epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    17. 5. 2017
    ID: 105892upozornění pro uživatele

    Posouzení vlivu na ochranu osobních údajů podle GDPR

    V našem dalším článku věnovaném obecnému nařízení EU o ochraně osobních údajů (GDPR), které bude účinné již za rok (od 25. 5. 2018), podrobně rozebereme povinnost správce údajů provést posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment). Tato povinnost bude významnou novinkou v oblasti ochrany osobních údajů, a proto Evropská unie nedávno vydala výkladové pokyny k DPIA, které mají sloužit správcům údajů jako manuál vysvětlující, zda a jak mají posouzení vlivu na ochranu osobních údajů provést.[1]

     
     CHSH Kališ & Partners s.r.o., advokátní kancelář
     
    Jaké zpracování osobních údajů podléhá procesu DPIA?

    Z článku 35 odst. 1 GDPR vyplývá, že DPIA musí být provedeno v případě, kdy určitý druh zpracování údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií.

    DPIA by tedy mělo být zpracováno pro jeden druh operací s daty. Nicméně GDPR umožňuje i zpracování jednoho posouzení pro soubor podobných operací zpracování údajů, které představují podobné riziko. Za určitých okolností se tedy DPIA nemusí vztahovat pouze na jeden projekt a předmět posouzení může být širší, například když veřejné subjekty plánují zavést společnou aplikaci nebo platformu zpracování údajů nebo když několik správců údajů zamýšlí uvést do provozu aplikaci společnou pro určitý segment podnikání anebo když jeden správce údajů hodlá používat kamerový systém na různých místech.

    Článek 35 odst. 3 GDPR dále uvádí demonstrativní výčet operací s osobními údaji, které vyžadují provedení posouzení vlivu na ochranu osobních údajů. DPIA je nutné zejména v těchto případech:

    • a) systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
    • b) rozsáhlé zpracování zvláštních kategorií údajů (např. údajů o rasovém či etnickém původu, politických názorech či zdravotním stavu anebo biometrických údajů atd.) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; anebo
    • c) rozsáhlé systematické monitorování veřejně přístupných prostorů.
    Výkladové pokyny pracovní skupiny WP29 popisují ještě konkrétnější kritéria, která mají správci údajů zohlednit při vyhodnocení, zda jejich operace s daty představují vysoké riziko pro práva a svobody fyzických osob a zda tedy podléhají procesu DPIA. Podle těchto kritérií se povinnost provést DPIA vztahuje především na následující zpracování osobních údajů:

    • vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů);
    • zpracování údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců;
    • systematické monitorování, tj. zpracování údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů;
    • zpracování citlivých údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnicí, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity);
    • zpracování údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy);
    • zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu;
    • zpracování osobních údajů o „zranitelných“ osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.);
    • zpracování údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu);
    • předání osobních údajů mimo Evropskou unii;
    • zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv).
    Podle pokynů pracovní skupiny WP29 se bude vyžadovat DPIA u takových zpracování osobních údajů, která splňují alespoň dvě výše uvedená kritéria. DPIA tedy musí provést například nemocnice, protože zpracovávají citlivé údaje „zranitelných“ osob – pacientů; nebo správce údajů monitorující silniční vozidla kamerovým systémem umožňujícím identifikaci SPZ, protože se jedná o systematické monitorování a použití inovativního technologického řešení; anebo zaměstnavatel provádějící systematickou kontrolu svých zaměstnanců na pracovišti včetně kontroly užívání internetu, neboť v tomto případě zaměstnavatel vykonává systematické monitorování „zranitelných“ osob. Nejde však o pravidlo obecně aplikovatelné, neboť někdy musí být provedeno DPIA i v případě, že je naplněno pouze jedno kritérium, a naopak se DPIA nebude vyžadovat v případě, kdy zpracování splňuje více kritérií.

    Pokud si správce údajů nebude jistý, zda jeho operace s daty podléhají DPIA, doporučuje se v pokynech pracovní skupiny WP 29, aby správce DPIA vykonal. Jestliže správce údajů splňuje alespoň dvě výše uvedená kritéria, ale vyhodnotí, že DPIA nepodléhá, tak musí důkladně zdokumentovat, proč se takto rozhodl.

    Za účelem snadnějšího vyhodnocení povinnosti provést DPIA navíc mají národní dozorové úřady sestavit a zveřejnit seznam druhů operací zpracování údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů. Úřad pro ochranu osobních údajů ČR zřejmě bude vycházet právě z výše uvedených kritérií popsaných v pokynech pracovní skupiny WP29.

    Požadavek provedení DPIA se nevztahuje podle článku 35 odst. 10 GDPR na zpracování údajů zahájená před účinností GDPR, ledaže příslušný členský stát bude považovat provedení DPIA za nezbytné. Pracovní skupina WP29 ovšem doporučuje, aby správci údajů provedli posouzení vlivu na ochranu osobních údajů i pro operace s daty zahájené před květnem 2018. Navíc posouzení musí být určitě provedeno v případě, kdy nastane významná změna původního zpracování údajů (např. pro zpracování údajů bude použita nová technologie či aplikace apod.). V každém případě DPIA by mělo být revidováno po uplynutí 3 let nebo případně i dříve s ohledem na povahu a změny zpracování údajů.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE
    Jak má být posouzení vlivu na ochranu osobních údajů provedeno?

    Proces DPIA musí být proveden vždy před zahájením zpracování údajů, a to i přestože některé operace s daty ještě nebudou detailně specifikovány. Nejedná se pouze o jednorázové posouzení, ale DPIA může být i dlouhodobý kontinuální proces, zejména v případech, kdy se operace s daty dynamicky vyvíjí a průběžně mění.

    Za provedení DPIA odpovídá správce údajů. Ten sice může pověřit jinou osobu (interní nebo externí), aby vykonala DPIA, nicméně správce údajů zůstává odpovědným za splnění této povinnost. Pokud správce údajů jmenoval pověřence pro ochranu osobních údajů, musí si navíc vyžádat jeho posudek, který je nutné zohlednit a zdokumentovat v rámci DPIA. Správce údajů by měl požádat o pomoc také zpracovatele, kteří zcela nebo zčásti zpracovávají údaje pro správce. V některých případech by měl správce údajů získat dokonce i stanovisko dotčených subjektů údajů nebo jejich zástupců (např. zaměstnaneckých odborů).
    Reklama
    AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    17.9.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit


    Co musí posouzení vlivu na ochranu osobních údajů zahrnovat?


    Správci údajů mohou při provádění DPIA použít různé postupy a přizpůsobit je svým vlastním potřebám a dosavadní praxi. Každé posouzení však musí podle článku 35 odst. 7 GDPR zahrnovat následující čtyři úkony:

    • a) systematický popis zamýšlených operací zpracování údajů a účely zpracování, případně včetně popisu oprávněných zájmů správce;
    • b) posouzení nezbytnosti a přiměřenosti operací s údaji z hlediska účelů;
    • c) posouzení rizik pro práva a svobody subjektů údajů; a
    • d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k prokázání souladu s GDPR.
    Pracovní skupina WP29 navíc doporučuje, aby správci údajů svou analýzu vlivu na ochranu osobních údajů alespoň částečně zveřejnili za účelem zvýšení důvěry a prokázání odpovědnosti a transparentnosti zpracování údajů. Ovšem podle GDPR správci údajů povinnost zveřejnit DPIA nemají.

    Kdy je nutné DPIA konzultovat s dozorovým orgánem?

    Jestliže správce údajů na základě DPIA zjistí, že by dané zpracování představovalo vysoké riziko, pokud by nepřijal opatření ke zmírnění tohoto rizika, tak podle článku 36 odst. 1 GDPR musí zpracování údajů předem konzultovat s dozorovým úřadem (v ČR s Úřadem pro ochranu osobních údajů). Pokyny pracovní skupiny WP29 upřesňují, že předchozí konzultace s dozorovým úřadem bude nutná zejména v případech, kdy správce údajů nebude schopen implementovat vhodná opatření zmírňující zjištěná rizika.

    Jaké jsou sankce za nesplnění povinnosti provést DPIA?

    Správci údajů by měli věnovat DPIA náležitou pozornost. Dozorový úřad totiž může správci údajů uložit pokutu až do výše 10 mil. eur nebo 2 % z celosvětového ročního obratu za porušení povinnosti související s procesem posouzení vlivu na ochranu osobních údajů.


    JUDr. Martin Kartner

    JUDr. Martin Kartner
    ,
    advokát

    Mgr. Jiří Prouza

    Mgr. Jiří Prouza
    ,
    advokátní koncipient
     

    CHSH Kališ & Partners s.r.o., advokátní kancelář

    Týn 639/1
    110 00  Praha 1 – Staré Město

    Tel.:    +420 221 111 711
    Fax:    +420 221 111 725
    e-mail:    office@chsh.cz


    _________________________________________
    [1] Pokyny vydala pracovní skupina WP29 a jejich úplné znění v anglickém jazyce je dostupný na www, k dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

    JUDr. Martin Kartner, Mgr. Jiří Prouza (CHSH Kališ & Partners)
    17. 5. 2017

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Přezkum rozhodnutí CAS vnitrostátními soudy Evropské unie
    • Právo na soukromí vs. transparentnost firem: Kontroverze kolem evidence skutečných majitelů
    • GDPR 2.0: Jednodušší regulace pro odvážnou a konkurenceschopnou Evropu?
    • Důkladnější přezkum rozhodnutí vydaných Rozhodčím soudem pro Sport
    • Novinky z české a evropské regulace finančních institucí za měsíc červen 2025
    • Digitální marketing: Rozhodnutí belgického soudu ve věci IAB Europe
    • Evropská zdravotní data pod lupou: Co přináší nová regulace a datová centra (EHDS)?
    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2025
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • Ohrožení pobídek v modelu bez investičního poradenství?

    Novinky v eshopu

    Aktuální akce

    • 17.09.2025AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    • 19.09.2025Dopady novely znaleckého zákona na dokazování znaleckým posudkem v civilním řízení (online - živé vysílání) - 19.9.2025
    • 23.09.2025Investice do startupů – pohled VC fondu vs. pohled startup (online - živé vysílání) - 23.9.2025
    • 24.09.2025ESG Omnibus – Co se mění v reportingu a udržitelnosti? Úleva pro firmy, nebo ústup z odpovědnosti? Víte, co vás čeká? (online – živé vysílání) – 24.9.2025
    • 24.09.2025Mediace a vyjednávání nejen v podnikání (online – živé vysílání) – 24.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Právo na víkend - týden v české justici očima šéfredaktora
    • K otázce stupně intenzity porušení povinnosti zaměstnance
    • Spolehlivost osoby v civilním letectví
    • Přezkum rozhodnutí CAS vnitrostátními soudy Evropské unie
    • Určení výše přiměřené slevy z kupní ceny
    • Osvobozený příjem nerovná se automaticky bez povinností: kdy musíte hlásit dar nebo dědictví?
    • Právo na soukromí vs. transparentnost firem: Kontroverze kolem evidence skutečných majitelů
    • Matzner: Řešme také jak dál s AML. A vyvarujme se nadměrné zátěži a zbytečné byrokracie
    • Osvobozený příjem nerovná se automaticky bez povinností: kdy musíte hlásit dar nebo dědictví?
    • K otázce stupně intenzity porušení povinnosti zaměstnance
    • Určení výše přiměřené slevy z kupní ceny
    • Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry
    • Rozpor evidence skutečných majitelů s právem EU a jeho dopad na veřejné zakázky
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Trestní odpovědnost provozovatelů anonymních sítí
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • V čem Nejvyšší soud selhává a proč by mu to advokáti měli říct
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu
    • Koncentrace řízení a kdy je čas na poučení
    • Praktické dopady tzv. flexi novely zákoníku práce na běh a délku výpovědní doby
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Limity rozhodování ve společenství vlastníků jednotek: výbor vs. shromáždění

    Soudní rozhodnutí

    Insolvence

    Jestliže „osoba s právem postihu“ přihlásí regresní pohledávku (v souladu s § 173 odst. 3 a § 183 odst. 3 insolvenčního zákona v odpovídajícím znění) do insolvenčního řízení...

    Jednočinný souběh (exkluzivně pro předplatitele)

    Jednočinný souběh zvlášť závažných zločinů těžkého ublížení na zdraví podle § 145 odst. 1, odst. 2 písm. g) tr. zákoníku a násilí proti úřední osobě podle § 325 odst. 1...

    Obnova řízení (exkluzivně pro předplatitele)

    Je-li dán některý z důvodů nutné obhajoby podle § 36a odst. 2 písm. a) až d) tr. ř., musí mít obviněný obhájce již od počátku řízení o návrhu na povolení obnovy řízení,...

    Oddlužení (exkluzivně pro předplatitele)

    Má-li být jediným příjmem, z nějž je dlužník za trvání oddlužení schopen splácet pohledávky svých věřitelů, částka, kterou se označený dárce zavázal v darovací smlouvě...

    Prodej jednotky (exkluzivně pro předplatitele)

    Účelem prodeje jednotky podle § 1184 o. z. je primárně ochrana vlastnického práva (a jeho výkonu) ostatních vlastníků jednotek, byť může mít také sankční povahu – postih...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.