Ako vypracovať DPIA?

Pred začatím: čo potrebujete vedieť

DPIA by mala byť vypracovaná pred začatím spracúvania – nie spätne. Ak spracúvanie už prebieha a DPIA nebola vykonaná, odporúča sa ju vypracovať čo najskôr. DPIA nie je jednorazový úkon; je to živý dokument, ktorý treba revidovať pri každej podstatnej zmene spracúvania.

Za DPIA zodpovedá prevádzkovateľ. Ak máte DPO, zapojte ho od začiatku – jeho úlohou je radiť a kontrolovať. Môžete tiež konzultovať so sprostredkovateľmi, technickým tímom alebo externými expertmi.

Krok 1: Popis spracúvania

Prvým krokom je podrobný popis toho, čo sa bude s osobnými údajmi diať. Tento popis musí byť dostatočne konkrétny, aby umožnil posúdenie rizík. Zahrňte:

• Účel spracúvania – prečo spracúvate osobné údaje, aký je konkrétny cieľ
• Právny základ – na akom právnom základe spracúvanie prebieha (súhlas, zmluva, právna povinnosť, oprávnený záujem, životný záujem, verejná úloha)
• Kategórie údajov – aké typy osobných údajov sú spracúvané (meno, adresa, zdravotné údaje, biometrické údaje a pod.)
• Dotknuté osoby – kto sú osoby, ktorých údaje sú spracúvané (zákazníci, zamestnanci, pacienti, deti a pod.)
• Príjemcovia údajov – kto má prístup k údajom, komu sú údaje poskytované, vrátane tretích krajín
• Doba uchovávania – ako dlho sú údaje uchovávané a aký je postup ich vymazania
• Technické prostriedky – systémy, nástroje a technológie použité pri spracúvaní

Krok 2: Posúdenie nevyhnutnosti a primeranosti

V tomto kroku overujete, či je spracúvanie skutočne nevyhnutné na dosiahnutie účelu a či je primerané tomuto účelu. Kľúčové otázky:

• Je zvolený právny základ vhodný a platný pre daný účel?
• Spracúvate len také údaje, ktoré sú skutočne potrebné (zásada minimalizácie údajov)?
• Je doba uchovávania čo najkratšia pri zachovaní účelu spracúvania?
• Sú dotknuté osoby náležite informované o spracúvaní?
• Ako sú zabezpečené práva dotknutých osôb (prístup, opravu, vymazanie, prenosnosť, námietku)?
• Ak sa na spracúvaní podieľajú sprostredkovatelia, sú s nimi uzatvorené zmluvy o spracúvaní podľa čl. 28 GDPR?

Výsledkom tohto kroku by malo byť potvrdenie, že spracúvanie je zákonné, transparentné a primerané – alebo identifikácia oblastí, kde je potrebné zmeniť prístup.

Krok 3: Identifikácia a hodnotenie rizík

Toto je jadro DPIA. Cieľom je systematicky identifikovať riziká, ktoré spracúvanie predstavuje pre práva a slobody dotknutých osôb, a ohodnotiť ich závažnosť.

Typy hrozieb a rizík

Pri identifikácii rizík sa zamerajte na typické hrozby:

• Neoprávnený prístup – úniky dát, kybernetické útoky, interné zneužitie prístupu
• Neoprávnená zmena údajov – modifikácia alebo manipulácia s osobnými údajmi
• Strata údajov – nedostupnosť alebo trvalá strata osobných údajov
• Neprimerané alebo nezákonné spracúvanie – použitie údajov nad rámec súhlasu alebo právneho základu
• Diskriminácia alebo sociálna ujma – napríklad profilovanie vedúce k nespravodlivému rozhodnutiu

Hodnotenie pravdepodobnosti a závažnosti

Pre každé identifikované riziko ohodnoťte dve dimenzie:

• Pravdepodobnosť – ako pravdepodobné je, že hrozba nastane (nízka / stredná / vysoká)
• Závažnosť dopadu – aký vážny by bol dopad na dotknutú osobu v prípade realizácie hrozby (nízka / stredná / vysoká)

Kombináciou týchto dvoch dimenzií získate celkovú úroveň rizika. Tá určuje, aká naliehavá a rozsiahla musí byť odozva vo forme opatrení.

Krok 4: Návrh a dokumentácia opatrení

Pre každé identifikované riziko navrhnite konkrétne opatrenia, ktoré znížia jeho pravdepodobnosť alebo závažnosť. Opatrenia môžu byť technické alebo organizačné:

• Technické opatrenia – šifrovanie údajov, pseudonymizácia, kontrola prístupu, dvojfaktorová autentifikácia, zálohovanie, logovanie, penetračné testy
• Organizačné opatrenia – politiky a postupy, školenia zamestnancov, zmluvy so sprostredkovateľmi, procesy vybavovania žiadostí dotknutých osôb, plán reakcie na incidenty

Pre každé opatrenie uveďte, kto je za jeho implementáciu zodpovedný a v akom termíne bude zavedené. Po zavedení opatrení znovu ohodnoťte reziduálne riziko – riziko, ktoré zostáva aj po zavedení opatrení.

Krok 5: Konzultácia so zodpovednou osobou (DPO)

Ak má prevádzkovateľ určeného DPO, je povinný ho konzultovať pri vypracúvaní DPIA. DPO preskúma celý dokument, overí správnosť hodnotenia rizík a primeranos navrhnutých opatrení, a vydá odporúčanie alebo výhrady. Stanovisko DPO by malo byť zdokumentované.

Aj keď DPO nemáte, zvážte zapojenie externého konzultanta alebo právnika so znalosťou GDPR, najmä pri komplexných spracúvaniach.

Krok 6: Záver a schválenie

Na záver DPIA uveďte celkový záver o úrovni reziduálnych rizík:

• Riziká sú prijateľné – spracúvanie môže začať (resp. pokračovať), DPIA je zdokumentovaná a uložená
• Riziká sú príliš vysoké – spracúvanie nemôže začať bez predchádzajúcej konzultácie s dozorným orgánom podľa čl. 36 GDPR, alebo bez zásadnej zmeny v spracúvaní

DPIA by mal schváliť vedúci pracovník prevádzkovateľa (napr. konateľ, generálny riaditeľ alebo príslušný manažér). Schválenie by malo byť zaznamenané spolu s dátumom.

Kedy sa obrátiť na dozorný orgán?

Ak DPIA ukáže, že reziduálne riziká zostávajú vysoké aj po zavedení všetkých primeraných opatrení, je prevádzkovateľ povinný pred začatím spracúvania konzultovať s dozorným orgánom (predchádzajúca konzultácia podľa čl. 36 GDPR). Dozorný orgán má 8 týždňov (v komplexných prípadoch 14 týždňov) na vydanie stanoviska. Ak vydá záporné stanovisko, spracúvanie nemôže začať.

Uchovávanie a revízia DPIA

Hotovú DPIA uložte spolu so všetkými podpornými dokumentmi. GDPR nepredpisuje konkrétnu lehotu uchovávania, ale odporúča sa uchovávať DPIA minimálne po dobu, počas ktorej spracúvanie prebieha, plus primeranú dobu po jeho ukončení.

Pravidelne – minimálne raz ročne – overujte, či závery DPIA zostávajú platné. Revízia je povinná vždy pri podstatnej zmene účelu, rozsahu, použitých technológií alebo kontextu spracúvania.