Čo je to posúdenie vplyvu na ochranu osobných údajov?

Kým poskytneme odpovede na otázky načrtnuté v úvode tohto článku, je nutné ozrejmiť si samotnú podstatu tohto novo založeného inštitútu. Úpravu tohto inštitútu nachádzame priamo v nariadení GDPR a taktiež v zákone o ochrane osobných údajov. Je možné, že sa stretnete s označením tohto inštitútu ako DPIA. Dôvod je jednoduchý. Pôvodný názov tohto inštitútu v nariadení GDPR je Data Protection Impact Assessment (DPIA) a do nášho právneho poriadku bol preložený, ako posúdenie vplyvu na ochranu osobných údajov. Podľa platnej právnej úpravy vykonať posúdenie vplyvu na ochranu osobných údajov, nie je povinnosťou, ktorú musia splniť úplne všetky subjekty, ktoré spracúvajú osobné údaje (V terminológii GDPR subjekty, ktoré spracúvajú osobné údaje vo vlastnom mene, určujú účel, právny základ a prostriedky spracúvania osobných údajov nesú označenie prevádzkovatelia).

Z obsahu nariadenia GDPR a  ustanovení zákona o ochrane osobných údajov vyplývajú niektoré podmienky, ktoré ak sú pri spracúvaní osobných údajov naplnené, musia prevádzkovatelia vykonať posúdenie na ochrane osobných údajov. Hlavnou podstatou inštitútu posúdenia vplyvu na ochranu osobných údajov je, zameranie sa na riziká, ktoré môžu pôsobiť na práva a slobody dotknutých osôb. Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú. Posúdenie rizika pre práva fyzickej osoby musí prevádzkovateľ vykonať z pohľadu dopadov na samotnú fyzickú osobu, pričom je povinný zohľadniť najmä riziko súvisiace s náhodným, respektíve nezákonným poškodením, zničením, stratou, zmenou, neoprávneným prístupom a poskytnutím alebo zverejnením osobných údajov, ako aj s akýmkoľvek iným neprípustným spôsobom spracúvania.

Prevádzkovateľ pri posúdení vplyvu  má podľa vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky, identifikovať hrozby a pravdepodobnosť ich výskytu, zraniteľnosti zneužiteľné prostredníctvom hrozieb, riziká a pravdepodobnosť ich výskytu a zhodnotiť mieru dopadu na práva fyzickej osoby v dôsledku straty integrity a dôvernosti.

Za akých okolností je potrebné vykonať posúdenie vplyvu?

Ako sme uviedli posúdenie vplyvu na ochranu osobných údajov nie je povinnosťou, ktorú musí vykonať každý prevádzkovateľ. Prevádzkovateľ má túto povinnosť v prípade naplnenia podmienok pri spracúvaní osobných údajov, určených v nariadení. Nariadenie GDPR tieto podmienky definuje veľmi neurčito, a to demonštratívnym spôsobom.

Hlavným predpokladom pre vykonanie posúdenia vplyvu je, že operácie spojené so spracúvaním osobných údajov, pravdepodobne povedú k vysokému riziku pre práva a slobodu fyzických osôb.

Forma, ktorou je možné čo najobjektívnejšie určiť, či daný spôsob spracúvania osobných údajov povedie k vysokému riziku pre práva a slobody fyzických osôb, je vykonať posúdenie pravdepodobnosti hrozieb prostredníctvom analýzy rizík.

V uzamknutej časti, ktorá je dostupná iba pre predplatiteľov služby SEZAM sa dozviete, za akých okolností vznikne povinnosť vykonať posúdenie vplyvu na ochranu osobných údajov poskytovateľom zdravotnej starostlivosti a čo sa chápe pod pojmom spracúvanie údajov vo veľkom rozsahu.