T-linka 32/2017

Citát týdne

Klíčové je docílit toho, že vaši lidé začnou každodenně přemýšlet, jak něco vylepšit. A když zlepšíte sto malých věcí, firmu to posune mnohem dál.

Ivan Baťka

GDPR
Posouzení vlivu na ochranu osobních údajů

Jedním z opatření, která nově zavedlo Nařízení Evropského parlamentu a Rady EU č. 2016/679 o ochraně osobních údajů, je povinnost správců a zpracovatelů zpracovat Posouzení vlivu (konkrétních zpracování) na ochranu osobních údajů (DPIA). Kdy je toto posouzení nezbytné zpracovat, definuje čl. 35 Nařízení, a to následovně: “... v případě, kdy určitý druh zpracování údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií.” Jelikož tato definice je snad až příliš vágní, neboť by na jedné straně mohla popisovat snad každé zpracování osobních údajů s využitím počítače, ale - na straně druhé - absolutní většinu úkonů vylučovat, protože se nejedná o “vysoké riziko”, přináší odst. 3 čl. 35 konkrétní příklady:

Posouzení vlivu je nezbytné provést pro tyto operace s osobními údaji:

  1. systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
  2. rozsáhlé zpracování zvláštních kategorií údajů (např. údajů o rasovém či etnickém původu, politických názorech či zdravotním stavu anebo biometrických údajů atd.) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; anebo
  3. rozsáhlé systematické monitorování veřejně přístupných prostorů.

 

Jenže ani tento výčet nestačí. Pravda, pro rozhodnutí, zda je pro konkrétní operaci nutné zpracovat posouzení vlivu, umožňuje. Ovšem co dělat v případech, kdy daná operace ovlivňuje soubor dalších operací, které tak de facto představují pro osobní údaje stejné či velmi podobné riziko? Pro tento účel vytvořila výkladové pokyny pracovní skupiny WP29. Ty ještě konkrétněji popisují parametry, která mají správci údajů zohlednit při vyhodnocování, zda jejich operace s daty představují vysoké riziko pro práva a svobody fyzických osob a podléhají tedy Posouzení vlivu.

Podle kritérií WP29 se povinnost provést DPIA vztahuje především na následující zpracování osobních údajů:

  • vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů);
  • zpracování údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců;
  • systematické monitorování, tj. zpracování údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů;
  • zpracování citlivých údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnic, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity);
  • zpracování údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy);
  • zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu;
  • zpracování osobních údajů o „zranitelných“ osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.);
  • zpracování údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu);
  • předání osobních údajů mimo Evropskou unii;
  • zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv).

 

Podle pokynů pracovní skupiny WP29 se realizace Posouzení vlivu vyžaduje u takových zpracování osobních údajů, která splňují alespoň dvě výše uvedená kritéria. A pokud by si snad správce údajů nebyl jistý, zda se posouzení vztahuje i na jím realizované operace, doporučuje pracovní skupina WP29, aby správce posouzení provedl. A navíc - podle pokynu WP29 - má seznam druhů operací zpracování údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, sestavit a zveřejnit Úřad pro ochranu osobních údajů.

Podle odst. 10 článku 35 Nařízení se požadavek na realizaci Posouzení nevztahuje na zpracování údajů zahájená před účinností GDPR. Přesto však pracovní skupina WP29 doporučuje, aby správci údajů posouzení vlivu na ochranu osobních údajů provedli i pro operace s daty zahájenými před květnem 2018. Navíc je nutné provést posouzení v případech, kdy nastane významná změna původního zpracování údajů (např. se pro zpracování údajů začne využívat nová technologie nebo aplikace).

Ve všech případech je vhodné posouzení revidovat po uplynutí 3 let nebo případně i dříve s ohledem na povahu a změny zpracování údajů.

Už víte, pro které operace prováděné na vašem úřadu bude nezbytné provést posouzení? Výborně! A pokud ještě nevíte, pak doporučujeme co nejdříve provést analýzu zpracovávaných osobních údajů a pustit se do dalších kroků.

Jak má posouzení vlivu probíhat a co musí zahrnovat se dozvíte v dalším čísle T-linky.

Doporučujeme k přečtení

Úřad vlády se snaží protlačit vznik regulačního superúřadu, ale nemá podporu. Za návrhem prý stojí Vladimír Špidla. [EURO, 9. 8. 2017]

Snahy o propojení státních a soukromých investic připomínají komedii, tvrdí server EURO a pokračuje: “Sice nevyšla stavba dálnice D47, nevyšla ani oprava D1, dokonce se nepovedl ani projekt na jihočeské D3, ministerstvo dopravy ale znovu přišlo se stejným nápadem – spojit státní peníze se soukromníkem. Další takzvaný PPP projekt plánuje při stavbě dálnice D4. Vzhledem k tomu, jak obdobné úvahy dopadají, začíná snaha státu připomínat nekonečnou hořkou komedii.” [EURO, 8. 8. 2017]

V druhém kole dotačního programu Dešťovka, který je zaměřen na projekty využívající odpadní a dešťovou vodu v domácnosti nebo na zahradě, bude polovina peněz určena pro obyvatele obcí, které v posledních letech trápilo sucho. Celkem bude v novém kole 240 milionů korun, více než dvojnásobek prvního dotačního kola, který stát spustil letos. Příjem žádostí zahájí Státní fond životního prostředí (SFŽP) 7. září. [E15, 7. 8. 2015]

Začátkem příštího roku začnou české úřady vydávat nové elektronické občanské průkazy. Začne tím nová vlna elektronické státní správy, která občanům umožní provádět základní byrokratické úkony přes internet. Rozvoj takzvaného e-governmentu si vzaly za své také některé politické strany. Podle estonského experta Andrese Raiesteho ze společnosti Nortal, která v zavádění elektronické státní správy s estonskou vládou spolupracuje, však země musí mít jasnou koncepci. Té prý dosáhne jen při jednohlasném politickém konsenzu. [E15, 5. 8. 2017]

Na co si dát pozor, pokud chcete koupit státní majetek ve výběrovém řízení s aukcí! [SMO ČR, 1. 8. 2017]

Novelizované zákony, vyhlášky a nařízení, které vstupují v platnost v týdnu
od 7. 8. do 13. 8. 2017

Poznámka: Tento materiál je informačním produktem. Za jakékoli použití informací z tohoto materiálu  nenese autor žádnou odpovědnost. Tyto informace jsou pouze doporučením a vyjádřením názoru k této tématice. Nepřísluší nám autoritativně vykládat právní předpisy. Jediným, kdo tak může učinit v jednotlivých příkladech je soud při řešení konkrétního případu. V textu mohou být použity odkazy či parafrázovány citace z judikatur, odborných článků, prací, knih apod. třetích osob, které jsou veřejně dostupné.​​