Posouzení vlivu na ochranu osobních údajů
Posouzení vlivu na ochranu osobních údajů (DPIA) je formální proces používaný k identifikaci a minimalizaci rizik v oblasti ochrany údajů při zpracování osobních údajů. Organizace musí provést DPIA před zpracováním, které pravděpodobně povede k vysokému riziku pro práva a svobody jednotlivců, zejména při používání nových technologií nebo zpracování zvláštních kategorií osobních údajů.
Právní základ
„Pokud je pravděpodobné, že určitý druh zpracování, zejména při použití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení dopadu zamýšlených operací zpracování na ochranu osobních údajů."
— Článek 35 odst. 1, nařízení (EU) 2016/679 (GDPR)
Proč je to důležité
Posouzení vlivu na ochranu osobních údajů je zásadní pro jakoukoli organizaci, která používá osobní údaje pro cílení politické reklamy nebo techniky doručování reklam. Podle GDPR musí správci provést DPIA, když operace zpracování pravděpodobně povedou k vysokému riziku, zejména při použití profilování, zvláštních kategorií údajů nebo systematického monitorování jednotlivců ve velkém měřítku.
Pro politickou reklamu jsou DPIA obzvláště důležitá, protože techniky cílení často zahrnují zpracování citlivých osobních údajů, jako jsou politické názory, které jsou podle GDPR klasifikovány jako údaje zvláštní kategorie. Vydavatelé a poskytovatelé služeb politické reklamy musí posoudit, zda jejich postupy cílení vyžadují DPIA před spuštěním kampaní.
DPIA pomáhá organizacím identifikovat rizika včas, zavést vhodná ochranná opatření a prokázat odpovědnost. Určuje také, zda je před zahájením zpracování nezbytná konzultace s příslušným orgánem pro ochranu osobních údajů. Organizace, které neprovedou požadovaná DPIA, čelí významným správním pokutám podle GDPR.
Klíčové body
- Povinné před vysoce rizikovým zpracováním: DPIA je vyžadováno, když zpracování pravděpodobně povede k vysokému riziku pro práva a svobody jednotlivců, zejména při použití nových technologií nebo profilování
- Zásadní pro politickou reklamu: Cílení politických reklam pomocí osobních údajů, zejména zvláštních kategorií jako jsou politické názory, obvykle vyžaduje DPIA
- Musí být provedeno předem: Posouzení musí být provedeno před zahájením zpracování, nikoli až po spuštění kampaní
- Identifikuje a zmírňuje rizika: DPIA systematicky identifikuje rizika v oblasti ochrany údajů a pomáhá organizacím zavést vhodná technická a organizační opatření
- Může vyžadovat konzultaci s orgánem: Pokud rizika zůstávají vysoká i po zmírňujících opatřeních, organizace musí před pokračováním konzultovat se svým orgánem pro ochranu osobních údajů
- Prokazuje soulad s předpisy: Provádění a dokumentování DPIA je součástí zásady odpovědnosti podle GDPR a prokazuje proaktivní dodržování předpisů
Posouzení vlivu na ochranu osobních údajů vs. posouzení rizik
Ačkoli oba procesy hodnotí rizika, posouzení vlivu na ochranu osobních údajů je specifický právní požadavek podle GDPR zaměřený na rizika v oblasti soukromí a ochrany údajů pro jednotlivce. Obecné posouzení rizik může pokrývat širší organizační nebo obchodní rizika, jako je poškození pověsti, finanční ztráta nebo provozní bezpečnost.
DPIA konkrétně zkoumá, jak operace zpracování ovlivňují práva a svobody jednotlivců, s přihlédnutím k faktorům, jako je povaha, rozsah, kontext a účely zpracování. Vyžaduje specifický obsah včetně popisu operací zpracování, posouzení nezbytnosti a proporcionality, identifikovaných rizik a plánovaných ochranných opatření.
Podle nařízení 2024/900 o politické reklamě (TTPA) musí organizace také provádět systémová posouzení rizik, pokud se kvalifikují jako velmi velké online platformy (VLOP), ale ty jsou oddělené od DPIA, ačkoli jejich zjištění se mohou navzájem informovat.