epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    13. 5. 2020
    ID: 111167upozornění pro uživatele

    Seriál specifické aspekty ochrany osobních údajů 2/5 Řízení rizik v ochraně osobních údajů

    Institut řízení rizik stále častěji proniká do práva. Jako příklad lze uvést úpravu bezpečnosti a zdraví při práci v zákoníku práce[1] či některé normy v sektoru bankovnictví a pojišťovnictví.[2] Významně se pak řízení rizik projevuje v kybernetické a informační bezpečnosti. Můžeme se s ním setkat v zákoně o kybernetické bezpečnosti[3] a také v Obecném nařízení o ochraně osobních údajů („GDPR“). Právě na řízení rizik v ochraně osobních údajů se zaměřuje druhý díl našeho seriálu, a to konkrétně na povinnost provést posouzení vlivu na ochranu osobních údajů podle GDPR.

    GDPR zavedlo pro správce osobních údajů vedle řady jiných povinností také obecnou povinnost přihlížet k rizikům pro práva a svobody fyzických osob (a to konkrétně při zavádění vhodných technických a organizačních opatření).[4] Dále stanovilo povinnost provést u určitých druhů zpracování posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR, označované také zkratkou DPIA (Data Protection Impact Assessment). Oproti řízení rizik v jiných oblastech je DPIA v rámci GDPR zaměřeno na práva a svobody subjektů údajů.[5]

    Kdy je nutné provést posouzení vlivu na ochranu osobních údajů

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    DPIA musí správce provést, je-li pravděpodobné, že určitý druh zpracování bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko pro práva a svobody fyzických osob. DPIA je nutné provést před zahájením zpracování osobních údajů a také vždy, kdy dojde k jakékoliv významné změně, která by mohla zvýšit riziko pro tato práva a svobody. Je třeba mít na paměti, že kromě povinnosti vypracovat DPIA má správce také povinnost posouzení vlivu zdokumentovat a uchovávat.

    Co se týče potenciálně dotčených práv a svobod, půjde především o právo na soukromí, resp. právo na ochranu osobních údajů, ale také o právo na svobodu projevu a svobodu myšlení, svobodu pohybu či zákaz diskriminace.[6] Vysoké riziko pro práva a svobody může nastat v případech, které jsou demonstrativně uvedeny v čl. 35 odst. 3 GDPR. Protože však toto ustanovení neposkytovalo správcům dostatečné vodítko, vydala Pracovní skupina WP29 k DPIA Pokyny WP 248[7] („Pokyny“), které výčet z čl. 35 odst. 3 upřesňují. Vedle toho ukládá GDPR v čl. 35 odst. 4 dozorovým úřadům členských států povinnost zveřejnit seznam druhů operací zpracování osobních údajů, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů (pozitivní seznam).  Podle čl. 35 odst. 5 navíc dozorové úřady mohou sestavit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné (negativní seznam).

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Úřad pro ochranu osobních údajů („ÚOOÚ“) jakožto český dozorový úřad uvedenou povinnost splnil a vypracoval jak pozitivní, tak negativní seznam.[8] Co se týče druhů operací zpracování podléhajících požadavku na posouzení vlivu na ochranu osobních údajů, ÚOOÚ představil seznam 10 kritérií, u kterých definoval tři intervaly hodnot, kritickou, významnou a běžnou. Správce je povinen provést DPIA, pokud zpracování dosáhne alespoň dvakrát kritické hodnoty nebo pokud dosáhne jednou kritické hodnoty a zároveň nejméně pětkrát významné hodnoty.[9] Při sestavování negativního seznamu se ÚOOÚ dle svých slov snažil zohlednit požadavek nezatěžovat menší a střední správce, kteří provádějí běžná neriziková zpracování. Povinnost provést DPIA tak odpadá například těm, kteří zpracovávají osobní údaje zaměstnanců v rámci plnění zákonných povinností nebo osobní údaje zákazníků při obchodní činnosti. To za předpokladu, že nedochází ke zpracování zvláštních kategorií osobních údajů. DPIA nemusí provádět také advokáti, notáři a poskytovatelé sociálních nebo zdravotních služeb, pokud využívají pouze nezbytné osobní údaje.[10] Mít se na pozoru je naopak třeba v případě monitorování subjektů údajů a snímání veřejně přístupných prostor, při zpracovávání osobních údajů velkého rozsahu nebo při využití nových technologických řešení.[11]

    Při posuzování, zda je nutné DPIA provést, může správce vycházet ze záznamů o činnostech zpracování, které musí v souladu s čl. 30 GDPR vést. Následně lze vyloučit ty operace, které podle negativního seznamu ÚOOÚ nepodléhají posouzení vlivu na ochranu osobních údajů. U zbylých druhů zpracování je nezbytné provést výše nastíněný test.

    Jak na posouzení vlivu na ochranu osobních údajů

    Dojde-li správce k závěru, že určitý druh zpracování může mít za následek vysoké riziko pro práva a svobody fyzických osob, je nutné posouzení vlivu provést. Základní prvky DPIA stanovuje čl. 35 odst. 7 a rec. 84 a 90 GDPR. I u samotného posouzení vlivu přitom lze vycházet z návrhu metodiky,[12] kterou připravil ÚOOÚ (ačkoliv tento dokument ještě není určený pro přímé využití a po veřejné diskuzi může doznat změn a tento fakt je tedy třeba mít při jeho používání na paměti). WP29 v Pokynech doporučuje metodiky vypracované dozorovými úřady členských států, např. francouzskou, německou či britskou. Jisté vodítko může poskytnout také norma ISO/IEC 29134:2017.[13]

    ÚOOÚ doporučuje rozdělit posouzení vlivu do několika kroků. Jako první je vhodné zpracovat systematický popis zamýšlených operací. Ten by měl obsahovat zejména popis operací a účelů zpracování osobních údajů, seznam zpracovávaných údajů, kategorizaci subjektů údajů a popis příjemců údajů. Opět půjde o údaje, které by měl správce mít k dispozici ze záznamů o činnostech zpracování. ÚOOÚ rovněž doporučuje vypracovat diagram popisující zpracování osobních údajů. Druhá část sestává z provedení testu proporcionality odpovídající čl. 35 odst. 7 písm. b) GDPR. V rámci něj by měl správce posoudit, zda je zpracování osobních údajů navrženým způsobem nezbytné pro zajištění účelů zpracování, zda neexistuje jiný, šetrnější prostředek k zajištění daných účelů a zda správce zasahuje zpracováním do soukromí subjektů údajů co nejméně. Následuje samotné posouzení rizik pro práva a svobody subjektů údajů (např. porušení práv subjektů údajů, neoprávněný přístup k osobním údajům, neoprávněná změna nebo výmaz osobních údajů, selhání technického vybavení aj.). ÚOOÚ doporučuje provést posouzení rizik v souladu s obecnou analýzou rizik za využití normy ČSN ISO/IEC 27005 nebo vyhláškou 82/2018 Sb., o kybernetické bezpečnosti, aby přijatá opatření byla konzistentní. Rovněž je možné využít otevřený software ke zpracování DPIA vyvinutý francouzským dozorovým úřadem.[14] V rámci analýzy rizik je nezbytné posoudit možné dopady v případě realizace rizik, zhodnotit závažnost možného dopadu a pravděpodobnost výskytu hrozby. Dokument by měl dále uvádět, jaká ochranná a nápravná opatření budou (nebo jsou) zavedena, a to jak opatření technická, tak organizační. Nepodaří-li se u některých hrozeb snížit míru zbytkového rizika na žádoucí hodnotu, musí správce v souladu s čl. 36 GDPR zahájit předchozí konzultaci s ÚOOÚ. Rozhodnutí, které ÚOOÚ na základě předchozí konzultace vydá, je součástí DPIA. V případech velké rizikovosti je také vhodné požádat o stanovisko zástupce subjektů údajů a nezávislé odborníky, jak stanoví čl. 35 odst. 9 GDPR.

    Po provedení posouzení vlivu na ochranu osobních údajů je třeba monitorovat jeho uplatňování. Monitorování může zajišťovat nezávislá osoba pověřená správcem nebo pověřenec pro ochranu osobních údajů, vztahuje-li se na správce povinnost pověřence jmenovat.[15] Revize a aktualizace posouzení rizik by měla v souladu s čl. 24 GDPR probíhat pravidelně. Dle stanoviska ÚOOÚ by to mělo být minimálně každé 3 roky a také vždy, když dojde k významné změně, která by mohla mít vliv na zvýšení rizika pro práva a svobody subjektů údajů.[16]

    Závěrem

    Proces posouzení vlivu na ochranu osobních údajů se může jevit jako složitý, není však radno jej brát na lehkou váhu. Podle čl. 83 GDPR hrozí správcům za porušení povinnosti provést DPIA pokuta až do výše 10 000 000 eur nebo do výše 2 % celkového ročního obratu za předchozí finanční rok, podle toho, která hodnota je vyšší. V obecné rovině by také mohlo jít o porušení péče řádného hospodáře. V případě, že správce shledá vypracování DPIA jako příliš náročné, je dobré se obrátit pro pomoc na odborníky na danou problematiku.

     
    Andrea Lančová

    PricewaterhouseCoopers Legal s.r.o., advokátní kancelář
    PwC Legal


    City Green Court
    Hvězdova 1734/2c
    140 00  Praha 4

    Tel.:    +420 251 151 111
    Fax:    +420 251 156 111

    Svobody 91/20
    602 00 Brno

    Tel.:    +420 542 520 111
    Fax:    +420 542 214 796

    e-mail:    info@pwc.cz


    [1] Část pátá zákona 262/2006 Sb., zákoníku práce

    [2] Např. § 8b zákona 21/1992 Sb., o bankách, nebo § 7 zákona 277/2009 Sb., o pojišťovnictví

    [3] § 5 zákona 181/2014 Sb., o kybernetické bezpečnosti

    [4] Čl. 24 GDPR

    [5] Article 29 Data Protection Working Party. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 [online]. 2017, s. 17 [cit. 10. 5. 2020].K dispozici >>> zde.

    [6] Tamtéž, s. 6

    [7] Tamtéž

    [8] Úřad pro ochranu osobních údajů. Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů [online]. 2020 [cit. 10. 5. 2020]. K dispozici >>> zde.

    [9] Tamtéž, s. 7

    [10] Tamtéž, s. 4-5

    [11] Čl. 35 odst. 3 GDPR

    [12] Úřad pro ochranu osobních údajů. Metodika obecného posouzení vlivu na ochranu osobních údajů [online]. 2019 [cit. 10.5.2020].K dispozici >>> zde.

    [13] Article 29 Data Protection Working Party. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 [online]. 2017, s. 21 [cit. 10. 5. 2020].K dispozici >>> zde.

    [14] Commission Nationale de l'Informatique et des Libertés. The open source PIA software helps to carry out data protection impact assesment [online]. 2019 [cit. 10.5.2020]. K dispozici >>> zde.

    [15] Čl. 39 odst. 1 písm. c) GDPR

    [16] Úřad pro ochranu osobních údajů. Metodika obecného posouzení vlivu na ochranu osobních údajů [online]. 2019, s. 5, 13 [cit. 10.5.2020]. K dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Andrea Lančová (PwC Legal)
    13. 5. 2020

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Rodinná nadace s dceřinou společností: Alternativa ke svěřenskému fondu pro správu rodinného majetku
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Právo na víkend - týden v české justici očima šéfredaktora
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • 10 otázek pro ... Jana Kohouta
    • Obchodní vedení společnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?

    Soudní rozhodnutí

    Nesprávné označení relevantní stěžovatelovy námitky (exkluzivně pro předplatitele)

    Nejvyšší správní soud nedostojí požadavkům na řádné odůvodnění soudního rozhodnutí vyplývajícím z čl. 36 odst. 1 Listiny základních práv a svobod, pokud nesprávně označí...

    Předběžná vazba (exkluzivně pro předplatitele)

    Při rozhodování o předběžné vazbě podle § 94 zákona o mezinárodní justiční spolupráci musí soudy dostatečně odůvodnit reálné riziko útěku vyžádané osoby, podložené jejím...

    Přeřazení odsouzeného do přísnějšího typu věznice (exkluzivně pro předplatitele)

    Rozhodnutí o přeřazení odsouzeného do věznice s přísnějším režimem představuje omezení práva na osobní svobodu podle článku 8 odst. 1 Listiny základních práv a svobod a obecné...

    Příspěvek na péči

    Příspěvek na péči a jeho právní úprava v zákoně č. 108/2006 Sb., o sociálních službách, je naplněním práva na přiměřené hmotné zabezpečení při nezpůsobilosti k práci podle...

    Střídavá péče (exkluzivně pro předplatitele)

    Nemožnost přítomného účastníka efektivně participovat na jednání prostřednictvím svého advokáta z důvodu jazykových omezení může za určitých okolností vést k porušení jeho...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.