Pozor na chyby při posuzování vlivu na ochranu osobních údajů

DPIA je nutné vypracovat, pokud je pravděpodobné, že zpracování osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob. To je vždy nutné vyhodnotit s přihlédnutím k povaze, rozsahu, kontextu a účelu konkrétního zpracování. Například se může jednat o rozsáhlé automatizované vyhodnocování osobních aspektů týkajících se fyzických osob, rozsáhlé zpracovávání citlivých osobních údajů, nebo o rozsáhlé systematické monitorování veřejně přístupných prostorů.

Účelem DPIA je mimo jiné posoudit nezbytnost daného zpracování, vyhodnotit související rizika a naplánovat opatření k řízení těchto rizik, včetně bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů.

Dle zkušeností ÚOOÚ se při provádění DPIA nejčastěji vyskytují následující chyby:

• chybí nebo není dostatečně zpracován popis zajištění práv subjektů údajů;
• popis přijatých technických a organizačních opatření bývá obecný a není zřejmé, jak předkladatel k jejich návrhu dospěl – není například využita metodika ÚOOÚ a ani vlastní metodika správce není zřejmá;
• problematické provedení tzv. balančních testů, kdy není možno ověřit potřebnost, vhodnost a přiměřenost zpracování osobních údajů.

V případě jakýchkoliv nejasností doporučujeme správcům osobních údajů, aby se obrátili na odborníka, případně záležitost před započetím samotného zpracování konzultovali přímo s dozorovým úřadem.