Pozor na chyby při posuzování vlivu na ochranu osobních údajů
Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil výroční zprávu za uplynulý rok. V ní upozornil na chyby, kterých se správci osobních údajů dopouštějí při zpracovávání tzv. DPIA, tedy posouzení vlivu na ochranu osobních údajů.
DPIA je nutné vypracovat, pokud je pravděpodobné, že zpracování osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob. To je vždy nutné vyhodnotit s přihlédnutím k povaze, rozsahu, kontextu a účelu konkrétního zpracování. Například se může jednat o rozsáhlé automatizované vyhodnocování osobních aspektů týkajících se fyzických osob, rozsáhlé zpracovávání citlivých osobních údajů, nebo o rozsáhlé systematické monitorování veřejně přístupných prostorů.
Účelem DPIA je mimo jiné posoudit nezbytnost daného zpracování, vyhodnotit související rizika a naplánovat opatření k řízení těchto rizik, včetně bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů.
Dle zkušeností ÚOOÚ se při provádění DPIA nejčastěji vyskytují následující chyby:
- chybí nebo není dostatečně zpracován popis zajištění práv subjektů údajů;
- popis přijatých technických a organizačních opatření bývá obecný a není zřejmé, jak předkladatel k jejich návrhu dospěl – není například využita metodika ÚOOÚ a ani vlastní metodika správce není zřejmá;
- problematické provedení tzv. balančních testů, kdy není možno ověřit potřebnost, vhodnost a přiměřenost zpracování osobních údajů.
V případě jakýchkoliv nejasností doporučujeme správcům osobních údajů, aby se obrátili na odborníka, případně záležitost před započetím samotného zpracování konzultovali přímo s dozorovým úřadem.