Novinky

Povinnost provádět posouzení vlivu - DPIA

2. června 2018, 11:39 hod.

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách návrh seznamu zpracování, která nepodléhají posouzení vlivu na ochranu osobních údajů (DPIA).

Sedmého února 2018 požádal Úřad pro ochranu osobních údajů na svých webových stránkách odbornou veřejnost o připomínky k materiálu s názvem „K povinnosti provádět posouzení vlivu na ochranu osobních údajů (DPIA)“. Jednalo se o návrh pomůcky pro správce k určení, zda budou povinni provádět posouzení vlivu na ochranu osobních údajů. Úřad následně obdržel celkem 12 vyjádření s připomínkami. 
 
Úřad obdržené připomínky zohlednil v obou zásadních částech materiálu. Upraven byl seznam zpracování, která nepodléhají posouzení vlivu na ochranu osobních údajů, ale také kritéria, s jejichž pomocí správce u ostatních zpracování určí, zda posouzení vlivu na ochranu osobních údajů podléhají. Připomínky byly akceptovány v míře zachovávající meze a kritéria ve vydaných pokynech WP29 a umožňující dodržet stanovený formát materiálu, pro další jednání v rámci Evropského sboru pro ochranu osobních údajů. Úřad je povinen výsledný seznam zpracování předat v souladu s čl. 35 odst. 4 a 5 a čl. 64 odst. 1 písm. a) obecného nařízení, Evropskému sboru pro ochranu osobních údajů ke stanovisku. V rámci diskuse ve Sboru lze předpokládat částečné sjednocení seznamů předložených národními dozorovými úřady, resp. přepracování částí po vzoru jiných návrhů.
 
Část materiálu Úřad vydává formou doporučení. Pro období do vydání stanoviska Sboru mohou správci osobních údajů při vyhodnocování, zda se na konkrétní zpracování vztahuje požadavek na posouzení vlivu na ochranu osobních údajů, přihlédnout k návrhu seznamu zpracování, která nepodléhají posouzení vlivu na ochranu osobních údajů.

V den zveřejnění této zprávy byl celý materiál zároveň poslán Sboru pro ochranu osobních údajů ke stanovisku.

Návrh seznamu operací zpracování osobních údajů, která nepodléhají posouzení vlivu na ochranu osobních údajů

S přihlédnutím k dosavadní dozorové praxi, se snahou po minimálním administrativním zatížení menších a středních správců Úřad zveřejňuje návrh seznamu druhů zpracování, u nichž není třeba provádět posouzení vlivu na ochranu osobních údajů.

Následující návrh seznamu operací zpracování osobních údajů, která nepodléhají posouzení vlivu na ochranu osobních údajů, není definitivní. Výčet zpracování je demonstrativní a bude podléhat změnám vyvolaným praktickými poznatky a rozvojem technologií. Seznam může rovněž doznat změn poté, co Evropský sbor pro ochranu osobních údajů přijme stanovisko k seznamu zpracování podle čl. 35 odst. 4 obecného nařízení.

Uvedení v tomto seznamu v žádném případě nezbavuje správce povinnosti osobní údaje přiměřeně zabezpečit, podobně jako obecné povinnosti řídit rizika.

1. Zpracování (operace zpracování) prováděná v rámci plnění zákonných povinností při vedení účetnictví, personální a mzdové agendy, sociálního a zdravotního pojištění na základě právních předpisů.

2. Zpracování (operace zpracování) týkající se obchodní činnosti (včetně věrnostních karet, pořádání soutěží, zasílání newsletterů), zpracovávající pouze nezbytné osobní údaje, pokud se nejedná o zpracování zvláštních kategorií osobních údajů.

3. Zpracování (operace zpracování) spočívající v přímém marketingu a s tím spojeným profilováním zákazníků, založeném na zákaznickém výběru položek či zobrazování položek z nabídky zboží, výrobků a služeb umístěných na webové stránce správce, a to v rámci jedné návštěvy zákazníka.

4. Zpracování nebo soubor operací zpracování, která upravují platné právní předpisy, pokud bylo posouzení vlivu na ochranu osobních údajů provedeno jako součást obecného posouzení dopadů v souvislosti s přijetím právního předpisu a zpracování není začleněno do společného systému správce s propojením na jiná zpracování.

5. Zpracování (operace zpracování) zajišťovaná osobou oprávněnou k poskytování zdravotních služeb, která není v zaměstnaneckém poměru. Tato osoba využívá nezbytné osobní údaje pouze k poskytování zdravotních služeb pro subjekt údajů (viz recitál bod 91 nařízení), přičemž nedochází k systematickému předávání do třetích zemí, pro některé operace zpracování osobních údajů o pacientech není využíván zpracovatel, nebo nedochází ke sdílení/propojení osobních údajů pacientů dvou nebo více jednotlivých lékařů.

6. Zpracování (operace zpracování) zajišťovaná jednotlivými advokáty a notáři (advokáti a notáři, kteří nejsou v zaměstnaneckém poměru), využívající nezbytné osobní údaje pouze k zajištění právních služeb pro subjekt údajů (viz recitál bod 91 nařízení), přičemž nedochází k systematickému předávání do třetích zemí, pro některé operace zpracování osobních údajů o klientech není využíván zpracovatel, nebo nedochází ke sdílení/propojení osobních údajů klientů dvou nebo více jednotlivých právníků.

7. Zpracování (operace zpracování) zajišťovaná jednotlivými podnikajícími fyzickými osobami poskytujícími sociální služby (osob, které nejsou v zaměstnaneckém poměru) využívající nezbytné osobní údaje pouze k zajištění sociálních služeb pro subjekt údajů, přičemž nedochází k systematickému předávání do třetích zemí, pro některé operace zpracování osobních údajů o klientech není využíván zpracovatel nebo nedochází ke sdílení/propojení osobních údajů klientů dvou nebo více jednotlivých poskytovatelů sociálních služeb.

8. Snímání veřejné komunikace kamerou umístěnou na vozidle, monitorující nezbytný prostor před, nebo za vozidlem, a to za účelem dokumentace nehody a jejím šetřením příslušnými orgány. Technologie kamery nesmí mít parametry, které umožní souběžné či následné zpracování údajů (například zpracování biometrických charakteristik snímaných osob, zpracování záznamů či údajů z nich v jiných systémech, pro jiné účely).

Zdroj: www.uoou.cz 

MicrosoftFujitsuEpsonOKIZyXELSolitea
GDPR