GDPR: Kedy ste povinní vypracovať DPIA – Posúdenie vplyvu na ochranu osobných údajov?

GDPR a proces vyhodnocovania rizík pri osobitnom spôsobe spracúvania osobných údajov.

GDPR so sebou prináša viacero nových práv dotknutých osôb a postupov prevádzkovateľov viažucich sa k procesu spracúvania, prostredníctvom ktorých musia preukázať, že ich spracúvanie je v súlade s právnymi predpismi, a to počas celého priebehu tejto činnosti, ako aj preukázanie administratívno-právnej dokumentácie, ktorá slúži ako písomný právny základ pre „nakladanie“ s osobnými údajmi v rámci daného subjektu, ktorý ich spracúva. Základným dokumentom každého subjektu spracúvajúceho osobné údaje je Dátový plán, ktorý „mapuje“ jednotlivé dáta spracúvané vašou organizáciou, vrátane vymedzenia prostriedkov a účelov spracúvania, informačných systémov a následného „toku“ údajov voči sprostredkovateľom (napr. cloudové datacentrá) alebo voči tretím osobám. Doterajšia dokumentácia ochrany osobných údajov označovaná ako „Bezpečnostný projekt“ sa s účinnosťou od 25. 5. 2018 ruší.

 

Označenie DPIA pochádza z anglického výrazu „Data Protection Impact Assesment“DPIA je ustanovené čl. 35 GDPR. Podrobnosti týkajúce sa implementácie DPIA ustanovila aj WP29 vo svojom usmernení – Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. V našom jazyku bolo zvolené označenie „Posúdenie vplyvu na ochranu osobných údajov“. Inak povedané, ide o dokument a s ním súvisiaci proces vyhodnocovania rizík spojených s osobitným spôsobom spracúvania osobných údajov. Vypracovanie DPIA stanovuje nariadenie GDPR vo svojom článku 35, kde súčasne demonštratívne definuje okolnosti, za ktorých je subjekt nevyhnutne povinný vypracovať DPIA. V záujme jasnejšieho vymedzenia toho, kedy budete povinní vypracovať DPIA, pristúpime k štruktúrovaniu článku 35 ods. 1 a jeho jednotlivých hypotéz (predpokladov), ktoré sú základom pre posúdenie toho, či sme alebo nie sme povinní vypracovať DPIA.

Základné hypotézy (predpoklady) sú preto tieto:

1. ide o prevádzkovateľa osobných údajov,

2. ide o osobitný typ spracúvania osobných údajov (napríklad nové technológie),

3. súčasne je potrebné hodnotiť povahu, rozsah, kontext a účely spracúvania,

4. pravdepodobnosť vysokého rizika pre práva a slobody fyzických osôb, ktoré môže vyplynúť z horeuvedeného spracúvania.

Súčasne tzv. dispozíciou (následkom) právnej normy uvedenej v čl. 35 ods. 1 GDPR je nielen to, že vypracovanie DPIA je povinné, ale aj to, že je potrebné ho vykonať ešte pred samotným spracúvaním osobných údajov.

 

Článok je skrátený, viac informácií nájdete v príspevku

Súvisiace odborné články

Súvisiace právne predpisy ZZ SR


Autori

  • JUDr. Filip Petrinec, PhD.

Dátum publikácie

  • 26. 2. 2018

S-EPI, s.r.o. © 2010-2018, všetky práva vyhradené