Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Toto je ověřovací provoz nového webu ÚOOÚ. Původní stránky Úřadu naleznete na old.uoou.cz.

  1. Úvod
  2. Profesionál
  3. Q&A (otázky a odpovědi)
  4. DPIA - Posouzení vlivu na ochranu osobních údajů

DPIA - Posouzení vlivu na ochranu osobních údajů

Povinností správce je přijmout vhodná technická a organizační opatření na eliminaci či omezení existujících rizik pro práva a svobody subjektů údajů (viz obecné nařízení články 24, 25, 32 a také článek 35 upravující vlastní provedení Posouzení vlivu na ochranu osobních údajů). Pro zajištění této povinnosti je u dotčeného zpracování osobních údajů nutno vzít v úvahu následující zásady:

  • Je důležité stanovit úplný seznam hrozeb a rizik.

Poznámka: Vhodný je přístup, kdy proběhne analýza ohrožených aktiv, stanovení slabých míst a hrozeb, které přes tato slabá místa působí a také pravděpodobnost a závažnost jejich vzniku, tj. stanoví (hodnoty) rizika. V zásadě jde o všechny hrozby, které mohou narušit dostupnost (nahodilé nebo záměrné zničení, ztráta, dočasném znepřístupnění), důvěrnost (neoprávněný přístup) a integritu (pozměnění, vymazání části dat) osobních údajů nebo služeb spojených s jejich zpracováním. Nesprávný přístup by mohl znamenat, že správce nepokryje všechny hrozby, případně nesprávně určí jejich závažnost (riziko).

  • Je nutno stanovit vhodná technická a organizační opatření na omezení nebo eliminaci rizika pro práva a svobody subjektů údajů.

Poznámka: správcem navržená technická a organizační opatření nemají být nepřiměřeně silná (dopady do hospodaření správce) a nesmí být nedostatečná (neeliminují rizika nebo nesnižují rizika na přiměřenou úroveň). Vhodná opatření jsou navržena s ohledem na stav techniky, nákladům na provedení, ale také povaze, rozsahu, kontextu a účelům rozpracování a také pravděpodobnosti a závažnosti jednotlivých rizik.

  • Je nutno technická a organizační opatření podle potřeby revidovat.
  • Správce musí doložit, že zpracování je prováděno v souladu s obecným nařízením (tedy v tomto případě, že správce přijal vhodná/přiměřená technická a organizační opatření).

Poznámka: správce musí dokumentovat provedou analýzu. Není stanoven způsob ani rozsah dokumentování, ale přesto by měl správce být schopen prokázat provedení všech tří předchozích bodů.