Nová úprava DPIA
Od 1. dubna letošního roku nabude účinnosti novela legislativních pravidel vlády. Ta mění pravidla pro zpracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment / DPIA) a bude mít značný dopad na ochranu osobních údajů. Přímo do legislativních pravidel vlády bude, na základě požadavku Úřadu pro ochranu osobních údajů, zavedena přesná struktura pro zpracování posouzení vlivu na ochranu osobních údajů, tzv. ‚legislativní DPIA‘.
Posouzení vlivu na ochranu osobních údajů tak bude nutné zpracovat u každého návrhu právního předpisu, včetně podzákonného, tj. nařízení vlády nebo i vyhlášky. Podle § 10 zákona o zpracování osobních údajů totiž legislativní DPIA nahrazuje DPIA podle obecného nařízení (GDPR), které musí vypracovat správce osobních údajů, pokud je právním základem takového zpracování, plnění právní povinnosti. Ustanovení § 10 zákona o zpracování osobních údajů vychází z článku 35 odst. 10 obecného nařízení o ochraně osobních údajů, který stanoví, že vliv se neposuzuje, byl-li posouzen jako součást obecného posouzení dopadů v souvislosti s přijetím právního předpisu. Pro správce osobních údajů tak dochází k výraznému zjednodušení provádění DPIA.
Nová struktura pro zpracování legislativního DPIA
1) vysvětlení účelu navrhovaného zpracování osobních údajů
2) popis návaznosti na
a) stávající
b) připravované
zpracování osobních údajů,
3) posouzení navrhovaného řešení zpracování z hlediska
a) nezbytnosti
b) přiměřenosti
ve vztahu k účelu zpracování osobních údajů
4) posouzení rizik pro práva a svobody fyzických osob
5) stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob
Úřad pro ochranu osobních údajů proto připravuje změnu stávajícího návodu k posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů (DPIA), který bude předložen k veřejné konzultaci.