Odpověď
Posouzení vlivu na ochranu osobních údajů je požadováno, když je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Posouzení vlivu na ochranu osobních údajů je požadováno přinejmenším v následujících případech:
- systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob včetně profilování,
- rozsáhlé zpracování citlivých osobních údajů,
- rozsáhlé systematické monitorování veřejných prostorů.
Vnitrostátní úřady pro ochranu údajů, ve spolupráci s Evropským sborem pro ochranu osobních údajů, mohou poskytnout seznamy případů, kdy je posouzení vlivu na ochranu osobních údajů nezbytné. Posouzení vlivu na ochranu osobních údajů by se mělo provádět před zpracováním a mělo by se pokládat za živý nástroj, ne jen za jednorázové cvičení. Pokud existují zbytková rizika, která nelze zmírnit zavedenými opatřeními, je nutné před zahájením zpracovávání konzultovat úřad pro ochranu osobních údajů.
Příklady
Posouzení vlivu na ochranu osobních údajů je nutné
Banka kontroluje své zákazníky podle databáze úvěrových referencí; nemocnice se chystá zavést novou zdravotnickou informační databázi se zdravotními údaji pacientů; autobusový dopravce se chystá instalovat palubní kamery pro monitorování chování řidičů a cestujících.
Posouzení vlivu na ochranu osobních údajů není nutné
Praktický lékař zpracovává osobní údaje svých pacientů. V tomto případě není posouzení vlivu na ochranu osobních údajů nutné, protože zpracování ze strany praktických lékařů se neprovádí ve velkém měřítku, je-li počet pacientů omezený.
Odkazy
Examples
DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.
DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.