Obsah
Cíl
(1) Článek 35 GDPR ukládá správcům osobních údajů posoudit vliv zamýšlených operací zpracování osobních údajů na ochranu osobních údajů. Je to součástí širšího pojetí (konceptu) posouzení vlivu (nesprávně „posouzení dopadu“, angl. impact assessment), např. hodnocení dopadů regulace (angl. regulatory impact assessment, RIA). Původně se jednalo o posouzení vlivu na soukromí (angl. privacy impact assessment, PIA), nyní o posouzení vlivu na ochranu osobních údajů (angl. data protection impact assessment, DPIA). ÚOOÚ připravil návod, který je určen legislativním útvarům ministerstev a jiných ústředních správních úřadů jako pomůcka, jak splnit tuto povinnost.
(2) Dne 4. dubna 2017, s aktualizací od 4. října 2017, vydala pracovní skupina podle článku 29 pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda „je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko“ pro účely nařízení 2016/679, WP248. Tento návod z nich vychází a přizpůsobuje je podmínkám návrhu právního předpisu.
(3) Cílem DPIA je, aby správce osobních údajů, který zvažuje zahájení nového zpracování osobních údajů nebo významnější změnu dosavadního, správně plnil své povinnosti při ochraně osobních údajů. Smyslem posouzení vlivu na ochranu osobních údajů je určit, zda připravované nebo měněné zpracování osobních údajů vytváří nebo zesiluje rizikovost pro subjekty údajů. Přístup založený na riziku (RBA), který správcům osobních údajů obdobně jako v jiných sektorech ukládá vyhodnotit a minimalizovat rizikovost pro subjekty údajů i rizika další, plynoucí ze zpracování osobních údajů, je jednou z novinek, jež GDPR zavedlo. Správný postup u určování a zmírňování nebo odstraňování rizik pro soukromí těch, kteří jsou dotčeni zásahy způsobenými nebo vyplývajícími z určitého zpracování osobních údajů, je rozhodující pro správnou volbu základních parametrů samotného zpracování osobních údajů i opatření bránících zneužití osobních údajů nebo poškození soukromí.
(4) K opatřením k zabezpečení osobních údajů na základě zjištěných dopadů do soukromí dotčených zájmových subjektů údajů patří volba okruhu osob oprávněných přistupovat k osobním údajům a tyto údaje návazně zpracovat nebo jinak využívat.
Obsah posouzení vlivu na ochranu osobních údajů
(5) Pro návrhy právních předpisů je základem obecné schéma, které se přizpůsobí skutečnému obsahu každé posuzované předlohy:
(6) Nejprve je nutno určit a ve výstupu výslovně konstatovat, zda se zakládá nějaké nové zpracování osobních údajů. Pokud tomu tak je, uvedou se v normativním textu a v dostatečné míře podrobnosti také v důvodové zprávě nebo odůvodnění jeho základní parametry – specifický účel, kategorie zpracovávaných osobních údajů, veřejnost zpracování, jeho částí nebo výstupů ze zpracování zakládaného navrhovanou regulací a lhůty pro uchování osobních údajů.
(7) Stejný postup se použije, pokud je měněno již existující zpracování osobních údajů. V takovém případě je třeba jednoznačně vyjádřit povahu změny – jednotlivých parametrů, zejména rozšíření nebo zmenšení zpracování, měněné parametry zpracování, např. doby uchování osobních údajů, rozšíření počtu nebo rozsahu položek jednotlivých údajů.
(8) Posouzení vlivu na ochranu osobních údajů se vždy výslovně zabývá oprávněními subjektu údajů. Obsah dotčených oprávnění subjektu údajů se vyjadřuje slovně, tedy za použití pojmenování jednotlivých oprávnění. Pojmenování konkrétního oprávnění subjektu údajů může být součástí hodnotícího výroku. V posouzení vlivu na ochranu osobních údajů se použijí všude tam, kde je to možné, běžně používaná kvalifikační kritéria. Pokud není zaváděna zvláštní úprava těchto oprávnění, obecný režim se nekonstatuje, neboť se rozumí sám sebou. Lze však poukázat na speciální úpravu v jiném zákoně.
(9) Zvláštní úpravu některé povinnosti při zpracování osobních údajů nebo některého z oprávnění subjektu údajů v předloze je třeba výslovně popsat a – pokud to lze – kvalifikovat v tom smyslu, zda se jedná o dočasné nebo trvalé omezení, odložení oprávnění apod.
(10) V popisu jiných dopadů na soukromí se uvede jak obecně používané označení dotčeného aspektu soukromí, tak výstižné označení nebo popis zásahu. Pokud se předpokládá nebo dokonce přímo zamýšlí návaznost na jiná, ať již existující, nebo souběžně zakládaná či zamýšlená zpracování osobních údajů, vyhodnotí se, zda jde o prostou výměnu, nebo zda bude či má být dosahováno synergického efektu.
(11) Identifikují se a popíší všechny uzly, ve kterých existuje nebo vzniká potenciálně nebezpečí neoprávněného přístupu k osobním údajům nebo jejich zneužití. Popíše se a stručně se vyhodnotí naplnění článku 5 GDPR a posoudí se nezbytnost a přiměřenost zpracování osobních údajů v daném rozsahu pro konkrétní účel; pro posouzení vlivu na ochranu osobních údajů se použijí parametry – obecný požadavek na přesnost, zejména ve vztahu k možným právním důsledkům, spolehlivost zdroje, stálost vstupních hodnot a tam, kde jsou pro to dány podmínky, rovněž formy a periodicita obnovení a parametry specifické pro upravované zpracování osobních údajů.
(12) Uvedou se specifické záruky ochrany osobních údajů – protiopatření, která zajišťují ochranu osobních údajů, a to zejména ex ante (prevence zneužití osobních údajů), ale i ex post (sankce). U věcného záměru zákona a návrhu nového zákona se uvedou všechny záruky ochrany soukromí a osobních údajů, které jsou pro dané zpracování dostupné. U předloh nařízení postačuje pouze výčet specifických protiopatření, která návrh zavádí nebo potvrzuje. Pokud nejsou zaváděna žádná specifická protiopatření, uvede se to rovněž. Předmětem posouzení vlivu na ochranu osobních údajů jsou přímé projevy; popis se uvádí, i pokud navrhované řešení zachovává již právně existující zpracování osobních údajů a parametry ochrany osobních údajů.
(13) Povinnost posouzení vlivu na ochranu osobních údajů platí i pro situace, v nichž nově upravované zpracování osobních údajů nebo jiné nakládání s osobními údaji, které je spojeno se zásahem do soukromí subjektu údajů, navazuje na zpracování prováděné podle dřívějšího právního předpisu, neboť dopady na soukromí nejsou eliminovány. Vliv na ochranu osobních údajů se posoudí s ohledem na cílový stav nově regulovaného zpracování osobních údajů.
Procedura
(14) Podle článku 35 odst. 10 GDPR pokud má zpracování osobních údajů podle článku 6 odst. 1 písm. c) GDPR, tj. splnění právní povinnosti, nebo písmene e) GDPR, tj. oprávněné zájmy, právní základ v právním řádu EU nebo ČR, je správce od posouzení vlivu na ochranu osobních údajů osvobozen. Podmínkou však je, aby posouzení vlivu na ochranu osobních údajů učinil stát. Toto posouzení vlivu na ochranu osobních údajů je přirozeně odlišné od posouzení vlivu na ochranu osobních údajů správcem, neboť to první je abstraktní, to druhé je konkrétní.
(15) Návrh § 10 zákona o zpracování osobních údajů stanoví: „Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.“ Bod R 93 odůvodnění GDPR je jen formální: „V souvislosti s přijetím právního předpisu členského státu, na jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který danou operaci nebo soubor operací zpracování upravuje, mohou členské státy považovat za nutné provést výše uvedené posouzení před činnostmi zpracování.“ To samé platí i pro bod R 96 odůvodnění GDPR: „V průběhu příprav legislativního nebo regulačního opatření, jímž bude stanoveno zpracování osobních údajů, by měl být rovněž konzultován dozorový úřad, aby byl zajištěn soulad zamýšleného zpracování s tímto nařízením, a zejména zmírněno související riziko pro subjekt údajů.“
(16) V ČR se posouzení vlivu na ochranu osobních údajů u vládních návrhů právních předpisů (věcných záměrů zákonů, paragrafovaného znění zákona a nařízení – vládních nařízení a vyhlášek) vypracuje na základě článku 4 odst. 1 písm. g), článku 9 odst. 2 písm. h), článku 14 odst. 1 písm. g) a článku 16 odst. 4 legislativních pravidel vlády jako „zhodnocení současného stavu a dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů“, přičemž tato ustanovení zavedlo vládní usnesení ze dne 14. listopadu 2012 č. 820 s účinností od 1. ledna 2013. Posouzení vlivu na ochranu osobních údajů je součást obecné části důvodové zprávy nebo odůvodnění. Je přitom třeba vycházet z tradičních pravidel legislativy, jak je rozvíjí doktrína.1
(17) Článek 35 odst. 10 GDPR nerozlišuje mezi vládními předlohami zákonů a iniciativními (poslaneckými, senátními a krajskými). Bylo by proto nanejvýše žádoucí zohlednit při postupu podle zákona č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, i při postupu podle zákona č. 107/1999 Sb., o jednacím řádu Senátu, to, že se má povinnost DPIA vztahovat rovněž na iniciativní předlohy a věcné pozměňovací návrhy.
Shrnutí
(18) Povinnost posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů podle článku 35 odst. 10 GDPR je součástí povinnosti předchozí konzultace s ÚOOÚ podle článku 36 odst. 4 GDPR, který zní: „Členské státy konzultují s dozorovým úřadem během přípravy návrhu legislativního opatření, které má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.“
(19) Ministerstva a jiné správní úřady připravující právní předpisy již vliv na ochranu osobních údajů posuzují. V praxi se ÚOOÚ setkává s tím, že je nedostatek času na vyhodnocení posouzení vlivu na ochranu osobních údajů a posouzení vlivu na ochranu osobních údajů je redukováno na prosté konstatování, že předloha je v souladu se zákonem či GDPR. Podstatou DPIA je však popis regulovaného zpracování osobních údajů, aby bylo možné určit, zda je legální a legitimní.
1 Zbyněk Šín: Tvorba práva. Pravidla, metodika, technika. C. H. Beck, Praha 2009, 2. ed., 176 pp., Jan Kněžínek, Petr Mlsna a Josef Vedral: Příprava návrhů právních předpisů. Praktická pomůcka pro legislativce. Úřad vlády ČR, Praha 2010, 226 pp. a David Bohadlo et al. (edd.): Legislativní proces (teorie a praxe). Tiskárna ministerstva vnitra, Praha 2011, 547 pp.
