zodpovednú osobu na ochranu osobných údajov (data protection officer, alebo tiež DPO), vyplýva mu z GDPR povinnosť vyžiadať si jeho stanovisko k vykonanej analýze, identifikovaným rizikám a navrhnutým opatreniam na ich zníženie alebo odstránenie.

Ďalšie zdroje k pozícii DPO:

• Zodpovedná osoba na ochranu osobných údajov
• Praktická príručka Zodpovednej osoby pre ochranu osobných údajov

Metodika DPIA od WP29

Pracovná skupina WP 29, ktorá združuje zástupcov dozorných orgánov na ochranu osobných údajov zo všetkých štátov Európskej únie, vydala metodiku na vykonanie DPIA.

V nej uvádza výpočet aspektov, ktoré v konkrétnom prípade môžu zvyšovať riziko zásahu do práv dotknutej osoby:

Sú nimi najmä profilovanie alebo predvídanie správania konkrétnych ľudí, automatizované spracovanie, spracovanie citlivých osobných údajov ako takých, rozsiahlosť spracovania (z pohľadu počtu dotknutých osôb, rozsahu údajov či kategórií údajov alebo dĺžky spracovania dát), zamýšľané zlučovanie údajov pôvodne získaných na odlišné účely, využitie nových technologických alebo organizačných nástrojov pre spracovanie dát alebo spracovanie osobných údajov zraniteľných skupín (detí, osôb mladších ako 18 rokov, alebo naopak starších ľudí).

Metodika DPIA od WP29

Naučte sa správny postup Posúdenia vplyvu na ochranu osobných údajov

Ak hľadáte praktické tipy, ako metodiku využiť na Posúdenie vplyvu na ochranu osobných údajov, odporúčame absolvovať nižšie uvedený workshop.

GDPR Analýza a Implementácia

Absolventi zvládajú komplexnú metodiku a sú schopní definovať typ spracúvaných údajov, rozsah monitorovania, mieru zraniteľnosti dotknutých osôb, rozsah spracovania, riešiť otázku prenosu osobných údajov do zahraničia, inovatívnosť technického riešenia spracovania údajov či komplexitu daného systému.

Správne nastavenie procesu posudzovania rizík spracovania osobných údajov, vrátane dokumentovania postupu správcu, kontroly vykonávaných analýz a identifikácie rizík, sú jedným zo základných nástrojov pre dosiahnutie a doloženie súladu s GDPR ...