Povinnost správců provádět posouzení vlivu na ochranu osobních údajů

Úřad pro ochranu osobních údajů vydal dokument, který nařizuje vypracovat posouzení vlivu na ochranu osobních údajů (dále jen „Posouzení“) v některých specifických případech, které by ohrožovaly práva a svobody fyzických osob v souladu se zpracováním osobních údajů. Tento dokument zpracovává deset charakteristik, které popisují zpracování osobních údajů, které jsou vysoce rizikové pro práva a svobody subjektů údajů v souladu s GDPR.

Posouzení vlivu nahradilo postup, který platil podle starého zákona na ochranu osobních údajů, kdy se ke konkrétnímu zpracování vyjadřoval Úřad na ochranu osobních údajů v předstihu. Nyní je odpovědnost přenesena na samotné správce. Metodika provedení Posouzení je poměrně rozsáhlá a pro společnost značně komplikovaná. Správci by si měli projít záznamy o činnostech zpracování a udělat si analýzu, zda je potřeba provést Posouzení. Pokud správce neprovede Posouzení, může být sankcionován dle rozpětí pokut GDPR.

Materiál vydaný Úřadem na ochranu osobních údajů k Posouzení není definitivní a může podléhat změnám a doplněním. Zaměřuje se na následující oblasti:

1. Zpracování zahrnující monitorování subjektů údajů
2. Zpracování kritických údajů, údajů umožňující identifikaci a/nebo údajů vysoce osobní povahy subjektů údajů
3. Zpracování osobních údajů, které mohou vystavit subjekty údajů ohrožení z okolního prostředí
4. Zpracování osobních údajů velkého rozsahu
5. Zpracování zahrnující snímání veřejně přístupných prostor
6. Zpracování osobních údajů s omezeným ovlivněním subjekty údajů
7. Zpracování osobních údajů veřejně přístupných
8. Zpracování osobních údajů v technologicky složitých nebo pokročilých infrastrukturách nebo platformách
9. Zpracování osobních údajů s vazbou na jiné správce nebo zpracovatele
10. Zpracování osobních údajů s využitím nových technologických nebo organizačních řešení