V době rychlého rozvoje AI a digitálních služeb firmy stále častěji pracují s osobními údaji – od identifikačních údajů po biometriku. Aby se předešlo právním, finančním i reputačním rizikům, je klíčové zapojit bezpečnost a ochranu soukromí už od samotného začátku projektu („privacy & security by design/by default“).
Kdy stačí DPA a kdy už je potřeba DPIA
DPA (Data Processing Agreement) je standardní zpracovatelská smlouva mezi správcem a zpracovatelem. Obvykle postačí, pokud se pracuje pouze se standardními kategoriemi osobních údajů, bez vysokého rizika pro subjekty údajů a bez používání nových či invazivních technologií.
Naopak DPIA (Data Protection Impact Assessment) je povinná podle čl. 35 GDPR, pokud může zpracování vést k vysokému riziku pro práva a svobody fyzických osob. Typicky se týká situací, kdy se nasazují nové technologie, zpracovává se citlivá/special category data ve větším rozsahu, probíhá sledování osob, využívají se cloudové služby, profilování nebo automatizované rozhodování. Smyslem DPIA není pouhá formalita, ale včasné rozpoznání rizik a návrh opatření.
Co má DPIA obsahovat (4 základní prvky)
Popis zpracování – účel, prostředky, typy údajů a kategorie subjektů údajů.
Posouzení nezbytnosti a přiměřenosti – je zpracování skutečně nutné a v souladu se zásadou minimalizace?
Posouzení rizik pro subjekty údajů – např. riziko úniku, zneužití, neoprávněného přístupu.
Návrh mitigací – technická a organizační opatření ke snížení rizik (šifrování, řízení přístupů, pseudonymizace, školení, smluvní záruky, interní politiky).
Proč je DPIA důležitá
Chrání osoby, organizaci i klienty/uživatele.
Minimalizuje riziko sankcí a reputační újmy.
Slaďuje právní, compliance a technický pohled už v rané fázi.
Prokazuje zásady „Privacy by Design & by Default“.
DPIA ≠ bezpečnostní risk analýza
DPIA není totéž co analýza rizik informační bezpečnosti. I když závěry bezpečnostní analýzy mohou být pro DPIA užitečným vstupem, DPIA se zaměřuje především na dopady na práva a svobody subjektů údajů, i když zpracování funguje „podle plánu“. Organizační rizika (např. pokuty, reputace) lze posoudit zvlášť – mimo rozsah samotné DPIA. Vyvíjíte-li novou technologii či duševní vlastnictví (IP), které zpracovává významné objemy osobních údajů, zahrnuje citlivé osobní údaje, nebo využívá nové technologie, je vhodné (a často nezbytné) mít pro dané zpracování schválenou DPIA – totéž platí pro dodavatelské řešení(software/IP) zapojené do vašeho projektu. Správci i zpracovatelé by měli spolupracovat pouze s partnery, kteří poskytují dostatečné záruky vhodných technických a organizačních opatření; proto může být předložená DPIA podmínkou před ostrým nasazením. Počítejte také s tím, že dohledové úřady v Evropě zveřejňují seznamy zpracování, pro která je DPIA vyžadována – ty je vhodné předem konzultovat.
Nové technologie: kdy (doporučit či) vyžadovat DPIA
Nasazení nových nebo pokročilých technologií obvykle významně zvyšuje rizika pro práva a svobody osob, a proto je DPIA přinejmenším doporučené – a často i povinné. Patří sem zejména:
AI/ML, profilování a automatizované rozhodování (včetně hodnocení chování, kreditního rizika, predikcí apod.).
Biometrie (rozpoznávání obličeje/otisku, hlasová biometrie), sledování a monitorování (kamerové systémy, sledování pohybu), zejména ve veřejném prostoru nebo ve velkém rozsahu.
Zpracování ve velkém rozsahu nebo kombinace datových souborů (propojování údajů z více zdrojů).
Technologicky složité/pokročilé infrastruktury a platformy (např. rozsáhlé cloudové či datové platformy).
Využití nových technologických nebo organizačních řešení (nové typy senzorů, IoT, nové identity broker služby apod.).
ÚOOÚ ve svém oficiálním seznamu uvádí, že zpracování „v technologicky složitých nebo pokročilých infrastrukturách“ a zpracování „s využitím nových technologických nebo organizačních řešení“ patří mezi operace podléhající DPIA (tzv. „pozitivní seznam“).
Praktický postup (stručný checklist)
Zapojte odpovědné osoby (DPO/odpovědný za ochranu osobních údajů, bezpečnost, právník) od začátku.
Vyhodnoťte, zda stačí DPA, nebo je potřeba DPIA (podle povahy, rozsahu, technologií a rizik).
U DPIA zdokumentujte 4 prvky: popis, nezbytnost/přiměřenost, rizika, mitigace.
Opatření implementujte a přezkoumávejte (audit přístupů, školení, testy bezpečnosti).
Při spolupráci s dodavateli požadujte odpovídající záruky a (je-li to relevantní) DPIA k jejich řešení.
Sledujte seznamy úřadů pro povinné DPIA a průběžně revidujte rizika i dokumentaci.
Pozn.: Tento text slouží jako obecná informační pomůcka a nepředstavuje právní poradenství. V konkrétní situaci se řiďte požadavky GDPR, metodikou dozorových úřadů a doporučeními vašeho DPO/odborníka.
