Jaké mají správci osobních údajů povinnosti v souvislosti s posouzením vlivu na ochranu osobních údajů (dále jen „Posouzení“) a nově vydanou metodikou?

Metodika je rozvedením jedné ze zásadních administrativních povinností správců osobních údajů podle GDPR. Ti musejí být schopni v první řadě identifikovat potřebu provedení Posouzení a rovněž případně zdokumentovat posouzení rizik a přijatých opatření k jejich odstranění nebo zmírnění.

Co přesně se pro správce mění?

Podle GDPR Posouzení nahradilo postup, jenž platil podle starého zákona na ochranu osobních údajů, kdy se ke konkrétnímu zpracování vyjadřoval Úřad na ochranu osobních údajů. Tato odpovědnost je dnes přenesena na samotné správce. No a metodika nám nyní říká, kdy je potřeba Posouzení vypracovat a kdy nikoliv. Správci by měli v prvním kroku projít své přehledy zpracování, které se nazývají záznamy o činnostech zpracování, a minimálně si udělat záznam, zda je potřeba provést Posouzení.

Hrozí za neprovedení Posouzení nějaký postih?

Neprovedení Posouzení může být sankcionováno jak přímo, tak může mít za následek, že správce nebude postupovat v souladu se základními zásadami pro zpracování osobních údajů, za což hrozí nejvyšší možné rozpětí pokut dle GDPR.

Úřad pro ochranu osobních údajů tedy nyní vydal závaznou metodiku, jak určit, zda je Posouzení nutné provést. Co všechno správci osobních údajů z metodiky zjistí?

Metodika úřadu se zaměřuje na deset hlavních oblastí pro identifikaci rizikovosti zpracování: jako například jaké osobní údaje jsou zpracovávané, jaký je rozsah zpracování nebo do jaké míry mohou fyzické osoby samy zpracování ovlivnit. Nicméně jednotlivé oblasti dále uvádějí téměř sto individuálních vodítek nebo příkladů, které je potřeba vyhodnotit, aby správce správně identifikoval, zda musí Posouzení vyhotovit, nebo ne.

Nezdá se tedy, že by bylo rozhodnutí o provedení Posouzení úplně snadné…

To v žádném případě. Domníváme se, že pro společnosti bude metodika poměrně rozsáhlá a provedení testu vlastními silami, zda je potřeba Posouzení udělat, může být pro ně relativně komplikované. Na základě těchto individuálních vodítek je navíc již na první pohled zřejmé, že vypracovat Posouzení bude potřeba ve vztahu k více zpracováním, než by se rozumně nabízelo. A to jednak kvůli tomu, že některé aspekty zpracování mohou být relevantní z hlediska vícero sledovaných oblastí metodiky (např. zpracování citlivých údajů), jednak proto, že správce provádí zpracování celostátně, což dle metodiky samo o sobě z poloviny naplňuje znaky rizikového zpracování.

Jak se v praxi osvědčuje GDPR? Přečtěte si článek GDPR v praxi: Nařízení o ochraně osobních údajů začíná naplňovat svůj požadovaný cíl.