Posouzení vlivu na ochranu osobních údajů

Posouzení vlivu na ochranu osobních údajů se týká výhradně správců, netýká se zpracovatelů.
Dozorový ústav tj. ÚOOÚ a zveřejnil seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů – SEZNAM DRUHŮ OPERACÍ ZPRACOVÁNÍ

Nařízení GDPR čl. 35, odst. 3

Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto pňípadech:

1. Pokud nese zpracovávání osobních údajů vysoké riziko pro práva a svobody fyzických osob je nutné provést posouzení vlivu na ochranu osobních údajů. Posouzení vlivu na ochranu osobních údajů se vyžaduje především:
   1. u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
   2. u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech
   3. u rozsáhlého systematického monitorování veřejně přístupných prostorů
2. Dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, a uvedené seznamy předá sboru.
3. Dozorový úřad může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.
4. Před přijetím seznamů použije dozorový úřad mechanismus jednotnosti.Pokud tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo jestliže dané seznamy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.
5. Posouzení obsahuje alespoň:
   1. systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
   2. posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
   3. posouzení rizik pro práva a svobody subjektů údajů
   4. plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.
6. Dodržování schválených kodexů chování příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.
7. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.
8. Pokud má zpracování právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, výše uvedené se nepoužije, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.
9. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.