dpia.sk
Povinnosť

Kedy je DPIA povinná?

GDPR vymedzuje konkrétne situácie, kedy musí prevádzkovateľ vypracovať DPIA pred začatím spracúvania osobných údajov.

Základné pravidlo – vysoké riziko

Podľa článku 35 ods. 1 GDPR je DPIA povinná vždy, keď spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Toto platí najmä pri použití nových technológií a pri spracúvaní, ktoré je svojou povahou, rozsahom, kontextom alebo účelom rizikové.

Pojem „vysoké riziko" nie je v GDPR presne definovaný. Pri jeho posudzovaní sú kľúčové usmernenia Pracovnej skupiny WP29 (teraz EDPB) a zoznamy vydané dozornými orgánmi jednotlivých členských štátov.

Automatické prípady – čl. 35 ods. 3 GDPR

GDPR v článku 35 ods. 3 výslovne vymenúva tri typy spracúvania, pri ktorých je DPIA vždy povinná:

  • Systematické a rozsiahle hodnotenie osobných aspektov fyzických osôb vrátane profilovania, na základe ktorého sa prijímajú rozhodnutia s právnym alebo podobne závažným účinkom na fyzické osoby (napr. automatizované rozhodovanie o úveroch, poistení, zamestnanosti)
  • Rozsiahle spracúvanie osobitných kategórií údajov (citlivé údaje podľa čl. 9 GDPR – zdravotné údaje, biometrické, rasový pôvod, náboženstvo, politické názory a ďalšie) alebo údajov o odsúdení za trestné činy
  • Systematické monitorovanie verejne prístupných miest vo veľkom rozsahu (napr. rozsiahle kamerové systémy, sledovanie pohybu osôb)

Deväť kritérií EDPB (WP29)

Európsky výbor pre ochranu údajov (EDPB) v usmernení WP248 (rev. 01) definoval deväť kritérií, ktorých prítomnosť naznačuje vysoké riziko. Ak spracúvanie spĺňa aspoň dve z týchto kritérií, spravidla to znamená, že DPIA je povinná:

  1. Hodnotenie alebo skórovanie – vrátane profilovania a prediktívnej analýzy (napr. hodnotenie bonity, zdravotného stavu, pracovného výkonu)
  2. Automatizované rozhodovanie s právnym alebo závažným účinkom – rozhodnutia bez ľudského zásahu, ktoré majú vplyv na práva dotknutej osoby
  3. Systematické monitorovanie – sledovanie alebo kontrola dotknutých osôb vrátane zberu údajov prostredníctvom sietí (napr. monitorovanie zamestnancov, sledovanie pohybu)
  4. Citlivé alebo vysoko osobné údaje – osobitné kategórie podľa čl. 9 GDPR, údaje o trestných činoch, finančné údaje, lokalizačné údaje alebo iné údaje, ktoré môžu viesť k diskriminácii alebo ujme
  5. Rozsiahle spracúvanie – veľký počet dotknutých osôb, veľký objem údajov, dlhodobé spracúvanie alebo veľký geografický rozsah
  6. Krížové porovnávanie alebo kombinovanie súborov údajov – spojenie údajov z rôznych zdrojov spôsobom, ktorý presahuje pôvodné očakávania dotknutých osôb
  7. Zraniteľné dotknuté osoby – spracúvanie sa týka detí, zamestnancov, pacientov, žiadateľov o azyl, osôb vo finančnej núdzi alebo iných skupín so zníženou schopnosťou slobodne súhlasiť
  8. Inovatívne alebo nové technologické riešenia – použitie technológií alebo organizačných riešení, ktoré ešte neboli dostatočne overené z hľadiska ochrany osobných údajov (napr. AI, IoT, rozoznávanie tváre)
  9. Spracúvanie, ktoré bráni dotknutým osobám uplatniť práva alebo využívať služby – situácie, keď odmietnutie vedie k vylúčeniu z prístupu k zmluvám, službám alebo iným prínosom

Zoznamy dozorných orgánov (blacklist a whitelist)

Článok 35 ods. 4 GDPR ukladá dozorným orgánom povinnosť zostaviť a zverejniť zoznam druhov spracúvateľských operácií, pri ktorých je DPIA povinná (blacklist). Niektoré dozorné orgány vydali aj zoznam operácií, pri ktorých DPIA povinná nie je (whitelist).

Na Slovensku vydal Úrad na ochranu osobných údajov SR (UOOU SR) zoznam druhov spracovateľských operácií, pri ktorých sa vyžaduje posúdenie vplyvu. Tento zoznam zahŕňa okrem iného:

  • Rozsiahle spracúvanie biometrických údajov na jednoznačnú identifikáciu fyzických osôb
  • Spracúvanie zdravotných údajov na účely profilovania alebo prediktívnej analýzy
  • Systematické monitorovanie zamestnancov vrátane sledovania počítačovej aktivity
  • Spracúvanie osobných údajov detí na marketingové alebo profilingové účely
  • Rozsiahle spracúvanie lokalizačných údajov fyzických osôb
  • Využívanie algoritmov alebo AI na automatizované rozhodovanie s právnym účinkom

Pre aktuálny a úplný zoznam odporúčame priamo navštíviť webovú stránku UOOU SR na adrese dataprotection.gov.sk.

Kedy DPIA povinná nie je?

DPIA nie je povinná v každej situácii. Spracúvanie nevyžaduje DPIA, ak:

  • Nie je pravdepodobné, že by viedlo k vysokému riziku pre dotknuté osoby (napr. jednoduché spracúvanie kontaktných údajov na fakturačné účely)
  • Povaha, rozsah, kontext a účely spracúvania sú veľmi podobné spracúvaniu, pre ktoré bola DPIA už vykonaná – v tom prípade je možné použiť výsledky existujúcej DPIA
  • Spracúvanie figuruje na whiteliste vydanom príslušným dozorným orgánom
  • Spracúvanie bolo povolené právom EÚ alebo členského štátu, pričom toto právo vyžaduje vykonanie všeobecného posúdenia vplyvu v kontexte prijatia daného právneho aktu

Čo ak si nie som istý, či DPIA potrebujem?

Ak existujú pochybnosti, či dané spracúvanie vyžaduje DPIA, GDPR odporúča DPIA vypracovať. Náklady na vykonanie DPIA sú spravidla nižšie ako riziko sankcie za jej nevypracovanie v prípade, keď bola povinná. Prevádzkovateľ by mal zdokumentovať aj rozhodnutie, že DPIA nie je potrebná, a uviesť dôvody tohto záveru – toto je súčasťou princípu zodpovednosti (accountability).

Praktické príklady

Niektoré typické situácie, pri ktorých DPIA povinná je:

  • Zavedenie systému rozoznávania tváre na vstupe do budovy
  • Spustenie HR platformy so sledovaním produktivity zamestnancov
  • Nasadenie AI nástroja na automatizované hodnotenie životopisov uchádzačov o prácu
  • Spracúvanie zdravotných záznamov pacientov v cloudovom systéme
  • Prevádzka rozsiahleho kamerového systému v nákupnom centre
  • Profilovanie zákazníkov na účely cielenej reklamy v e-commerce

Viac reálnych príkladov nájdete na stránke Príklady použitia DPIA.

Neviete, či vaše spracúvanie vyžaduje DPIA?

Náš online nástroj vám pomôže rýchlo vyhodnotiť povinnosť a vypracovať DPIA krok za krokom.

Prihlásiť sa do betaAko vypracovať DPIA?