Metodická doporučení pro legislativní posouzení dopadů na ochranu osobních údajů (DPIA)

Jak posoudit vliv na ochranu osobních údajů u předloh právních předpisů, určená pro veřejnou konzultaci

Východiska

Tato pomůcka navazuje na Návod k posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů (DPIA) ze 3. ledna 2019 a nahrazuje jej. Podnětem k jejímu vydání byla novela legislativních pravidel vlády (dále jen „LPV“) schválená vládním usnesením ze dne 11. ledna 2023 č. 22. LPV byla vydána v úplném znění . Týká se a je určena všem autorům návrhů právních předpisů, zejména legislativním odborům ministerstev.
Základem moderní legislativy je porovnání nákladů a výnosů regulace. K tomu slouží hodnocení dopadů regulace (angl. regulatory impact assessment, RIA), které bylo v dnešní podobě zavedeno obecnými zásadami RIA, schválenými vládním usnesením vlády ze dne 14. prosince 2011 č. 922. Obecné zásady RIA byly vydány v  úplném znění .

Jedním z nejdůležitějších principů je přístup založený na vyhodnocení rizika či riskantnosti (angl. risk based approach , RBA; dále bude v rámci RBA používán pojem „riskantnost“), kde příkladem může být bezpečnost a ochrana zdraví při práci nebo kybernetická bezpečnost. Právě posouzení vlivu zamýšlených operací zpracování osobních údajů na ochranu osobních údajů prostřednictvím popsání, vyhodnocení a snížení či dokonce odstranění nebezpečí pro ochranu osobních údajů je základem zhodnocení současného stavu a dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů (dále jen „legislativní DPIA“)

• u věcného záměru zákona podle článku 4 odst. 1 písm. h) LPV,
• u návrhu zákona podle článku 9 odst. 2 písm. i) LPV,
• u návrhu nařízení vlády podle čl. 14 odst. 1 písm. h) LPV a
• u návrhu vyhlášky podle článku 16 odst. 4 LPV.

P ovinnost posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů podle článku 35 odst. 10 obecného nařízení o ochraně osobních údajů (dále jen „GDPR“) je součástí povinnosti předchozí konzultace podle článku 36 odst. 4 GDPR, který zní: „Členské státy konzultují s dozorovým úřadem během přípravy návrhu legislativního opatření, které má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.“

Cílem posouzení vlivu na ochranu osobních údajů (dále jen „DPIA“) je, aby správce osobních údajů, který zvažuje zahájení nového zpracování osobních údajů nebo významnější změnu dosavadního zpracování, správně plnil své povinnosti při ochraně osobních údajů. Podstatou je určit, zda připravované nebo měněné zpracování osobních údajů vytváří nebo zesiluje riskantnost pro subjekty údajů. Nástrojem je volba dostatečně účinných a přiměřeně nákladných opatření bránících zneužití osobních údajů nebo poškození soukromí. Podrobnosti jsou stanoveny v článku 35 GDPR, posouzení vlivu na ochranu osobních údajů, k níž byla vypracována metodika obecného posouzení vlivu na ochranu osobních údajů (dále jen „obecné DPIA“). Tato pomůcka je přitom k obecnému DPIA speciální.

Legislativní DPIA bylo zavedeno vládním usnesením z 14. listopadu 2012 č. 820 s účinností od 1. ledna 2013. Nyní je součástí komplexu 12 zhodnocení v obecné části důvodové zprávy nebo odůvodnění:

• souladu s ústavním pořádkem,
• souladu s mezinárodními smlouvami, jimiž je Česká republika vázána,
• souladu se závazky vyplývajícími pro Českou republiku z členství v Evropské unii,
• předpokládaného hospodářského a finančního dopadu/vlivu,
• sociálních dopadů/vlivů,
• dopadů/vlivů na zákaz diskriminace,
• dopadů/vlivů na ochranu soukromí, včetně osobních údajů (DPIA),
• korupčních rizik (CIA),
• dopadů/vlivů na bezpečnost nebo obranu státu,
• dopadů/vlivů na rodiny (FIA; nově),
• dopadů/vlivů na územní samosprávné celky (TIA; nově),
• souladu/vlivů se zásadami tvorby digitálně přívětivé legislativy (DIA; nově).

Legislativní DPIA se vypracovává u všech návrhů právních předpisů, tj. věcných záměrů zákonů, paragrafovaného znění zákona, nařízení vlády a vyhlášek. Platí tyto principy:

1. Bez ohledu na míru riskantnosti se pomůcka k legislativnímu DPIA se použije vždy, tedy rovněž u ryze technických právních předpisů.
2. Pokud navrženou právní úpravou nedochází k novému zpracování osobních údajů nebo ke změně stávajícího), v důvodové zprávě nebo odůvodnění se to výslovně konstatuje a vliv na ochranu osobních údajů se neposuzuje. I když to z navržené právní úpravy explicitně nevyplývá, může mít vliv na stávající zpracování na stávající zpracování osobních údajů, pak se legislativní DPIA vypracuje.
3. U návrhu zákona, nařízení vlády a vyhlášek je legislativní DPIA přirozeně odvozeno od DPIA věcného záměru zákona, existoval-li, jinak od DPIA prováděného zákona, přičemž nařízení vlády a vyhlášky obvykle stanoví pouze způsob zpracování osobních údajů, které je již založeno zákonem
4. U předlohy novely je legislativní DPIA optimálně revidovaným legislativním DPIA kmenového právního předpisu; pokud legislativní DPIA kmenového právního předpisu neexistuje, tak alespoň nově zaváděných zpracování osobních údajů nebo těch právních norem, které nepřímo ovlivňují stávající zpracování osobních údajů.

Na iniciativní návrhy zákonů (jejichž předkladatelem není vláda – poslanecké, senátní a krajské), se LPV nevztahují, a proto nelze vynutit, v jakém rozsahu bude důvodová zpráva podle § 86 odst. 3 zákona č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny zpracována. S ohledem na článek 35 odst. 10 a článek 36 odst. 4 GDPR však lze doporučit zohlednit i při postupu podle zákona č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, nebo podle zákona č. 107/1999 Sb., o jednacím řádu Senátu, tuto pomůcku použít a vložit legislativní DPIA rovněž do důvodové zprávy iniciativního návrhu nebo do odůvodnění věcných pozměňovacích návrhů.

Podle článku 35 odst. 10 GDPR nemusí správce osobních údajů vypracovat obecné DPIA. To se promítlo do § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, podle něhož správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. Z toho vyplývá, že legislativní DPIA by mělo být zvláště pečlivé a na úrovni obecného DPIA, které nahrazuje, přičemž však legislativní DPIA přirozeně musí mít vyšší míru abstraktnosti.

V neposlední řadě je nutno upozornit na to, že povinnost legislativní DPIA platí i pro situace, v nichž nově zpracování osobních údajů nebo jiné nakládání s osobními údaji navazuje na zpracování podle dřívějšího právního předpisu. Předmětem legislativního DPIA v takovém případě je cílový stav.

Legislativní DPIA by optimálně měl zpracovat věcný útvar předkladatele předlohy právního předpisu, který návrh právního předpisu inicioval. Poté by se měl obrátit na pověřence pro ochranu osobních údajů předkladatele a zohlednit jeho doporučení.

Legislativní DPIA má tuto strukturu:

1. vysvětlení účelu navrhovaného zpracování osobních údajů,
2. popis návaznosti na  stávající nebo  již připravovaná  zpracování osobních údajů,
3. posouzení navrhovaného řešení zpracování z hlediska  nezbytnosti a  přiměřenosti ve vztahu k jím sledovanému účelu a
4. posouzení rizik pro práva a svobody fyzických osob a
5. [stanovení] možných opatření k jejich snížení
6. účel zpracování osobních údajů

Postup je obdobný jako pro záměr jakékoliv jiné činnosti: Nejprve se stanoví dostatečně konkrétní účel (cíl), zde zpracování osobních údajů. Dostatečně konkrétní není „řízení resortu a tvorba politiky“ , protože na to by postačovaly agregované, tedy neosobní, údaje. Dalším chybným účelem je „zajištění transparentnosti poskytování a financování služeb“ nebo „zajištění rovného přístupu ke službám“ , protože pod tím si nelze žádné zpracování osobních údajů představit. Naopak dostatečně konkrétní je „informace o žadatelích“ nebo „přestupkové řízení“ .

Od účelu zpracování osobních údajů je odvozen právní základ zpracování osobních údajů, typicky podle článku 6 odst. 1 GDPR. Obvykle půjde o plnění právní povinnosti podle písmene c). A nakonec se volí nástroj zpracování osobních údajů –způsob zpracování osobních údajů, například database žadatelů (zřízení informačního systému o žadatelích).

Popis návaznosti na jiná zpracování osobních údajů

N ejprve je nutné určit a popsat, zda se zakládá nové zpracování osobních údajů. V takovém případě se podrobně popíše rovněž stávající zpracování osobních údajů.

K parametrům zpracování patří rovněž veřejnost zpracování osobních údajů, případně jeho jednotlivých částí a výstupů a lhůty pro uchování osobních údajů. Veřejnost zpracování osobních údajů má přitom stejné definiční znaky jako veřejnost kterékoliv jiné právní skutečnosti, tj. neomezený přístup od kteréhokoliv člověka.

Stejný postup se použije, pokud je měněno již existující zpracování osobních údajů. V takovém případě je třeba jednoznačně vyjádřit povahu změn v jednotlivých parametrech. Zejména se jedná o rozšíření nebo zúžení okruhu osobních údajů zpracování, nebo změnu základních parametrů zpracování.

Pokud se předpokládá nebo dokonce přímo zamýšlí návaznost na jiná existující, anebo souběžně zakládaná či zamýšlená zpracování osobních údajů, vyhodnotí se, zda jde o prostou výměnu, nebo zda bude či má být dosahováno synergického efektu.

Posouzení z hlediska nezbytnosti a přiměřenosti ve vztahu k účelu

Prostředek zpracování osobních údajů musí být nezbytný k dosažení účelu a zároveň efektivní, tj. zda sledovaného účelu jím lze skutečně dosáhnout. Je to základ celého obecného nebo legislativního DPIA. Podstatou je systematický popis zamýšlených operací. Pokud to připadá v úvahu, tak variantně; v tom případě musí být zdůvodněno, proč byla zvolena preferovaná varianta. Součástí je vymezení všech, včetně nefinančních, nákladů a přínosů zvoleného řešení, včetně úspor.

Zhodnocení přiměřenosti spočívá v porovnání možného poškození oprávnění nebo zájmu subjektů údajů s předpokládanými oprávněními nebo zájmy správce nebo zpracovatele osobních údajů. Součástí je vymezení jiných přímých zásahů do soukromí dotčených osob, v případě ochrany osobních údajů subjektů údajů, navozených navrhovanou úpravou. V popisu jiných dopadů na soukromí se uvede jak obecně používané označení dotčeného aspektu soukromí, tak výstižné označení a popis zásahu. 

Posouzení rizik pro práva a svobody fyzických osob

Legislativní DPIA se vždy zabývá oprávněními subjektu údajů, přičemž lze odkázat na zvláštní úpravu obsaženou v jiném právním předpise. Pokud není navrhována zvláštní úprava těchto oprávnění, v legislativní DPIA se neopisují oprávněními subjektu údajů z GDPR, neboť ty se rozumí samy sebou.

Obsah dotčených subjektivních práv subjektu údajů se vyjadřuje slovně, tedy za použití pojmenování jednotlivých oprávnění – subjektivních práv. Pojmenování konkrétního oprávnění subjektu údajů může být součástí hodnotícího výroku.

Zvláštní úpravu některé z povinností při zpracování osobních údajů nebo některého z oprávnění subjektu údajů ve věcném záměru zákona nebo v návrhu právního předpisu je třeba výslovně popsat a popsat, zda se jedná o dočasné nebo trvalé omezení, odložení oprávnění atp.

Identifikují se a popíší všechny body zpracování, ve kterých existuje nebo vzniká potenciální nebezpečí neoprávněného přístupu k osobním údajům nebo jejich zneužití, tj. jejich riskantnost . Ke kvantifikaci riskantnosti lze využít obecného DPIA, přičemž není vyloučen jiný postup.

Popíše se a stručně vyhodnotí, zda jsou kumulativně splněny podmínky podle článku 5 GDPR. Parametrem je především obecný požadavek na přesnost údajů, zejména ve vztahu k možným právním důsledkům. Je-li podstatou zpracování vyhodnocení informací od třetích osob, je nutno vyhodnotit spolehlivost zdroje a zda se předané údaje nemění v čase. Pokud je to tento případ, je nutno nastavit formy a periodicitu opětovného předání údajů.

Opatření ke snížení riskantnosti

Jedná se o záruky, bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k doložení souladu s ní. Přihlíží se k subjektivním právům dotčených osob, zejména subjektů údajů. Vhodný je odkaz na právní nebo interní předpis, který tato oprávnění upravuje.

V legislativním DPIA se uvedou specifické záruky ochrany osobních údajů – tedy konkrétní opatření, která zajišťují ochranu osobních údajů, a to zejména předběžná , tedy prevence zneužití osobních údajů, [1] ale i následná , tedy sankce, přičemž postačí odkaz na sankční ustanovení právního předpisu. U věcného záměru zákona a návrhu zákona se uvede a popíše proces zvážení všech záruk, které jsou pro dané zpracování dostupné. Naproti tomu u návrhů nařízení vlády nebo vyhlášky postačuje pouze výčet specifických protiopatření, která předloha zavádí nebo potvrzuje. Pokud nejsou zaváděna žádná specifická protiopatření, uvede se to rovněž. Předmětem legislativního DPIA jsou přímé projevy; popis se uvádí, i pokud navrhované řešení zachovává již právně existující zpracování osobních údajů a parametry ochrany osobních údajů. K opatřením k zabezpečení osobních údajů na základě zjištěných dopadů do soukromí dotčených subjektů údajů patří volba okruhu osob oprávněných přistupovat k osobním údajům a tyto údaje návazně zpracovat nebo jinak využívat.

Shrnutí

Podstatou legislativního DPIA popis regulovaného zpracování osobních údajů, aby bylo možné určit, zda je legální a legitimní. Gestor musí pamatovat na to, že primárním adresátem legislativního DPIA je správce osobních údajů. Legislativní DPIA mu tedy má poskytnout vodítko, jak osobní údaje zpracovat. Podstatnou částí legislativního DPIA je proto seznam opatření ke zmírnění riskantnosti zpracování osobních údajů. Posouzení vlivu na ochranu osobních údajů nemá být redukováno na prosté konstatování, že předloha je v souladu se zákonem či GDPR. Takové konstatování součástí legislativního DPIA ani být nemá, protože se rozumí samo sebou.