Metodika posouzení vlivu na ochranu osobních údajů (DPIA)

GDPR přináší řadu nových postupů pro zajištění souladu zpracování osobních údajů s právními požadavky. Například Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assesment, DPIA), které je upraveno v čl. 35 GDPR.

Základ určuje čl. 35 GDPR

DPIA dle GDPR předpokládá provedení dvou kroků

Prvním z nich je prvotní posouzení možného rizika, které nové zpracování osobních údajů, nebo významná změna stávajícího zpracování (např. rozšíření kategorií zpracovávaných dat, využití dat za dalším účelem atd.) může pro dotčené osoby představovat.

Pokud mu z této úvodní analýzy vyplyne, že dané zpracování může pro práva dotčených osob představovat vysoké riziko, musí provést a zdokumentovat kompletní posouzení vlivu na ochranu osobních údajů (DPIA), v některých případech spojené s povinnou konzultací zamýšleného zpracování a opatření ke snížení rizik s Úřadem pro ochranu osobních údajů dle čl 36 GDPR.


První krok, prvotní posouzení možného rizika, nemusí jít zcela do detailu. GDPR samo uvádí typické případy druhů zpracování, které obvykle budou představovat vysoké riziko a tedy zakládat povinnost provést kompletní DPIA.  Jedná se o situace, kdy správce údajů hodlá:

  • Provádět systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad. Typicky se bude jednat o ověřování bonity či spotřebitelské historie zájemců o produkt či uchazečů o zaměstnání, vytváření profilů za účelem předvídání chování spotřebitelů atd. 
  • Provádět rozsáhlé zpracování citlivých osobních údajů. Mezi citlivé osobní údaje GDPR řadí zejména údaje o zdravotním stavu, národnostním či etnickém původu, politickém přesvědčení, náboženském vyznání a biometrické nebo genetické údaje.
  • Realizovat systematické monitorování veřejně přístupných prostor, zejména prostřednictvím kamer, fotopastí či obdobných nástrojů.


Výstup auditu - co s riziky?


Pokud správce po prvotním vyhodnocení dospěje k závěru, že nové zpracování může představovat vysoké riziko, je povinen provést a zdokumentovat celou DPIA. 

Jejím obsahem musí být především:

  • Identifikace a posouzení rizik pro práva a svobody dotčených osob
  • Systematický popis zamýšlených operací zpracování a účely zpracování osobních údajů
  • Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu činnosti správce s GDPR.
  • Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů, jinak řečeno provedení testu proporcionality, přiměřenosti zásahu do práv dotčené osoby s ohledem na účely zpracování.



Role pověřence na ochranu osobních údajů

Pokud správce jmenoval pověřence pro ochranu osobních údajů (data protection officer, nebo také DPO), vyplývá mu z GDPR povinnost vyžádat si jeho stanovisko k provedené analýze, identifikovaným rizikům a navrženým opatřením k jejich snížení či odstranění.

Další zdroje k pozici DPO:



Metodika DPIA od WP29

Pracovní skupina WP 29, která sdružuje zástupce dozorových úřadů pro ochranu osobních údajů ze všech států Evropské unie, vydala metodiku k provedení DPIA. 

V ní uvádí výčet aspektů, které v konkrétním případě mohou zvyšovat riziko zásahu do práv dotčené osoby:

Jsou jimi zejména profilování či předvídání chování konkrétních lidí, automatizované zpracování, zpracování citlivých osobních údajů jako takových, rozsáhlost zpracování (z pohledu počtu dotčených osob, rozsahu údajů či kategorií údajů nebo délky zpracování dat), zamýšlené slučování údajů původně získaných k odlišným účelům, využití nových technologických nebo organizačních nástrojů pro zpracování dat nebo zpracování osobních údajů zranitelných skupin (dětí, osob mladších 18 let, nebo naopak starších lidí).

Metodika DPIA od WP29



Naučte se správný postup Posouzení vlivu na ochranu osobních údajů

Pokud hledáte praktické tipy, jak metodiku využít k Posouzení vlivu na ochranu osobních údajů, doporučujeme absolvovat níže uvedený workshop.

GDPR RISK & DPIA workshop

Absolventi zvládají komplexní metodiku a jsou schopni definovat typ zpracovávaných údajů, rozsah monitorování, míru zranitelnosti dotčených osob, rozsah zpracování, řešit otázku předávání osobních údajů do zahraničí, inovativnost technického řešení zpracování údajů či komplexitu daného systému. 

Správné nastavení procesu posuzování rizik zpracování osobních údajů, včetně dokumentování postupu správce, kontroly prováděných analýz a identifikace rizik, jsou jedním ze základních nástrojů pro dosažení a doložení souladu s GDPR…

Chcete získat dárek k narozeninám?