Dovolujeme si Vás touto cestou informovat o tom, že Úřad pro ochranu osobních údajů (dále jen „Úřad“) publikoval na svých webových stránkách aktualizovanou verzi dokumentu „Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů", který byl dříve pojmenován „K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA)“.

Vážení,

dovolujeme si Vás touto cestou informovat o tom, že Úřad pro ochranu osobních údajů (dále jen „Úřad“) publikoval na svých webových stránkách aktualizovanou verzi  dokumentu „Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů", který byl dříve pojmenován „K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA)“. Dokument je určen všem správcům osobních údajů a slouží jako pomůcka k určení, zda se na správce nutnosti zpracovat DPIA vztahuje či nikoli. Tuto povinnost ukládá GDPR v čl. 35 a odst. 1 a odst. 3. Úřad je na základě odst. 4 téhož článku povinen zveřejnit seznam druhů operací zpracování, které podléhají požadavku na DPIA. Odst. 5 téhož článků také umožňuje Úřadu vydat seznam druhů operací zpracování, které tomuto požadavku nepodléhají. Úřad oba tyto dokumenty dopracoval a zveřejnil.

Zatímco seznam druhů operací zpracování, jež NEpodléhají DPIA je pojat jako seznam relativně konkrétních zpracovatelských činností, tak v případě operací, jež podléhají DPIA, seznam zahrnuje výčet 10 kritérií a návod k jejich použití při hodnocení rizikovosti zpracovatelských činností.

Jako příklad operací, u nichž se DPIA provádět nemusí, uvedl Úřad následující:

  1. zpracování údajů zaměstnanců pro účely plnění zákonných povinností a zpracování personální agendy;
  2. zpracování údajů zákazníků, tj. poskytování služeb, pořádání soutěží, zasílání newsletteru; zpracování chování zákazníků na webu (včetně jejich profilování);
  3. zpracování zajišťované osobou oprávněnou k poskytování zdravotních služeb, která není v zaměstnaneckém poměru;
  4. zpracování zajišťované jednotlivými advokáty a notáři;
  5. zpracování zajišťované jednotlivými podnikajícími fyzickými osobami poskytujícími sociální služby;
  6. zpracování prováděné na základě povinnosti uložené právním předpisem.

Vždy však Úřad doporučuje správcům při vypracovávání DPIA postupovat následujícím způsobem:

  1. shromáždit informace o zpracování osobních údajů, tzn. mít zaznamenané veškeré aktivity v Záznamech o činnostech zpracování tak, jak ukládá čl. 30 GDPR;
  2. provést analýzu, zda je povinné zpracovávat DPIA, a tuto analýzu zdokumentovat.

Pokud z analýzy vyplyne povinnost, tak:

  1. zpracovat DPIA;
  2. monitorovat dodržování opatření a pravidelně revidovat posouzení vlivu.

Veškerou dokumentaci je potřeba uschovat, a to i přesto, že DPIA zpracovávat nemusíte – je potřeba při případné kontrole prokázat, že jste analýzu zpracování údajů provedli či že je Vámi prováděné zpracování uvedené na seznamu druhů operací, u nichž dle názoru Úřadu DPIA být vypracovávána nemusí (viz výše).

Úřad v dokumentu opakovaně upozorňuje na to, že jím uvedený seznam s operacemi, u nichž se DPIA nezpracovává, není definitivní. Vždy tedy doporučujeme vypracovat stručnou analýzu, zda je nutné DPIA provádět či nikoli.

Pokud si nejste jisti, zda se na Vás povinnost vypracovávat DPIA vztahuje, či potřebujete s jejím vypracováním pomoci, neváhejte se na nás kdykoliv obrátit!

S přáním příjemného dne a s pozdravem

Petra Vodáková