ÚOOÚ odpovídá: kdy provádět posouzení vlivu na ochranu osobních údajů
Na otázku v titulku tohoto článku se pokusil odpovědět Úřad pro ochranu osobních údajů vypracováním „Seznamu druhů operací zpracování osobních údajů, které podléhají posouzení vlivu na ochranu osobních údajů“ (dále jen Seznam zpracování podléhajících posouzení).
Povinnost provádět posouzení vlivu na ochranu osobních údajů (tzv. DPIA – data protection impact assessment) je jednou z povinností, které ukládá nařízení GDPR správcům osobních údajů. Podle něj je nutné provést DPIA vždy, pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody subjektů údajů, a to zejména s přihlédnutím k povaze, rozsahu, kontextu a účelům daného zpracování. Text samotného nařízení GDPR je však velmi abstraktní a obsahuje neurčité právní pojmy. Správce osobních údajů tak ponechal ve značné nejistotě.
Výklad se již před časem pokusil sjednotit Evropský sbor pro ochranu osobních údajů (dříve tzv. pracovní skupina WP29), který vypracoval „Pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko“. Obsahují seznam devíti kritérií, podle nichž by mělo být možné určit, kdy je nutné DPIA zpracovat a kdy nikoliv. Ani tyto pokyny však zcela konkrétní odpověď správcům nepřinesly, zejména v hraničních případech.
Český Úřad pro ochranu osobních údajů nyní zveřejnil finální podobu Seznamu zpracování podléhajících posouzení, a to přesně do roka a do dne od vydání první verze tohoto dokumentu pro veřejnou diskuzi. Seznam určuje charakteristiky zpracování osobních údajů, pomocí kterých by měl správce popsat operace zpracování osobních údajů, a následně s jejich pomocí stanovit, zda se jedná o zpracování s vysokou mírou rizika pro práva a svobody subjektů údajů. Ta se přitom určuje podle definovaných stupnic, které ke každé charakteristice přiřazují určité kritické, významné a nízké hodnoty.
Uvedený Seznam zpracování podléhajících posouzení již schválil Sbor pro ochranu osobních údajů. Jak však sám Úřad pro ochranu osobních údajů připouští, ani uvedený materiál není zcela vyčerpávající a může podléhat změnám nebo doplněním vyplývajícím z rozvoje technologií, změny právních předpisů apod. Spolu s dříve vydaným Seznamem operací zpracování osobních údajů, které naopak nepodléhají posouzení vlivu na ochranu osobních údajů, by však správci měli konečně mít k dispozici jasnější návod, kdy DPIA zpracovat, a kdy to naopak nezbytně nutné není.