epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • NÁZORY
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Partnerský program
    • Předplatné
    17. 5. 2017
    ID: 105892upozornění pro uživatele

    Posouzení vlivu na ochranu osobních údajů podle GDPR

    V našem dalším článku věnovaném obecnému nařízení EU o ochraně osobních údajů (GDPR), které bude účinné již za rok (od 25. 5. 2018), podrobně rozebereme povinnost správce údajů provést posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment). Tato povinnost bude významnou novinkou v oblasti ochrany osobních údajů, a proto Evropská unie nedávno vydala výkladové pokyny k DPIA, které mají sloužit správcům údajů jako manuál vysvětlující, zda a jak mají posouzení vlivu na ochranu osobních údajů provést.[1]

     
     CHSH Kališ & Partners s.r.o., advokátní kancelář
     
    Jaké zpracování osobních údajů podléhá procesu DPIA?

    Z článku 35 odst. 1 GDPR vyplývá, že DPIA musí být provedeno v případě, kdy určitý druh zpracování údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií.

    DPIA by tedy mělo být zpracováno pro jeden druh operací s daty. Nicméně GDPR umožňuje i zpracování jednoho posouzení pro soubor podobných operací zpracování údajů, které představují podobné riziko. Za určitých okolností se tedy DPIA nemusí vztahovat pouze na jeden projekt a předmět posouzení může být širší, například když veřejné subjekty plánují zavést společnou aplikaci nebo platformu zpracování údajů nebo když několik správců údajů zamýšlí uvést do provozu aplikaci společnou pro určitý segment podnikání anebo když jeden správce údajů hodlá používat kamerový systém na různých místech.

    Článek 35 odst. 3 GDPR dále uvádí demonstrativní výčet operací s osobními údaji, které vyžadují provedení posouzení vlivu na ochranu osobních údajů. DPIA je nutné zejména v těchto případech:

    • a) systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
    • b) rozsáhlé zpracování zvláštních kategorií údajů (např. údajů o rasovém či etnickém původu, politických názorech či zdravotním stavu anebo biometrických údajů atd.) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; anebo
    • c) rozsáhlé systematické monitorování veřejně přístupných prostorů.
    Výkladové pokyny pracovní skupiny WP29 popisují ještě konkrétnější kritéria, která mají správci údajů zohlednit při vyhodnocení, zda jejich operace s daty představují vysoké riziko pro práva a svobody fyzických osob a zda tedy podléhají procesu DPIA. Podle těchto kritérií se povinnost provést DPIA vztahuje především na následující zpracování osobních údajů:

    • vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů);
    • zpracování údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců;
    • systematické monitorování, tj. zpracování údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů;
    • zpracování citlivých údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnicí, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity);
    • zpracování údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy);
    • zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu;
    • zpracování osobních údajů o „zranitelných“ osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.);
    • zpracování údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu);
    • předání osobních údajů mimo Evropskou unii;
    • zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv).
    Podle pokynů pracovní skupiny WP29 se bude vyžadovat DPIA u takových zpracování osobních údajů, která splňují alespoň dvě výše uvedená kritéria. DPIA tedy musí provést například nemocnice, protože zpracovávají citlivé údaje „zranitelných“ osob – pacientů; nebo správce údajů monitorující silniční vozidla kamerovým systémem umožňujícím identifikaci SPZ, protože se jedná o systematické monitorování a použití inovativního technologického řešení; anebo zaměstnavatel provádějící systematickou kontrolu svých zaměstnanců na pracovišti včetně kontroly užívání internetu, neboť v tomto případě zaměstnavatel vykonává systematické monitorování „zranitelných“ osob. Nejde však o pravidlo obecně aplikovatelné, neboť někdy musí být provedeno DPIA i v případě, že je naplněno pouze jedno kritérium, a naopak se DPIA nebude vyžadovat v případě, kdy zpracování splňuje více kritérií.

    Pokud si správce údajů nebude jistý, zda jeho operace s daty podléhají DPIA, doporučuje se v pokynech pracovní skupiny WP 29, aby správce DPIA vykonal. Jestliže správce údajů splňuje alespoň dvě výše uvedená kritéria, ale vyhodnotí, že DPIA nepodléhá, tak musí důkladně zdokumentovat, proč se takto rozhodl.

    Za účelem snadnějšího vyhodnocení povinnosti provést DPIA navíc mají národní dozorové úřady sestavit a zveřejnit seznam druhů operací zpracování údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů. Úřad pro ochranu osobních údajů ČR zřejmě bude vycházet právě z výše uvedených kritérií popsaných v pokynech pracovní skupiny WP29.

    Požadavek provedení DPIA se nevztahuje podle článku 35 odst. 10 GDPR na zpracování údajů zahájená před účinností GDPR, ledaže příslušný členský stát bude považovat provedení DPIA za nezbytné. Pracovní skupina WP29 ovšem doporučuje, aby správci údajů provedli posouzení vlivu na ochranu osobních údajů i pro operace s daty zahájené před květnem 2018. Navíc posouzení musí být určitě provedeno v případě, kdy nastane významná změna původního zpracování údajů (např. pro zpracování údajů bude použita nová technologie či aplikace apod.). V každém případě DPIA by mělo být revidováno po uplynutí 3 let nebo případně i dříve s ohledem na povahu a změny zpracování údajů.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE
    Jak má být posouzení vlivu na ochranu osobních údajů provedeno?

    Proces DPIA musí být proveden vždy před zahájením zpracování údajů, a to i přestože některé operace s daty ještě nebudou detailně specifikovány. Nejedná se pouze o jednorázové posouzení, ale DPIA může být i dlouhodobý kontinuální proces, zejména v případech, kdy se operace s daty dynamicky vyvíjí a průběžně mění.

    Za provedení DPIA odpovídá správce údajů. Ten sice může pověřit jinou osobu (interní nebo externí), aby vykonala DPIA, nicméně správce údajů zůstává odpovědným za splnění této povinnost. Pokud správce údajů jmenoval pověřence pro ochranu osobních údajů, musí si navíc vyžádat jeho posudek, který je nutné zohlednit a zdokumentovat v rámci DPIA. Správce údajů by měl požádat o pomoc také zpracovatele, kteří zcela nebo zčásti zpracovávají údaje pro správce. V některých případech by měl správce údajů získat dokonce i stanovisko dotčených subjektů údajů nebo jejich zástupců (např. zaměstnaneckých odborů).
    Reklama
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    16.7.2026 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit


    Co musí posouzení vlivu na ochranu osobních údajů zahrnovat?


    Správci údajů mohou při provádění DPIA použít různé postupy a přizpůsobit je svým vlastním potřebám a dosavadní praxi. Každé posouzení však musí podle článku 35 odst. 7 GDPR zahrnovat následující čtyři úkony:

    • a) systematický popis zamýšlených operací zpracování údajů a účely zpracování, případně včetně popisu oprávněných zájmů správce;
    • b) posouzení nezbytnosti a přiměřenosti operací s údaji z hlediska účelů;
    • c) posouzení rizik pro práva a svobody subjektů údajů; a
    • d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k prokázání souladu s GDPR.
    Pracovní skupina WP29 navíc doporučuje, aby správci údajů svou analýzu vlivu na ochranu osobních údajů alespoň částečně zveřejnili za účelem zvýšení důvěry a prokázání odpovědnosti a transparentnosti zpracování údajů. Ovšem podle GDPR správci údajů povinnost zveřejnit DPIA nemají.

    Kdy je nutné DPIA konzultovat s dozorovým orgánem?

    Jestliže správce údajů na základě DPIA zjistí, že by dané zpracování představovalo vysoké riziko, pokud by nepřijal opatření ke zmírnění tohoto rizika, tak podle článku 36 odst. 1 GDPR musí zpracování údajů předem konzultovat s dozorovým úřadem (v ČR s Úřadem pro ochranu osobních údajů). Pokyny pracovní skupiny WP29 upřesňují, že předchozí konzultace s dozorovým úřadem bude nutná zejména v případech, kdy správce údajů nebude schopen implementovat vhodná opatření zmírňující zjištěná rizika.

    Jaké jsou sankce za nesplnění povinnosti provést DPIA?

    Správci údajů by měli věnovat DPIA náležitou pozornost. Dozorový úřad totiž může správci údajů uložit pokutu až do výše 10 mil. eur nebo 2 % z celosvětového ročního obratu za porušení povinnosti související s procesem posouzení vlivu na ochranu osobních údajů.


    JUDr. Martin Kartner

    JUDr. Martin Kartner
    ,
    advokát

    Mgr. Jiří Prouza

    Mgr. Jiří Prouza
    ,
    advokátní koncipient
     

    CHSH Kališ & Partners s.r.o., advokátní kancelář

    Týn 639/1
    110 00  Praha 1 – Staré Město

    Tel.:    +420 221 111 711
    Fax:    +420 221 111 725
    e-mail:    office@chsh.cz


    _________________________________________
    [1] Pokyny vydala pracovní skupina WP29 a jejich úplné znění v anglickém jazyce je dostupný na www, k dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

    JUDr. Martin Kartner, Mgr. Jiří Prouza (CHSH Kališ & Partners)
    17. 5. 2017

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Evropská unie mění pravidla plateb: více odpovědnosti, intenzivnější zpracování dat, více kontrol
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2026
    • Sport versus EU – aktuální sportovní kauzy rozhodované Soudním dvorem EU
    • Postavení finančního arbitra v kontextu nařízení Brusel I bis - Funkční pojetí „soudu“, osvědčení podle čl. 53 a možnost výkonu nálezu v jiných členských státech EU
    • ESG Simple jako praktická opora pro ESG reporting malých a středních podniků
    • Novinky z české a evropské regulace finančních institucí za měsíc duben 2026
    • Dvě kiwi denně: EU schválila první zdravotní tvrzení pro čerstvé ovoce
    • Digital Omnibus: Revoluce v datech, nebo jen nová zátěž pro podnikatele?
    • Nová pravidla pro ground handling v EU a jejich dopady na letecký sektor
    • Novinky z české a evropské regulace finančních institucí za měsíc březen 2026

    Novinky v eshopu

    Aktuální akce

    • 16.07.2026AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    • 22.07.2026Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 22.7.2026
    • 29.07.2026Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 29.7.2026
    • 11.08.2026Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 11.8.2026
    • 12.08.2026ChatGPT od A do Z v právní praxi 2026 (online - živé vysílání) - 12.8.2026

    Online kurzy

    • Vnosy ze SJM a vnosy do SJM a jejich valorizace v aktuální judikatuře Nejvyššího soudu a Ústavního soudu
    • Výpověď z pracovního poměru z důvodu neomluveného zameškání jedné směny
    • Nová „tlačítková povinnost“ pro e-shopy
    • Změna cenových ujednání ve smlouvách v energetice
    • Černé stavby
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 01.10.2026Trestní právo daňové - 1.10.2026
    • 02.10.2026Daňové právo 2026 - 2.10.2026
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Nový zákon o veřejných dražbách, aukce a obálkové metody
    • Evropská unie mění pravidla plateb: více odpovědnosti, intenzivnější zpracování dat, více kontrol
    • Odpovědnost zaměstnavatele a zaměstnance v souvislosti s využitím umělé inteligence
    • Koupě nemovité věci
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Pohled přes hranice – natáčení pornografických klipů jako důvod výpovědi z nájmu bytu
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Holdingové struktury a odpovědnost mateřské společnosti
    • Odpovědnost zaměstnavatele a zaměstnance v souvislosti s využitím umělé inteligence
    • Souhlas s veřejným užíváním pozemku jako překážka nároku na bezdůvodné obohacení – nález Ústavního soudu sp. zn. I. ÚS 2541/25
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Pohled přes hranice – natáčení pornografických klipů jako důvod výpovědi z nájmu bytu
    • Druhá „tlačítková novela": povinné tlačítko pro odstoupení od smlouvy
    • Nový návrh zákona o platformové práci – 2. díl: Redefinice závislé práce
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Holdingové struktury a odpovědnost mateřské společnosti
    • Systémová podjatost ve správním řízení aneb požadavek na překročení nadkritické míry rizika systémové podjatosti
    • Přičitatelnost jednání třetích osob dlužníkovi pro účely posouzení neúčinnosti: ano nebo ne?
    • Byznys a paragrafy, díl 35: Ručení za dluhy z podnikání u OSVČ a s.r.o.
    • Platformová práce
    • Dokazování negativních skutečností ve sporném řízení
    • Pacht závodu a zákaz přenechání věci třetí osobě
    • Několik poznámek z pera Nejvyššího soudu k nemocem z povolání a důkazní nouzi

    Soudní rozhodnutí

    Koupě nemovité věci

    Je-li u koupě nemovité věci v písemné smlouvě výslovně projevena vůle stran uzavřít úplatnou kupní smlouvu bez určení kupní ceny, uplatní se podle § 2131 o. z. přiměřeně § 2085...

    Nesprávný úřední postup (exkluzivně pro předplatitele)

    Rovněž nesprávný závazný právní názor nadřízeného orgánu, který negativně ovlivnil délku odškodněného řízení, vylučuje na základě § 16 odst. 4 (s přihlédnutím k...

    Platební neschopnost (exkluzivně pro předplatitele)

    Účinky vyvrácení domněnky platební neschopnosti dlužníka dle § 3 odst. 2 písm. b/ insolvenčního zákona má výkaz stavu likvidity sestavený podle § 3 odst. 3 insolvenčního zákona...

    Předkupní právo (exkluzivně pro předplatitele)

    Pojem „neoddělitelnost věcí“ ve smyslu § 2149 odst. 2 o. z. zákon blíže nedefinuje. Jde zde o právní normu s tzv. relativně neurčitou hypotézou, tj. normu, jejíž hypotéza není...

    Přerušení řízení (exkluzivně pro předplatitele)

    Smyslem § 109 odst. 2 písm. c/ o. s. ř. je zajistit hospodárnost řízení; proto by měl soud posoudit, zda vyčkání výsledku vedlejšího řízení bude i z hlediska délky původního...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2026, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu "Taktika jednání o smlouvách".

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.