§ 42 – Posúdenie vplyvu na ochranu osobných údajov
Trvalý odkaz
Jednoducho
Originál
Jednoducho
(1)
Ak spracovanie údajov – najmä cez nové technológie – môže vážne ohroziť práva ľudí, musíte predtým urobiť posúdenie vplyvu na ochranu údajov. Pre skupinu podobných operácií s podobným rizikom stačí jedno posúdenie.
(2)
Ak máte zodpovednú osobu, musíte s ňou konzultovať postupy počas vypracovávania posúdenia.
(3)
Posúdenie potrebujete najmä keď:
a)
systematicky a vo veľkom rozsahu hodnotíte osobné znaky cez automatizované spracovanie (vrátane profilovania) a z toho vyplývajú rozhodnutia s právnymi účinkami alebo vážnym dopadom na človeka,
b)
vo veľkom rozsahu spracúvate citlivé údaje podľa § 16 ods. 1 alebo údaje o trestných činoch podľa § 17,
c)
systematicky vo veľkom rozsahu sledujete verejne prístupné miesta.
(4)
Posúdenie musí obsahovať najmä:
a)
popis plánovaných operácií a účelu vrátane prípadného oprávneného záujmu,
b)
posúdenie, či operácie sú nutné a primerané k účelu,
c)
posúdenie rizík pre práva dotknutej osoby,
d)
opatrenia na odstránenie rizík vrátane bezpečnostných opatrení a mechanizmov na preukázanie súladu so zákonom, pričom zohľadníte práva a záujmy dotknutej osoby aj ďalších ľudí.
(5)
Úrad pri hodnotení zohľadňuje, či dodržiavate schválený kódex správania (§ 85) alebo certifikát (§ 86), najmä pri posudzovaní vplyvu.
(6)
Môžete požiadať dotknutú osobu alebo jej zástupcu o názor na plánované spracovanie. Nesmie to však ohroziť obchodné záujmy, verejný záujem ani bezpečnosť operácií.
(7)
Musíte overiť, či spracovanie zodpovedá posúdeniu, najmä keď sa zmení riziko.
Originál
(1)
Ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziko, postačí jedno posúdenie.
(2)
Prevádzkovateľ je povinný počas vykonávania posúdenia vplyvu na ochranu osobných údajov konzultovať jednotlivé postupy so zodpovednou osobou, ak bola určená.
(3)
Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o
a)
systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa dotknutej osoby alebo s podobne závažným vplyvom na ňu,
b)
spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 , alebo
c)
systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
(4)
Posúdenie vplyvu na ochranu osobných údajov obsahuje najmä
a)
systematický opis plánovaných spracovateľských operácií a účel spracúvania osobných údajov vrátane uvedenia prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
b)
posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
c)
posúdenie rizika pre práva dotknutej osoby a
d)
opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom s prihliadnutím na práva a oprávnené záujmy dotknutej osoby a ďalších fyzických osôb, ktorých sa to týka.
(5)
Pri posudzovaní dosahu spracovateľských operácií vykonávaných prevádzkovateľom alebo sprostredkovateľom úrad zohľadňuje, či prevádzkovateľ alebo sprostredkovateľ postupuje v súlade so schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86 , a to najmä na účely posúdenia vplyvu na ochranu osobných údajov.
(6)
Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.
(7)
Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä, ak došlo k zmene rizika, ktoré predstavuje spracovateľská operácia.