Na základě dotazníku klasifikace zpracovatele byste měli odhadnout, zda se jedná o rizikové zpracování vyžadující další prověrku, nebo o zpracování, které nutně nemusí znamenat vysoké riziko. Dotazník byl připraven pro Elektronický zpravodaj pro pověřence.
Vysvětlení jednotlivých otázek:
Dotaz č. 1
První dotaz pomáhá vyfiltrovat, nakolik je zpracování osobních údajů rizikové. V případě zvláštních kategorií totiž víme, že i ÚOOÚ postupuje velmi kriticky a detailně. V obecném měřítku tak platí, že pokud hodláme pověřit zpracovatele zpracováním zvláštních kategorií osobních údajů, měli bychom prověrku provést prakticky vždy (což nevylučuje případy nahodilého zpracování). Totéž platí i pro další údaje, které nemusí patřit mezi zvláštní kategorie, ale jejichž ztráta by mohla pro subjekt údajů nebo správce znamenat velkou újmu (patří sem například čísla platebních karet a podobně). V tomto bodě není nutno držet se pouze osobních údajů. Zejména u větších společností má totiž bezpečí osobních údajů obdobnou váhu jako bezpečí obchodních tajemství či utajovaných informací. Z tohoto pohledu tak lze otázku modifikovat i na „neosobní“ údaje.
Dotaz č. 2
Druhý dotaz je nutno chápat orientačně a nemusí mít platnost pro všechny správce a pro všechny operace zpracování. Idea je taková, že v případě zaměstnanců dochází povětšinou ke standardnímu zpracování, které obyčejně nevykazuje vysoká rizika. Pouze v ojedinělých případech, jako je zavedení nové technologie používající například biometrické údaje, popřípadě sledování, může jít o riziko – tyto otázky jsou však pokryté jinde, tudíž v zásadě by nic nemělo uniknout.
Dotaz č. 3
Jakmile dochází ke zpracování osobních údajů, které má povahu profilování či automatizovaného individuálního rozhodování, jedná se většinou o rizikové operace. Totéž platí i pro sledování subjektů údajů, popřípadě cokoli, co se tomu může blížit (sledování výkonnosti, GPS lokátory…). V těchto případech je vhodné vždy prověřit, jestli zpracovatel poskytuje dostatečné záruky.
Dotaz č. 4
Za zvýšené riziko lze samozřejmě považovat i situaci, kdy jsou osobní údaje zpracovávány mimo dosah správce. Čím méně má totiž správce kontrolu nad tím, kdo k daným údajům skutečně přistupuje, tím větší je riziko pro případnou újmu subjektů údajů. Situace, kdy jsou uchovány osobní údaje u správce, však nemusí být samy o sobě bezrizikové – zde je však nutno vycházet z předpokladu, že správce implementoval řešení pro kontrolu přístupů (jako je uchování logů a podobně), a tudíž (zjednodušeně řečeno) vše probíhá v jeho režii.
Dotaz č. 5
Tato otázka se může zdát poněkud zvláštní, ale má svoje opodstatnění. Jejím cílem je vlastně ověřit, jak na první pohled zpracovatel přistupuje k problematice osobních údajů. V případě uzavírání smluv, marketingových aktivit a dalších operací zpracování je zpracovatel sám v postavení správce. Z toho, jak například na webových stránkách plní svoji informační povinnost, jakým způsobem vás oslovil s nabídkou na spolupráci či zda byl v minulosti kontrolován či pokutován (v některých případech jsou tyto informace veřejné), je patrný přístup zpracovatele k GDPR. Pokud je na webových stránkách vše v pořádku, dochází k informování subjektů údajů a v rámci obchodních podmínek jsou uvedena zpracovatelská ujednání v souladu s GDPR, je případné riziko minimální. Naopak v případě, kdy stránky a obchodní dokumentace vypadají zanedbaně, lze případné riziko vyloučit velmi špatně – pokud totiž správce nedbá o to, jak on sám plní povinnosti jako správce, lze pochybovat o tom, že v postavení zpracovatele by implementoval vše, co po něm GDPR požaduje.
Vysvětlení hodnocení a dalších akcí
Jak je vidět z tabulky, hodnocení je nastaveno poměrně obecně. V případě implementace dotazníku je nutno pečlivě zkontrolovat hodnotu a rizika jednotlivých otázek a podle toho nastavit i příslušné akce. V daném případě jsou tři rizika a tři logické postupy. U nejnižšího rizika spočívá další postup v přistoupení k uzavření zpracovatelské dokumentace. V případě středního rizika je nutno již zaslat navazující dotazník, který má ověřit připravenost zpracovatele a také to, jakým způsobem on sám plní povinnosti podle GDPR. Třetí stav, vysoké riziko, si již žádá individuální přístup a posouzení možných dopadů ze strany DPO, tedy pověřence.
Výše uvedené berte jako návrh, jejž je nutné v rámci implementace vždy zkontrolovat a individualizovat.
DALŠÍ MOŽNÉ OTÁZKY
Výše uvedená klasifikace má širokou platnost, což samozřejmě znamená, že pro různé správce bude mít různou váhu. S ohledem na to by každý pověřenec měl zkontrolovat, zda některé otázky neobměnit či nedoplnit například o následující:
– Jaká je povaha zpracování (manuální, či automatizovaná)?
– Jaký je typ spolupráce a přístup k osobním údajům (nepřetržitý, či ad hoc přístup)?
– Jak dlouhé bude zapojení zpracovatele (jednorázové, či dlouhodobé)?
– Má zpracovatel implementované ISO normy (ano, nebo ne)?
– Má zpracovatel sídlo v EU (ano, nebo ne)?
Dotazník byl publikován v Elektronickém zpravodaji pro pověřence dne 6. 8. 2020