Spolek pro ochranu osobních údajů uspořádal dne 10. března 2021 online workshop, na kterém byly diskutovány praktické otázky spojené s metodikou, kterou ÚOOÚ vydal k provádění posouzení vlivu na ochranu osobních údajů (DPIA). Workshopu se zúčastnilo na 60 členů Spolku a partnerského slovenského Spolku. Na workshopu rovněž vystoupili zástupci ÚOOÚ, kteří danou metodiku zpracovávali, konkrétně Mgr. Bc. David Burian, vedoucí oddělení akreditací a předávání údajů a Ing. Zbyněk Havelda z téhož útvaru.
Seminář zahájil předseda Výboru Spolku Vladan Rámiš, který zdůraznil důležitost institutu DPIA v celkovém kontextu ochrany osobních údajů a rovněž poděkoval zástupcům ÚOOÚ za možnost výkladové nejasnosti nebo otázky navazující na danou metodiku diskutovat přímo s nimi.
V následující diskusi, kterou za spolek moderovali Alice Selby a František Nonnemann, byly probírány jak koncepční otázky vztahu DPIA k dalším analýzám rizik či obecně regulace ochrany dat a právní úpravy kybernetické bezpečnosti, ale i konkrétní otázky týkající se jednotlivých částí metodiky.
Podstatné body a závěry semináře lze shrnout takto:
- Ze strany ÚOOÚ se jedná o nezávaznou metodiku, která obsahuje možný přístup ke zpracování DPIA. Správce může při realizaci DPIA postupovat i jinak, samozřejmě při dodržení čl. 35 obecného nařízení o ochraně osobních údajů. Pokud bude správce postupovat dle diskutované metodiky, ÚOOÚ to bude považovat z pohledu obecného nařízení za dostatečné.
- Provedení DPIA nutně předchází posouzení, zda na správce tato povinnost vůbec dopadá. Pokud se nejedná o druh zpracování vymezený v čl. 35 odst. 3 obecného nařízení, je správce povinen zohlednit Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů připravený ÚOOÚ.
- Při přípravě metodiky k DPIA vycházel ÚOOÚ z metodiky a pojmů oblasti kybernetické bezpečnosti, které nicméně upravil tak, aby odpovídaly požadavkům obecného nařízení.
- Součástí procesu DPIA musí být i posouzení všech základních principů pro zpracování údajů dle čl. 5 odst. 1 obecného nařízení. Pokud při popisu připravovaného zpracování správce dojde k závěru, že by zpracování bylo nelegitimní nebo protiprávní, je nutné parametry zpracování upravit nebo zpracování nezahajovat; při takovémto závěru je zbytečné pokračovat dále k jednotlivým rizikům pro subjekt údajů.
- Z poznatků ÚOOÚ z dozorové a konzultační činnosti plyne, že velká část správců porušuje povinnost provést DPIA, případně ji provádějí či dokumentují nedostatečně. Typickými pochybeními jsou nesprávný či nedostatečný popis zpracování údajů, nedostatečné popsání a zhodnocení účelu zpracování, neprovedení testu proporcionality či nedostatečné zhodnocení principu transparentnosti zpracování osobních údajů. Častým nedostatkem bývá také obecný a nekonkrétní popis opatření ke zmírnění identifikovaných rizik.
- ÚOOÚ ani dva a půl roku od účinnosti obecného nařízení neobdržel žádnou žádost o předchozí konzultaci dle čl. 36 obecného nařízení.
- Otázkou DPIA, nastavení zpracování osobních údajů a řízení souvisejících rizik, se ÚOOÚ bude zabývat i ve své výroční zprávě, která bude zveřejněna do konce března tohoto roku.
Při semináři vyvstalo i několik témat přesahujících rozsah semináře. Jednalo se zejména o otázku zpracování osobních údajů obcemi, zejména při kamerovém sledování veřejných prostor, a dále o praktickou aplikaci § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, který obsahuje výjimku z povinnosti provádět DPIA při zpracování nezbytném ke splnění právní povinnosti správce. I těmto tématům se bude Spolek do budoucna věnovat.
Seminář výrazně přispěl k vyjasnění metodiky i celkového přístupu ÚOOÚ k institutu posouzení vlivu na ochranu osobních údajů.
AUTOR: Alice Selby,
František Nonnemann