Analýza nutnosti vykonávať "Posúdenie vplyvu na ochranu osobných údajov" (čl. 35 Nariadenie GDPR)

zdroje:

  • - nariadenie GDPR
  • - stanovisko pracovnej skupiny WP 29 z 4.4.2017 prijatej v aktualizovanom znení 4.10.2017

Posúdenie vplyvu na ochranu osobných údajov je postup, ktorého zámerom je popis spracovania údajov, posúdenie jeho nevyhnutnosti a primeranosti a riadenia rizík pre práva a slobody fyzických osôb plynúcich zo spracovania osobných údajov, a to prostredníctvom ich posúdenie a stanovenie opatrení na ich riešenie. Posúdenie vplyvu na ochranu osobných údajov sú dôležitým nástrojom zabezpečenia zodpovednosti, pretože pomáhajú správcom nielen plniť príslušné povinnosti všeobecného nariadenia o ochrane osobných údajov, ale tiež preukázať, že sa prijali príslušné opatrenia s cieľom zabezpečiť súlad s týmto nariadením (pozri tiež článok 24). Inými slovami posúdenie vplyvu na ochranu osobných údajov je postup určený na zabezpečenie a doloženie súladu.

V súlade s prístupom založeným na rizikách obsiahnutom vo všeobecnom nariadení o ochrane osobných údajov nie je posúdenie vplyvu na ochranu osobných údajov nutné vykonávať pri každom spracovaní. Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje iba, ak je pravdepodobné, že spracovanie bude mať za následok vysoké riziko pre práva a slobody fyzických osôb (čl. 35 ods. 1 ).

Zmyslom tohto dokumentu je teda analýza, či spoločnosť Westernobchod je povinná spracovávať vplyv na ochranu osobných údajov.

V súlade s prístupom založeným na rizikách obsiahnutom vo všeobecnom nariadení o ochrane osobných údajov nie je posúdenie vplyvu na ochranu osobných údajov nutné vykonávať pri každom spracovaní. Namiesto toho sa posúdenie vplyvu na ochranu osobných údajov vyžaduje len vtedy, ak je v určitom druhu spracovania "pravdepodobné, že bude mať za následok vysoké riziko pre práva a slobody fyzických osôb" (čl. 35 ods. 1) . Samotná skutočnosť, že neboli naplnené podmienky zakladajúce povinnosť vykonať posudzovanie vplyvu na ochranu osobných údajov, však neznižuje všeobecnú povinnosť správcov vhodným spôsobom zvládať riziká pre práva a slobody dotknutých osôb. V praxi to znamená, že správcovia musia sústavne vyhodnocovať riziká vznikajúce pri činnostiach spracovania, aby mohli stanoviť, kedy je u niektorého druhu spracovania "pravdepodobné, že bude mať za následok vysoké riziko pre práva a slobody fyzických osôb".

V prvom kroku je teda potrebné vymedziť, aké spracovanie osobných údajov spoločnosť Westernobchod. vo vzťahu k svojim klientom a dodávateľom vykonáva a akých osobných údajov sa takéto spracovanie týka:

  • plnenie zmluvy, vybavovanie objednávok - vo vzťahu ku klientom a dodávateľom správcu (spracovanie bez súhlasu dotknutých osôb, keď spracovanie osobných údajov je nevyhnutné na účely uzatvorenia a plnenia zmluvy)
  • priamy marketing - vo vzťahu ku klientom správcu (spracovanie bez súhlasu dotknutých osôb, keď spracovanie osobných údajov je nevyhnutné na účely oprávnených záujmov správcu - oprávnený záujem prezentácie výrobkov a služieb klientom správcu)

Kategórie spracovania osobných údajov

* Identifikačné údaje - zahŕňajú údaje, ktorými sú predovšetkým meno, priezvisko, adresa trvalého pobytu; u fyzickej osoby - podnikateľa tiež IČO a DIČ. Ďalšími možnými identifikačnými údajmi sú napríklad údaj o IP adrese užívaného počítača;

* Kontaktné údaje - kontaktné adresy, telefónne čísla, e-mailové adresy;

Spôsob spracovania osobných údajov

Naša spoločnosť spracováva osobné údaje manuálne v informačných systémoch našej spoločnosti a ďalej v archívnych zložkách.

Príjemcovia osobných údajov

Osobné údaje sú prístupné najmä zamestnancom spoločnosti Westernobchod v súvislosti s plnením ich pracovných povinností, vybavovanie objednávok pri ktorých je nutné nakladať s osobnými údajmi klientov a dodávateľov, iba však v rozsahu, ktorý je v tom-ktorom prípade nevyhnutný a pri dodržaní všetkých bezpečnostných opatrení. Vedľa toho sú (popr. môžu byť) osobné údaje odovzdávané tretím osobám, ktoré sa môžu podieľať na spracovaní osobných údajov klientov spoločnosti Westernobchod prípadne im tieto údaje sú sprístupnené práve a len na účely splnenia záväzkov z uzatvorenej zmluvy (napr. admin).

Prenos osobných údajov do zahraničia - NEVYKONÁVA

Zdroj osobných údajov - od dotknutých osôb

Povinnosť vykonať posúdenie vplyvu na ochranu osobných údajov je závislá od skutočnosti, ak je v určitom spracovaní pravdepodobné, že bude mať za následok vysoké riziko pre práva a slobody fyzických osôb. Aj keď povinnosť vykonať posúdenie vplyvu na ochranu osobných údajov môže vzniknúť aj za iných okolností, v článku. 35 ods. 3 sú uvedené niektoré príklady, kedy je pravdepodobné, že operácia spracovania "bude ... mať za následok vysoké riziko":

* a) systematické a rozsiahle vyhodnocovanie osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracovaní vrátane profilovania, a na ktorom sa zakladajú rozhodnutia, ktoré vyvolávajú vo vzťahu k fyzickým osobám právne účinky alebo majú na fyzické osoby podobne závažný dopad - správca nevykonáva;

* b) rozsiahle spracovanie osobitných kategórií údajov uvedených v čl. 9 ods. 1 alebo osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov uvedených v článku 10 - správca nevykonáva; alebo

* c) rozsiahle systematické monitorovanie verejne prístupných priestorov - správca nevykonáva ".

Ako vyplýva zo slova "najmä" v úvodnej vete článku. 35 ods. 3 všeobecného nariadenia o ochrane osobných údajov, jedná sa o demonštratívny zoznam. Môže existovať "vysoké riziko" operácií spracovania, ktoré nie sú v tomto zozname uvedené, a napriek tomu môžu predstavovať podobne vysoké riziká. Na tieto operácie spracovania by sa tiež mala vzťahovať povinnosť vykonávať posúdenie vplyvu na ochranu osobných údajov. Z tohto dôvodu nižšie uvedené kritériá občas presahujú obyčajné vysvetlenie toho, čo by tri príklady uvedené v čl. 35 ods. 3 všeobecného nariadenia o ochrane osobných údajov mali znamenať.

Aby bol stanovený konkrétnejší súbor operácií spracovania, pri ktorých je uložená povinnosť posúdenia vplyvu na ochranu osobných údajov kvôli ich vysokému riziku, vzhľadom na špeciálne prvkom čl. 35 ods. 1 a čl. 35 ods. 3 písm. a) až c), zoznamu, ktorý má byť prijatý na národnej úrovni podľa čl. 35 ods. 4) a podľa odôvodnení 71, 75 a 91, ak ďalším odkazom vo všeobecnom nariadení o ochrane osobných údajov na operácie spracovania, pri ktorých " je pravdepodobné, že [bude] mať za následok vysoké riziko ", je potrebné zvážiť týchto deväť kritérií:

  1. Hodnotenie alebo bodovanie, vrátane profilovania a predpovedania, najmä z "aspektov súvisiacich s pracovným výkonom dotknutej osoby, jeho ekonomickou situáciou, zdravotným stavom, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, miestom pobytu alebo pohybu" (71. a 91. bod odôvodnenia). Môže ísť napríklad o finančnú inštitúciu, ktorá preveruje svojho zákazníka v databáze úverových referencií alebo v databáze na boj proti praniu špinavých peňazí a financovania terorizmu či podvodov, alebo biotechnologickú spoločnosť, ktorá ponúka genetické testovanie spotrebiteľov za účelom posúdenia alebo odhlenia chorôb / zdravotných rizík , alebo spoločnosť, ktorá vytvára behaviorálne alebo marketingové profily na základe používania webových stránok alebo pohybu na nich - správca nevykonáva.
  2. Automatizované rozhodovanie, ktoré má právne alebo podobne závažný vplyv: spracovanie, ktorého cieľom je rozhodovanie o subjekte údajov, ktoré má "vo vzťahu k fyzickým osobám právne účinky" alebo má "na fyzické osoby podobne závažný dopad" (čl. 35 ods. 3 písm. a)). Napr. spracovanie môže mať za následok vylúčenie alebo diskrimináciu jednotlivcov. Na spracovanie, ktoré má len nepatrný alebo žiadny dopad na jednotlivca, sa toto konkrétne kritérium nevzťahuje. Ďalšie vysvetlenie týchto pojmov bude obsahom pripravovaných pokynov pracovnej skupiny článku 29 na profilovanie - správca nevykonáva.
  3. Systematické monitorovanie: spracovanie, ktoré je používané na pozorovanie, monitorovanie alebo kontrolu dotknutých osôb, vrátane údajov zhromaždených prostredníctvom sietí alebo "rozsiahle systematické monitorovanie verejne prístupných priestorov" (čl. 35 ods. 3 písm. C)). Tento druh monitorovania je jedným z kritérií, pretože osobné údaje môžu byť zhromažďované za okolností, za ktorých nemusia subjekty údajov vedieť, kým sú ich údaje zhromažďované a ako budú použité. Navyše nemusí byť v silách jednotlivcov zabrániť tomu, aby sa stali subjektom tohto spracovania na verejných (alebo verejne prístupných) miestach - správca nevykonáva.
  4. Citlivé údaje alebo údaje vysoko osobnej povahy: sem spadajú aj osobité kategórie osobných údajov v zmysle článku 9 (napr. Údaje o politických názorov jedinca), rovnako ako osobné údaje týkajúce sa rozsudkov v trestných veciach a trestných činov v zmysle článku 10. ako príklad môže slúžiť zdravotná dokumentácia uchovaná vo všeobecnej nemocnici alebo podrobné údaje vedené súkromným vyšetrovateľom voči páchateľovi. Okrem týchto ustanovení všeobecného nariadenia o ochrane osobných údajov môžu zvyšovať možné riziko pre práva a slobody jednotlivcov niektoré ďalšie kategórie údajov. Tieto osobné údaje sú považované za citlivé (v bežnom zmysle toho slova), pretože majú väzbu na domácnosti a súkromné činnosti (ako napr. Elektronické komunikácie, ktorých dôverný charakter by mal byť chránený), alebo majú vplyv na výkon základných práv (napr. Lokalizačné údaje, ktorých zhromažďovanie spochybňuje slobodu pohybu) alebo preto, že ich porušenie má závažný vplyv na každodenný život subjektu údajov (napr. finančné údaje, ktoré by mohli viesť k podvodom s platbami). V tomto ohľade môže byť dôležité, či už dotknutá osoba alebo tretia osoba údaje zverejnila. Skutočnosť, že osobné údaje sú verejne dostupné, môže byť považovaná za jeden z faktorov pri posúdení, či sa počítalo s ďalším využitím údajov. Toto kritérium môže zahŕňať aj údaje, ako sú napr. osobné dokumenty, e-maily, osobné denníky, elektronické čítacie zariadenia vybavené funkciami poznámok a informácie veľmi osobnej povahy obsiahnuté v aplikáciách zaznamenávajúcich priebeh denných aktivít subjektu údajov (tzv. "Lifelog") - správca nevykonáva.
  5. Údaje spracované v rozsiahlom meradle: všeobecné nariadenie o ochrane osobných údajov presne nevymedzuje, čo znamená rozsiahle, aj keď 91. odôvodnenie určité usmernenie poskytuje. Pracovná skupina podľa článku 29 v každom prípade odporúča, aby pri určovaní, či je spracovanie rozsiahle, boli zvážané predovšetkým tieto faktory:
  • a. počet dotknutých subjektov údajov vyjadrený konkrétnym číslom, alebo ako podiel príslušnej populácie;
  • b. objem údajov alebo rozsah jednotlivo spracúvaných údajov (identifikačné údaje);
  • c. dĺžka alebo trvania činnosti spracovania údajov ;
  • d. geografický rozsah činnosti spracovania
    - správca nevykonáva.
  1. Priradenie alebo zlúčenie dátových súborov, pokiaľ napríklad pochádzajú z dvoch alebo viacerých operácií spracúvania vykonaných na rôzne účely alebo rôznymi správcami údajov spôsobom, ktorý by presahoval primerané očakávania dotknutej osoby - správca nevykonáva.
  2. Údaje týkajúce sa zraniteľných subjektov údajov (odôvodnenie bod 75): spracovanie tohto druhu údajov je jedným z kritérií kvôli väčšej nerovnováhe moci medzi subjektmi údajov a správcom údajov, čo znamená, že pre jednotlivca môže byť nemožné ľahko vysloviť súhlas, prípadne nesúhlas, so spracovaním svojich údajov, alebo vykonávať svoje práva. Medzi zraniteľné subjekty môžu patriť deti (od ktorých sa môže mať za to, že nie sú schopné vedome alebo premyslene vysloviť nesúhlas poprípade súhlas so spracovaním svojich údajov), zamestnanci, zraniteľnejšie skupiny obyvateľstva, ktoré si vyžadujú osobitnú ochranu (osoby s duševnou chorobou, žiadatelia o azyl alebo staršie osoby, pacienti atď.) a všetci tí, v ktorých prípadoch je možné stanoviť nerovnováhu vo vzťahu medzi postavením dotknutej osoby a správcu - správca nevykonáva.
  3. Nové použitie alebo zhodnotenie nových technologických alebo organizačných riešení, ako napr. kombinácia použitia odtlačkov prstov a rozpoznávanie tvárí pre zlepšenie obmedzenie fyzického prístupu atď. Všeobecné nariadenie o ochrane osobných údajov upresňuje (čl. 35 ods. 1 a 89. a 91. bod odôvodnenie), že použitie novej technológie, definované v "súlade s dosiahnutou úrovňou technických znalostí" (91. odôvodnenie), môžu mať potrebu vykonať posúdenie vplyvu na ochranu osobných údajov. Použitie tejto technológie totiž môže zahŕňať nové formy zberu a použitia údajov s potenciálne vysokým rizikom pre práva a slobody fyzických osôb. Osobné a sociálne dôsledky zavedenia novej

1 osobné údaje spracované pre účely:

  1. plnenia zmluvy spracovávame po dobu trvania zmluvného vzťahu s klientom alebo dodávateľom a vysporiadania (splnenia) záväzkov z uzatvorenej zmluvy; ďalej sú príslušné osobné údaje zvyčajne využiteľné po dobu desiatich rokov;
  2. ponúkania produktov a služieb spracovávame po dobu trvania zmluvného vzťahu s klientom a vysporiadania (splnenie) záväzkov z uzatvorenej zmluvy; ďalej sú príslušné osobné údaje zvyčajne využiteľné po dobu desiatich rokov;
  3. starostlivosť o klientov spracovávame po dobu trvania zmluvného vzťahu s klientom a vysporiadania (splnenie) záväzkov z uzatvorenej zmluvy; ďalej sú príslušné osobné údaje zvyčajne využiteľné po dobu desiatich rokov.

technológie môžu byť nepredvídateľné. Posúdenie vplyvu na ochranu osobných údajov pomôže kontrolórovi údajov porozumieť týmto rizikám a riešiť ich. Napríklad niektoré aplikácie "internetu vecí" môžu mať významný vplyv na každodenný život a súkromie jednotlivcov; a preto je potrebné vykonať posúdenie vplyvu na ochranu osobných údajov - správca nevykonáva.

  1. Pokiaľ samotné spracovanie "bráni subjektom údajov v uplatňovaní niektorého z ich práv alebo v používaní niektorej služby alebo zmluvy" (článok 22 a 91. odôvodnenie). Sem sa radia operácie spracovania, ktoré majú za cieľ umožniť, zmeniť alebo zamedziť dotknutej osobe prístup k službe alebo uzavretiu zmluvy. Môže ísť napríklad o banku, ktorá preveruje svojho zákazníka v databáze úverových referencií, aby rozhodla, či mu udelí úver, alebo nie - správca nevykonáva.

Z hodnotenia všetkých uvedených kritérií má spoločnosť Westernobchod za to, že všetky tieto spoločnosťou spracované osobné údaje nepredstavujú s prihliadnutím na povahu, rozsah, kontextu a účely spracovania vysoké riziko pre práva a slobody fyzických osôb. Z tohto dôvodu spoločnosť posúdenie vplyvov na ochranu osobných údajov nevykonáva.

V Pohraniciach, dňa 25.05.2018

Stanislav Kučírek
Westernobchod