ÚOOÚ radí, jak zpracovat posouzení vlivu na ochranu osobních údajů
Obecné nařízení o ochraně osobních údajů (GDPR) zavedlo pro správce osobních údajů novou povinnost provádět tzv. posouzení vlivu na ochranu osobních údajů (DPIA, z anglického data protection impact assessment). Tato povinnost vzniká u zpracování, která mají za následek vysoké riziko dopadu na práva a svobody fyzických osob, jejichž osobní údaje jsou zpracovávány. Dle ÚOOÚ se ale správci s uvedenou povinností vypořádávají s obtížemi, a proto úřad zveřejnil metodiku pro provádění DPIA.
Metodika reaguje na nedostatky dosavadní praxe posuzování vlivu a měla by zajistit soulad s požadavky GDPR a přispět také ke snížení administrativního zatížení správců osobních údajů. Ukázalo se totiž, že správci často nemají jasno v tom, jak má takové posouzení vypadat. Uchylují se tak například pouze ke slovnímu hodnocení bez konkrétních informací ohledně případných hrozeb a opatření.
Kvalitní a podrobná DPIA je přitom nezbytnou pomůckou pro určení hrozeb pro ochranu osobních údajů, dopadů do soukromí subjektů údajů a zajištění potřebných technických a organizačních opatření.
DPIA by se měla opakovaně přehodnocovat. K novému posouzení by měl správce přistoupit zejména při změně parametrů prováděného zpracování osobních údajů, identifikaci nové hrozby nebo změně technologií.
Dodržování metodiky je pouze doporučené, při splnění všech požadavků GDPR lze tedy používat i metodiku jinou. Metodika je určena primárně pro potřeby správců, využívat ji ale mohou i zpracovatelé osobních údajů.