Vysoké riziko pro práva a svobody lidí podle GDPR
Některá ustanovení obecného nařízení o ochraně osobních údajů GDPR se odvolávají na situace, kdy může dojít v souvislosti se zpracováním osobních údajů ke vzniku vysokého rizika pro práva a svobody fyzických osob. S tímto stavem následně GDPR spojuje řadu povinností a postupů.
Kdy se ale jedná o vysoké riziko a jaké operace ho mohou představovat?
Jednoznačná definice vysokého rizika pro práva a svobody fyzických osob není stanovena. GDPR uvádí jako kritéria pro posouzení pravděpodobnosti a závažnosti rizik:
- povahu,
- rozsah,
- kontext a
- účely zpracování.
Některá ustanovení GDPR dále obsahují příklady operací, které zpravidla budou vysoké riziko představovat. Může jít např. o případy použití nových technologií, zpracovávání citlivých údajů nebo zpracování, která ze své podstaty omezují uplatnění práv subjektů údajů.
Vysvětlení pojmu vysokého rizika se rovněž dotýká stanovisko Working Party 29 (WP 29) k posouzení vlivu na ochranu osobních údajů (DPIA) a určení, zda zpracování může mít za následek vysoké riziko podle nařízení 2016/67 (dále jen stanovisko k DPIA).
Z tohoto stanoviska vyplývá, že o vysoce rizikové operace půjde zejména tam, kde:
- se provádí systematické a rozsáhlé automatizované rozhodování, včetně profilování
- se ve velkém rozsahu zpracovávají zvláštní kategorie údajů (citlivé údaje);
- se monitorují systematicky veřejně přístupné prostory.
Stanovisko dále vyjmenovává řadu dalších faktorů, které mohou mít vliv na rozhodování, zda jde o zpracování s vysokým rizikem. Většina z faktorů souvisí s výše uvedenými základními kritérii: rozsah zpracování; citlivost údajů nebo skupiny subjektů, kterých se údaje týkají (děti, senioři, ale i zaměstnanci); automatizované rozhodování/profilování, systematické monitorování, použití nových technologií a předávání mimo EU, respektive do zemí, které neposkytují dostatečnou záruky pro ochranu osobních údajů.
Příklady rizikových operací
