Povinnost správců provádět posouzení vlivu na ochranu osobních údajů
Úřad pro ochranu osobních údajů vydal dokument, který nařizuje vypracovat posouzení vlivu na ochranu osobních údajů (dále jen „Posouzení“) v některých specifických případech, které by ohrožovaly práva a svobody fyzických osob v souladu se zpracováním osobních údajů. Tento dokument zpracovává deset charakteristik, které popisují zpracování osobních údajů, které jsou vysoce rizikové pro práva a svobody subjektů údajů v souladu s GDPR.
Posouzení vlivu nahradilo postup, který platil podle starého zákona na ochranu osobních údajů, kdy se ke konkrétnímu zpracování vyjadřoval Úřad na ochranu osobních údajů v předstihu. Nyní je odpovědnost přenesena na samotné správce. Metodika provedení Posouzení je poměrně rozsáhlá a pro společnost značně komplikovaná. Správci by si měli projít záznamy o činnostech zpracování a udělat si analýzu, zda je potřeba provést Posouzení. Pokud správce neprovede Posouzení, může být sankcionován dle rozpětí pokut GDPR.
Materiál vydaný Úřadem na ochranu osobních údajů k Posouzení není definitivní a může podléhat změnám a doplněním. Zaměřuje se na následující oblasti:
- Zpracování zahrnující monitorování subjektů údajů
- Zpracování kritických údajů, údajů umožňující identifikaci a/nebo údajů vysoce osobní povahy subjektů údajů
- Zpracování osobních údajů, které mohou vystavit subjekty údajů ohrožení z okolního prostředí
- Zpracování osobních údajů velkého rozsahu
- Zpracování zahrnující snímání veřejně přístupných prostor
- Zpracování osobních údajů s omezeným ovlivněním subjekty údajů
- Zpracování osobních údajů veřejně přístupných
- Zpracování osobních údajů v technologicky složitých nebo pokročilých infrastrukturách nebo platformách
- Zpracování osobních údajů s vazbou na jiné správce nebo zpracovatele
- Zpracování osobních údajů s využitím nových technologických nebo organizačních řešení