Úřad pro ochranu osobních údajů připravil novou pomůcku pro správce údajů
Metodika obecného posouzení vlivu na ochranu osobních údajů by měla pomoci správcům osobních údajů při provádění posouzení vlivu na ochranu osobních údajů (DPIA). Úřad pro ochranu osobních údajů (ÚOOÚ) ji zveřejnil, aby usnadnil provádění tohoto posouzení.
Podle zjištění ÚOOÚ totiž nedokážou správci mimo jiné správně nastavit složitější agendy s osobními údaji, zejména ta zpracování, která posouzení vlivu na ochranu osobních údajů vyžadují. Tuto povinnost GDPR ukládá ve dvojí formě: soukromoprávním správcům a státu v rámci návrhu právních předpisů. Podle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, totiž mají orgány veřejné moci, jimž je zpracování osobních údajů uloženo zákonem, udělenu výjimku z povinnosti provést DPIA. Právě proto je při tvorbě legislativy zásadní nástrojům GDPR dobře porozumět.
„Kvalitní a podrobná DPIA provedená v rámci návrhu právních předpisů je tak od okamžiku účinnosti nového zákona jediným a nezbytným návodem pro instruování správců a zpracovatelů, vodítkem pro poznání, jaké hrozby na osobní údaje působí, jaké jsou dopady do soukromí a jaká technická a organizační opatření mají při zpracováních uložených zákonem tyto subjekty přijmout,“ vysvětluje na svém webu ÚOOÚ.
Náš GDPR nástroj Privatry je ideální pomocník i pro začínající pověřence ochrany osobních údajů.
Obecné slovní ohodnocení nedostačuje. U připomínkových řízení k návrhu právních předpisů předkladatelé často neuvedli konkrétní informace o možných hrozbách, vlivu na soukromí nebo navrhovaných technických a organizačních opatřeních. Takovou DPIA nelze považovat za úplnou.
Ačkoli ÚOOÚ doporučuje řídit se jeho metodikou, nepovažuje ji za závaznou. Důležité je, aby výsledná DPIA splňovala veškeré požadavky dle GDPR.
„Metodiku pro provádění DPIA určitě vítáme. Na jednu stranu dává pevný rámec pro posuzování vycházející hodně z principů informační a kybernetické bezpečnosti, na druhou stranu již první pokusy o její použití v praxi ukazují, že pro malé a střední podniky bude její provedení velmi složité a nákladné, a to jak z hlediska času, tak z hlediska odborných znalostí. V tomto smyslu by možná bylo lepší, kdyby metodika dávala dotčeným podnikům širší možnosti přizpůsobit ji svým podmínkám,“ říká Jakub Hruška ze společnosti Ochránce údajů, který se prováděním DPIA v podnicích různých velikostí zabývá.
Kompletní Metodiku obecného posouzení vlivu na ochranu osobních údajů naleznete zde.
Mohlo by vás také zajímat:
Jak řešit GDPR v 5 základních krocích
