DPIA - Posouzení vlivu na ochranu osobních údajů
Povinností správce je přijmout vhodná technická a organizační opatření na eliminaci či omezení existujících rizik pro práva a svobody subjektů údajů (viz obecné nařízení články 24, 25, 32 a také článek 35 upravující vlastní provedení Posouzení vlivu na ochranu osobních údajů). Pro zajištění této povinnosti je u dotčeného zpracování osobních údajů nutno vzít v úvahu následující zásady:
- Je důležité stanovit úplný seznam hrozeb a rizik.
Poznámka: Vhodný je přístup, kdy proběhne analýza ohrožených aktiv, stanovení slabých míst a hrozeb, které přes tato slabá místa působí a také pravděpodobnost a závažnost jejich vzniku, tj. stanoví (hodnoty) rizika. V zásadě jde o všechny hrozby, které mohou narušit dostupnost (nahodilé nebo záměrné zničení, ztráta, dočasném znepřístupnění), důvěrnost (neoprávněný přístup) a integritu (pozměnění, vymazání části dat) osobních údajů nebo služeb spojených s jejich zpracováním. Nesprávný přístup by mohl znamenat, že správce nepokryje všechny hrozby, případně nesprávně určí jejich závažnost (riziko).
- Je nutno stanovit vhodná technická a organizační opatření na omezení nebo eliminaci rizika pro práva a svobody subjektů údajů.
Poznámka: správcem navržená technická a organizační opatření nemají být nepřiměřeně silná (dopady do hospodaření správce) a nesmí být nedostatečná (neeliminují rizika nebo nesnižují rizika na přiměřenou úroveň). Vhodná opatření jsou navržena s ohledem na stav techniky, nákladům na provedení, ale také povaze, rozsahu, kontextu a účelům rozpracování a také pravděpodobnosti a závažnosti jednotlivých rizik.
- Je nutno technická a organizační opatření podle potřeby revidovat.
- Správce musí doložit, že zpracování je prováděno v souladu s obecným nařízením (tedy v tomto případě, že správce přijal vhodná/přiměřená technická a organizační opatření).
Poznámka: správce musí dokumentovat provedou analýzu. Není stanoven způsob ani rozsah dokumentování, ale přesto by měl správce být schopen prokázat provedení všech tří předchozích bodů.
V zásadě lze k návrhu vhodných technických a organizačních opatření lze použít tyto nástroje:
Posouzení vlivu na ochranu osobních údajů – je analýza přímo řešící rizika pro práva a svobody subjektů údajů. Její zpracování je požadováno ve vymezených případech. Jedním z dokumentů, který byl připraven v rámci Evropského sboru pro ochranu osobních údajů jako podklad pro jeho zpracování jsou Pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda „je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko“ pro účely nařízení 2016/679.
Analýzu rizik – což je poněkud obecnější analýza, která hodnotí všechna rizika, nejen rizika pro práva a svobody subjektů údajů – viz například postup pro analýzu rizik u kybernetické bezpečnosti[1]. Analýza rizik je použitelná tam, kde není povinnost zpracovávat Posouzení vlivu na ochranu osobních údajů.
Zvláštními nástroji jsou dodržování kodexu chování (články 40 a 41 obecného nařízení) nebo vydané osvědčení (články 42 a 43 obecného nařízení)[2], pokud v rámci těchto nástrojů bylo navrženo a posouzeno dodržování vhodných/přiměřených technických a organizačních opatření.
Poznámka: to znamená, že byla u kodexem nebo osvědčením dotčených operací zpracování provedena typová DPIA nebo analýza rizik. Potom by takovou analýzu nemusel provádět správce sám, ovšem s výjimkou případů, kdy dotčené operace zpracování začleňuje do specifického prostředí s vazbami na jiné komponenty nebo činnosti zpracování (kodexem neupravené nebo mimo vydané osvědčení).
[1] Vyhláška 82/2018 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
[2] Článek 32, odstavec 5 obecného nařízení
Povinnost zpracovat DPIA má primárně správce. Článek 32 obecného nařízení však uvádí “s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku“, přičemž zpracovatel má povinnost dle článku 28 přijmout všechna opatření (technická a organizační) stanovená dle článku 32. Pozice zpracovatele se týká spíše přijetí technických a organizačních opatření navržených správcem v rámci DPIA a upravených zpracovatelskou smlouvu. Je však zřejmé, že někteří dodavatelé (i v roli zpracovatelů) mohou správci pomoci se zpracováním DPIA a někteří v rámci jim poskytovaných služeb (např. cloud computing) nabízí různá technická a organizační opatření, která přijali pro různé úrovně zabezpečení jimi nabízených služeb (často navržených na základě DPIA nebo analýzy rizik a takové, pokud je dodavatel služeb poskytne, může správce s určitou modifikací využít).
Poznámka: například u jednodušších typově obdobných zpracování osobních údajů (například některé kamerové systémy) může být taková analýza dodána dodavatelem (například v rámci zpracování dokumentace) na základě typového řešení, tj. dodavatel řeší obdobné projekty, a tak po zpracování první DPIA nebo analýzy rizik může tuto využít i pro další obdobné dodávky jen s úpravami na stávající situaci a správci tím může ušetřit práci a částečně i náklady.
V zásadě je zpracování povinné nebo doporučené ve třech případech:
- Povinné u zpracování osobních údajů, které má za následek vysoké riziko pro práva a svobody fyzických osob (viz článek 35 obecného nařízení).
- Povinné u návrhů právních předpisů, pokud upravují též zpracování osobních údajů.
- Doporučené u zpracování osobních údajů na základě oprávněného zájmu.
Poznámka: zde je provedení DPIA (pokud nepatří do skupiny povinných zpracování DPIA dle první odrážky) odvozeno nepřímo a to tak, že z dikce tohoto článku (obecné nařízení článek 6, odstavec 1, písmeno f) a recitálu bod 47), plyne zpracování tzv. balančního testu (posouzení míry zajištění práv správce a míry narušení práv subjektů údajů), který je však součástí DPIA, a proto lze doporučit provedení rovnou celého Posouzení vlivu na ochranu osobních údajů jako nejefektivnějšího způsob výběru vhodných technických a organizačních opatření.
Rozhodnutí, zda Posouzení vlivu na ochranu osobních údajů je nutno zpracovat vychází z článku 35 obecného nařízení s tím, že k rozhodnutí lze použít seznamy sestavené Úřadem pro ochranu osobních údajů podle odstavců 4 ( parametrický seznam zpracování osobních údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů) a 5 (výčtový seznam zpracování osobních údajů u nichž není posouzení vlivu na ochranu osobních údajů nutné) výše uvedeného článku s tím, že k tomu lze využít materiál Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů (DPIA) .
Jednou z možností, jak zpracovat posouzení vlivu na ochranu osobních údajů je Metodika obecného posouzení vlivu na ochranu osobních údajů[ nebo také využití ČSN ISO/IEC 29134 - Informační technologie – Bezpečnostní techniky – Směrnice pro posuzování dopadu na soukromí.
V případě návrhu právních předpisů by mělo být posouzení vlivu na ochranu osobních údajů důkladně zpracováno a je důležité zejména proto, že pro správce (který se uvedeným předpisem řídí a zpracovává osobní údaje) je jediným vodítkem nasazení vhodných technických a organizačních opatření. Pokud by tomu tak nebylo, správce by nemusel technická a organizační opatření na zabezpečení přijímat žádná nebo mohl přijmout jen nedostatečná. Poněkud složitější je výklad v případě starších právních předpisů, pokud nebylo při jejich návrhu posouzení vlivu zpracováno. Zde se dostávají do rozporu výklady ustanovení dvou právních předpisů, a to §10 zákona 110/2019 Sb. o zpracování osobních údajů který uvádí “Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést“ a nařízení Evropského parlamentu a Rady (EU) 2016/69 obecné nařízení o ochraně osobních údajů, které v článku 35 odstavec 10 uvádí „Pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.“ Podle zásady nadřazenosti, kdy má evropské právo vyšší váhu než vnitrostátní právní předpisy členských států, lze dovodit, že výjimka na zpracování Posouzení vlivu u některých právních předpisů omezena dikcí obecného nařízení tak, že platí pouze v případech, kdy posouzení vlivu na ochranu osobních údajů bylo součástí návrh předpisu, v jiných případech je správce povinen posouzení vlivu na ochranu osobních údajů i u zpracování osobních údajů upravených právním předpisem vypracovat. Kromě toho i po přijetí právního předpisu, kde bylo Posouzení vlivu zpracováno a přijato v rámci právního předpisu (správce tedy DPIA zpracovat nemusí), podle zásady obecné odpovědnosti dle článku 24 obecného nařízení má správce povinnost technická a organizační opatření revidovat a aktualizovat podle potřeby (nejčastěji při změně hrozeb, změně závažnosti hrozeb (rizika), na základě nasazení nových technologií, na základě změny zpracování osobních údajů, proběhlém narušení bezpečnosti osobních údajů apod.) a tedy dříve nebo později zpracovat DPIA nebo jinou obdobnou analýzu jejíž součástí je návrh nebo revize vhodných technických a organizačních opatření.
Jednou z možností, jak zpracovat posouzení vlivu na ochranu osobních údajů v rámci návrhu právního předpis je využití relevantních částí dokumentu Metodika obecného posouzení vlivu na ochranu osobních údajů.
Poznámka: jistě by součástí takové DPIA nemohlo být například vyjádření DPO, vyjádření subjektů údajů nebo vyjádření Úřadu pro ochranu osobních údajů, pokud byl v rámci připomínkového řízení připomínkovým místem.
V rámci obecného nařízení o ochraně osobních údajů (2016/679) upravuje čl. 35 odstavec 10 výjimku z povinnosti provádět posouzení vlivu na ochranu osobních údajů v případě zpracování upravených právem Evropské unie nebo České republiky, pokud posouzení vlivu na ochranu osobních údajů bylo provedeno jako součást přijatého právního základu. Tato výjimka byla promítla i do §10 zákona č. 110/2019 Sb., o ochraně osobních údajů, který uvádí, že správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.
Trestně právní směrnice (2016/680) upravuje zpracování posouzení vlivu na ochranu osobních údajů v článku 27, který však neobsahuje žádnou výjimku z této povinnosti u zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti. Proto nelze, dle názoru Úřadu pro ochranu osobních údajů, aplikovat výjimku z povinnosti posouzení vlivu zpracování osobních údajů na ochranu osobních údajů zakotvenou v ustanovení § 10 zákona o zpracování osobních údajů, a tedy využít aplikaci analogia legis v této věci.
Zpracování osobních údajů, které je nezbytné pro zajištění oprávněných zájmů správce či třetí strany je podle článku 6 odst. 1 písm. f) obecného nařízení považováno za zákonné, s výjimkou případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů, a to zejména v případě, že subjektem údajů je dítě. Povinností správce před zahájením zpracováním osobních údajů na základě oprávněného zájmu je v prvé řadě pečlivě posoudit, zda má na tomto zpracování oprávněný zájem, zda je toto zpracování z hlediska tohoto oprávněného zájmu nezbytné a zda nad tímto zájmem v tomto konkrétním případě nepřevažují zájmy a práva subjektu údajů. Výsledek tohoto posouzení do značné míry určuje, zda se správce může čl. 6 odst. 1 písm. f) obecného nařízení dovolávat jako právního základu pro zpracování údajů. V tomto smyslu se do tohoto článku promítá zásada odpovědnosti uvedená v čl. 5 odst. 2, podle které musí být správce schopen prokázat soulad se zásadami GDPR, tedy včetně zásady zákonnosti a dozorovému úřadu tento soulad rovněž doložit.
Pokud se správce rozhodne, že bude zpracovávat osobní údaje na základě oprávněného zájmu, musí vždy ještě před zahájením zamýšleného zpracování provést komplexní posouzení, jehož výsledkem je určení:
1. Jestli je stanovený zájem oprávněný – aby byl zájem považován za oprávněný musí být zákonný, tj. být v souladu s vnitrostátními právními předpisy a právními předpisy EU a rovněž formulován dostatečně jasně a být dostatečně konkrétní, aby umožnil ověření vyváženosti zájmů a základních práv subjektu údajů.
2. jestli nad tímto oprávněným zájmem nepřevažují zájmy nebo základními práva a svobody subjektů údajů, tzv. balanční test, který se skládá z následujících částí:
a) návrh vhodných variant zajištění požadovaného účelu;
b) posouzení dosažení účelu jinými prostředky – kritérium potřebnosti;
c) posouzení nezbytnosti zpracování osobních údajů v rámci vybraného řešení pro zajištění správcem definovaných účelů – kritérium vhodnosti;
d) posouzení přiměřenosti zpracování osobních údajů – kritérium poměřování:
Výsledkem balančního testu může být konstatování, že navrhovaným zpracováním osobních údajů došlo ke zhoršení zásahu do zájmů a základních práv subjektu údajů (které může být parametry zpracování osobních údajů, vhodnými technickými a organizačními opatřeními, popisem vzájemného postavení správce a subjektu údajů a popisem očekávání subjektu údajů od zpracování osobních údajů kompenzováno na přijatelnou míru), ale výsledkem balančního testu nemůže být konstatování, že zásah do zájmů a základních práv a svobody subjektu údajů převažuje nad zajištěním oprávněných zájmů správce, V tom případě by správce nemohl zahájit zpracování osobních údajů na základě čl. 6 odst. 1 písm. f) obecného nařízení.
Správce musí dokončit Posouzení vlivu v případech, kdy má zpracování osobních údajů vysoká rizika pro práva a svobody subjektů údajů a doporučuje se dokončit i v ostatních případech, protože správci může pomoci navrhnout vhodná technická a organizační opatření. Jednou z možností, jak zpracovat posouzení vlivu na ochranu osobních údajů je Metodika obecného posouzení vlivu na ochranu osobních údajů
Ano je povinné DPIA aktualizovat, a to v případech potřeby, která vznikne při změně hrozeb, změně závažnosti hrozeb (rizika), na základě nasazení nových technologií, na základě změny zpracování osobních údajů, po proběhlém porušení zabezpečení osobních údajů (databreaches) apod. Správce by měl průběžně sledovat vývoj v oblasti bezpečnosti a průběžně reagovat u významných změn. Obecně se revize DPIA provádí dle správcem stanoveného harmonogramu s tím, že lze doporučit stanovit periodu posouzení nutnosti revize DPIA (tedy nikoliv vlastní revizi, ale jestli se situace natolik změnila, že je revize nezbytná) na 1 rok. To platí v případě, že nenastala nějaká závažná změna či situace, které si vyžádá bezodkladnou reakci.
Ano, je však možné přihlédnout k provedené analýze rizik dle vyhlášky o kybernetické bezpečnosti.