top of page

Nová pravidla pro provedení legislativního DPIA: Koho se dotknou?

Obrázek autora: Josef BátrlaJosef Bátrla

Novela legislativních pravidel, která ukládá povinnosti normotvůrcům při tvorbě zákonů, vyhlášek a nařízení, přináší od 1. dubna tohoto roku i posílení ochrany osobních údajů, a to v oblasti vytváření Posouzení vlivu na ochranu osobních údajů (DPIA). O co se vlastně jedná?

Dle § 10 zákona o zpracování osobních údajů existuje konkrétní výjimka, která umožňuje všem správcům neprovádět DPIA v případech, kdy takové zpracování probíhá na základě nezbytnosti pro splnění právní povinnosti. Odůvodnění této výjimky spočívá v tom, že pokud zákonodárce zamýšlí zavést určité zpracování, které je povinné, měl by sám o sobě ověřit, jaký vliv a dopad bude mít dané zpracování na práva subjektů údajů. Správce tak není povinen DPIA provádět, pokud ho již provedl zákonodárce (viz čl. 35 odst. 10 GDPR). Z opačného konce – správce osobních údajů může velmi těžko v rámci posuzování DPIA dojít k závěru, že nějaká operace je natolik riziková (a rizika nelze snížit, respektive eliminovat), že se rozhodne dané zpracování neprovádět – ačkoliv mu to přikazuje zákon. Povinnost zvážit dopad zaváděné povinnosti na oblast ochrany osobních údajů obsahovaly již Obecné zásady pro hodnocení dopadu regulace (RIA), které byly vydány vládou. Nicméně předmětné požadavky byly natolik obecné, že se zákonodárce rozhodl provést změnu a zavést novou strukturu pro zpracování legislativního DPIA (viz box).

Postup pro zpracování legislativního DPIA:


1. vysvětlení účelu navrhovaného zpracování osobních údajů;


2. popis návaznosti na stávající, nebo připravované zpracování osobních údajů;


3. posouzení navrhovaného řešení zpracování z hlediska nezbytnosti a přiměřenosti ve vztahu k účelu zpracování osobních údajů;


4. posouzení rizik pro práva a svobody fyzických osob;


5. stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob.


Comments


bottom of page