Čo je DPIA?

Definícia DPIA

DPIA (Data Protection Impact Assessment) je v slovenčine posúdenie vplyvu na ochranu osobných údajov. Je to štruktúrovaný analytický proces, pri ktorom organizácia systematicky vyhodnocuje, aký vplyv má plánované alebo existujúce spracúvanie osobných údajov na práva a slobody dotknutých osôb.

DPIA nie je jednorazový dokument – je to proces, ktorý zahŕňa popis spracúvania, posúdenie jeho nevyhnutnosti, identifikáciu rizík a návrh opatrení na ich elimináciu alebo minimalizáciu.

Právny základ – Článok 35 GDPR

Povinnosť vypracovať DPIA vyplýva z článku 35 nariadenia GDPR (EÚ) 2016/679. Podľa tohto ustanovenia je prevádzkovateľ povinný pred začatím spracúvania vykonať posúdenie vplyvu, ak spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.

GDPR neurčuje presnú formu DPIA, ale definuje minimálny obsah, ktorý musí obsahovať (pozri nižšie).

Čo musí DPIA obsahovať?

Podľa čl. 35 ods. 7 GDPR musí DPIA obsahovať:

• Systematický popis zamýšľaných operácií spracúvania a účelov spracúvania, vrátane prípadne oprávneného záujmu prevádzkovateľa
• Posúdenie nevyhnutnosti a primeranosti operácií spracúvania v súvislosti s účelom
• Posúdenie rizík pre práva a slobody dotknutých osôb
• Opatrenia plánované na zvládnutie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zaistenie ochrany osobných údajov

Kto je za DPIA zodpovedný?

Za vypracovanie DPIA je zodpovedný prevádzkovateľ – teda subjekt, ktorý určuje účely a prostriedky spracúvania osobných údajov. Prevádzkovateľ môže poveriť vypracovaním DPIA interného DPO (zodpovedná osoba), externého konzultanta alebo príslušné oddelenie.

Ak má prevádzkovateľ určenú zodpovednú osobu (DPO), musí ju do procesu DPIA zapojiť – DPO poskytuje rady a overuje správnosť posúdenia. Rovnako je vhodné zapojiť aj sprostredkovateľov, ak sú súčasťou spracúvania.

Kedy treba konzultovať s dozorným orgánom?

Ak po vykonaní DPIA zostanú vysoké reziduálne riziká, ktoré prevádzkovateľ nedokáže primerane eliminovať, musí pred začatím spracúvania konzultovať s dozorným orgánom (na Slovensku Úrad na ochranu osobných údajov SR). Toto sa nazýva predchádzajúca konzultácia podľa čl. 36 GDPR.

Aký je rozdiel medzi DPIA a záznamy o spracovateľských činnostiach?

Záznamy o spracovateľských činnostiach (čl. 30 GDPR) sú povinné pre väčšinu prevádzkovateľov a slúžia na evidenciu všetkých operácií spracúvania. DPIA je hlbší analytický dokument, ktorý sa vyžaduje len pri spracúvaniach s vysokým rizikom. DPIA a záznamy nie sú náhradou za seba – sú to dve odlišné povinnosti.

Prečo je DPIA dôležitá?

DPIA plní viaceré funkcie. Po prvé, núti organizáciu systematicky premýšľať o rizikách ešte pred spustením spracúvania – teda vo fáze, keď je ešte možné navrhnúť systém inak alebo zvoliť menej invazívne riešenie. Po druhé, demonštruje súlad s princípom privacy by design a zodpovednosti (accountability) podľa GDPR. Po tretie, slúži ako doklad pre prípad kontroly zo strany dozorného orgánu.

Organizácie, ktoré vypracujú kvalitnú DPIA, sú lepšie chránené pred pokutami a reputačnými škodami. DPIA nie je len formálna povinnosť – je to nástroj riadenia rizík v oblasti ochrany osobných údajov.

Musí byť DPIA zverejnená?

GDPR nezakladá povinnosť zverejniť DPIA. Je to interný dokument prevádzkovateľa. Dozorný orgán však môže požiadať o jeho predloženie pri kontrole. Niektoré organizácie sa rozhodujú pre dobrovoľné zverejnenie DPIA ako prejav transparentnosti voči verejnosti.

Ako často treba DPIA aktualizovať?

DPIA nie je statický dokument. Prevádzkovateľ by mal pravidelne overovať, či sú závery DPIA stále platné. Aktualizácia je nevyhnutná najmä vtedy, keď sa zmenia účely spracúvania, použité technológie, rozsah spracúvania alebo keď sa objavia nové riziká. Doporučuje sa revízia minimálne raz ročne alebo pri každej podstatnej zmene spracúvania.