epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    17. 5. 2017
    ID: 105892upozornění pro uživatele

    Posouzení vlivu na ochranu osobních údajů podle GDPR

    V našem dalším článku věnovaném obecnému nařízení EU o ochraně osobních údajů (GDPR), které bude účinné již za rok (od 25. 5. 2018), podrobně rozebereme povinnost správce údajů provést posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment). Tato povinnost bude významnou novinkou v oblasti ochrany osobních údajů, a proto Evropská unie nedávno vydala výkladové pokyny k DPIA, které mají sloužit správcům údajů jako manuál vysvětlující, zda a jak mají posouzení vlivu na ochranu osobních údajů provést.[1]

     
     CHSH Kališ & Partners s.r.o., advokátní kancelář
     
    Jaké zpracování osobních údajů podléhá procesu DPIA?

    Z článku 35 odst. 1 GDPR vyplývá, že DPIA musí být provedeno v případě, kdy určitý druh zpracování údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií.

    DPIA by tedy mělo být zpracováno pro jeden druh operací s daty. Nicméně GDPR umožňuje i zpracování jednoho posouzení pro soubor podobných operací zpracování údajů, které představují podobné riziko. Za určitých okolností se tedy DPIA nemusí vztahovat pouze na jeden projekt a předmět posouzení může být širší, například když veřejné subjekty plánují zavést společnou aplikaci nebo platformu zpracování údajů nebo když několik správců údajů zamýšlí uvést do provozu aplikaci společnou pro určitý segment podnikání anebo když jeden správce údajů hodlá používat kamerový systém na různých místech.

    Článek 35 odst. 3 GDPR dále uvádí demonstrativní výčet operací s osobními údaji, které vyžadují provedení posouzení vlivu na ochranu osobních údajů. DPIA je nutné zejména v těchto případech:

    • a) systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
    • b) rozsáhlé zpracování zvláštních kategorií údajů (např. údajů o rasovém či etnickém původu, politických názorech či zdravotním stavu anebo biometrických údajů atd.) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; anebo
    • c) rozsáhlé systematické monitorování veřejně přístupných prostorů.
    Výkladové pokyny pracovní skupiny WP29 popisují ještě konkrétnější kritéria, která mají správci údajů zohlednit při vyhodnocení, zda jejich operace s daty představují vysoké riziko pro práva a svobody fyzických osob a zda tedy podléhají procesu DPIA. Podle těchto kritérií se povinnost provést DPIA vztahuje především na následující zpracování osobních údajů:

    • vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů);
    • zpracování údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců;
    • systematické monitorování, tj. zpracování údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů;
    • zpracování citlivých údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnicí, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity);
    • zpracování údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy);
    • zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu;
    • zpracování osobních údajů o „zranitelných“ osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.);
    • zpracování údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu);
    • předání osobních údajů mimo Evropskou unii;
    • zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv).
    Podle pokynů pracovní skupiny WP29 se bude vyžadovat DPIA u takových zpracování osobních údajů, která splňují alespoň dvě výše uvedená kritéria. DPIA tedy musí provést například nemocnice, protože zpracovávají citlivé údaje „zranitelných“ osob – pacientů; nebo správce údajů monitorující silniční vozidla kamerovým systémem umožňujícím identifikaci SPZ, protože se jedná o systematické monitorování a použití inovativního technologického řešení; anebo zaměstnavatel provádějící systematickou kontrolu svých zaměstnanců na pracovišti včetně kontroly užívání internetu, neboť v tomto případě zaměstnavatel vykonává systematické monitorování „zranitelných“ osob. Nejde však o pravidlo obecně aplikovatelné, neboť někdy musí být provedeno DPIA i v případě, že je naplněno pouze jedno kritérium, a naopak se DPIA nebude vyžadovat v případě, kdy zpracování splňuje více kritérií.

    Pokud si správce údajů nebude jistý, zda jeho operace s daty podléhají DPIA, doporučuje se v pokynech pracovní skupiny WP 29, aby správce DPIA vykonal. Jestliže správce údajů splňuje alespoň dvě výše uvedená kritéria, ale vyhodnotí, že DPIA nepodléhá, tak musí důkladně zdokumentovat, proč se takto rozhodl.

    Za účelem snadnějšího vyhodnocení povinnosti provést DPIA navíc mají národní dozorové úřady sestavit a zveřejnit seznam druhů operací zpracování údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů. Úřad pro ochranu osobních údajů ČR zřejmě bude vycházet právě z výše uvedených kritérií popsaných v pokynech pracovní skupiny WP29.

    Požadavek provedení DPIA se nevztahuje podle článku 35 odst. 10 GDPR na zpracování údajů zahájená před účinností GDPR, ledaže příslušný členský stát bude považovat provedení DPIA za nezbytné. Pracovní skupina WP29 ovšem doporučuje, aby správci údajů provedli posouzení vlivu na ochranu osobních údajů i pro operace s daty zahájené před květnem 2018. Navíc posouzení musí být určitě provedeno v případě, kdy nastane významná změna původního zpracování údajů (např. pro zpracování údajů bude použita nová technologie či aplikace apod.). V každém případě DPIA by mělo být revidováno po uplynutí 3 let nebo případně i dříve s ohledem na povahu a změny zpracování údajů.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE
    Jak má být posouzení vlivu na ochranu osobních údajů provedeno?

    Proces DPIA musí být proveden vždy před zahájením zpracování údajů, a to i přestože některé operace s daty ještě nebudou detailně specifikovány. Nejedná se pouze o jednorázové posouzení, ale DPIA může být i dlouhodobý kontinuální proces, zejména v případech, kdy se operace s daty dynamicky vyvíjí a průběžně mění.

    Za provedení DPIA odpovídá správce údajů. Ten sice může pověřit jinou osobu (interní nebo externí), aby vykonala DPIA, nicméně správce údajů zůstává odpovědným za splnění této povinnost. Pokud správce údajů jmenoval pověřence pro ochranu osobních údajů, musí si navíc vyžádat jeho posudek, který je nutné zohlednit a zdokumentovat v rámci DPIA. Správce údajů by měl požádat o pomoc také zpracovatele, kteří zcela nebo zčásti zpracovávají údaje pro správce. V některých případech by měl správce údajů získat dokonce i stanovisko dotčených subjektů údajů nebo jejich zástupců (např. zaměstnaneckých odborů).
    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit


    Co musí posouzení vlivu na ochranu osobních údajů zahrnovat?


    Správci údajů mohou při provádění DPIA použít různé postupy a přizpůsobit je svým vlastním potřebám a dosavadní praxi. Každé posouzení však musí podle článku 35 odst. 7 GDPR zahrnovat následující čtyři úkony:

    • a) systematický popis zamýšlených operací zpracování údajů a účely zpracování, případně včetně popisu oprávněných zájmů správce;
    • b) posouzení nezbytnosti a přiměřenosti operací s údaji z hlediska účelů;
    • c) posouzení rizik pro práva a svobody subjektů údajů; a
    • d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k prokázání souladu s GDPR.
    Pracovní skupina WP29 navíc doporučuje, aby správci údajů svou analýzu vlivu na ochranu osobních údajů alespoň částečně zveřejnili za účelem zvýšení důvěry a prokázání odpovědnosti a transparentnosti zpracování údajů. Ovšem podle GDPR správci údajů povinnost zveřejnit DPIA nemají.

    Kdy je nutné DPIA konzultovat s dozorovým orgánem?

    Jestliže správce údajů na základě DPIA zjistí, že by dané zpracování představovalo vysoké riziko, pokud by nepřijal opatření ke zmírnění tohoto rizika, tak podle článku 36 odst. 1 GDPR musí zpracování údajů předem konzultovat s dozorovým úřadem (v ČR s Úřadem pro ochranu osobních údajů). Pokyny pracovní skupiny WP29 upřesňují, že předchozí konzultace s dozorovým úřadem bude nutná zejména v případech, kdy správce údajů nebude schopen implementovat vhodná opatření zmírňující zjištěná rizika.

    Jaké jsou sankce za nesplnění povinnosti provést DPIA?

    Správci údajů by měli věnovat DPIA náležitou pozornost. Dozorový úřad totiž může správci údajů uložit pokutu až do výše 10 mil. eur nebo 2 % z celosvětového ročního obratu za porušení povinnosti související s procesem posouzení vlivu na ochranu osobních údajů.


    JUDr. Martin Kartner

    JUDr. Martin Kartner
    ,
    advokát

    Mgr. Jiří Prouza

    Mgr. Jiří Prouza
    ,
    advokátní koncipient
     

    CHSH Kališ & Partners s.r.o., advokátní kancelář

    Týn 639/1
    110 00  Praha 1 – Staré Město

    Tel.:    +420 221 111 711
    Fax:    +420 221 111 725
    e-mail:    office@chsh.cz


    _________________________________________
    [1] Pokyny vydala pracovní skupina WP29 a jejich úplné znění v anglickém jazyce je dostupný na www, k dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

    JUDr. Martin Kartner, Mgr. Jiří Prouza (CHSH Kališ & Partners)
    17. 5. 2017

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2025
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • Ohrožení pobídek v modelu bez investičního poradenství?
    • Výhrada veřejného pořádku a základní práva dle LZP EU – Otevírá SDEU dveře meritornímu přezkumu?
    • Novinky z české a evropské regulace finančních institucí za měsíc duben 2025
    • Novinky z české a evropské regulace finančních institucí za měsíc březen 2025
    • Návrh Evropské komise na zmírnění pravidel ESG reportingu
    • Vykonatelnost nálezů finančního arbitra v zahraničí, aneb stahující se mračna nad investičními šmejdy
    • Novinky z české a evropské regulace finančních institucí za měsíc únor 2025
    • Ochrana advokátní mlčenlivosti a rozhodnutí ESLP ve věci Nezerić proti Bosně a Hercegovině

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Veřejně přístupná účelová komunikace a její znaky
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Byznys a paragrafy, díl 13.: Vysílání zaměstnanců do zahraničí: Jak správně rozlišit služební cestu a režim vyslaného pracovníka
    • AI revoluce v právní praxi: 10 specializovaných kurzů, které změní váš způsob práce
    • Ztížení společenského uplatnění
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Veřejně přístupná účelová komunikace a její znaky
    • 10 otázek pro … Ronalda Němce
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?

    Soudní rozhodnutí

    Blanketní stížnost

    Krajský soud tím, že rozhodl před uplynutím konce stěžovatelem avizované lhůty pro doplnění odůvodnění blanketní stížnosti, a navíc v situaci, kdy odůvodnění stížnosti již...

    Blanketní stížnost (exkluzivně pro předplatitele)

    Nepřihlédne-li stížnostní soud k odůvodnění stížnosti původně podané jako blanketní, ač měl odůvodnění v době rozhodování o stížnosti k dispozici, může porušit právo...

    Dovolání (exkluzivně pro předplatitele)

    Podle judikatury Nejvyššího soudu, spočívá-li rozsudek odvolacího soudu na posouzení vícero právních otázek, z nichž každé samo o sobě vede k zamítnutí žaloby, není dovolání...

    Exekutor (exkluzivně pro předplatitele)

    Funkce soudního exekutora je veřejnou funkcí. Proces obsazování exekutorského úřadu se tedy týká práva na rovný přístup k veřejným funkcím podle čl. 21 odst. 4 Listiny základních...

    Extrémní nesoulad mezi provedenými důkazy a skutkovými a právními závěry (exkluzivně pro předplatitele)

    Ústavní soud ve své judikatuře ustáleně opakuje, že obecné soudy poruší právo účastníka na soudní ochranu, pokud učiní skutkové a právní závěry, které jsou v extrémním...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.