dpia.sk
Prax

Príklady DPIA v praxi

Reálne scenáre spracúvania osobných údajov, ktoré najčastejšie vyžadujú vypracovanie DPIA podľa GDPR.

Fyzická bezpečnosť

Kamerový systém (CCTV)

Úroveň rizikaVysoké riziko
DPIAPovinná

Popis situácie

Prevádzkovateľ (napr. obchodné centrum, zamestnávateľ, správca budovy) inštaluje kamerový systém na monitorovanie priestorov s vysokou frekvenciou pohybu osôb. Záznamy sú uchovávané a môžu byť použité pri vyšetrovaní incidentov.

Prečo je DPIA povinná?

Ide o systematické monitorovanie verejne prístupných alebo pracovných miest. Pri rozsiahlejších systémoch s dlhou dobou uchovávania alebo analytickými funkciami (napr. rozoznávanie tváre) je riziko ešte vyššie.

Kľúčové oblasti posúdenia

  • Rozsah pokrytia – monitorované plochy a počet kamier
  • Doba uchovávania záznamov (bežne 72 hodín, dlhšia uchovávanie vyžaduje odôvodnenie)
  • Prístup k záznamom – kto a za akých podmienok
  • Informovanie osôb (označenie priestorov, informačné tabule)
  • Použitie analytiky – rozoznávanie tváre automaticky vyžaduje DPIA
  • Odovzdávanie záznamov tretím stranám (polícia, poisťovňa)

Ľudské zdroje

HR systém a monitorovanie zamestnancov

Úroveň rizikaVysoké riziko
DPIAPovinná

Popis situácie

Zamestnávateľ zavádza softvér na sledovanie produktivity zamestnancov – zaznamenáva čas strávený na webových stránkach, aktivitu klávesnice, snímky obrazovky alebo pohyb na pracovisku. Systém môže zahŕňať aj automatizované hodnotenie výkonu.

Prečo je DPIA povinná?

Zamestnanci sú zraniteľnou skupinou s obmedzenou možnosťou slobodne odmietnuť. Monitorovanie je systematické a potenciálne narúša dôstojnosť a súkromie. Automatizované hodnotenie môže mať právne následky (výpoveď, bonusy).

Kľúčové oblasti posúdenia

  • Právny základ – oprávnený záujem musí byť dôkladne zdôvodnený
  • Rozsah monitorovania – len pracovné zariadenia a čas
  • Transparentnosť voči zamestnancom (informovanie, interné smernice)
  • Minimalizácia – zbierať len nevyhnutné údaje
  • Automatizované rozhodovanie s vplyvom na pracovný pomer
  • Konzultácia so zástupcami zamestnancov

Technológie

Nástroj s umelou inteligenciou (AI)

Úroveň rizikaVysoké riziko
DPIAPovinná

Popis situácie

Firma nasadzuje AI nástroj na automatizované spracúvanie životopisov uchádzačov o prácu, hodnotenie bonity klientov alebo personalizáciu obsahu na základe správania. Systém vytvára profily a na ich základe generuje skóre alebo odporúčania.

Prečo je DPIA povinná?

AI systémy typicky kombinujú viacero kritérií EDPB: profilovanie, automatizované rozhodovanie s právnym účinkom, potenciálne citlivé údaje, inovatívna technológia. DPIA je takmer vždy povinná.

Kľúčové oblasti posúdenia

  • Transparentnosť algoritmu – dotknuté osoby musia byť informované
  • Právo na ľudský zásah pri automatizovaných rozhodnutiach (čl. 22 GDPR)
  • Testovanie na predpojatosť (bias) a diskrimináciu
  • Kvalita a presnosť vstupných údajov
  • Bezpečnosť modelu a ochrana pred manipuláciou
  • Právny základ – pri profilovaní na súhlas alebo oprávnený záujem

Zdravotníctvo

Zdravotnícke údaje a elektronické zdravotníctvo

Úroveň rizikaVysoké riziko
DPIAPovinná

Popis situácie

Zdravotnícke zariadenie alebo poskytovateľ digitálneho zdravotníctva spracúva zdravotné záznamy pacientov v cloudovom systéme, zdieľa ich s inými zdravotníckymi zariadeniami alebo ich využíva na výskumné a štatistické účely.

Prečo je DPIA povinná?

Zdravotné údaje sú osobitnou kategóriou podľa čl. 9 GDPR. Ich spracúvanie je štandardne zakázané s výnimkami. Akékoľvek rozsiahlejšie spracúvanie zdravotných údajov si vyžaduje DPIA.

Kľúčové oblasti posúdenia

  • Právny základ podľa čl. 9 ods. 2 GDPR (napr. zdravotná starostlivosť, výskum)
  • Prísne riadenie prístupu – len oprávnení zdravotnícki pracovníci
  • Šifrovanie dát v pokoji aj pri prenose
  • Pseudonymizácia alebo anonymizácia pri výskumnom využití
  • Cezhraničný prenos – cloud mimo EÚ/EHP vyžaduje dodatočné záruky
  • Práva pacientov – prístup, oprava, prenosnosť zdravotných záznamov

Marketing

Profilovanie a cielená reklama

Úroveň rizikaStredné riziko
DPIAPovinná

Popis situácie

E-commerce platforma alebo digitálna reklamná agentúra zbiera rozsiahle údaje o správaní používateľov (navštívené stránky, nákupy, kliknutia), kombinuje ich s demografickými a geografickými údajmi a využíva ich na personalizovanú reklamu.

Prečo je DPIA povinná?

Profilovanie na základe správania je jedným z kritérií EDPB. Pri rozsiahlom spracúvaní (veľký počet používateľov) a kombinovaní údajov z rôznych zdrojov je DPIA spravidla povinná.

Kľúčové oblasti posúdenia

  • Právny základ – súhlas (cookiewall) alebo oprávnený záujem s balančným testom
  • Transparentnosť – používatelia musia vedieť, čo sa s ich údajmi deje
  • Právo namietať a odhlásiť sa z profilovania
  • Minimalizácia – zbierať len nevyhnutné údaje pre konkrétny reklamný cieľ
  • Doba uchovávania profilov
  • Zdieľanie profilov s reklamnými sieťami a tretími stranami

Dôležité upozornenie

Príklady na tejto stránke majú ilustratívny charakter. Konkrétna povinnosť vypracovať DPIA závisí od celkového kontextu spracúvania – rozsahu, použitých technológií, kategórií údajov a ďalších faktorov. Pri pochybnostiach konzultujte s DPO alebo právnym poradcom. Táto stránka neposkytuje právne poradenstvo.

Vypracujte DPIA pre váš prípad použitia

Náš online nástroj vám pomôže posúdiť konkrétne spracúvanie a vygenerovať dokumentáciu DPIA.

Prihlásiť sa do betaAko vypracovať DPIA?